Condividi tramite


Gestione della sicurezza in Azure

I sottoscrittori di Azure possono gestire i propri ambienti cloud da più dispositivi, tra cui workstation di gestione, PC per sviluppatori e dispositivi di utenti finali con privilegi elevati con autorizzazioni specifiche per le attività. In alcuni casi le funzioni amministrative vengono eseguite tramite console basate sul Web, ad esempio il portale di Azure. In altri casi, potrebbero esserci connessioni dirette ad Azure da sistemi locali tramite reti private virtuali (VPN), Servizi terminal, protocolli dell'applicazione client o (a livello di codice) del modello di distribuzione classica di Azure. Gli endpoint client possono essere inoltre aggiunti a un dominio o isolati e non gestiti, ad esempio tablet o smartphone.

Anche se le funzionalità multiple di accesso e gestione offrono una vasta gamma di opzioni, questa variabilità può aggiungere rischi significativi a una distribuzione cloud, complicando la gestione, la verifica e il controllo delle azioni amministrative. Questa variabilità potrebbe introdurre anche minacce alla sicurezza tramite accesso non regolamentato agli endpoint client usati per la gestione dei servizi cloud. L'uso di workstation generiche o personali per lo sviluppo e la gestione dell'infrastruttura genera vettori di minaccia imprevedibili, come l'esplorazione del Web (ad esempio attacchi di tipo watering hole) o la posta elettronica (ad esempio "ingegneria sociale" e phishing).

Diagramma che mostra i diversi modi in cui una minaccia potrebbe montare un attacco.

Il potenziale di attacchi aumenta in questo tipo di ambiente perché è difficile costruire criteri di sicurezza e meccanismi per gestire in modo appropriato l'accesso alle interfacce di Azure (ad esempio SMAPI) da endpoint ampiamente diversi.

Minacce relative alla gestione remota

Gli utenti malintenzionati provano spesso a ottenere l'accesso con privilegi mediante la compromissione delle credenziali dell'account, ad esempio tramite attacchi di forza bruta alle password, phishing e recupero di credenziali, oppure inducendo gli utenti a eseguire codice dannoso, ad esempio da siti Web dannosi con download inconsapevoli o da allegati dannosi in messaggi di posta elettronica. In un ambiente cloud con gestione remota le violazioni degli account possono comportare un aumento del rischio a causa dell'accesso da qualsiasi posizione e in qualsiasi momento.

Anche con controlli rigorosi sugli account amministratore primari, gli account utente di livello inferiore possono essere usati per sfruttare i punti deboli nella strategia di sicurezza di un utente. Anche una formazione insufficiente a livello di sicurezza può provocare violazioni tramite diffusione o esposizione accidentale delle informazioni sull'account.

Quando la workstation utente viene usata anche per attività amministrative, è possibile che venga compromessa in molti punti diversi, ad esempio quando un utente esplora il Web, usa strumenti open source o di terze parti oppure apre un documento dannoso contenente un trojan.

In genere, la maggior parte degli attacchi specifici che generano violazioni dei dati può essere ricondotta a exploit del browser, plug-in (ad esempio Flash, PDF, Java) e spear phishing (posta elettronica) nei computer desktop. È possibile che questi computer abbiano autorizzazioni a livello amministrativo o di servizio per l'accesso a server attivi o a dispositivi di rete per operazioni in caso di uso per la distribuzione o la gestione di altre risorse.

Concetti fondamentali sulla sicurezza operativa

Per una gestione e operazioni più sicure, è possibile ridurre al minimo la superficie di attacco di un client riducendo il numero di possibili punti di ingresso. Questa operazione può essere eseguita tramite principi di sicurezza: "separazione dei compiti" e "separazione degli ambienti".

L'isolamento delle diverse funzioni riservate consente di ridurre la probabilità che un errore a un livello provochi una violazione in un altro. Esempi:

  • Le attività amministrative non devono essere combinate con attività che potrebbero causare una compromissione (ad esempio, malware nella posta elettronica di un amministratore che infetta un server di infrastruttura).
  • Una workstation usata per le operazioni ad alta sensibilità non deve essere lo stesso sistema usato per scopi ad alto rischio, ad esempio l'esplorazione di Internet.

Ridurre la superficie di attacco del sistema rimuovendo software non necessario. Esempio:

  • La workstation di amministrazione, supporto o sviluppo standard non deve richiedere l'installazione di un client di posta elettronica o di altre applicazioni di produttività se lo scopo principale del dispositivo è gestire i servizi cloud.

