Condividi tramite

Che cos'è la sicurezza di rete di Azure?

La sicurezza di rete è un aspetto fondamentale del cloud computing, in quanto protegge i dati e le applicazioni eseguiti nel cloud da varie minacce e attacchi. Azure offre un set completo di soluzioni di sicurezza di rete che consentono di progettare, distribuire e gestire reti sicure e resilienti nel cloud.

Screenshot che mostra le icone per Firewall di Azure, Protezione DDoS di Azure e Web Application Firewall di Azure.

Uno dei principi guida della sicurezza di rete di Azure è il modello Zero Trust, che presuppone che nessuna rete o dispositivo sia intrinsecamente sicura o affidabile. Ogni richiesta e connessione deve essere invece verificata e convalidata in base a dati, identità e contesto. Il modello Zero Trust consente di impedire accessi non autorizzati, limitare lo spostamento laterale e ridurre la superficie di attacco delle reti.

Scelta di una soluzione

La scelta della soluzione di sicurezza di rete appropriata per i carichi di lavoro di Azure dipende dalle esigenze e dai requisiti specifici. Azure offre un'ampia gamma di servizi di sicurezza di rete che possono essere usati singolarmente o in combinazione per proteggere i carichi di lavoro. Ecco alcuni fattori chiave da considerare quando si sceglie una soluzione di sicurezza di rete:

  • Tipo di carico di lavoro: carichi di lavoro diversi hanno requisiti di sicurezza diversi. Ad esempio, le applicazioni Web possono richiedere protezione dagli attacchi Web, mentre le macchine virtuali possono richiedere protezione dagli attacchi basati sulla rete.
  • Modello di distribuzione: Azure offre modelli di distribuzione diversi per i servizi di sicurezza di rete, ad esempio appliance virtuali, servizi gestiti e soluzioni integrate. Scegliere il modello più adatto alle proprie esigenze e requisiti.
  • Integrazione con altri servizi di Azure: molti servizi di sicurezza di rete di Azure si integrano con altri servizi di Azure, ad esempio Monitoraggio di Azure, Centro sicurezza di Azure e Microsoft Sentinel. Scegliere una soluzione che possa essere facilmente integrata con i servizi di Azure esistenti per migliorare la sicurezza e il monitoraggio.
  • Costo: i diversi servizi di sicurezza di rete hanno modelli di prezzi diversi. Scegliere una soluzione adatta al budget e fornire il livello di protezione necessario.
  • Requisiti di conformità: a seconda del settore e della posizione, potrebbero essere previsti requisiti di conformità specifici che la soluzione di sicurezza di rete deve soddisfare. Scegliere una soluzione che consenta di soddisfare questi requisiti.
  • Scalabilità: man mano che i carichi di lavoro aumentano, la soluzione di sicurezza di rete dovrebbe essere in grado di essere ridimensionata con essi. Scegliere una soluzione in grado di gestire un maggiore traffico e carichi di lavoro senza compromettere la sicurezza.
  • Gestione e monitoraggio: scegliere una soluzione che offre funzionalità di gestione e monitoraggio semplici, ad esempio dashboard, avvisi e report. In questo modo sarà possibile identificare e rispondere rapidamente agli eventi imprevisti di sicurezza.

Firewall di Azure

Firewall di Azure è un servizio firewall di rete intelligente nativo del cloud che offre protezione con stato completo con alta disponibilità integrata e scalabilità cloud illimitata. Offre sicurezza sia a livello di rete che a livello di applicazione per i carichi di lavoro di Azure. Come servizio gestito, Firewall di Azure può essere distribuito in una rete virtuale e si integra perfettamente con altri servizi di Azure, ad esempio Monitoraggio di Azure, Centro sicurezza di Azure e Microsoft Sentinel per migliorare la sicurezza e il monitoraggio.

Diagramma che mostra come Firewall di Azure controlla il traffico da e verso Internet prima di instradarlo alla destinazione.

A seconda delle esigenze, è possibile selezionare tra tre SKU di Firewall di Azure:

  • Basic: lo SKU Basic è un'opzione conveniente per soluzioni firewall semplici nei carichi di lavoro di Azure. Fornisce funzionalità essenziali, ad esempio il filtro di rete e le applicazioni, la traduzione degli indirizzi di rete e la registrazione.
  • Standard: lo SKU Standard è un'opzione più avanzata che include funzionalità aggiuntive, ad esempio proxy DNS e categorie Web. È progettato per soluzioni firewall più complete nei carichi di lavoro di Azure.
  • Premium: Lo SKU Premium è l'opzione più avanzata che include tutte le funzionalità dello SKU Standard, oltre a funzionalità aggiuntive come l'ispezione TLS, il rilevamento e la prevenzione delle intrusioni e il filtro url. È progettato per il massimo livello di sicurezza e controllo nei carichi di lavoro di Azure.

Casi d'uso

  • Sicurezza di rete: proteggere i carichi di lavoro di Azure dagli attacchi basati sulla rete e dall'accesso non autorizzato.
  • Sicurezza delle applicazioni: proteggere i carichi di lavoro di Azure da attacchi e vulnerabilità basati su applicazioni.
  • Rilevamento e prevenzione delle intrusioni: monitorare la rete per individuare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.
  • Ispezione TLS: controllare e decrittografare il traffico TLS per rilevare e bloccare le minacce nascoste nel traffico crittografato.
  • Filtro URL: controllare l'accesso a URL o categorie di URL specifici in base ai criteri dell'organizzazione.

Per altre informazioni, vedere Panoramica di Firewall di Azure.

