Siti Web di Microsoft Azure Pack Miglioramenti apportati alla sicurezza di Siti Web
Si applica a: Windows Azure Pack
Al termine dell'installazione, è possibile migliorare la sicurezza implementando procedure consigliate aggiuntive, tra cui la configurazione del filtro IP (noto anche come "black list"), l'impostazione delle quote per calcolare gli attacchi Denial of Service e altre procedure.
Configurare il filtro IP
L'impostazione di un filtro IP è molto importante perché uno dei modi più semplici per avviare un attacco Denial of Service consiste nell'avviare l'attacco dall'interno del servizio stesso. Pertanto, il provider di servizi di hosting deve inserire nella black list almeno la Web farm stessa.
Ad esempio, se la Web farm viene distribuita in una subnet, gli indirizzi IP della subnet devono essere filtrati per impedire che tramite i siti Web venga richiamata la farm e venga avviato, ad esempio, un attacco Denial of Service.
Per limitare l'accesso da parte dei processi di lavoro dei tenant agli intervalli di indirizzi IP che corrispondono ai server nel cloud di Siti Web, è possibile configurare il filtro IP nel portale di gestione di Windows Azure Pack oppure tramite PowerShell.
Per configurare il filtro IP nel portale di gestione
Per configurare il filtro IP nel portale di gestione per amministratori, effettuare i passaggi seguenti:
Nel riquadro sinistro del portale scegliere Cloud di siti Web.
Selezionare il cloud di siti Web che si desidera configurare.
Scegliere Elenco elementi bloccati.
Nella barra dei comandi nella parte inferiore del portale scegliere Aggiungi.
Nella finestra di dialogo Immetti un intervallo di indirizzi IP immettere un indirizzo IP nelle caselle Indirizzo iniziale e Indirizzo finale per creare l'intervallo.
Fare clic sul segno di spunta per completare l'operazione.
Per configurare il filtro IP tramite PowerShell
Per configurare il filtro IP tramite PowerShell, eseguire nel controller i cmdlet di PowerShell riportati di seguito. Sostituire <start-of-ip-blacklist-range> e<end-of-ip-blacklist-range> con indirizzi IP validi.
Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>
Riavviare il servizio Attivazione processo Windows dinamico
Infine, riavviare il servizio Attivazione processo Windows dinamico nei server configurati per l'esecuzione del ruolo Web Worker. Eseguire i comandi seguenti da un prompt dei comandi con privilegi elevati:
net stop dwassvc
net start dwassvc
Impostare le quote
Per impedire attacchi Denial of Service, è consigliabile impostare le quote nella CPU, nella memoria, nella larghezza di banda e nell'utilizzo del disco. Queste quote possono essere configurate nel portale di gestione per amministratori come parte di creazione dei piani.
Quando queste quote sono impostate in un piano e un sito Web appartenente al piano subisce un attacco Denial of Service o un picco di utilizzo della CPU, il sito Web verrà arrestato quando vengono raggiunte le quote, arrestando di conseguenza l'attacco.
Le quote indicate sono utili anche contro attacchi provenienti dalla farm. Ad esempio, un attacco bruto alla password dall'interno della farm comporta l'utilizzo di molto tempo CPU e, presupponendo che vengono utilizzate password complesse, la quota di CPU viene raggiunta prima che la password possa essere interrotta.
Assegnare un set separato di credenziali per ogni ruolo di Siti Web
Come procedura consigliata per la sicurezza dopo l'installazione, è necessario modificare i set di credenziali per i ruoli Server Web in modo che siano tutti univoci. Al termine della creazione di nuovi account univoci, è possibile aggiornare le credenziali nel portale di gestione per amministratori per utilizzare i nuovi account.
Per modificare le credenziali del ruolo Server di Siti Web
Nel portale di gestione per amministratori fare clic su Cloud di siti Web, quindi scegliere il cloud da configurare.
Fare clic su Credenziali. In Nome utente è possibile verificare se i nomi utente sono univoci tra i ruoli di Siti Web; ad esempio, potrebbero essere tutti "Amministratore", in tal caso devono essere modificati.
Selezionare uno dei nomi delle credenziali( ad esempio , Credenziali server di gestione) e quindi fare clic su Modifica nella barra dei comandi nella parte inferiore del portale.
Nella finestra di dialogo visualizzata, ad esempio Aggiorna credenziali server di gestione, specificare nuovi nome utente e password.
Fare clic sul segno di spunta per completare l'operazione.
Ripetere i passaggi da 3 a 5 finché tutti i set di credenziali sono univoci.
Modificare le credenziali o eseguirne il rollforward regolarmente
Come procedura consigliata per la sicurezza, è opportuno modificare le credenziali o eseguirne il rollforward regolarmente. Per i servizi ruolo è preferibile modificare sia il nome utente sia la password contemporaneamente, anziché solo la password. Modificando il nome utente e la password si evita il problema di mancata sincronizzazione che si può verificare quando viene modificata solo la password, ma la modifica non è stata propagata completamente in tutto l'ambiente.
Quando si modificano il nome utente e la password, entrambi i set di credenziali sono temporaneamente disponibili durante il processo di rollover. Ad esempio, due sistemi disconnessi che devono essere autenticati possono ancora connettersi dopo la modifica. Quando vengono applicate le nuove credenziali e sono completamente funzionanti in tutti i sistemi, è possibile disabilitare il set precedente.
Definire un profilo di attendibilità restrittivo per le applicazioni .NET
Per le applicazioni .NET è necessario definire un profilo di attendibilità restrittivo. Per impostazione predefinita, Siti Web di Windows Azure Pack viene eseguito in modalità di attendibilità totale per offrire la più ampia compatibilità delle applicazioni possibile. La scelta del livello di attendibilità ottimale comporta un compromesso tra sicurezza e compatibilità. Poiché ogni scenario di utilizzo è diverso, è consigliabile determinare e applicare le proprie procedure consigliate per la sicurezza dei server Web multi-tenant nell'ambiente in uso.
Altre procedure consigliate
Altre procedure consigliate prevedono l'utilizzo del principio di privilegio minimo quando si creano gli account utente, la riduzione della superficie di attacco di rete e la modifica degli elenchi ACL di sistema per proteggere il file system e il Registro di sistema.
Quando si creano gli account, applicare il principio di privilegio minimo
Quando si creano gli account utente, applicarvi il principio di privilegio minimo. Per ulteriori informazioni, vedere la pagina relativa all' applicazione del principio di privilegio minimo per account utenti in Windows.
Ridurre la superficie di attacco di rete
Configurare il firewall per ridurre la superficie di attacco di rete in server con connessione Internet. Per informazioni su Windows Firewall con sicurezza avanzata, vedere le risorse riportate di seguito. I riferimenti per Windows Server 2008 R2 sono ancora utili per Windows Server 2012 e Windows Server 2012 R2.
Guida dettagliata sulla distribuzione di criteri per Windows Firewall e IPSec - Windows Server 2008 R2 (collegamento al download del documento Microsoft)
Sicurezza del firewall di Windows Server 2008 R2 (WindowsITPro)
Risoluzione dei problemi relativi a Windows Firewall con sicurezza avanzata in Windows Server 2012 (TechNet)
Modificare gli elenchi ACL di sistema per proteggere il file system e il Registro di sistema
Tramite le utilità scaricabili seguenti è possibile valutare le impostazioni di sicurezza del Registro di sistema e del file system di un server.