Ai sistemi client con accesso di amministratore ai componenti dell'infrastruttura è consigliabile applicare i criteri più rigorosi possibile per ridurre i rischi alla sicurezza. Esempi:

  • I criteri di sicurezza possono includere le impostazioni di Criteri di gruppo che negano l'accesso aperto a Internet dal dispositivo e l'uso di una configurazione restrittiva per il firewall.
  • Usare VPN IPsec (Internet Protocol Security) se l'accesso diretto è necessario.
  • Configurare domini di Active Directory separati per la gestione e lo sviluppo.
  • Isolare e filtrare il traffico di rete della workstation di gestione.
  • Usare software antimalware.
  • Implementare l'autenticazione a più fattori per ridurre il rischio di furto delle credenziali.

Il consolidamento delle risorse di accesso e l'eliminazione degli endpoint non gestiti consentono anche di semplificare le attività di gestione.

Sicurezza per la gestione remota di Azure

Azure offre meccanismi di sicurezza utili per gli amministratori che gestiscono servizi cloud e macchine virtuali di Azure, ad esempio:

Con la configurazione della sicurezza lato client e la distribuzione del data center di un gateway di gestione, è possibile limitare e monitorare l'accesso amministratore alle applicazioni e ai dati cloud.

Nota

Alcune indicazioni incluse in questo articolo potrebbero comportare un maggiore utilizzo delle risorse di dati, rete o calcolo e un aumento dei costi di licenza o di sottoscrizione.

Workstation con protezione avanzata per la gestione

L'obiettivo dell'applicazione della protezione avanzata a una workstation consiste nell'eliminare tutte le funzioni, tranne quelle assolutamente essenziali, necessarie per il funzionamento, riducendo al massimo la potenziale superficie di attacco. L'applicazione della protezione avanzata al sistema include la riduzione al minimo del numero di applicazioni e servizi installati, la limitazione dell'esecuzione delle applicazioni, la limitazione dell'accesso di rete solo agli elementi necessari e l'aggiornamento continuo del sistema. L'uso di una workstation con protezione avanzata per la gestione consente anche di separare gli strumenti amministrativi da altre attività dell'utente finale.

In un ambiente aziendale locale è possibile limitare la superficie di attacco dell'infrastruttura fisica tramite reti di gestione dedicate, locali server con accesso controllato da schede e workstation in esecuzione in aree protette della rete. In un modello IT cloud o ibrido l'uso appropriato dei servizi di gestione sicuri può risultare più complesso a causa dell'assenza di accesso fisico alle risorse IT. L'implementazione delle soluzioni di protezione richiede una configurazione attenta del software, processi incentrati sulla sicurezza e criteri completi.

L'uso di un footprint software ridotto al minimo in una workstation bloccata per la gestione cloud e per lo sviluppo di applicazioni può ridurre il rischio di eventi imprevisti di sicurezza standardizzando gli ambienti di gestione e sviluppo remoti. Una configurazione della workstation con protezione avanzata può consentire di evitare la compromissione degli account usati per gestire risorse cloud essenziali, chiudendo molti percorsi comuni usati da malware ed exploit. In particolare, è possibile usare Windows AppLocker e la tecnologia Hyper-V per controllare e isolare il comportamento del sistema client e ridurre al minimo le minacce, incluse quelle relative a posta elettronica o esplorazione su Internet.

In una workstation con protezione avanzata, l'amministratore esegue un account utente standard (che blocca l'esecuzione a livello amministrativo) e le applicazioni associate sono controllate da un elenco di elementi consentiti. Ecco gli elementi di base di una workstation con protezione avanzata:

  • Analisi attiva e applicazione di patch. È possibile distribuire software antimalware, eseguire analisi di vulnerabilità regolari e aggiornare tutte le workstation usando gli aggiornamenti più recenti per la sicurezza in modo tempestivo.
  • Funzionalità limitata. Disinstallare tutte le applicazioni non necessarie e disabilitare i servizi non necessari (avvio).
  • Protezione avanzata della rete. È possibile usare le regole di Windows Firewall per consentire solo gli indirizzi IP, le porte e gli URL validi correlati alla gestione di Azure. Assicurarsi che le connessioni remote in arrivo alla workstation siano bloccate.
  • Restrizione dell'esecuzione. Consenti solo un set di file eseguibili predefiniti necessari per l'esecuzione della gestione (denominata "default-deny"). Per impostazione predefinita, agli utenti deve essere negata l'autorizzazione per eseguire qualsiasi programma, a meno che non sia definita in modo esplicito nell'elenco consenti.
  • Privilegi minimi. Gli utenti della workstation di gestione non devono avere privilegi amministrativi nel computer locale stesso. In questo modo, non possono modificare la configurazione di sistema o i file di sistema, intenzionalmente o involontariamente.

È possibile applicare queste restrizioni usando Oggetti Criteri di gruppo in Active Directory Domain Services (AD DS) e applicandoli nel dominio di gestione (locale) a tutti gli account di gestione.

Gestione di servizi, applicazioni e dati

La configurazione dei servizi cloud di Azure viene eseguita mediante il portale di Azure o SMAPI, tramite l'interfaccia da riga di comando di Windows PowerShell o un'applicazione personalizzata che sfrutta queste interfacce RESTful. I servizi che usano questi meccanismi includono Microsoft Entra ID, Archiviazione di Azure, Siti Web di Azure e azure Rete virtuale e altri.

Le applicazioni distribuite con macchine virtuali forniscono i propri strumenti client e interfacce in base alle esigenze, ad esempio Microsoft Management Console (MMC), una console di gestione aziendale (ad esempio Microsoft System Center o Windows Intune) o un'altra applicazione di gestione Microsoft SQL Server Management Studio, ad esempio. Questi strumenti si trovano in genere in un ambiente aziendale o in una rete client. Possono dipendere da protocolli di rete specifici, ad esempio Remote Desktop Protocol (RDP), che richiedono connessioni dirette e con stato. Alcune potrebbero avere interfacce abilitate per il Web che non devono essere pubblicate o accessibili apertamente tramite Internet.

È possibile limitare l'accesso alla gestione dell'infrastruttura e dei servizi della piattaforma in Azure usando l'autenticazione a più fattori, i certificati di gestione X.509 e le regole del firewall. Il portale di Azure e SMAPI richiedono il protocollo TLS (Transport Layer Security). I servizi e le applicazioni distribuiti in Azure richiedono tuttavia misure di protezione appropriate in base all'applicazione. Questi meccanismi possono essere spesso abilitati con maggiore facilità tramite una configurazione di workstation con protezione avanzata standardizzata.

Linee guida sulla sicurezza

In generale, aiutare a proteggere le workstation di amministrazione da usare con il cloud è simile alle procedure usate per qualsiasi workstation locale. Ad esempio, le autorizzazioni di compilazione e restrittive ridotte a icona. Alcuni aspetti unici della gestione cloud sono più simili alla gestione remota o alla gestione aziendale fuori banda, ad esempio l'uso e il controllo delle credenziali, l'accesso remoto con sicurezza avanzata e il rilevamento e la risposta alle minacce.

Autenticazione

È possibile usare le restrizioni di accesso di Azure per impedire agli indirizzi IP di origine di accedere agli strumenti amministrativi e controllare le richieste di accesso. Per consentire ad Azure di identificare i client di gestione (workstation e/o applicazioni), è possibile configurare sia SMAPI (tramite strumenti sviluppati dal cliente, ad esempio i cmdlet di Windows PowerShell) che i portale di Azure per richiedere l'installazione dei certificati di gestione lato client, oltre ai certificati TLS/SSL. È anche consigliabile che l'accesso amministratore richieda l'autenticazione a più fattori.

Alcune applicazioni o servizi distribuiti in Azure possono avere meccanismi di autenticazione specifici per l'accesso dell'utente finale e dell'amministratore, mentre altri sfruttano appieno Microsoft Entra ID. A seconda che si federazioneno le credenziali tramite Active Directory Federation Services (AD FS), usando la sincronizzazione della directory o mantenendo gli account utente esclusivamente nel cloud, l'uso di Microsoft Identity Manager (parte di Microsoft Entra ID P1 o P2) consente di gestire i cicli di vita delle identità tra le risorse.

Connettività

Sono disponibili alcuni meccanismi per semplificare la protezione delle connessioni client nelle reti virtuali di Azure. Due di questi meccanismi, VPN da sito a sito (S2S) e VPN da punto a sito (P2S), consentono l'uso di IPsec (S2S) standard di settore per la crittografia e il tunneling. Quando si connette alla gestione di servizi di Azure per il pubblico, ad esempio al portale di Azure, Azure richiede il protocollo HTTPS (Hypertext Transfer Protocol Secure).

