Idee per soluzioni
In questo articolo viene descritta un'idea di soluzione. Il cloud architect può usare queste linee guida per visualizzare i componenti principali di un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per il design di una soluzione ben progettata che sia in linea con i requisiti specifici del carico di lavoro.
Questo articolo illustra come rappresentare con un diagramma l'ambiente IT principale dell'organizzazione e come creare una mappa delle minacce. Questi diagrammi sono strumenti preziosi per la pianificazione e la creazione di un solido livello di sicurezza difensivo. Comprendere l'ambiente IT e la relativa architettura è fondamentale per identificare i servizi di sicurezza necessari per garantire una protezione adeguata.
I sistemi informatici contengono informazioni che non sono preziose solo per le organizzazioni che le generano, ma anche per gli utenti malintenzionati. Questi utenti, che si tratti di singoli o gruppi, svolgono attività dannose volte a compromettere o a danneggiare i computer, i dispositivi, i sistemi e le reti delle società. Spesso, l'obiettivo è quello di sottrarre o danneggiare i dati sensibili usando minacce come il malware o gli attacchi di forza bruta.
Questo articolo illustra un metodo per eseguire il mapping delle minacce all'ambiente IT, consentendo di pianificare l'implementazione dei servizi di sicurezza Microsoft nell'ambito della propria strategia di sicurezza.
La buona notizia è che non è necessario creare una mappa delle minacce da zero. La matrice MITRE ATT&CK offre una risorsa eccellente per svilupparne una. MITRE ATT&CK è una knowledge base globale che mappa le minacce del mondo reale in base alla tattica e alle tecniche osservate. MITRE Corporation documenta ogni minaccia nota nel dettaglio, fornendo informazioni preziose sul funzionamento di queste minacce e su come difendersi da esse. Questa risorsa accessibile pubblicamente è disponibile online su MITRE ATT&CK®.
Questo articolo usa un subset di queste minacce per illustrare come eseguire il mapping delle minacce all'ambiente IT.
Potenziali casi d'uso
Alcune minacce sono comuni in tutti i settori, ad esempio ransomware, attacchi DDoS, scripting intersito e SQL injection. Tuttavia, molte organizzazioni devono affrontare minacce specifiche del loro settore o basate su attacchi informatici subiti in passato. Il diagramma riportato in questo articolo facilita il mapping di queste minacce per l'organizzazione identificando le aree che vengono prese di mira più spesso dagli utenti malintenzionati. La creazione di una mappa delle minacce consente di pianificare i livelli di difesa necessari per un ambiente più sicuro.
È possibile adattare questo diagramma per modellare combinazioni di attacchi diverse e comprendere meglio come prevenirle e attenuarle. Anche se il framework MITRE ATT&CK è un riferimento utile, non è obbligatorio. Microsoft Sentinel e altri servizi di sicurezza Microsoft collaborano con MITRE per fornire informazioni dettagliate preziose su diverse minacce.
Alcune organizzazioni usano Cyber Kill Chain®, una metodologia di Lockheed Martin, per mappare e comprendere come viene messo in atto un attacco, o una serie di attacchi, a un ambiente IT. Cyber Kill Chain organizza le minacce e gli attacchi considerando un minor numero di tattiche e tecniche rispetto al framework MITRE ATT&CK. È comunque efficace per comprendere le minacce e come vengono messe in pratica. Per altre informazioni su questa metodologia, vedere Cyber Kill Chain.
Architettura
Scaricare un file di Visio di questa architettura.
©2021 The MITRE Corporation. Quest'opera viene riprodotta e distribuita con l'autorizzazione di The MITRE Corporation.
Per l'ambiente IT delle organizzazioni, vengono specificati i componenti solo per Azure e Microsoft 365. L'ambiente IT specifico può includere dispositivi, appliance e tecnologie di provider di tecnologie diversi.