Protezione di Azure dagli attacchi DDoS

Protezione DDoS di Azure è un servizio che fornisce funzionalità avanzate di mitigazione DDoS per difendersi dagli attacchi DDoS. Viene ottimizzato automaticamente per proteggere le risorse di Azure specifiche in una rete virtuale. La protezione è semplice da abilitare in qualsiasi rete virtuale nuova o esistente o risorse di indirizzi IP pubblici e non richiede modifiche all'applicazione o alla risorsa.

  • Protezione IP: Protezione IP DDoS di Azure offre protezione per le risorse di Azure a cui è assegnato un indirizzo IP pubblico. Protegge da attacchi a livello di applicazione, protocollo e volumetrico.

    Diagramma che illustra la protezione DDoS di Azure applicata a una risorsa con un indirizzo IP pubblico.

  • Protezione di rete: Protezione di rete DDoS di Azure offre protezione per le risorse di Azure in una rete virtuale a cui è assegnato un indirizzo IP pubblico. Include funzionalità aggiuntive, ad esempio il supporto di DDoS Rapid Response, la protezione dei costi e gli sconti WAF.

    Diagramma che illustra la protezione DDoS di Azure abilitata a livello di rete virtuale per una topologia hub-spoke.

Casi d'uso

  • Protezione dagli attacchi DDoS: proteggere le risorse di Azure dagli attacchi DDoS, inclusi attacchi a livello di applicazione, protocolli e metriche.
  • Protezione dei costi: proteggere le risorse di Azure da costi imprevisti causati da attacchi DDoS.
  • Risposta rapida: ottenere supporto rapido per le risposte da esperti di Azure DDoS in caso di attacco DDoS.

Per altre informazioni, vedere Panoramica di Protezione DDoS di Azure Standard.

Azure Web Application Firewall

Web application firewall (WAF) di Azure è un web application firewall che fornisce protezione centralizzata alle applicazioni Web da exploit e vulnerabilità comuni. WAF usa regole per monitorare le richieste e le risposte HTTP e può bloccare o consentire il traffico in base alle regole definite.

Diagramma che illustra web application firewall di Azure applicato sia al gateway applicazione di Azure che a Frontdoor di Azure, consentendo richieste valide e bloccando gli attacchi Web.

WAF è disponibile in due opzioni di distribuzione:

  • WAF di Azure Application Gateway: Azure Application Gateway è un servizio di bilanciamento del carico per il traffico web (livello 7 OSI) che consente di gestire il traffico verso le applicazioni web.
  • Frontdoor di Azure WAF: Frontdoor di Azure è un punto di ingresso scalabile e sicuro per la distribuzione rapida delle applicazioni globali. Offre offload SSL, accelerazione delle applicazioni e bilanciamento globale del carico con failover istantaneo.

Casi d'uso

  • Protezione dagli attacchi Web: proteggere le applicazioni Web da exploit e vulnerabilità comuni, ad esempio SQL injection e scripting tra siti (XSS).
  • Gestione centralizzata: gestire le regole e i criteri del web application firewall da un'unica posizione.
  • Integrazione con i servizi di Azure: integrare WAF con altri servizi di Azure, ad esempio il gateway applicazione di Azure e Frontdoor di Azure, per migliorare la sicurezza e le prestazioni.
  • Regole personalizzate: creare regole personalizzate per soddisfare i requisiti e i criteri di sicurezza specifici.
  • Protezione bot: protezione delle applicazioni web da bot dannosi e attacchi automatizzati.

Per altre informazioni, vedere Panoramica di Web application firewall di Azure.

Esperienza del portale di Azure

Il portale di Azure offre un'esperienza unificata per la gestione dei servizi di sicurezza di rete. È possibile creare e gestire facilmente i servizi di sicurezza di rete da un'unica posizione ed è anche possibile visualizzare lo stato e l'integrità dei servizi.

Screenshot dell'esperienza di selezione della sicurezza di rete nel portale di Azure.

Scenari comuni di sicurezza di rete

L'hub di sicurezza di rete supporta attualmente le opzioni di distribuzione seguenti:

  • Rete virtuale hub-spoke protetta: distribuire un firewall di Azure in una rete virtuale designata come hub. Questa rete virtuale hub può connettersi a più reti virtuali spoke usando il peering di reti virtuali. Il Azure Firewall è associato a un criterio di Azure Firewall che definisce le regole e le configurazioni del firewall. Questo modello di distribuzione è ideale per le organizzazioni che cercano di centralizzare la sicurezza e la gestione della rete in un'unica posizione.

  • Proteggere le reti WAN virtuali su larga scala: distribuire un firewall di Azure in un hub protetto della rete WAN virtuale di Azure. Il Firewall di Azure è associato a criteri di Firewall di Azure, e l'hub protetto è connesso a diverse succursali e utenti remoti. Questo modello di distribuzione è ideale per le organizzazioni che usano la rete WAN virtuale di Azure per connettere più succursali e utenti remoti alle risorse di Azure.

  • Zero Trust per le applicazioni Web: Usare il gateway applicazione di Azure con una policy del firewall per applicazioni Web (WAF) di Azure per proteggere le applicazioni Web regionali dagli exploit e dalle vulnerabilità comuni. Personalizzare i criteri WAF per soddisfare in modo efficace le specifiche esigenze di sicurezza delle applicazioni Web.

  • Distribuire contenuti cloud in modo sicuro: usate Azure Front Door con una policy di Azure Web Application Firewall (WAF) per proteggere e ottimizzare la distribuzione delle applicazioni web globali. Questo modello di distribuzione garantisce prestazioni delle applicazioni sicure ed efficienti, consentendo al tempo stesso di personalizzare i criteri WAF per soddisfare specifiche esigenze di sicurezza.

Passaggi successivi

Altre informazioni sulle diverse funzionalità e funzionalità di ogni servizio di sicurezza di rete di Azure:

Documentazione sulla sicurezza di rete di Azure