[](https://www.paloaltonetworks.com/?ts=markdown)

* IT
  
  * [USA (ENGLISH)](https://www.paloaltonetworks.com/)
  * [AUSTRALIA (ENGLISH)](https://www.paloaltonetworks.com.au)
  * [BRAZIL (PORTUGUÉS)](https://www.paloaltonetworks.com.br)
  * [CANADA (ENGLISH)](https://www.paloaltonetworks.ca)
  * [CHINA (简体中文)](https://www.paloaltonetworks.cn)
  * [FRANCE (FRANÇAIS)](https://www.paloaltonetworks.fr)
  * [GERMANY (DEUTSCH)](https://www.paloaltonetworks.de)
  * [INDIA (ENGLISH)](https://www.paloaltonetworks.in)
  * ITALY (ITALIANO)
  * [JAPAN (日本語)](https://www.paloaltonetworks.jp)
  * [KOREA (한국어)](https://www.paloaltonetworks.co.kr)
  * [LATIN AMERICA (ESPAÑOL)](https://www.paloaltonetworks.lat)
  * [MEXICO (ESPAÑOL)](https://www.paloaltonetworks.com.mx)
  * [SINGAPORE (ENGLISH)](https://www.paloaltonetworks.sg)
  * [SPAIN (ESPAÑOL)](https://www.paloaltonetworks.es)
  * [TAIWAN (繁體中文)](https://www.paloaltonetworks.tw)
  * [UK (ENGLISH)](https://www.paloaltonetworks.co.uk)

* ![magnifying glass search icon to open search field](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/search-black.svg)

* [Entre em contato conosco](https://www.paloaltonetworks.it/contact?ts=markdown)

* [Recursos](https://www.paloaltonetworks.it/resources?ts=markdown)

* [Obtenha suporte](https://support.paloaltonetworks.com/support)

* [Sei sotto attacco?](https://start.paloaltonetworks.com/contact-unit42.html)
  ![x close icon to close mobile navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/x-black.svg) [![Palo Alto Networks logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)](https://www.paloaltonetworks.com/?ts=markdown) ![magnifying glass search icon to open search field](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/search-black.svg)

* [](https://www.paloaltonetworks.com/?ts=markdown)

* Prodotti  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Prodotti  
  [Piattaforma di sicurezza di rete basata su AI](https://www.paloaltonetworks.it/network-security?ts=markdown)
  
  * [AI sicura sin dalla progettazione](https://www.paloaltonetworks.it/precision-ai-security/secure-ai-by-design?ts=markdown)
  
  * [Prisma AIRS](https://www.paloaltonetworks.it/prisma/prisma-ai-runtime-security?ts=markdown)
  
  * [Sicurezza accesso AI](https://www.paloaltonetworks.it/sase/ai-access-security?ts=markdown)
  
  * [Servizi di sicurezza basati su cloud](https://www.paloaltonetworks.it/network-security/security-subscriptions?ts=markdown)
  
  * [Threat Prevention avanzata](https://www.paloaltonetworks.it/network-security/advanced-threat-prevention?ts=markdown)
  
  * [URL Filtering avanzato](https://www.paloaltonetworks.it/network-security/advanced-url-filtering?ts=markdown)
  
  * [Advanced WildFire](https://www.paloaltonetworks.it/network-security/advanced-wildfire?ts=markdown)
  
  * [Sicurezza DNS avanzata](https://www.paloaltonetworks.it/network-security/advanced-dns-security?ts=markdown)
  
  * [Prevenzione della perdita di dati aziendali](https://www.paloaltonetworks.it/sase/enterprise-data-loss-prevention?ts=markdown)
  
  * [Sicurezza IoT aziendale](https://www.paloaltonetworks.it/network-security/enterprise-device-security?ts=markdown)
  
  * [Sicurezza IoT medica](https://www.paloaltonetworks.it/network-security/medical-iot-security?ts=markdown)
  
  * [Sicurezza OT industriale](https://www.paloaltonetworks.it/network-security/industrial-ot-security?ts=markdown)
  
  * [Firewall di nuova generazione](https://www.paloaltonetworks.it/network-security/next-generation-firewall?ts=markdown)
  
  * [Firewall hardware](https://www.paloaltonetworks.it/network-security/hardware-firewall-innovations?ts=markdown)
  
  * [Firewall software](https://www.paloaltonetworks.it/network-security/software-firewalls?ts=markdown)
  
  * [Strata Cloud Manager](https://www.paloaltonetworks.it/network-security/strata-cloud-manager?ts=markdown)
  
  * [SD-WAN per NGFW](https://www.paloaltonetworks.it/network-security/sd-wan-subscription?ts=markdown)
  
  * [PAN-OS](https://www.paloaltonetworks.it/network-security/pan-os?ts=markdown)
  
  * [Panorama](https://www.paloaltonetworks.it/network-security/panorama?ts=markdown)
  
  * [SECURE ACCESS SERVICE EDGE](https://www.paloaltonetworks.it/sase?ts=markdown)
  
  * [Prisma SASE](https://www.paloaltonetworks.it/sase?ts=markdown)
  
  * [Accelerazione delle applicazioni](https://www.paloaltonetworks.it/sase/app-acceleration?ts=markdown)
  
  * [Gestione autonoma dell'esperienza digitale](https://www.paloaltonetworks.it/sase/adem?ts=markdown)
  
  * [DLP aziendale](https://www.paloaltonetworks.it/sase/enterprise-data-loss-prevention?ts=markdown)
  
  * [Prisma Access](https://www.paloaltonetworks.it/sase/access?ts=markdown)
  
  * [Prisma Browser](https://www.paloaltonetworks.it/sase/prisma-browser?ts=markdown)
  
  * [Prisma SD-WAN](https://www.paloaltonetworks.it/sase/sd-wan?ts=markdown)
  
  * [Remote Browser Isolation](https://www.paloaltonetworks.it/sase/remote-browser-isolation?ts=markdown)
  
  * [Sicurezza SaaS](https://www.paloaltonetworks.it/sase/saas-security?ts=markdown)  
    [Security Operations Platform basata su AI](https://www.paloaltonetworks.it/cortex?ts=markdown)
  
  * [Sicurezza del cloud](https://www.paloaltonetworks.it/cortex/cloud?ts=markdown)
  
  * [Cortex Cloud](https://www.paloaltonetworks.it/cortex/cloud?ts=markdown)
  
  * [Sicurezza delle applicazioni](https://www.paloaltonetworks.it/cortex/cloud/application-security?ts=markdown)
  
  * [Sicurezza del livello cloud](https://www.paloaltonetworks.it/cortex/cloud/cloud-posture-security?ts=markdown)
  
  * [Sicurezza del runtime cloud](https://www.paloaltonetworks.it/cortex/cloud/runtime-security?ts=markdown)
  
  * [Prisma Cloud](https://www.paloaltonetworks.it/prisma/cloud?ts=markdown)
  
  * [SOC basati sull'IA](https://www.paloaltonetworks.it/cortex?ts=markdown)
  
  * [Cortex Advanced Email Security](https://www.paloaltonetworks.it/cortex/advanced-email-security?ts=markdown)
  
  * [Cortex Exposure Management](https://www.paloaltonetworks.it/cortex/exposure-management?ts=markdown)
  
  * [Cortex XSIAM](https://www.paloaltonetworks.it/cortex/cortex-xsiam?ts=markdown)
  
  * [Cortex XDR](https://www.paloaltonetworks.it/cortex/cortex-xdr?ts=markdown)
  
  * [Cortex XSOAR](https://www.paloaltonetworks.it/cortex/cortex-xsoar?ts=markdown)
  
  * [Cortex Xpanse](https://www.paloaltonetworks.it/cortex/cortex-xpanse?ts=markdown)
  
  * [Rilevamento e risposta gestiti di Unit 42](https://www.paloaltonetworks.it/cortex/managed-detection-and-response?ts=markdown)
  
  * [XSIAM gestito](https://www.paloaltonetworks.it/cortex/managed-xsiam?ts=markdown)

* Soluzioni  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Soluzioni  
  Sicurezza AI
  
  * [Ecosistema AI sicuro](https://www.paloaltonetworks.it/prisma/prisma-ai-runtime-security?ts=markdown)
  * [Utilizzo sicuro di GenAI](https://www.paloaltonetworks.it/sase/ai-access-security?ts=markdown)  
    Sicurezza di rete
  * [Sicurezza di rete cloud](https://www.paloaltonetworks.it/network-security/software-firewalls?ts=markdown)
  * [Sicurezza del data center](https://www.paloaltonetworks.it/network-security/data-center?ts=markdown)
  * [Sicurezza DNS](https://www.paloaltonetworks.it/network-security/advanced-dns-security?ts=markdown)
  * [Rilevamento e prevenzione delle intrusioni](https://www.paloaltonetworks.it/network-security/advanced-threat-prevention?ts=markdown)
  * [Sicurezza IoT](https://www.paloaltonetworks.it/network-security/enterprise-device-security?ts=markdown)
  * [Sicurezza 5G](https://www.paloaltonetworks.it/network-security/5g-security?ts=markdown)
  * [Protezione di tutte le applicazioni, gli utenti e le posizioni](https://www.paloaltonetworks.it/sase/secure-users-data-apps-devices?ts=markdown)
  * [Trasformazione sicura della filiale](https://www.paloaltonetworks.it/sase/secure-branch-transformation?ts=markdown)
  * [Lavoro sicuro su qualsiasi dispositivo](https://www.paloaltonetworks.it/sase/secure-work-on-any-device?ts=markdown)
  * [Sostituzione VPN](https://www.paloaltonetworks.it/sase/vpn-replacement-for-secure-remote-access?ts=markdown)
  * [Sicurezza Web e phishing](https://www.paloaltonetworks.it/network-security/advanced-url-filtering?ts=markdown)  
    Sicurezza del cloud
  * [Gestione del livello di sicurezza delle applicazioni (ASPM)](https://www.paloaltonetworks.it/cortex/cloud/application-security-posture-management?ts=markdown)
  * [Sicurezza della supply chain del software](https://www.paloaltonetworks.it/cortex/cloud/software-supply-chain-security?ts=markdown)
  * [Sicurezza del codice](https://www.paloaltonetworks.it/cortex/cloud/code-security?ts=markdown)
  * [Gestione del livello di sicurezza del cloud (CSPM)](https://www.paloaltonetworks.it/cortex/cloud/cloud-security-posture-management?ts=markdown)
  * [Gestione delle autorizzazioni dell'infrastruttura cloud (CIEM)](https://www.paloaltonetworks.it/cortex/cloud/cloud-infrastructure-entitlement-management?ts=markdown)
  * [Gestione del livello di sicurezza dei dati (DSPM)](https://www.paloaltonetworks.it/cortex/cloud/data-security-posture-management?ts=markdown)
  * [AI Security Posture Management (AI-SPM)](https://www.paloaltonetworks.it/cortex/cloud/ai-security-posture-management?ts=markdown)
  * [Rilevamento e risposta nel cloud (CDR)](https://www.paloaltonetworks.it/cortex/cloud-detection-and-response?ts=markdown)
  * [Protezione dei carichi di lavoro cloud (CWP)](https://www.paloaltonetworks.it/cortex/cloud/cloud-workload-protection?ts=markdown)
  * [Sicurezza di applicazioni Web e API (WAAS)](https://www.paloaltonetworks.it/cortex/cloud/web-app-api-security?ts=markdown)  
    Operazioni di sicurezza
  * [Rilevamento e risposta nel cloud](https://www.paloaltonetworks.it/cortex/cloud-detection-and-response?ts=markdown)
  * [Automazione della sicurezza di rete](https://www.paloaltonetworks.it/cortex/network-security-automation?ts=markdown)
  * [Gestione dei casi con incidenti](https://www.paloaltonetworks.it/cortex/incident-case-management?ts=markdown)
  * [Automazione SOC](https://www.paloaltonetworks.it/cortex/security-operations-automation?ts=markdown)
  * [Gestione della threat intelligence](https://www.paloaltonetworks.it/cortex/threat-intel-management?ts=markdown)
  * [Rilevamento e risposta gestiti](https://www.paloaltonetworks.it/cortex/managed-detection-and-response?ts=markdown)
  * [Gestione della superficie di attacco](https://www.paloaltonetworks.it/cortex/cortex-xpanse/attack-surface-management?ts=markdown)
  * [Gestione della conformità](https://www.paloaltonetworks.it/cortex/cortex-xpanse/compliance-management?ts=markdown)
  * [Gestione delle operazioni su Internet](https://www.paloaltonetworks.it/cortex/cortex-xpanse/internet-operations-management?ts=markdown)  
    Sicurezza degli endpoint
  * [Protezione degli endpoint](https://www.paloaltonetworks.it/cortex/endpoint-protection?ts=markdown)
  * [Rilevamento e risposta estesi](https://www.paloaltonetworks.it/cortex/detection-and-response?ts=markdown)
  * [Protezione dal ransomware](https://www.paloaltonetworks.it/cortex/ransomware-protection?ts=markdown)
  * [Analisi forense digitale](https://www.paloaltonetworks.it/cortex/digital-forensics?ts=markdown)  
    [Settori](https://www.paloaltonetworks.it/industry?ts=markdown)
  * [Settore pubblico](https://www.paloaltonetworks.com/industry/public-sector)
  * [Servizi finanziari](https://www.paloaltonetworks.com/industry/financial-services)
  * [Produzione](https://www.paloaltonetworks.com/industry/manufacturing)
  * [Sanità](https://www.paloaltonetworks.com/industry/healthcare)
  * [Soluzioni per le piccole e medie imprese](https://www.paloaltonetworks.com/industry/small-medium-business-portfolio)

* Servizi  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Servizi  
  [Servizi di intelligence sulle minacce e risposta agli incidenti](https://www.paloaltonetworks.it/unit42?ts=markdown)
  
  * [Valutazione](https://www.paloaltonetworks.it/unit42/assess?ts=markdown)
  
  * [Valutazione sicurezza AI](https://www.paloaltonetworks.it/unit42/assess/ai-security-assessment?ts=markdown)
  
  * [Valutazione della superficie di attacco](https://www.paloaltonetworks.it/unit42/assess/attack-surface-assessment?ts=markdown)
  
  * [Revisione della preparazione alle violazioni](https://www.paloaltonetworks.it/unit42/assess/breach-readiness-review?ts=markdown)
  
  * [Valutazione della preparazione al BEC](https://www.paloaltonetworks.com/bec-readiness-assessment)
  
  * [Valutazione sicurezza nel cloud](https://www.paloaltonetworks.com/unit42/assess/cloud-security-assessment)
  
  * [Valutazione di compromesso](https://www.paloaltonetworks.it/unit42/assess/compromise-assessment?ts=markdown)
  
  * [Valutazione del rischio informatico](https://www.paloaltonetworks.it/unit42/assess/cyber-risk-assessment?ts=markdown)
  
  * [Due diligence informatica su fusioni e acquisizioni](https://www.paloaltonetworks.it/unit42/assess/mergers-acquisitions-cyber-due-dilligence?ts=markdown)
  
  * [Test di penetrazione](https://www.paloaltonetworks.it/unit42/assess/penetration-testing?ts=markdown)
  
  * [Esercizi Purple Team](https://www.paloaltonetworks.it/unit42/assess/purple-teaming?ts=markdown)
  
  * [Valutazione della preparazione al ransomware](https://www.paloaltonetworks.it/unit42/assess/ransomware-readiness-assessment?ts=markdown)
  
  * [Valutazione SOC](https://www.paloaltonetworks.com/unit42/assess/cloud-security-assessment)
  
  * [Valutazione del rischio della catena di fornitura](https://www.paloaltonetworks.it/unit42/assess/supply-chain-risk-assessment?ts=markdown)
  
  * [Esercizi di simulazione](https://www.paloaltonetworks.it/unit42/assess/tabletop-exercise?ts=markdown)
  
  * [Unit 42 Retainer](https://www.paloaltonetworks.it/unit42/retainer?ts=markdown)
  
  * [Rispondere](https://www.paloaltonetworks.it/unit42/respond?ts=markdown)
  
  * [Risposta agli incidenti cloud](https://www.paloaltonetworks.it/unit42/respond/cloud-incident-response?ts=markdown)
  
  * [Analisi forense digitale](https://www.paloaltonetworks.it/unit42/respond/digital-forensics?ts=markdown)
  
  * [Risposta agli incidenti](https://www.paloaltonetworks.it/unit42/respond/incident-response?ts=markdown)
  
  * [Rilevamento e risposta gestiti](https://www.paloaltonetworks.it/unit42/respond/managed-detection-response?ts=markdown)
  
  * [Ricerca delle minacce gestita](https://www.paloaltonetworks.it/unit42/respond/managed-threat-hunting?ts=markdown)
  
  * [XSIAM gestito](https://www.paloaltonetworks.it/cortex/managed-xsiam?ts=markdown)
  
  * [Unit 42 Retainer](https://www.paloaltonetworks.it/unit42/retainer?ts=markdown)
  
  * [Trasformazione](https://www.paloaltonetworks.it/unit42/transform?ts=markdown)
  
  * [Sviluppo e revisione del piano IR](https://www.paloaltonetworks.it/unit42/transform/incident-response-plan-development-review?ts=markdown)
  
  * [Progettazione del programma di sicurezza](https://www.paloaltonetworks.it/unit42/transform/security-program-design?ts=markdown)
  
  * [CISO virtuale](https://www.paloaltonetworks.it/unit42/transform/vciso?ts=markdown)
  
  * [Zero Trust Advisory](https://www.paloaltonetworks.com/unit42/assess/cloud-security-assessment)  
    [Servizi clienti globali](https://www.paloaltonetworks.it/services?ts=markdown)
  
  * [Istruzione e formazione](https://www.paloaltonetworks.com/services/education)
  
  * [Servizi professionali](https://www.paloaltonetworks.com/services/consulting)
  
  * [Strumenti per il successo](https://www.paloaltonetworks.com/services/customer-success-tools)
  
  * [Servizi di supporto](https://www.paloaltonetworks.com/services/solution-assurance)
  
  * [Successo del cliente](https://www.paloaltonetworks.com/services/customer-success)  
    [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/logo-unit-42.svg)  
    UNIT 42 RETAINER
    Creato su misura per soddisfare le esigenze della tua organizzazione, puoi scegliere di allocare ore di risorse riservate a una qualsiasi delle nostre offerte, inclusi i servizi proattivi di gestione del rischio informatico. Scopri come assicurarti l'accesso rapido al team di risposta agli incidenti Unit 42 di livello mondiale.
    Scopri di più](https://www.paloaltonetworks.it/unit42/retainer?ts=markdown)

* Partners  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Partners  
  Partner NextWave
  
  * [Comunità dei partner NextWave](https://www.paloaltonetworks.com/partners)
  * [Fornitori di servizi cloud](https://www.paloaltonetworks.com/partners/nextwave-for-csp)
  * [Integratori di sistemi globali](https://www.paloaltonetworks.com/partners/nextwave-for-gsi)
  * [Partner tecnologici](https://www.paloaltonetworks.com/partners/technology-partners)
  * [Fornitori di servizi](https://www.paloaltonetworks.com/partners/service-providers)
  * [Fornitori di soluzioni](https://www.paloaltonetworks.com/partners/nextwave-solution-providers)
  * [Fornitori di servizi di sicurezza gestiti (MSSP)](https://www.paloaltonetworks.com/partners/managed-security-service-providers)  
    È ora di agire
  * [Accesso al portale](https://www.paloaltonetworks.com/partners/nextwave-partner-portal)
  * [Programma di servizi gestiti](https://www.paloaltonetworks.com/partners/managed-security-services-provider-program)
  * [Diventa un partner](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerregistration?type=becomepartner)
  * [Richiedi l'accesso](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerregistration?type=requestaccess)
  * [Trova un partner](https://paloaltonetworks.my.site.com/NextWavePartnerProgram/s/partnerlocator)  
    [CYBERFORCE
    CYBERFORCE rappresenta l'1% dei migliori ingegneri partner affidabili per la propria competenza in materia di sicurezza.
    Scopri di più](https://www.paloaltonetworks.com/cyberforce)

* Società  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Società  
  Palo Alto Networks
  
  * [Chi siamo](https://www.paloaltonetworks.it/about-us?ts=markdown)
  * [Team dirigenziale](https://www.paloaltonetworks.com/about-us/management)
  * [Relazioni con gli investitori](https://investors.paloaltonetworks.com)
  * [Sedi](https://www.paloaltonetworks.com/about-us/locations)
  * [Etica e conformità](https://www.paloaltonetworks.com/company/ethics-and-compliance)
  * [Responsabilità d'impresa](https://www.paloaltonetworks.com/about-us/corporate-responsibility)
  * [Militari e veterani](https://jobs.paloaltonetworks.com/military)  
    [Perché Palo Alto Networks?](https://www.paloaltonetworks.it/why-paloaltonetworks?ts=markdown)
  * [Sicurezza Precision AI](https://www.paloaltonetworks.it/precision-ai-security?ts=markdown)
  * [Il nostro approccio alla piattaforma](https://www.paloaltonetworks.it/why-paloaltonetworks/platformization?ts=markdown)
  * [Accelerazione della trasformazione della cybersecurity](https://www.paloaltonetworks.com/why-paloaltonetworks/nam-cxo-portfolio)
  * [Premi e riconoscimenti](https://www.paloaltonetworks.com/about-us/awards)
  * [Testimonianze di clienti](https://www.paloaltonetworks.it/customers?ts=markdown)
  * [Certificazioni globali](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance)
  * [Programma Trust 360](https://www.paloaltonetworks.com/resources/whitepapers/trust-360)  
    Opportunità di lavoro
  * [Panoramica](https://jobs.paloaltonetworks.com/)
  * [Cultura e vantaggi](https://jobs.paloaltonetworks.com/en/culture/)  
    [Nominata da Newsweek come "uno degli ambienti di lavoro più amati"
    "Aziende considerate positivamente dai loro dipendenti"
    Scopri di più](https://www.paloaltonetworks.com/company/press/2021/palo-alto-networks-secures-top-ranking-on-newsweek-s-most-loved-workplaces-list-for-2021)

* Altro  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Altro  
  Risorse
  
  * [Blog](https://www.paloaltonetworks.com/blog/?lang=it)
  * [Blog di ricerca delle minacce di Unit 42](https://unit42.paloaltonetworks.com/)
  * [Community](https://www.paloaltonetworks.com/communities)
  * [Libreria di contenuti](https://www.paloaltonetworks.it/resources?ts=markdown)
  * [Cyberpedia](https://www.paloaltonetworks.it/cyberpedia?ts=markdown)
  * [Tech Insider](https://techinsider.paloaltonetworks.com/)
  * [Knowledge Base](https://knowledgebase.paloaltonetworks.com/)
  * [Palo Alto Networks TV](https://tv.paloaltonetworks.com/)
  * [Prospettive dei leader](https://www.paloaltonetworks.com/perspectives/)
  * [Cyber Perspectives Magazine](https://www.paloaltonetworks.com/cybersecurity-perspectives/cyber-perspectives-magazine)
  * [Sedi regionali di cloud](https://www.paloaltonetworks.it/products/regional-cloud-locations?ts=markdown)
  * [Documentazione tecnica](https://docs.paloaltonetworks.com/)
  * [Valutazione della condizione di sicurezza](https://www.paloaltonetworks.com/security-posture-assessment)
  * [Podcast Threat Vector](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/)  
    Social
  * [LIVE Community](https://live.paloaltonetworks.com/)
  * [Eventi](https://events.paloaltonetworks.com/)
  * [Centro briefing di livello executive](https://www.paloaltonetworks.com/about-us/executive-briefing-program)
  * [Demo](https://www.paloaltonetworks.com/demos)
  * [Contattaci](https://www.paloaltonetworks.it/contact?ts=markdown)  
    [Blog
    Aggiornamenti sulle tendenze e innovazioni più recenti forniti dalle principali aziende di sicurezza informatica a livello mondiale
    Ulteriori informazioni](https://www.paloaltonetworks.com/blog/)

* IT  
  ![black arrow pointing left to go back to main navigation](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/arrow-right-black.svg) Language
  
  * [USA (ENGLISH)](https://www.paloaltonetworks.com/)
  * [AUSTRALIA (ENGLISH)](https://www.paloaltonetworks.com.au)
  * [BRAZIL (PORTUGUÉS)](https://www.paloaltonetworks.com.br)
  * [CANADA (ENGLISH)](https://www.paloaltonetworks.ca)
  * [CHINA (简体中文)](https://www.paloaltonetworks.cn)
  * [FRANCE (FRANÇAIS)](https://www.paloaltonetworks.fr)
  * [GERMANY (DEUTSCH)](https://www.paloaltonetworks.de)
  * [INDIA (ENGLISH)](https://www.paloaltonetworks.in)
  * ITALY (ITALIANO)
  * [JAPAN (日本語)](https://www.paloaltonetworks.jp)
  * [KOREA (한국어)](https://www.paloaltonetworks.co.kr)
  * [LATIN AMERICA (ESPAÑOL)](https://www.paloaltonetworks.lat)
  * [MEXICO (ESPAÑOL)](https://www.paloaltonetworks.com.mx)
  * [SINGAPORE (ENGLISH)](https://www.paloaltonetworks.sg)
  * [SPAIN (ESPAÑOL)](https://www.paloaltonetworks.es)
  * [TAIWAN (繁體中文)](https://www.paloaltonetworks.tw)
  * [UK (ENGLISH)](https://www.paloaltonetworks.co.uk)

* [Entre em contato conosco](https://www.paloaltonetworks.it/contact?ts=markdown)

* [Recursos](https://www.paloaltonetworks.it/resources?ts=markdown)

* [Obtenha suporte](https://support.paloaltonetworks.com/support)

* [Sei sotto attacco?](https://start.paloaltonetworks.com/contact-unit42.html)

* [Introdução](https://www.paloaltonetworks.com/get-started)  
  Ricerca  
  Close search modal
  [](https://www.paloaltonetworks.com/?ts=markdown)

1. [Cyberpedia](https://www.paloaltonetworks.it/cyberpedia?ts=markdown)
2. [Cloud Security](https://www.paloaltonetworks.com/cyberpedia/cloud-security?ts=markdown)
3. [Che cos'è la sicurezza di rete del cloud?](https://www.paloaltonetworks.it/cyberpedia/what-is-cloud-network-security?ts=markdown)  
   Indice dei contenuti

* [Spiegazione della sicurezza di rete nel cloud](#network-security)
* [Sicurezza di rete nel cloud](#cns)
* [Sicurezza di rete di Kubernetes](#kns)
* [Sicurezza del piano di controllo di Kubernetes](#control-plane-security)
* [Migliori pratiche di sicurezza di rete per Container e Kubernetes](#best-practice)
* [FAQ sulla sicurezza di rete nel cloud](#faq)

# Che cos'è la sicurezza di rete del cloud?

Indice dei contenuti

* [Spiegazione della sicurezza di rete nel cloud](#network-security)
* [Sicurezza di rete nel cloud](#cns)
* [Sicurezza di rete di Kubernetes](#kns)
* [Sicurezza del piano di controllo di Kubernetes](#control-plane-security)
* [Migliori pratiche di sicurezza di rete per Container e Kubernetes](#best-practice)
* [FAQ sulla sicurezza di rete nel cloud](#faq)

1. Spiegazione della sicurezza di rete nel cloud

* [1. Spiegazione della sicurezza di rete nel cloud](#network-security)
* [2. Sicurezza di rete nel cloud](#cns)
* [3. Sicurezza di rete di Kubernetes](#kns)
* [4. Sicurezza del piano di controllo di Kubernetes](#control-plane-security)
* [5. Migliori pratiche di sicurezza di rete per Container e Kubernetes](#best-practice)
* [6. FAQ sulla sicurezza di rete nel cloud](#faq)

La sicurezza di rete del cloud è un aspetto critico della salvaguardia delle [applicazioni containerizzate](https://www.paloaltonetworks.it/cyberpedia/what-is-a-container?ts=markdown) e dei loro dati nel panorama del cloud computing moderno. Si tratta di mettere in sicurezza le comunicazioni e le configurazioni di rete per queste applicazioni, indipendentemente dalla [piattaforma di orchestrazione](https://www.paloaltonetworks.it/cyberpedia/what-is-container-orchestration?ts=markdown) in uso. La sicurezza di rete nel cloud affronta la segmentazione della rete, gli spazi dei nomi, le reti overlay, il filtraggio del traffico e la crittografia per i container. Implementando le tecnologie e le best practice per la sicurezza di rete nel cloud, le organizzazioni possono prevenire efficacemente gli attacchi basati sulla rete, come il cryptojacking, il ransomware e il BotNetC2, che possono avere un impatto sia sulle reti pubbliche che su quelle interne utilizzate dai container per lo scambio di dati.

## Spiegazione della sicurezza di rete nel cloud

Tutti i [carichi di lavoro](https://www.paloaltonetworks.it/cyberpedia/what-is-workload?ts=markdown) vengono eseguiti sullo stesso stack di rete e sugli stessi protocolli, indipendentemente dal fatto che vengano eseguiti su server bare-metal, macchine virtuali o in container. In altre parole, i carichi di lavoro containerizzati sono soggetti a molti degli stessi attacchi basati sulla rete delle applicazioni legacy: cryptojacking, ransomware, BotNetC2 e altro ancora.

Le minacce alla sicurezza di rete, tuttavia, possono avere un impatto sui container in due modi: attraverso le reti pubbliche che collegano le applicazioni a Internet e attraverso le reti interne che i container Kubernetes utilizzano per scambiare dati tra loro.

La sicurezza di rete nel cloud si concentra sulla protezione delle comunicazioni e delle configurazioni di rete per le applicazioni containerizzate in generale, indipendentemente dalla piattaforma di orchestrazione. Affronta aspetti come la segmentazione della rete, i namespace, le reti overlay, il filtraggio del traffico e la crittografia per i container.

[La sicurezza di rete di Kubernetes](https://www.paloaltonetworks.it/cyberpedia/what-is-kubernetes?ts=markdown) si rivolge alla sicurezza di rete all'interno di un cluster Kubernetes e comprende caratteristiche specifiche di Kubernetes, come le politiche di rete, i controlli di ingresso e di uscita, l'isolamento dello spazio dei nomi, il controllo degli accessi basato sui ruoli (RBAC) e l'implementazione della rete di servizi.

Il rilevamento di segnali di attività dannose su entrambi i tipi di rete richiede sia la [sicurezza dei container](https://www.paloaltonetworks.it/cyberpedia/what-is-container-security?ts=markdown) che la sicurezza di rete di Kubernetes. Poiché si tratta di domini distinti, meritano discussioni separate per coprire i loro aspetti unici. In questa sezione, approfondiremo i vari aspetti della sicurezza di rete del cloud in relazione ai container e discuteremo le migliori pratiche per salvaguardare il suo ambiente.

## Sicurezza di rete nel cloud

Una volta distribuiti, i container devono essere protetti dai tentativi di furto di dati proprietari e di risorse di calcolo. La sicurezza di rete del cloud limita in modo proattivo le comunicazioni indesiderate e impedisce alle minacce di attaccare le sue applicazioni una volta distribuite.

Firewall di nuova generazione in container, [sicurezza delle applicazioni web e delle API (WAAS)](https://www.paloaltonetworks.it/cyberpedia/what-is-web-application-and-api-protection?ts=markdown)e strumenti di [microsegmentazione](https://www.paloaltonetworks.it/cyberpedia/what-is-microsegmentation?ts=markdown) ispezionano e proteggono tutto il traffico in entrata e in uscita dai container (nord-sud ed est-ovest), garantendo una completa [visibilità di livello 7](https://www.paloaltonetworks.it/cyberpedia/what-is-layer-7?ts=markdown)e il controllo dell'ambiente Kubernetes. Inoltre, [i firewall containerizzati](https://www.paloaltonetworks.it/cyberpedia/what-is-a-web-application-firewall?ts=markdown) scalano dinamicamente in base alle dimensioni e alle richieste in rapida evoluzione dell'infrastruttura container, per fornire sicurezza e larghezza di banda alle operazioni aziendali.  
![Un'architettura Kubernetes semplificata con sovrapposizione di VM-Series (firewall di nuova generazione virtualizzato) e CN-Series (firewall containerizzato su misura per proteggere le applicazioni containerizzate basate su Kubernetes).](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/cyberpedia/simplified-kubernetes-architecture.png "Un'architettura Kubernetes semplificata con sovrapposizione di VM-Series (firewall di nuova generazione virtualizzato) e CN-Series (firewall containerizzato su misura per proteggere le applicazioni containerizzate basate su Kubernetes).") *Figura 1: Un'architettura Kubernetes semplificata con sovrapposizione di VM-Series (firewall di nuova generazione virtualizzato) e CN-Series (firewall containerizzato su misura per proteggere le applicazioni containerizzate basate su Kubernetes).*

### Segmentazione della rete

La segmentazione della rete è la pratica di dividere una rete in segmenti più piccoli e isolati per limitare l'accesso non autorizzato, contenere le minacce potenziali e migliorare le prestazioni complessive della rete. Negli ambienti containerizzati, i team addetti alla sicurezza possono ottenere la segmentazione della rete attraverso una serie di metodi.

**Spazi dei nomi della rete**

Gli spazi dei nomi di rete forniscono l'isolamento tra i contenitori, creando uno stack di rete separato per ciascuno di essi, comprese le proprie interfacce di rete, le tabelle di routing e le regole del firewall. Sfruttando i namespace di rete, può evitare che i container interferiscano con le configurazioni di rete degli altri e limitare la loro visibilità alle sole risorse di rete richieste.

**Reti sovrapposte**

Le reti overlay creano un livello di rete virtuale in cima alla rete fisica esistente, che consente ai container di comunicare tra host diversi come se fossero sulla stessa rete. Le soluzioni di rete overlay più diffuse per i container includono il driver overlay integrato di Docker, Flannel e Weave.

**Partizioni di rete e gruppi di sicurezza**

Le partizioni di rete e i gruppi di sicurezza possono segmentare ulteriormente le reti di container creando confini logici e applicando regole firewall specifiche per limitare il traffico tra i segmenti.

### Filtro del traffico e regole del firewall

I firewall di nuova generazione containerizzati impediscono al malware di entrare e diffondersi all'interno del cluster, impedendo anche le connessioni malevole in uscita utilizzate per l'esfiltrazione dei dati e gli attacchi di comando e controllo (C2). Sebbene gli strumenti di sicurezza shift-left forniscano una protezione in tempo di distribuzione contro le vulnerabilità note, i firewall di nuova generazione containerizzati offrono protezione contro le vulnerabilità sconosciute e non patchate.

Il filtraggio del traffico e le regole del firewall sono essenziali per controllare il flusso di traffico tra i container, così come tra i container e [l'host](https://www.paloaltonetworks.it/cyberpedia/host-os-operating-system-containers?ts=markdown).

**Filtraggio in entrata e in uscita**

Il filtraggio in entrata controlla il traffico in uscita da un contenitore, mentre il filtraggio in uscita controlla il traffico in entrata verso un contenitore. Applicando il filtraggio in entrata e in uscita, può limitare l'esposizione dei suoi container alle minacce esterne e limitare la loro comunicazione solo ai servizi necessari.

**Applicazione delle regole del firewall al traffico dei container**

Le regole del firewall possono essere applicate a vari livelli, tra cui il livello host, container e rete. Può utilizzare iptables o firewalld di Linux, ad esempio, per creare regole che governano il traffico dei container e proteggere la sua infrastruttura da accessi non autorizzati e attività dannose.

**Bilanciamento del carico e instradamento del traffico**

Il bilanciamento del carico e l'instradamento del traffico sono importanti per distribuire il traffico su più container e garantire l'alta disponibilità delle sue applicazioni. Soluzioni come HAProxy, NGINX o i servizi integrati di Kubernetes possono essere utilizzati per instradare il traffico verso il contenitore appropriato, in base a regole predefinite e controlli di salute.

### Crittografia e comunicazione sicura

La crittografia e la sicurezza delle comunicazioni tra i container, e tra i container e l'host, è fondamentale per proteggere i dati sensibili e mantenere l'integrità delle sue applicazioni.

**Sicurezza del livello di trasporto (TLS) per il traffico dei container.**

TLS fornisce la crittografia e l'autenticazione dei dati trasmessi in rete. Implementando TLS per il traffico dei container, può garantire che i dati trasmessi tra i container e tra i container e l'host siano crittografati e sicuri da intercettazioni o manomissioni. Può ottenere questo risultato utilizzando strumenti come OpenSSL o Let's Encrypt per generare e gestire i certificati TLS per i suoi container.

**Protezione della comunicazione da contenitore a contenitore**

Per proteggere la comunicazione tra i contenitori, può utilizzare soluzioni native del contenitore, come le reti crittografate integrate di Docker, o strumenti di terze parti come Cilium, che offre una sicurezza di rete API-aware per i contenitori. Queste soluzioni le consentono di implementare la crittografia, l'autenticazione e l'autorizzazione per il traffico da contenitore a contenitore.

**Protezione della comunicazione tra contenitore e host**

Per garantire una comunicazione sicura tra i container e l'host, si può utilizzare la crittografia a livello di host e i meccanismi di autenticazione, come le API protette da SSH o TLS, per controllare l'accesso alle interfacce di gestione dei container e ai sistemi di archiviazione dei dati.

## Sicurezza di rete di Kubernetes

### Politiche di rete

Le politiche di rete sono una caratteristica chiave di Kubernetes che le consente di controllare il flusso di traffico all'interno del cluster e tra il cluster e le reti esterne. Gli strumenti moderni consentono ai team addetti alla sicurezza di definire politiche che determinano essenzialmente chi e cosa può accedere a un determinato microservizio. Le organizzazioni hanno bisogno di un quadro per definire queste politiche e assicurarsi che siano mantenute in modo coerente in un ambiente di applicazioni container altamente distribuito.

**Definire e applicare le politiche di rete.**

Le politiche di rete di Kubernetes sono definite mediante file YAML, che specificano il traffico consentito tra componenti come pod, servizi e spazi dei nomi. Una volta definite, queste politiche possono essere applicate utilizzando i plugin di rete che supportano l'API delle politiche di rete di Kubernetes, come Calico o Cilium.

**Whitelisting e blacklisting del traffico**

Le politiche di rete possono essere utilizzate per inserire nella whitelist o nella blacklist il traffico tra i componenti del suo cluster, in base a criteri che includono le etichette dei pod, gli indirizzi IP o i namespace. Stabilendo queste regole, potrà controllare quali servizi possono comunicare tra loro e impedire l'accesso non autorizzato a dati o risorse sensibili.

**Isolamento e segmentazione dello spazio dei nomi**

Applicando le politiche di rete a livello di namespace, può isolare e segmentare le applicazioni o gli ambienti all'interno del suo cluster, limitando il traffico solo ai componenti necessari e prevenendo potenziali rischi di rete.

### Controlli di ingresso e di uscita

Il controllo del traffico in entrata e in uscita è fondamentale per gestire il flusso di dati in entrata e in uscita dal cluster Kubernetes e per proteggerlo dalle minacce esterne.

#### Controllori di ingresso e bilanciamento del carico

I controller di ingresso in Kubernetes gestiscono l'instradamento del traffico esterno verso i servizi appropriati all'interno del cluster, in base a regole predefinite. Il bilanciamento del carico può essere ottenuto attraverso servizi Kubernetes integrati o soluzioni di terze parti come NGINX e HAProxy. Queste soluzioni le permettono di instradare il traffico in base a criteri come il percorso, l'host o le intestazioni. Le consentono anche di fornire la terminazione TLS e altre funzioni di sicurezza.

**Migliori pratiche per l'accesso in entrata**

* Correggere la politica predefinita di Kubernetes "any-any-any allow" applicando una politica deny-all per ogni spazio dei nomi.
* Impedisce ai servizi di accettare il traffico in entrata direttamente da IP esterni, a meno che non sia collegato un bilanciatore di carico o un ingress. Consente solo il traffico in entrata da load-balancer o ingress.
* Limita il traffico a protocolli e porte specifiche in base ai requisiti del servizio (ad esempio, HTTP/HTTPS per i servizi web, UDP 53 per il servizio DNS).
* Accettano il traffico solo da altri servizi (pod) che li consumano, sia nello stesso spazio dei nomi che da un altro.
* Per creare una politica di ingresso da un pod in un altro spazio dei nomi, aggiunga un'etichetta allo spazio dei nomi.

#### Gestione del traffico in uscita

Il controllo del traffico in uscita dal cluster Kubernetes è essenziale per evitare la perdita di dati e per garantire che le connessioni in uscita siano limitate solo alle destinazioni richieste. Può ottenere questo risultato utilizzando le politiche di rete in uscita, che le permettono di definire le regole per il traffico in uscita dai suoi pod o namespace. Inoltre, si possono utilizzare gateway di uscita o soluzioni proxy come Squid per controllare e monitorare il traffico in uscita dal cluster.

**Migliori pratiche per l'accesso in uscita**

* Comprenda la necessità di ogni servizio esterno utilizzato dai suoi [microservizi](https://www.paloaltonetworks.it/cyberpedia/what-are-microservices?ts=markdown). Prodotti come Prisma Cloud Compute Defender possono aiutare a identificare i flussi esterni impegnati dai microservizi.
* Se un pod deve connettersi a un nome DNS (FQDN) senza un indirizzo IP fisso, utilizzi un firewall esterno o un proxy, poiché le politiche di rete di Kubernetes supportano solo gli indirizzi IP.
* Impedisca il traffico in uscita dai pod che non necessitano di connessioni esterne per ridurre il rischio di esfiltrazione dei dati o di download di file binari dannosi.
* Applichi un criterio di blocco dell'uscita se non ha dipendenze esterne, ma si assicuri che i servizi essenziali come Kubernetes DNS Service rimangano connessi quando applica i criteri di uscita.

La [microsegmentazione basata su identità](https://www.paloaltonetworks.it/cyberpedia/what-is-microsegmentation?ts=markdown) aiuta a limitare la comunicazione tra le applicazioni a livello 3 e 4, mentre i firewall containerizzati di prossima generazione eseguono [l'ispezione profonda dei pacchetti di livello 7](https://www.paloaltonetworks.it/cyberpedia/what-is-layer-7?ts=markdown) e scansionano tutto il traffico consentito per identificare e prevenire le minacce note e sconosciute.

#### Politiche e sicurezza DNS

Il DNS è parte integrante della rete Kubernetes, in quanto fornisce la risoluzione dei nomi per i servizi e altri componenti all'interno del cluster. Garantisca la sicurezza e l'integrità della sua infrastruttura DNS per prevenire attacchi come [DNS spoofing o cache poisoning](https://www.paloaltonetworks.it/cyberpedia/what-is-a-dns-attack?ts=markdown).

Kubernetes fornisce politiche DNS integrate per controllare il comportamento della risoluzione DNS all'interno del suo cluster, e può anche utilizzare fornitori DNS esterni o soluzioni di sicurezza DNS come DNSSec per migliorare la sicurezza della sua infrastruttura DNS.

### Rete di servizi e crittografia di rete

Il Service Mesh è un livello di infrastruttura dedicato che offre funzioni di rete avanzate, come il routing del traffico, il bilanciamento del carico e la sicurezza di rete per i suoi microservizi e le sue applicazioni containerizzate.

**Implementazione del servizio Mesh**

Soluzioni di service mesh come Istio e Linkerd possono essere integrate con il cluster Kubernetes per fornire funzionalità di rete avanzate e migliorare la sicurezza delle applicazioni containerizzate. Queste soluzioni offrono funzioni come il TLS reciproco, il controllo degli accessi e la crittografia del traffico, che possono aiutare a proteggere le sue applicazioni, in particolare i microservizi, da varie minacce alla sicurezza.

**Mutual TLS (mTLS) per la comunicazione sicura**

Mutual TLS (mTLS) è un protocollo di sicurezza in cui sia il client che il server si autenticano reciprocamente prima di stabilire una connessione sicura. A differenza del TLS tradizionale, in cui solo il server viene autenticato dal cliente, mTLS aggiunge un ulteriore livello di sicurezza, richiedendo al cliente di presentare un certificato. Il requisito aggiuntivo verifica che entrambe le parti siano chi dichiarano, il che può aiutare a prevenire accessi non autorizzati, fughe di dati e attacchi man-in-the-middle.

**Osservabilità e controllo del traffico di rete.**

Le soluzioni Service Mesh offrono anche l'osservabilità e il controllo del traffico di rete, consentendole di monitorare le prestazioni e la sicurezza delle sue applicazioni in tempo quasi reale. L'identificazione precoce di accessi non autorizzati, di modelli di traffico insoliti e di altri potenziali problemi di sicurezza significa che può intraprendere tempestivamente azioni correttive per mitigare i rischi.

### Crittografia del traffico e dei dati sensibili

Per garantire la riservatezza e l'integrità dei dati all'interno del suo cluster, è essenziale implementare tecniche di crittografia per le comunicazioni interne ed esterne.

#### IPsec per crittografare le comunicazioni tra gli host

IPsec protegge il traffico del cluster crittografando le comunicazioni tra tutti gli host master e i nodi. Tenga presente l'overhead di IPsec e faccia riferimento alla documentazione dell'orchestrazione di container per abilitare le comunicazioni IPsec all'interno del cluster. Importi i certificati necessari nel database dei certificati pertinente e crei un criterio per proteggere la comunicazione tra gli host del suo cluster.

**Configurazione dell'unità massima di trasmissione (MTU) per l'overhead IPsec**

Regoli l'MTU del percorso o della commutazione per accogliere l'overhead dell'intestazione IPsec. Ad esempio, se il cluster opera su una rete Ethernet con un'unità di trasmissione massima (MTU) di 1500 byte, modifichi il valore MTU SDN per tenere conto dell'overhead dell'incapsulamento IPsec e SDN.

#### Abilitazione del TLS per la comunicazione API nel cluster

Kubernetes presuppone che la comunicazione API all'interno del cluster sia crittografata per impostazione predefinita utilizzando TLS. La maggior parte dei metodi di installazione crea e distribuisce i certificati necessari ai componenti del cluster. Tenga presente, però, che alcuni componenti e metodi di installazione possono abilitare le porte locali su HTTP. Gli amministratori devono rimanere informati sulle impostazioni di ogni componente per identificare e risolvere il traffico potenzialmente insicuro.

## Sicurezza del piano di controllo di Kubernetes

I piani di controllo, in particolare nei cluster Kubernetes, sono obiettivi primari per gli attacchi. Per migliorare la sicurezza, rafforzi i seguenti componenti attraverso l'ispezione e la corretta configurazione:

* Nodi e loro perimetri
* Nodi master
* Componenti principali
* API
* Pods rivolti al pubblico

Sebbene la configurazione predefinita di Kubernetes offra un certo livello di sicurezza, l'adozione di best practice può rafforzare il cluster per i carichi di lavoro e la comunicazione runtime.

#### Politiche di rete (regole del firewall)

La rete piatta di Kubernetes consente a tutte le distribuzioni di raggiungere altre distribuzioni per impostazione predefinita, anche attraverso gli spazi dei nomi. Questa mancanza di isolamento tra i pod significa che un carico di lavoro compromesso potrebbe avviare un attacco ad altri componenti della rete. L'implementazione di politiche di rete può fornire isolamento e sicurezza.

#### Politica di sicurezza del Pod

Kubernetes consente ai pod di funzionare con diverse configurazioni non sicure per impostazione predefinita. Ad esempio, l'esecuzione di container privilegiati con permessi di root sull'host è ad alto rischio, così come l'utilizzo dei namespace e del file system dell'host o la condivisione della rete dell'host. Le politiche di sicurezza dei pod consentono agli amministratori di limitare i privilegi e i permessi di un pod prima di consentire la distribuzione nel cluster. Isolare i pod non dipendenti dal parlare tra loro utilizzando le politiche di rete aiuterà a prevenire il movimento laterale tra i container in caso di violazione.

#### Crittografia dei segreti

Le distribuzioni di base di Kubernetes non criptano i segreti a riposo per impostazione predefinita (anche se i servizi gestiti come GKE lo fanno). Se un aggressore ottiene l'accesso all'archivio di valori-chiave (in genere Etcd), può accedere a tutto ciò che si trova nel cluster, compresi i segreti non crittografati. La crittografia dell'archivio di stato del cluster protegge il cluster dall'esfiltrazione dei dati a riposo.

#### Controllo dell'accesso basato sui ruoli

Anche se RBAC non è esclusivo di Kubernetes, deve essere configurato correttamente per evitare la compromissione del cluster. RBAC consente un controllo granulare sui componenti del cluster a cui un pod o un utente può accedere. Limitando gli utenti e i pod che possono visualizzare, aggiornare, cancellare e creare all'interno del cluster, RBAC aiuta a limitare i danni potenziali di una compromissione.

### Affrontare la sicurezza del piano di controllo attraverso il patching virtuale

Ridurre al minimo l'accesso a livello di amministratore ai piani di controllo e assicurarsi che il suo server API non sia esposto pubblicamente sono le basi di sicurezza più importanti.

[I team DevOps](https://www.paloaltonetworks.it/cyberpedia/what-is-devops?ts=markdown) e SecOps possono identificare le vulnerabilità nei pacchetti di applicazioni, ma mitigare questi rischi richiede tempo. I pacchetti vulnerabili devono essere sostituiti o patchati e testati prima della distribuzione, il che lascia l'ambiente esposto fino alla risoluzione del problema. Soluzioni come Prisma Cloud automatizzano la mappatura delle vulnerabilità per ogni carico di lavoro, per fornire patch virtuali per le vulnerabilità conosciute. Utilizzando il suo componente [WAAS](https://www.paloaltonetworks.it/prisma/cloud/web-application-API-security?ts=markdown) , la soluzione regola le politiche di ispezione del traffico per rilevare e bloccare gli exploit remoti basati su HTTP.

## Migliori pratiche di sicurezza di rete per Container e Kubernetes

Riassumendo le aree discusse, le seguenti best practice servono come lista di controllo per garantire che i suoi team siano attrezzati per salvaguardare le applicazioni e i dati [containerizzati](https://www.paloaltonetworks.it/cyberpedia/containerization?ts=markdown) dalle minacce basate sulla rete.

### Monitoraggio e registrazione del traffico di rete

Tenere sotto controllo il traffico di rete è fondamentale per rilevare e rispondere agli incidenti di sicurezza e mantenere la salute generale del suo ambiente containerizzato.

#### Soluzioni di registrazione e monitoraggio centralizzate.

L'implementazione di una soluzione centralizzata di registrazione e monitoraggio per il suo ambiente container e Kubernetes, come ELK Stack, Prometheus o Prisma Cloud, può aiutarla a raccogliere, analizzare e visualizzare i dati del traffico di rete da diverse aree. Il facile accesso a dati intel centralizzati le consentirà di identificare le tendenze, rilevare le anomalie e ottenere approfondimenti sulle prestazioni e sulla sicurezza della sua infrastruttura.

#### Rilevare e rispondere agli incidenti di sicurezza

Il monitoraggio del traffico di rete e la creazione di avvisi per attività insolite o sospette consentono di individuare e rispondere rapidamente agli incidenti che comportano accesso non autorizzato, esfiltrazione di dati e altre attività dannose. I team addetti alla sicurezza sono in grado di adottare misure appropriate, come l'isolamento dei componenti interessati, il blocco degli IP dannosi o l'aggiornamento delle regole del firewall in modo tempestivo.

#### Visualizzazione e analisi del traffico di rete

La visualizzazione e l'analisi dei dati sul traffico di rete possono aiutarla a identificare modelli e tendenze che possono indicare potenziali rischi per la sicurezza di rete. Strumenti come Kibana, Grafana o dashboard personalizzati possono essere utilizzati per creare rappresentazioni visive del traffico di rete, consentendo di individuare anomalie e di indagare in modo più efficace sugli incidenti di sicurezza di rete.

### Configurazioni di rete sicure

L'irrigidimento delle configurazioni di rete e l'implementazione di forti controlli di accesso sono fondamentali per proteggere il suo ambiente container e Kubernetes dalle minacce alla sicurezza.

#### Protezione delle impostazioni di rete dell'host e del cloud

Per mantenere la sicurezza del suo ambiente è necessario garantire configurazioni di rete sicure sia per l'host del container che per i singoli container. Le misure essenziali comprendono la disattivazione dei servizi di rete inutilizzati, la limitazione dell'accesso alla rete solo ai componenti necessari e l'applicazione di patch e aggiornamenti di sicurezza al sistema operativo host e al runtime del container.

#### Controlli di accesso alla rete e autenticazione

Per evitare accessi non autorizzati e mantenere l'integrità del suo ambiente container e Kubernetes, è essenziale implementare forti controlli di accesso e meccanismi di autenticazione. Le misure chiave prevedono l'utilizzo del controllo degli accessi basato sui ruoli (RBAC) per la gestione delle autorizzazioni degli utenti in Kubernetes, l'incorporazione dell'autenticazione a più fattori (MFA) e l'impiego di soluzioni di sicurezza di rete, come VPN o firewall, per limitare l'accesso al suo ambiente.

#### Valutazioni regolari della sicurezza di rete.

Valutazioni regolari della sicurezza di rete - scansioni di vulnerabilità, test di penetrazione e audit di sicurezza - sono un must quando si tratta di identificare potenziali punti deboli nel suo ambiente container e Kubernetes. Gli aspetti chiave di queste valutazioni riguardano l'esame delle configurazioni di rete, delle regole del firewall e delle politiche di sicurezza per garantire l'aderenza alle best practice del settore e ai requisiti di conformità.

Seguendo queste best practice e implementando misure di sicurezza di rete efficaci, può proteggere il suo ambiente container e Kubernetes da potenziali minacce basate sulla rete e garantire la sicurezza e l'integrità delle sue applicazioni e dei suoi dati.

## FAQ sulla sicurezza di rete nel cloud

### Che cos'è un sistema di rilevamento delle intrusioni (IDS)?

Un sistema di rilevamento delle intrusioni (IDS) è una soluzione di sicurezza che monitora il traffico di rete per individuare attività sospette e potenziali minacce. Analizza il traffico per identificare gli schemi che possono indicare un attacco alla rete o al sistema. I sistemi IDS possono essere basati sulla rete o sull'host, monitorando il traffico in entrata e in uscita da e verso i dispositivi o analizzando le configurazioni e i registri del sistema. Un IDS aiuta a identificare le attività insolite che potrebbero indicare un'infezione da malware, un accesso non autorizzato o altre violazioni dei criteri di sicurezza. L'IDS avvisa gli amministratori delle potenziali minacce, consentendo una risposta rapida per mitigare i rischi.

### Che cos'è la scansione di immagini?

La scansione segreti nel contesto della sicurezza container comporta l'analisi delle immagini container alla ricerca di vulnerabilità, come software obsoleto, configurazioni errate o segreti esposti. Questo processo è essenziale per mantenere la sicurezza delle applicazioni containerizzate. Gli strumenti di scansione delle immagini, come SAST e SCA, valutano i componenti rispetto ai database di vulnerabilità noti e forniscono indicazioni sui potenziali problemi di sicurezza. La scansione regolare delle immagini è una best practice nelle [Pipeline CI/CD](https://www.paloaltonetworks.it/cyberpedia/what-is-the-ci-cd-pipeline-and-ci-cd-security?ts=markdown), che garantisce che i container distribuiti negli ambienti di produzione siano privi di vulnerabilità note.

### Che cos'è un'unità massima di trasmissione (MTU)?

MTU, o unità massima di trasmissione, si riferisce alla dimensione massima di un pacchetto di dati che può essere trasmesso su una rete. È un parametro che contribuisce a determinare l'efficienza e le prestazioni della comunicazione di dati attraverso le reti. Il protocollo di controllo della trasmissione (TCP) utilizza l'MTU per determinare la dimensione massima di ciascun pacchetto nelle trasmissioni Internet.

Per adattarsi all'overhead aggiuntivo dell'intestazione introdotto dalla crittografia e dall'incapsulamento, è necessario regolare il valore MTU quando si utilizza IPsec per una comunicazione sicura. Ad esempio, se il cluster Kubernetes opera su una rete Ethernet con un MTU predefinito di 1500 byte, il valore MTU deve essere ridotto per tenere conto dell'overhead dell'incapsulamento IPsec e SDN. La regolazione impedisce la frammentazione dei pacchetti e garantisce una trasmissione dei dati più efficiente e sicura.

### Cosa sono i gruppi di sicurezza?

I gruppi di sicurezza sono un tipo di firewall virtuale che controlla il traffico in entrata e in uscita verso le risorse in rete in un ambiente cloud. Vengono utilizzati per impostare regole che consentono o negano il traffico di rete alle istanze, come le macchine virtuali o i container. I gruppi di sicurezza sono essenziali per definire i controlli di accesso a livello di istanza, assicurando che solo il traffico autorizzato possa accedere alle risorse. Sono un componente fondamentale della sicurezza di rete, in quanto consentono un controllo granulare sull'accesso alla rete e migliorano la sicurezza generale delle distribuzioni cloud.

### Cosa sono le politiche di rete?

Le politiche di rete sono regole specifiche che governano il flusso di traffico in entrata e in uscita dai container e dai pod in un ambiente Kubernetes. Agiscono come un meccanismo di sicurezza di rete cruciale, consentendo agli amministratori di stabilire quali pod possono comunicare tra loro e con altri endpoint della rete. Le politiche di rete definiscono il modo in cui i gruppi di pod possono comunicare tra loro e con altri endpoint della rete, utilizzando le etichette per selezionare i pod e definire le regole. Sono essenziali per creare un'architettura di rete sicura e micro-segmentata, riducendo il rischio di movimenti laterali in caso di violazione.

### Che cos'è Istio?

Istio è una rete di servizi open-source che offre un modo per controllare il modo in cui i microservizi condividono dati e risorse. Semplifica la distribuzione, la gestione e la sicurezza delle architetture di microservizi. Istio raggiunge questo obiettivo fornendo un livello di infrastruttura tra i servizi e la rete, che consente la gestione del traffico, l'applicazione dei criteri e la raccolta della telemetria. È particolarmente utile in ambienti complessi, offrendo funzionalità come la comunicazione sicura da servizio a servizio, la scoperta dei servizi, il bilanciamento del carico e la tolleranza agli errori.

### Cosa sono gli spazi dei nomi?

Gli spazi dei nomi in Kubernetes sono un modo per dividere le risorse del cluster tra più utenti. Forniscono un ambito per i nomi, consentendo di suddividere i cluster in gruppi con nomi logici, il che può essere utile in ambienti con molti utenti distribuiti in più team o progetti. Gli spazi dei nomi vengono utilizzati per organizzare le risorse in un cluster fisicamente condiviso, fornendo un modo per allocare le risorse e applicare le quote delle risorse, migliorando la sicurezza e la gestione negli ambienti multitenant.

### Che cos'è una rete di servizi?

Una rete di servizi è un livello di infrastruttura configurabile per un'applicazione a microservizi. Fornisce un modo per controllare come le diverse parti di un'applicazione condividono i dati e le risorse. Le maglie dei servizi offrono caratteristiche come la scoperta dei servizi, il bilanciamento del carico, la crittografia, l'osservabilità e la tracciabilità. Gestiscono la complessità della comunicazione interprocesso basata sulla rete in un'architettura a microservizi, consentendo agli sviluppatori di concentrarsi sulla logica aziendale piuttosto che sulle sfide della rete. Le maglie di servizio, come Istio, forniscono funzionalità critiche negli ambienti cloud-nativi per migliorare le prestazioni, l'affidabilità e la sicurezza dei [microservizi](https://www.paloaltonetworks.it/cyberpedia/what-are-microservices?ts=markdown).
Contenuti correlati  
[La guida definitiva alla sicurezza dei container
La protezione delle sue applicazioni containerizzate è un componente critico per mantenere l'integrità, la riservatezza e la disponibilità dei suoi servizi cloud.](https://www.paloaltonetworks.com/resources/ebooks/container-security-definitive-guide)  
[Escalation dei privilegi di Kubernetes: Permessi eccessivi nelle piattaforme più diffuse
Per capire l'impatto delle autorizzazioni eccessive, abbiamo analizzato le piattaforme Kubernetes più diffuse - distribuzioni, servizi gestiti e componenti aggiuntivi comuni - per ...](https://www.paloaltonetworks.com/resources/whitepapers/kubernetes-privilege-escalation-excessive-permissions-in-popular-platforms)  
[Sicurezza dei container 101
Capire le basi della sicurezza dei container illustra ciò che le organizzazioni devono sapere per proteggersi da violazioni, malware e attori maligni.](https://www.paloaltonetworks.it/resources/guides/prisma-container-security101?ts=markdown)  
[Guida all'operatività del suo programma di sicurezza IaC
L'Infrastruttura come codice (IaC) gioca un ruolo chiave nelle applicazioni containerizzate. Ottenere un piano passo dopo passo per aiutarla a scegliere il suo percorso di sicurezz...](https://www.paloaltonetworks.it/resources/whitepapers/guide-to-operationalizing-your-iac-security-program?ts=markdown)  
![Share page on facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/facebook-circular-icon.svg) ![Share page on linkedin](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/linkedin-circular-icon.svg) [![Share page by an email](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/resources/email-circular-icon.svg)](mailto:?subject=Che%20cos%27%C3%A8%20la%20sicurezza%20di%20rete%20del%20cloud%3F&body=Scopra%20la%20sicurezza%20di%20rete%20nel%20cloud%2C%20garantendo%20la%20protezione%20delle%20applicazioni%20containerizzate%20con%20la%20segmentazione%20della%20rete%2C%20il%20filtraggio%20del%20traffico%2C%20la%20crittografia%20e%20i%20criteri.%20at%20https%3A//www.paloaltonetworks.com/cyberpedia/what-is-cloud-network-security)  
Torna all'inizio  
{#footer}

## Prodotti e servizi

* [Piattaforma di sicurezza di rete basata su AI](https://www.paloaltonetworks.it/network-security?ts=markdown)

* [AI sicura sin dalla progettazione](https://www.paloaltonetworks.it/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.it/prisma/prisma-ai-runtime-security?ts=markdown)

* [Sicurezza accesso AI](https://www.paloaltonetworks.it/sase/ai-access-security?ts=markdown)

* [Servizi di sicurezza basati su cloud](https://www.paloaltonetworks.it/network-security/security-subscriptions?ts=markdown)

* [Prevenzione avanzata delle minacce](https://www.paloaltonetworks.it/network-security/advanced-threat-prevention?ts=markdown)

* [URL Filtering avanzato](https://www.paloaltonetworks.it/network-security/advanced-url-filtering?ts=markdown)

* [WildFire avanzato](https://www.paloaltonetworks.it/network-security/advanced-wildfire?ts=markdown)

* [Sicurezza DNS avanzata](https://www.paloaltonetworks.it/network-security/advanced-dns-security?ts=markdown)

* [Prevenzione della perdita di dati aziendali](https://www.paloaltonetworks.it/sase/enterprise-data-loss-prevention?ts=markdown)

* [Sicurezza IoT aziendale](https://www.paloaltonetworks.it/network-security/enterprise-iot-security?ts=markdown)

* [Sicurezza IoT nel settore medico](https://www.paloaltonetworks.it/network-security/medical-iot-security?ts=markdown)

* [Sicurezza OT industriale](https://www.paloaltonetworks.it/network-security/industrial-ot-security?ts=markdown)

* [Sicurezza SaaS](https://www.paloaltonetworks.it/sase/saas-security?ts=markdown)

* [Firewall di nuova generazione](https://www.paloaltonetworks.it/network-security/next-generation-firewall?ts=markdown)

* [Firewall hardware](https://www.paloaltonetworks.it/network-security/hardware-firewall-innovations?ts=markdown)

* [Firewall software](https://www.paloaltonetworks.it/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.it/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN per NGFW](https://www.paloaltonetworks.it/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.it/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.it/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.it/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.it/sase?ts=markdown)

* [Accelerazione delle applicazioni](https://www.paloaltonetworks.it/sase/app-acceleration?ts=markdown)

* [ADEM (Autonomous Digital Experience Management)](https://www.paloaltonetworks.it/sase/adem?ts=markdown)

* [DLP aziendale](https://www.paloaltonetworks.it/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.it/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.it/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.it/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.it/sase/remote-browser-isolation?ts=markdown)

* [Sicurezza SaaS](https://www.paloaltonetworks.it/sase/saas-security?ts=markdown)

* [Piattaforma operazioni di sicurezza basate su AI](https://www.paloaltonetworks.it/cortex?ts=markdown)

* [Sicurezza cloud](https://www.paloaltonetworks.it/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.it/cortex/cloud?ts=markdown)

* [Sicurezza delle applicazioni](https://www.paloaltonetworks.it/cortex/cloud/application-security?ts=markdown)

* [Sicurezza del livello cloud](https://www.paloaltonetworks.it/cortex/cloud/cloud-posture-security?ts=markdown)

* [Sicurezza runtime del cloud](https://www.paloaltonetworks.it/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.it/prisma/cloud?ts=markdown)

* [SOC basato su AI](https://www.paloaltonetworks.it/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.it/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.it/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.it/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.it/cortex/cortex-xpanse?ts=markdown)

* [Rilevamento e risposta gestiti da Unit 42](https://www.paloaltonetworks.it/cortex/managed-detection-and-response?ts=markdown)

* [XSIAM gestito](https://www.paloaltonetworks.it/cortex/managed-xsiam?ts=markdown)

* [Intelligence sulle minacce e servizi di risposta agli incidenti](https://www.paloaltonetworks.it/unit42?ts=markdown)

* [Valutazioni proattive](https://www.paloaltonetworks.it/unit42/assess?ts=markdown)

* [Risposta agli incidenti](https://www.paloaltonetworks.it/unit42/respond?ts=markdown)

* [Trasforma la tua strategia di sicurezza](https://www.paloaltonetworks.it/unit42/transform?ts=markdown)

* [Scopri l'intelligence sulle minacce](https://www.paloaltonetworks.it/unit42/threat-intelligence-partners?ts=markdown)

## Azienda

* [Informazioni](https://www.paloaltonetworks.com/about-us)
* [Offerte di lavoro](https://jobs.paloaltonetworks.com/en/)
* [Contattaci](https://www.paloaltonetworks.it/contact?ts=markdown)
* [Responsabilità aziendale](https://www.paloaltonetworks.com/about-us/corporate-responsibility)
* [Clienti](https://www.paloaltonetworks.it/customers?ts=markdown)
* [Relazioni con gli investitori](https://investors.paloaltonetworks.com/)
* [Sede](https://www.paloaltonetworks.com/about-us/locations)
* [Rassegna stampa](https://www.paloaltonetworks.it/company/newsroom?ts=markdown)

## Link più richiesti

* [Blog](https://www.paloaltonetworks.com/blog/?lang=it)
* [Communities](https://www.paloaltonetworks.com/communities)
* [Libreria di contenuti](https://www.paloaltonetworks.it/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.it/cyberpedia?ts=markdown)
* [Centro eventi](https://events.paloaltonetworks.com/)
* [Gestisci le preferenze e-mail](https://start.paloaltonetworks.com/preference-center)
* [Prodotti A-Z](https://www.paloaltonetworks.com/products/products-a-z)
* [Certificazioni di prodotto](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance)
* [Segnala una vulnerabilità](https://www.paloaltonetworks.com/security-disclosure)
* [Mappa del sito](https://www.paloaltonetworks.it/sitemap?ts=markdown)
* [Documenti tecnici](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Non vendere o condividere le mie informazioni personali](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center)
* [Condizioni d'uso](https://www.paloaltonetworks.com/legal-notices/terms-of-use)
* [Documenti](https://www.paloaltonetworks.com/legal)

Copyright © 2026 Palo Alto Networks. Tutti i diritti riservati

* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://unit42.paloaltonetworks.com/unit-42-threat-vector-podcast/)
* IT  
  Select your language