Per l'ambiente Azure, il diagramma mostra i componenti elencati nella tabella seguente.
| Etichetta | Documentazione |
|---|---|
| Rete virtuale | Che cos'è Rete virtuale di Azure? |
| LBS | Informazioni su Azure Load Balancer |
| PIP | Indirizzi IP pubblici |
| SERVER | Macchine virtuali |
| K8S | Servizio Azure Kubernetes |
| VDI | Che cos'è Desktop virtuale Azure? |
| APP WEB | Panoramica del Servizio app |
| ARCHIVIAZIONE DI AZURE | Introduzione ad Archiviazione di Azure |
| DB | Informazioni sul database SQL di Azure |
| Microsoft Entra ID | Cos'è Microsoft Entra ID? |
Il diagramma rappresenta Microsoft 365 attraverso i componenti elencati nella tabella seguente.
| Etichetta | Descrizione | Documentazione |
|---|---|---|
OFFICE 365 |
Servizi Microsoft 365 (precedentemente Office 365). Le applicazioni che Microsoft 365 rende disponibili dipendono dal tipo di licenza. | Microsoft 365 - Abbonamento per Office Apps |
Microsoft Entra ID |
Microsoft Entra ID, lo stesso utilizzato da Azure. Molte società utilizzano lo stesso servizio Microsoft Entra per Azure e Microsoft 365. | Cos'è Microsoft Entra ID? |
Workflow
Per comprendere quale parte dell'ambiente IT verrà attaccata con tutta probabilità, il diagramma dell'architettura riportato in questo articolo si basa su un ambiente IT tipico per un'organizzazione che dispone di sistemi locali, una sottoscrizione a Microsoft 365 e una sottoscrizione ad Azure. Le risorse in ognuno di questi livelli sono servizi comuni a molte società. Sono classificate nel diagramma in base ai principi fondamentali di Microsoft Zero Trust: rete, infrastruttura, endpoint, applicazione, dati e identità. Per ulteriori informazioni su Zero Trust, vedere Adottare la sicurezza proattiva con Zero Trust.
Il diagramma dell'architettura include i livelli seguenti:
Locale
Il diagramma include alcuni servizi essenziali, ad esempio server (VM), appliance di rete e DNS. Include applicazioni comuni presenti nella maggior parte degli ambienti IT che vengono eseguite su macchine virtuali o server fisici. Include anche diversi tipi di database, SQL e non SQL. Le organizzazioni dispongono in genere di un file server che condivide file nella società. Infine, il servizio Dominio di Active Directory, un componente dell'infrastruttura diffuso, gestisce le credenziali utente. Il diagramma include tutti questi componenti nell'ambiente locale.
Ambiente Office 365
Questo ambiente di esempio contiene applicazioni di Office tradizionali quali Word, Excel, PowerPoint, Outlook e OneNote. A seconda del tipo di licenza, può anche includere altre applicazioni quali OneDrive, Exchange, Sharepoint e Teams. Nel diagramma, queste sono rappresentate da un'icona per le app di Microsoft 365 (in precedenza Office 365) e da un'icona per Microsoft Entra ID. Gli utenti devono essere autenticati per ottenere l'accesso alle applicazioni di Microsoft 365 e Microsoft Entra ID funge da provider di identità. Microsoft 365 autentica gli utenti con lo stesso tipo di Microsoft Entra ID usato da Azure. Nella maggior parte delle organizzazioni, il tenant Microsoft Entra ID è lo stesso sia per Azure sia per Microsoft 365.
Ambiente di Azure
Questo livello rappresenta i servizi cloud pubblici di Azure, tra cui macchine virtuali, reti virtuali, piattaforme come servizi, applicazioni Web, database, archiviazione, servizi di gestione di identità e altro ancora. Per altre informazioni su Azure, vedere Documentazione di Azure.
Tattica e tecniche MITRE ATT&CK
Questo diagramma mostra le prime 16 minacce, in base alla tattica e alle tecniche pubblicate da The MITRE Corporation. Le righe rosse contengono un esempio di attacco misto, il che significa che un utente malintenzionato potrebbe coordinare più attacchi simultaneamente.
Come usare il framework MITRE ATT&CK
È possibile iniziare con una semplice ricerca del nome della minaccia o del codice dell'attacco nella pagina Web principale MITRE ATT&CK®.