Una workstation autonoma con protezione avanzata che non si connette ad Azure tramite un gateway Desktop remoto deve usare la VPN da punto a sito basata su SSTP per creare la connessione iniziale all'Rete virtuale di Azure e quindi stabilire una connessione RDP a singole macchine virtuali da con il tunnel VPN.

Confronto tra il controllo della gestione e l'applicazione dei criteri

In genere sono disponibili due approcci per semplificare la protezione dei processi di gestione, ovvero il controllo e l'applicazione dei criteri. L'uso di entrambi gli approcci offre controlli completi, ma potrebbe non essere consentito in tutte le situazioni. Ogni approccio presenta inoltre livelli di rischio, costi e impegno diversi associati alla gestione della sicurezza, in particolare per quanto riguarda il livello di attendibilità attribuito ai singoli utenti e alle architetture di sistema.

Il monitoraggio, la registrazione e il controllo forniscono una base per la verifica e la comprensione delle attività amministrative, ma è possibile che non si riesca a controllare tutte le azioni in modo dettagliato a causa della quantità di dati generata. Il controllo dell'efficacia dei criteri di gestione è tuttavia una procedura consigliata.

L'applicazione di criteri che include controlli di accesso rigorosi implementa meccanismi a livello di codice che consentono di regolamentare le azioni amministrative e di assicurare che vengano usate tutte le misure di protezione possibili. La registrazione fornisce la dimostrazione dell'applicazione, oltre a un record di quali operazioni sono state eseguite, da chi, da dove e quando. La registrazione consente anche di controllare e verificare le informazioni sul rispetto dei criteri da parte degli amministratori e fornisce la dimostrazione delle attività.

Configurazione del client

Sono consigliabili tre configurazioni primarie per una workstation con protezione avanzata. Le tre configurazioni presentano differenze a livello di costo, usabilità e accessibilità, pur mantenendo un profilo di sicurezza simile in tutte le opzioni. La tabella seguente fornisce una breve analisi dei vantaggi e dei rischi di ogni configurazione. Si noti che il "PC aziendale" si riferisce a una configurazione di PC desktop standard che verrebbe distribuita per tutti gli utenti di dominio, indipendentemente dai ruoli.

Impostazione Vantaggi Svantaggi
Workstation autonoma con protezione avanzata Workstation con controllo rigoroso Costo più elevato per i desktop dedicati
- Rischio ridotto di exploit dell'applicazione Maggiore impegno di gestione
- Separazione netta dei compiti -
Computer aziendale come macchina virtuale Costi hardware ridotti -
- Separazione di ruolo e applicazioni -

È importante che la workstation con protezione avanzata sia l'host e non il guest, senza nulla tra il sistema operativo host e l'hardware. Seguendo il "principio di origine pulita" (noto anche come "origine sicura") significa che l'host deve essere il più sicuro. In caso contrario, la workstation avanzata (guest) è soggetta ad attacchi sul sistema in cui è ospitata.

È possibile separare ulteriormente le funzioni amministrative tramite immagini di sistema dedicate per ogni workstation con protezione avanzata che ha solo gli strumenti e le autorizzazioni necessarie per la gestione di applicazioni Azure e cloud selezionate, con oggetti Criteri di gruppo locali specifici di Servizi di dominio Active Directory per le attività necessarie.

Per gli ambienti IT privi di infrastruttura locale, ad esempio senza accesso all'istanza locale di Active Directory Domain Services per gli oggetti Criteri di gruppo perché tutti i server sono nel cloud, un servizio come Microsoft Intune può semplificare la distribuzione e la gestione delle configurazioni delle workstation.

Workstation autonoma con protezione avanzata per la gestione

Con una workstation autonoma con protezione avanzata gli amministratori hanno un computer o un computer portatile che può essere usato per attività amministrative e un altro computer o computer portatile separato per le attività non amministrative. Nello scenario con workstation autonoma con protezione avanzata, illustrato di seguito, l'istanza locale di Windows Firewall o di un firewall client non Microsoft viene configurata in modo da bloccare le connessioni in arrivo, ad esempio RDP. L'amministratore può accedere alla workstation con protezione avanzata e avviare una sessione RDP che si connette ad Azure dopo aver stabilito una connessione VPN con un'Rete virtuale di Azure, ma non può accedere a un PC aziendale e usare RDP per connettersi alla workstation avanzata stessa.

Diagramma che mostra lo scenario di workstation con protezione avanzata autonoma.

Computer aziendale come macchina virtuale

Nei casi in cui una workstation autonoma con protezione avanzata separata risulta troppo costosa o poco pratica, la workstation con protezione avanzata può ospitare una macchina virtuale per l'esecuzione di attività non amministrative.

Diagramma che mostra la workstation con protezione avanzata che ospita una macchina virtuale per eseguire attività non amministrative.

Per evitare alcuni rischi relativi alla sicurezza che possono derivare dall'uso di una workstation per la gestione dei sistemi e per altre attività lavorative quotidiane, è possibile distribuire una macchina virtuale Hyper-V Windows per la workstation con protezione avanzata. Questa macchina virtuale può essere usata come computer aziendale. L'ambiente PC aziendale può rimanere isolato dall'host, riducendo la superficie di attacco e rimuovendo le attività quotidiane dell'utente (ad esempio la posta elettronica) coesistendo con attività amministrative sensibili.

La macchina virtuale del computer aziendale è in esecuzione in uno spazio protetto e fornisce applicazioni utente. L'host rimane un'origine pulita e applica criteri di rete rigorosi nel sistema operativo radice( ad esempio, bloccando l'accesso RDP dalla macchina virtuale).

Procedure consigliate

Quando si gestiscono applicazioni e dati in Azure, prendere in considerazione le linee guida aggiuntive seguenti.

Procedure rischiose e procedure consigliate

Non presupporre che, poiché una workstation è stata bloccata, non è necessario soddisfare altri requisiti di sicurezza comuni. Il rischio potenziale risulta maggiore a causa dei livelli di accesso con privilegi elevati associati in genere agli account di amministratore. La tabella seguente illustra esempi di rischi e le procedure consigliate alternative.

Cosa non fare Cosa fare
Non inviare credenziali di posta elettronica per l'accesso amministratore o altri segreti (ad esempio, certificati TLS/SSL o di gestione) Mantenere la riservatezza comunicando a voce i nomi e le password degli account, ma non memorizzandoli nella posta vocale, eseguire un'installazione remota di certificati client/server (tramite una sessione crittografata), eseguire il download da una condivisione di rete crittografata oppure eseguire la distribuzione manuale tramite un supporto rimovibile.
- Gestire in modo proattivo i cicli di vita del certificati di gestione.
Non memorizzare le password dell'account senza crittografarle o senza hash nella risorsa di archiviazione dell'applicazione, ad esempio in fogli di calcolo, siti di SharePoint o condivisioni di rete. Definire principi di gestione della sicurezza e criteri di protezione avanzata del sistema e applicarli all'ambiente di sviluppo.
Non condividere account e password tra gli amministratori o riutilizzare le password tra più account utente o servizi, in particolare quelli destinati a social media o ad altre attività non amministrative. Creare un account Microsoft dedicato per gestire la sottoscrizione di Azure, un account non usato per la posta elettronica personale.
Non inviare file di configurazione tramite posta elettronica. I file e i profili di configurazione devono essere installati da un'origine attendibile, ad esempio un'unità flash USB crittografata, non da un meccanismo che può essere compromesso facilmente, ad esempio la posta elettronica.
Non usare password di accesso vulnerabili o semplici. Applicare criteri password complesse, cicli di scadenza (change-on-first-use), timeout della console e blocchi automatici dell'account. Usare un sistema di gestione delle password client con autenticazione a più fattori per l'accesso all'insieme di credenziali delle password.
Non esporre le porte di gestione su Internet. Bloccare le porte e gli indirizzi IP di Azure per limitare l'accesso di gestione.
- Usare firewall, VPN e Protezione accesso alla rete per tutte le connessioni di gestione.

Operazioni di Azure

All'interno del funzionamento di Microsoft di Azure, i tecnici operativi e il personale di supporto che accedono ai sistemi di produzione di Azure usano PC workstation con protezione avanzata con macchine virtuali di cui è stato effettuato il provisioning per l'accesso alla rete aziendale interna e le applicazioni (ad esempio posta elettronica, intranet e così via). Tutti i computer workstation di gestione hanno TPM, l'unità di avvio host viene crittografata con BitLocker e vengono aggiunti a un'unità organizzativa speciale (OU) nel dominio aziendale primario di Microsoft.

La protezione avanzata del sistema viene applicata tramite Criteri di gruppo, con aggiornamento software centralizzato. Per finalità di controllo e analisi, i log eventi, ad esempio relativi alla sicurezza e AppLocker, vengono raccolti dalle workstation di gestione e vengono salvati in una posizione centrale.

Inoltre, i jumpbox dedicati nella rete Microsoft che richiedono l'autenticazione a due fattori vengono usati per connettersi alla rete di produzione di Azure.

Elenco di controllo di sicurezza di Azure

La riduzione al minimo del numero di attività che gli amministratori possono eseguire in una workstation con protezione avanzata consente di ridurre al minimo la superficie di attacco nell'ambiente di sviluppo e di gestione. Usare le tecnologie seguenti per semplificare la protezione della workstation con protezione avanzata:

  • Un Web browser è un punto di ingresso chiave per il codice dannoso a causa delle interazioni estese con i server esterni. Esaminare i criteri client e applicare l'esecuzione in modalità protetta, disabilitando i componenti aggiuntivi e disabilitando i download di file. Verificare che gli avvisi di sicurezza vengano visualizzati. Sfruttare i vantaggi delle aree Internet e creare un elenco di siti attendibili per cui è stata configurata una protezione avanzata ragionevole. Bloccare tutti i siti e il codice nel browser, ad esempio ActiveX e Java.
  • Utente standard. L'esecuzione come utente standard offre alcuni vantaggi, il più importante dei quali consiste nel rendere più difficile il furto delle credenziali dell'amministratore tramite malware. Inoltre, un account utente standard non dispone di privilegi elevati nel sistema operativo radice e molte opzioni di configurazione e API sono bloccate per impostazione predefinita.
  • Firma del codice. La firma del codice per tutti gli strumenti e gli script usati dagli amministratori offre un meccanismo gestibile per la distribuzione di criteri di blocco dell'applicazione. Gli hash non vengono ridimensionati con modifiche rapide al codice e i percorsi dei file non forniscono un livello elevato di sicurezza. Impostare i criteri di esecuzione di PowerShell per i computer Windows.
  • Criteri di gruppo. Creare criteri amministrativi globali applicati a qualsiasi workstation di dominio usata per la gestione (e bloccare l'accesso da tutte le altre), oltre che agli account utente autenticati su queste workstation.
  • Provisioning con miglioramento della sicurezza. Proteggere l'immagine della workstation con protezione avanzata baseline per semplificare la protezione da manomissioni. Usare misure di sicurezza quali la crittografia e l'isolamento per archiviare immagini, macchine virtuali e script e limitare l'accesso, usando ad esempio un processo di archiviazione/estrazione controllabile.
  • Applicazione di patch. Mantenere una compilazione coerente (o avere immagini separate per lo sviluppo, le operazioni e altre attività amministrative), analizzare le modifiche e il malware regolarmente, mantenere aggiornata la compilazione e attivare solo i computer quando sono necessari.
  • Governance. Usare oggetti Criteri di gruppo di Active Directory Domain Services per controllare tutte le interfacce di Windows degli amministratori, ad esempio la condivisione di file. Includere le workstation di gestione nei processi di controllo, monitoraggio e registrazione. Tenere traccia di tutti gli accessi e gli utilizzi di amministratori e sviluppatori.

Riepilogo

L'uso di una configurazione di workstation con protezione avanzata per l'amministrazione dei servizi cloud di Azure, delle macchine virtuali e delle applicazione può contribuire a evitare numerosi rischi e minacce derivanti dalla gestione remota dell'infrastruttura IT essenziale. Azure e Windows offrono meccanismi utili per semplificare la protezione e il controllo di comunicazioni, autenticazione e comportamento del client.

Passaggi successivi

Sono disponibili le risorse seguenti per fornire informazioni più generali su Azure e sulle servizi Microsoft correlate:

  • Protezione dell'accesso con privilegi: ottenere i dettagli tecnici per la progettazione e la creazione di una workstation amministrativa sicura per la gestione di Azure
  • Microsoft Trust Center: informazioni sulle funzionalità della piattaforma Azure che proteggono l'infrastruttura e i carichi di lavoro di Azure in esecuzione in Azure
  • Microsoft Security Response Center: consente di segnalare le vulnerabilità della sicurezza di Microsoft, inclusi i problemi relativi ad Azure, tramite posta elettronica all'indirizzo secure@microsoft.com