Implementare la sicurezza per server e macchine virtuali

Implementa controlli di sicurezza a più livelli nelle macchine virtuali di Azure e nei server ibridi abilitati per Arc. Configurare le opzioni di crittografia del disco, tra cui la crittografia nell'host con chiavi gestite dal cliente e la crittografia dei dischi riservati. Abilitare le funzionalità di sicurezza di avvio attendibile, ovvero Avvio protetto, vTPM e monitoraggio dell'integrità, per proteggersi dalle minacce a livello di avvio. Eliminare l'esposizione pubblica di RDP e SSH con Azure Bastion. Estendi la governance della sicurezza di Azure ai server on-premises e multicloud usando Azure Arc. Distribuisci Microsoft Defender for Servers per l'analisi delle vulnerabilità, il rilevamento degli endpoint, l'analisi agentless delle macchine e il monitoraggio dell'integrità dei file. Imporre l'accesso Just-In-Time alle VM per eliminare le porte di gestione permanentemente aperte. Applica Configurazione computer di Azure per verificare e applicare le baseline di sicurezza del sistema operativo nelle risorse server.

Prerequisiti

  • Conoscenza delle Macchine virtuali di Azure, tra cui la distribuzione e la gestione delle macchine virtuali
  • Familiarità con Microsoft Defender per il cloud a livello di base
  • Informazioni sul controllo degli accessi in base al ruolo di Azure e delle nozioni fondamentali su Criteri di Azure
  • Familiarità con la connettività del server Azure Arc
  • Completamento del corso (o conoscenze equivalenti di) Connessione di ambienti ibridi e multicloud a Microsoft Defender per il cloud
  • Completamento o conoscenza equivalente di abilitare e configurare i piani di protezione del carico di lavoro in Microsoft Defender per il cloud

Informazioni di base su Azure

Scegliere l'account Azure più adatto per l'utente. Pagamento a consumo o prova gratuita di Azure per un massimo di 30 giorni. Iscriversi.

Moduli in questo percorso di apprendimento

Selezionare e configurare l'approccio di crittografia del disco corretto per Azure macchine virtuali. Confronta le opzioni di crittografia dei dischi gestiti, configura la crittografia sull'host con chiavi gestite dal cliente usando i Set di crittografia del disco, applica la crittografia dei dischi confidenziali alle macchine virtuali confidenziali e imponi la conformità della crittografia del disco usando Criteri di Azure.

Configurare le funzionalità di sicurezza Trusted Launch per le macchine virtuali di Azure. Abilita Secure Boot, vTPM e il monitoraggio dell'integrità per proteggerti da malware a livello di avvio e rootkit. Aggiorna le macchine virtuali Gen1 e Gen2 esistenti al tipo di sicurezza Trusted Launch e imponine l'adozione su larga scala tramite Criteri di Azure.

Pianificare e distribuire Azure Bastion per fornire l'accesso RDP e SSH sicuro basato su browser alle macchine virtuali senza esporre indirizzi IP pubblici o porte di gestione. Selezionare lo SKU appropriato in base ai requisiti di scalabilità e funzionalità, distribuire e configurare Bastion in una rete virtuale Azure e connettersi alle macchine virtuali usando sia il portale che i metodi client nativi.

Gestire i controlli di sicurezza per i server ibridi abilitati per Azure Arc. Configurare il controllo degli accessi in base al ruolo e la sicurezza dell'estensione per impedire modifiche non autorizzate all'agente. Applicare quindi Criteri di Azure per applicare le baseline di sicurezza nei computer registrati in Arc. Infine, monitorare il comportamento di sicurezza del server ibrido in Microsoft Defender per il cloud.

Abilitare le macchine virtuali di Azure e i server ibridi connessi tramite Arc per Microsoft Defender for Servers. Selezionare Piano 1 o Piano 2 in base ai requisiti di funzionalità, configurare l'analisi delle vulnerabilità usando Gestione delle vulnerabilità di Defender senza agente e basata su agente. Integrare quindi Microsoft Defender per endpoint e gestire le funzionalità di analisi senza agente per inventario software, segreti, rilevamento malware e monitoraggio dell'integrità dei file.

Abilitare e configurare l'accesso just-in-time alle macchine virtuali in Microsoft Defender per il cloud per eliminare le porte RDP e SSH aperte in modo permanente. Configurare i criteri di accesso per porta, richiedere l'accesso associato al tempo alle macchine virtuali, controllare l'attività di accesso e applicare l'adozione JIT nel patrimonio di macchine virtuali usando Criteri di Azure.

Controllare e applicare la configurazione della sicurezza del sistema operativo sulle macchine virtuali di Azure e sui server compatibili con Arc usando Configurazione macchine di Azure. Applicare criteri di base di sicurezza predefiniti Windows e Linux, configurare le modalità di controllo e applicazione e creare configurazioni di computer personalizzate per requisiti di sicurezza specifici dell'organizzazione.