È anche possibile esplorare le minacce nelle pagine della tattica o delle tecniche:
È comunque possibile usare MITRE ATT&CK® Navigator, uno strumento intuitivo fornito da MITRE per individuare la tattica, le tecniche e i dettagli delle minacce.
Componenti
L'architettura di esempio illustrata in questo articolo usa i componenti di Azure seguenti:
Microsoft Entra ID è un servizio per la gestione delle identità e degli accessi basato sul cloud. Microsoft Entra ID consente agli utenti di accedere a risorse esterne, ad esempio Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS. Consente inoltre di accedere alle risorse interne, ad esempio le app nella rete intranet aziendale.
Rete virtuale di Azure è il blocco predefinito fondamentale per la rete privata in Azure. Rete virtuale consente a numerosi tipi di risorse di Azure di comunicare in modo sicuro tra loro, su Internet e nelle reti locali. Rete virtuale offre una rete virtuale che trae vantaggio dall'infrastruttura di Azure, ad esempio scalabilità, disponibilità e isolamento.
Azure Load Balancer è un servizio di bilanciamento del carico in ingresso e in uscita di livello 4 che offre prestazioni elevate e bassa latenza per tutti i protocolli UDP e TCP. È progettato per gestire milioni di richieste al secondo assicurando al tempo stesso la disponibilità elevata della soluzione. Azure Load Balancer offre ridondanza della zona, garantendo disponibilità elevata tra zone di disponibilità.
Macchine virtuali è uno dei diversi tipi di risorse di calcolo scalabili e su richiesta offerte da Azure. Una macchina virtuale di Azure offre la flessibilità della virtualizzazione senza che sia necessario acquistare e gestire l'hardware fisico in cui viene eseguita.
Il servizio Azure Kubernetes è un servizio completamente gestito per la distribuzione e la gestione di applicazioni in contenitori. Il servizio Azure Kubernetes fornisce Kubernetes serverless, CI/CD (continuous integration/continuous delivery, integrazione continua/distribuzione continua) nonché sicurezza e governance di livello aziendale.
Desktop virtuale Azure è un servizio di virtualizzazione di desktop e app che viene eseguito nel cloud per fornire desktop per gli utenti remoti.
Il servizio App Web è un servizio basato su HTTP per l'hosting di applicazioni Web, API REST e back-end mobili. È possibile sviluppare nel proprio linguaggio preferito nonché eseguire e scalare con facilità le applicazioni in ambienti basati su Windows e Linux.
Archiviazione di Azure è un'archiviazione altamente disponibile, altamente scalabile, duratura e sicura per vari oggetti dati nel cloud, tra cui archiviazione di oggetti, BLOB, file, dischi, code e tabelle. Tutti i dati scritti in un account di Archiviazione di Azure vengono crittografati dal servizio. Archiviazione di Azure offre un controllo dettagliato su chi può accedere ai dati.
Database SQL di Azure è un motore di database PaaS completamente gestito che gestisce la maggior parte delle funzioni di gestione del database quali aggiornamento, applicazione di patch, backup e e monitoraggio. Fornisce queste funzioni senza coinvolgimento dell'utente. Il database SQL offre una gamma di funzionalità predefinite di sicurezza e conformità che consentono di mantenere la conformità dell'applicazione ai requisiti di sicurezza e conformità.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Rudnei Oliveira | Senior Azure Security Engineer
Altri contributori:
- Gary Moore | Programmatore/writer
- Andrew Nathan | Senior Customer Engineering Manager
Passaggi successivi
Questo documento si riferisce ad alcuni servizi, tecnologie e terminologie. Per altre informazioni, vedere le risorse seguenti:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Anteprima pubblica: The MITRE ATT&CK Framework Blade in Microsoft Sentinel, un post del blog Azure Cloud & AI Domain
- The Cyber Kill Chain®
- Adottare la sicurezza proattiva con Zero Trust
- Minaccia mista su Wikipedia
- How cyberattacks are changing according to new Microsoft Digital Defense Report del blog Microsoft Security
Risorse correlate
Per altri dettagli su questa architettura di riferimento, vedere gli altri articoli di questa serie: