Migliori pratiche e checklist per la sicurezza di Azure 2025

Azure supporta oltre 700 milioni di utenti attivi in tutto il mondo. Per mantenere la fiducia di una base di utenti così vasta, Microsoft investe ogni anno oltre un miliardo di dollari per migliorare l'infrastruttura di sicurezza di Azure. Tuttavia, poiché gli attacchi alla sicurezza cloud diventano ogni giorno più sofisticati, le organizzazioni devono rimanere vigili.

E per dividere questa vigilanza tra il fornitore di sicurezza cloud e i propri clienti, Azure opera su un modello di responsabilità condivisa (SRM). Il modello di responsabilità condivisa funziona secondo il principio che, mentre Microsoft Azure salvaguarda l'infrastruttura cloud sottostante, i clienti sono responsabili della sicurezza delle loro applicazioni, dei dati e delle identità.

Alla luce di queste dinamiche, questo articolo fornisce una checklist delle migliori pratiche di sicurezza di Azure per aiutare i suoi utenti a mantenere efficacemente una solida posizione di sicurezza.

Ma prima, approfondiamo un po' il modello SRM di Azure.

Che cos'è il modello di responsabilità condivisa (SRM) di Azure?

Il modello SRM di Azure, basato sul tipo di servizio, consente di decidere quali controlli di sicurezza rimangono di competenza del provider di servizi cloud e quali rimangono di competenza del cliente. Il modello di responsabilità condivisa è fondamentale nella sicurezza di Azure e delinea la divisione dei compiti di sicurezza tra il provider di servizi cloud e il cliente. Per garantire l'adempimento delle vostre responsabilità, soluzioni come Singularity™ Cloud Workload Security proteggono i carichi di lavoro cloud, salvaguardandoli dalle minacce avanzate mentre si gestisce l'ambiente.

Esistono tre tipi di servizi:

• Infrastructure as a Service (IaaS): In questo caso, Azure protegge l'infrastruttura di base, come le macchine virtuali e lo storage, mentre i clienti devono gestire la sicurezza dei sistemi operativi, delle applicazioni e dei dati.
• Platform as a Service (PaaS): In questo caso, Azure garantisce anche la sicurezza dei livelli runtime e middleware. I clienti sono responsabili della sicurezza delle applicazioni e della protezione dei dati.
• Software as a Service (SaaS): Nel modello SaaS, Azure si assume maggiori responsabilità, proteggendo sia il livello dell'infrastruttura che quello delle applicazioni. Tuttavia, i clienti devono comunque gestire la sicurezza dei dati e i controlli di accesso.

Migliori pratiche di sicurezza Azure

Secondo un recente studio, l'80% delle aziende ha subito almeno un incidente di sicurezza cloud nell'ultimo anno. Con l'aumento del numero di persone che migrano ad Azure Cloud, la statistica sopra riportata evidenzia l'urgente necessità di implementare le seguenti Azure Cloud:

#1 Gestione delle identità e degli accessi (IAM)

Microsoft Azure Active Directory (AD) è un servizio basato su cloud servizio di gestione delle identità e degli accessi basato su cloud che consente ai dipendenti di accedere a dati e applicazioni come OneDrive ed Exchange Online.

Per massimizzare i vantaggi di Azure AD, le organizzazioni dovrebbero implementare le seguenti best practice di Azure IAM:

• Autenticazione a più fattori (MFA): L'autenticazione a più fattori consente di aggiungere un ulteriore livello di sicurezza al proprio account. Funziona su due o più di questi fattori: qualcosa che conosci (password), qualcosa che possiedi (dispositivo) e qualcosa che sei (dati biometrici). In parole semplici, l'autenticazione a più fattori tiene conto di ciò che possiedi, ovvero il tuo dispositivo, di ciò che conosci, ovvero la tua password, e di ciò che sei come persona, ovvero le tue impronte digitali o il riconoscimento facciale. Quindi, quando inserisci la password, ti viene richiesto di accedere al tuo dispositivo o di autenticare la tua identità utilizzando i dati biometrici inseriti nel tuo account. In questo modo, gli autori delle minacce non possono aprire il tuo account senza il tuo dispositivo o senza di te. Anche Azure AD MFA funziona secondo gli stessi principi. Tuttavia, in Azure AD è possibile scegliere tra diversi metodi di verifica, come l'app Microsoft Authenticator, il token hardware OATH, gli SMS e le chiamate vocali.
• Accesso condizionale: L'accesso condizionale utilizza segnali in tempo reale quali la conformità del dispositivo, il contesto dell'utente, la posizione e i fattori di rischio della sessione per determinare quando consentire, bloccare o limitare l'accesso o richiedere ulteriori passaggi di verifica per l'accesso alle risorse aziendali basate su Azure.
• Controllo degli accessi basato sui ruoli di Azure (RBAC): Il controllo degli accessi basato sui ruoli (RBAC) è noto anche come sicurezza basata sui ruoli. Si tratta di un meccanismo che aiuta le organizzazioni a limitare l'accesso alle persone non autorizzate. Con il modello RBAC, le organizzazioni possono impostare autorizzazioni e privilegi che consentono l'accesso solo agli utenti autorizzati.

#2 Architettura Zero Trust

Zero Trust, come suggerisce il nome, funziona secondo il principio "non fidarti mai e verifica sempre!". In parole semplici, ogni entità, che sia una persona, una macchina o un'applicazione, non è considerata affidabile per impostazione predefinita, sia all'interno che all'esterno della rete. La verifica è obbligatoria per chiunque desideri accedere alle risorse della rete.

• Verifica esplicita: è fondamentale autenticare, identificare e autorizzare l'accesso. È necessario farlo in base ai dati disponibili nel sistema.
• Utilizza l'accesso con privilegi minimi: Limitare gli utenti all'accesso "just-in-time e just-enough" (JIT/JEA).
• Presupporre una violazione: Quando si lavora con la convinzione che si verificheranno violazioni, è necessario segmentare le reti e utilizzare la crittografia end-to-end per ridurre al minimo le aree di attacco di potenziali violazioni.

#3 Sicurezza di rete

Basata su una strategia di difesa multilivello, la struttura di Azure per la sicurezza di rete garantisce la protezione dei dati in ambienti condivisi. Ciò è possibile grazie all'isolamento logico, al controllo degli accessi, alla crittografia e al rispetto di framework standard quali SOC2, SOC1 e ISO27001.

In questa era digitale, la sicurezza di rete all'interno dell'infrastruttura cloud svolge un ruolo significativo.

Proteggi le tue reti Azure con Azure Firewall e i gruppi di sicurezza di rete (NSG).

• Azure Firewall: Si tratta di un servizio di sicurezza di rete gestito e basato sul cloud che protegge le risorse della rete virtuale Azure. Offre una protezione avanzata dalle minacce e consente di controllare il traffico con elevata disponibilità e scalabilità.
• NSG: Un gruppo di sicurezza di rete comprende regole di sicurezza che aiutano le organizzazioni a decidere quale traffico in entrata sarà consentito o negato dalle varie risorse Azure all'interno di una rete virtuale. Ciò può essere fatto definendo le loro regole di sicurezza. Il traffico si basa su criteri relativi a porta, indirizzo IP e protocollo.

#4 Configurazione della rete virtuale (VNet)

Il componente principale della rete privata in Azure, la rete virtuale (VNet), consente a numerose risorse Azure, come le macchine virtuali (VM) di Azure, di comunicare in modo sicuro tra loro, sul cloud e sulle reti locali

Le procedure consigliate per la sicurezza di Windows Azure includono le procedure consigliate per la configurazione della rete virtuale (VNet), la segmentazione della rete, gli endpoint privati e le regole NSG.

• Gateway VPN: utilizza un gateway VPN per estendere in modo sicuro la tua rete locale ad Azure tramite una connessione VPN crittografata, garantendo che i dati trasmessi tra i due ambienti siano protetti da accessi non autorizzati.
• ExpressRoute: Implementa ExpressRoute per migliorare la sicurezza e l'affidabilità creando una connessione privata tra l'infrastruttura locale e Azure, bypassando la rete Internet pubblica per migliorare le prestazioni e la sicurezza.
• Crittografia dei dati in transito: Proteggi i tuoi dati in transito crittografando le connessioni VPN utilizzando i protocolli IPsec (Internet Protocol Security) e IKE (Internet Key Exchange), che forniscono un canale sicuro per la trasmissione dei dati su Internet.

#5 Crittografia dei dati inattivi e in transito

Pratiche di crittografia efficaci proteggono le informazioni sensibili sia inattive che in transito, garantendo la conformità e mantenendo la riservatezza dei dati. Ecco come puoi proteggere i tuoi dati inattivi e in transito.

• Azure Key Vault: Utilizza Azure Key Vault per gestire e proteggere le chiavi crittografiche e i segreti utilizzati per la crittografia dei dati. Questo servizio fornisce archiviazione sicura e controllo degli accessi per le informazioni sensibili, riducendo il rischio di accessi non autorizzati.
• Azure Update Management: utilizza Azure Update Management per automatizzare l'applicazione delle patch e le valutazioni di conformità. Inoltre, è necessario mantenere aggiornate tutte le macchine virtuali e i servizi Azure con le ultime patch di sicurezza per evitare incidenti indesiderati.
• Crittografia del servizio di archiviazione di Azure: Proteggi i tuoi dati inattivi utilizzando la crittografia del servizio di archiviazione di Azure, che crittografa automaticamente i dati quando vengono scritti nel cloud, garantendo che le informazioni sensibili rimangano al sicuro anche quando sono archiviate.
• Transport Layer Security (TLS): Implementa la crittografia TLS per i dati in transito per proteggerli dall'intercettazione durante la trasmissione. TLS fornisce un'autenticazione forte e l'integrità dei messaggi, rendendo difficile per soggetti non autorizzati accedere o manomettere i dati durante la trasmissione.
• Azure Backup e Disaster Recovery: Eseguite regolarmente il backup dei vostri dati utilizzando Azure Backup. Inoltre, è necessario sviluppare un solido piano di disaster recovery ed eseguire test regolari per garantire la continuità operativa.

#6 Rilevamento e monitoraggio delle minacce

Il rilevamento e il monitoraggio delle minacce è un'altra best practice di sicurezza di Azure che le organizzazioni devono seguire per garantire un'architettura di sicurezza robusta.

• Azure Security Center: Utilizzate Azure Security Center, che offre un sistema unificato di gestione della sicurezza dell'infrastruttura. Rafforza la sicurezza del data center fornendo una protezione avanzata dalle minacce su Azure e sui carichi di lavoro ibridi.
• Azure Sentinel: Sfrutta Azure Sentinel, una soluzione cloud-native Security Information and Event Management (SIEM) e Security Orchestration, Automation e Response (SOAR). Fornisce analisi di sicurezza intelligenti e informazioni sulle minacce in tutta l'azienda, migliorando la visibilità complessiva della sicurezza.
• Monitoraggio e avvisi continui: Imposta avvisi in Azure Security Center e Azure Sentinel per ricevere notifiche su potenziali minacce o attività sospette. Ciò facilita risposte rapide e in tempo reale per mitigare efficacemente i rischi.
• Rilevamento delle minacce basato sull'intelligenza artificiale: Utilizza gli strumenti di sicurezza basati sull'intelligenza artificiale di Azure per analizzare grandi quantità di dati e identificare modelli che indicano potenziali minacce. Questi strumenti utilizzano l'apprendimento automatico e l'analisi comportamentale, fornendo un rilevamento delle minacce più accurato rispetto ai metodi tradizionali.

#7 Sicurezza delle applicazioni

Assicuratevi che le vostre applicazioni siano sicure seguendo queste pratiche:

• Pratiche di codifica sicure: Riduci al minimo le vulnerabilità nelle applicazioni aderendo agli standard di codifica sicura.
• Firewall per applicazioni web (WAF):Proteggi le tue applicazioni web utilizzando WAF per filtrare e monitorare il traffico HTTP alla ricerca di potenziali minacce.
• Sicurezza della pipeline CI/CD: Integra strumenti di scansione della sicurezza nella pipeline CI/CD utilizzando Azure DevOps per rilevare e correggere le vulnerabilità durante il processo di sviluppo. Verifica l'integrità del codice prima della distribuzione.
• Gateway applicativo Azure: Gestisci il traffico e migliora la sicurezza con funzionalità quali terminazione SSL, WAF e routing basato su URL.

#8 Conformità e governance

Il rispetto dei requisiti di conformità e governance è essenziale per la tua azienda. Ecco come puoi utilizzare il principio di Azure e i modelli per la conformità.

• Criteri e modelli di Azure: Utilizza i criteri di Azure per applicare gli standard aziendali e valutare la conformità. Automatizza la distribuzione per soddisfare i requisiti di conformità e utilizza gli strumenti di governance per processi ripetibili.
• Conformità normativa: Esegui audit regolari e utilizza gli strumenti di conformità di Azure per garantire l'aderenza a normative quali GDPR e HIPAA. Implementa meccanismi di auditing e registrazione adeguati con Azure Monitor per raccogliere dati telemetrici e agire di conseguenza.

Lista di controllo della sicurezza di Azure per il 2025

Sulla base delle best practice discusse in precedenza, ecco una pratica lista di controllo per garantire la sicurezza di Azure nel 2025.

#1 Gestione delle identità e degli accessi

• La vostra organizzazione deve applicare l'autenticazione a più fattori per tutti gli utenti, in particolare per gli account con privilegi.
• È necessario effettuare revisioni periodiche e aggiornare i diritti di accesso e l'assegnazione dei ruoli.
• È necessario utilizzare criteri di accesso condizionale per limitare l'accesso in base a determinate condizioni, quali la posizione dell'utente, la conformità del dispositivo o i livelli di rischio.

#2 Architettura Zero Trust

• Autenticare, identificare e autorizzare tutte le richieste di accesso in base ai dati disponibili.
• Applicare il principio del "just in time" e del "just enough access" (JIT/JEA) per limitare le autorizzazioni a quelle necessarie per il ruolo.
• Operare partendo dal presupposto che possano verificarsi violazioni. Segmentare le reti e utilizzare la crittografia end-to-end per limitare le potenziali superfici di attacco.

#3 Sicurezza della rete

• È necessario rivedere le regole NSG e assicurarsi che siano in linea con l'attuale posizione di sicurezza.
• È necessario garantire configurazioni sicure delle reti virtuali, che devono includere la segmentazione delle sottoreti, gli endpoint privati e l'integrazione con Azure Firewall.
• È necessario implementare misure di sicurezza rigorose, come la crittografia IPsec e i controlli di accesso per le connessioni VPN ed ExpressRoute.

#4 Protezione dei dati

• È necessario verificare che i dati sensibili siano crittografati sia inattivi che in transito utilizzando i servizi di crittografia integrati di Azure e Azure Key Vault.
• È necessario stabilire e mantenere processi di backup dei dati sicuri.
• È necessario eseguire regolarmente controlli dei registri di accesso ai dati per monitorare attività non autorizzate o sospette. È possibile utilizzare Azure Monitor e Azure Sentinel per automatizzare il rilevamento delle anomalie.

#5 Monitoraggio e rilevamento delle minacce

• È necessario configurare Azure Security Center e Azure Sentinel per il monitoraggio continuo e il rilevamento delle minacce.
• È necessario sviluppare un piano di risposta agli incidenti e aggiornarlo regolarmente per personalizzarlo in base al proprio ambiente Azure
• È necessario condurre regolarmente esercitazioni di rilevamento delle minacce per testare la resilienza dell'ambiente e migliorare la sicurezza dell'azienda.

#6 Sicurezza delle applicazioni

• Con l'aiuto di Azure DevOps, è possibile integrare pratiche di codifica sicure nella pipeline CI/CD e automatizzare i controlli di sicurezza durante i processi di creazione e rilascio.
• Grazie al test regolare delle applicazioni web e delle API alla ricerca di vulnerabilità, è possibile mitigare il rischio di SQL injection e XSS.

#7 Conformità e governance

• È necessario rivedere e aggiornare regolarmente i criteri di Azure e assicurarsi che siano conformi ai requisiti organizzativi e normativi.
• È necessario assicurarsi che vengano mantenute tracce di audit adeguate e che queste vengano riviste regolarmente utilizzando Azure Monitor.
• Utilizzando Azure Compliance Manager per monitorare e gestire i requisiti di conformità, è necessario valutare regolarmente il proprio ambiente Azure.

Seguendo la checklist di sicurezza di Azure, èè essenziale integrare strumenti di sicurezza automatizzati che forniscano una protezione continua per l'infrastruttura. Con Singularity™ Cloud Security Posture Management, è possibile identificare e risolvere facilmente le configurazioni errate del cloud, rafforzando la sicurezza complessiva del cloud.

Perché è necessario utilizzare SentinelOne per la sicurezza di Azure?

Sebbene sia possibile utilizzare soluzioni legacy per il rilevamento degli incidenti e la gestione dei rischi, l'enorme volume di dati e la moltitudine di configurazioni in Azure possono mettere in difficoltà anche i migliori professionisti della sicurezza.

SentinelOne è la scelta preferita in quanto aiuta le aziende ad aggiornarsi con una protezione autonoma della sicurezza informatica di nuova generazione basata sull'intelligenza artificiale. SentinelOne semplifica la protezione dei carichi di lavoro cloud, aumenta l'agilità e consente l'esecuzione automatizzata della sicurezza dei container.

È dotato di un agente one-no-sidecar che protegge pod, container e nodi worker K8s. Offre prestazioni elevate EDR e una visibilità arricchita con metadati cloud e visualizzazione automatizzata degli attacchi Storyline™, insieme alla mappatura su MITRE ATT&CK® TTPs.

Conclusione: Protezione dell'ecosistema Azure

La crescente sofisticazione degli attacchi informatici, insieme alle vulnerabilità intrinseche di SHRM, creerà nuove sfide di sicurezza per gli utenti di Azure. Azure offre una potente serie di strumenti di sicurezza come Azure Security Center, Azure Firewall e Azure Key Vault.

Oltre a ciò, le organizzazioni devono implementare le best practice di sicurezza Azure che abbiamo prescritto. È importante ricordare che la gestione della sicurezza nel cloud non è un'attività una tantum. Poiché la sicurezza in Azure è una responsabilità condivisa, gli utenti del cloud sono responsabili della corretta configurazione dei privilegi e dei diritti di accesso, nonché del monitoraggio e della protezione del traffico di rete: ecco perché diciamo che si tratta di un processo continuo.

La piattaforma di sicurezza cloud di SentinelOne fornisce una sicurezza completa per l'intero ciclo di vita e la configurazione delle applicazioni native per il cloud, con politiche e controlli coerenti, dalla creazione dell'immagine alla distribuzione per un'ampia gamma di servizi di creazione, infrastruttura, distribuzione e runtime nativi per il cloud di Microsoft Azure. Prenota una demo per saperne di più.

"

Domande frequenti sulla sicurezza di Azure