https://thedotnetblog.com/it/tags/agentic-ai/Articles, tutorials and insights from the .NET community.Hugoit@thedotnetblog (The .NET Blog)@thedotnetblogThu, 04 Jun 2026 00:00:00 +0000https://thedotnetblog.com/it/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/Thu, 04 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/it/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/L'IA agentiva introduce minacce per cui i modelli STRIDE tradizionali non erano progettati. Ecco come Microsoft SQL si mappa al framework MAESTRO per fornire un confine di esecuzione governato.<p>I modelli di minacce alla sicurezza sono costruiti su ipotesi su chi o cosa sta facendo le richieste. STRIDE assume attori umani che interagiscono con i sistemi attraverso interfacce definite. Gli agenti di IA non funzionano in questo modo.</p> <h2 id="stride-non-è-stato-progettato-per-gli-agenti-di-ia">STRIDE Non È Stato Progettato per gli Agenti di IA</h2> <p>I sistemi agentici operano autonomamente, concatenano strumenti tramite chiamate API, prendono decisioni su quali dati recuperare e quali azioni eseguire, e possono ricevere istruzioni da più fonti — prompt dell&rsquo;utente, risultati degli strumenti, dati recuperati. Il modello di minacce STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) non cattura adeguatamente i vettori di attacco specifici degli agenti come l&rsquo;iniezione di prompt, l&rsquo;avvelenamento del contesto o l&rsquo;abuso degli strumenti.</p> <p>La Cloud Security Alliance ha pubblicato il framework MAESTRO specificamente per il rischio degli agenti di IA.</p> <h2 id="il-framework-maestro">Il Framework MAESTRO</h2> <p>MAESTRO organizza il rischio dell&rsquo;IA agentiva in sette livelli:</p> <ol> <li><strong>Foundation Models</strong> — gli LLM sottostanti e le loro vulnerabilità di addestramento</li> <li><strong>Data Operations</strong> — recupero, archiviazione e manipolazione dei dati</li> <li><strong>Agent Frameworks</strong> — il middleware di orchestrazione e coordinazione degli agenti</li> <li><strong>Deployment &amp; Infrastructure</strong> — dove gli agenti vengono eseguiti e come sono configurati</li> <li><strong>Evaluation &amp; Observability</strong> — monitoraggio del comportamento degli agenti nel tempo</li> <li><strong>Security &amp; Compliance</strong> — controlli di accesso, audit e conformità normativa</li> <li><strong>Agent Ecosystem</strong> — come gli agenti interagiscono tra loro e con strumenti esterni</li> </ol> <p>Ogni livello ha vettori di attacco specifici che i controlli di sicurezza tradizionali non affrontano direttamente.</p> <h2 id="microsoft-sql-come-confine-di-esecuzione-governato">Microsoft SQL Come Confine di Esecuzione Governato</h2> <p>SQL Server 2025 si mappa sui livelli MAESTRO in modi concreti:</p> <p><strong>Livello Data Operations</strong>: <code>AI_GENERATE_EMBEDDINGS</code> integrato in T-SQL mantiene le operazioni vettoriali all&rsquo;interno del confine governato del database. I dati non devono uscire verso il servizio del modello per l&rsquo;elaborazione degli embedding.</p> <p><strong>Livelli Security &amp; Compliance</strong>: La sicurezza a livello di riga (RLS) e il mascheramento dinamico dei dati (DDM) si applicano indipendentemente da come è arrivata la richiesta — che provenga da un utente umano o da un agente di IA. L&rsquo;agente non può aggirare i controlli che sono imposti dal database stesso.</p> <p><strong>Livello Agent Frameworks</strong>: Le stored procedure fungono da confini degli strumenti. Invece di dare agli agenti accesso SQL arbitrario, definisci le operazioni consentite come procedure e le esponi come strumenti agente. Le query parametrizzate prevengono l&rsquo;iniezione a livello di esecuzione.</p> <p><strong>Livello Evaluation &amp; Observability</strong>: Il logging di audit e Query Store catturano ciò che ogni agente ha effettivamente eseguito — non solo ciò che gli è stato chiesto di fare. Questa tracciabilità è critica per le indagini sugli incidenti nei sistemi agentici dove l&rsquo;attribuzione è complessa.</p> <h2 id="difesa-in-profondità-per-lia-agentiva">Difesa in Profondità per l&rsquo;IA Agentiva</h2> <p>Il principio rimane lo stesso della sicurezza tradizionale: nessun singolo controllo è sufficiente. Ciò che cambia è quali controlli contano di più per gli agenti:</p> <p><strong>Ridurre il raggio d&rsquo;impatto</strong>: i confini degli strumenti delle stored procedure significano che un agente compromesso può eseguire solo operazioni predefinite. Non può passare a query arbitrarie.</p> <p><strong>Osservabilità</strong>: devi essere in grado di rispondere &ldquo;cosa ha fatto esattamente questo agente?&rdquo; dopo un incidente. I sistemi di IA agentiva senza tracciabilità a livello di database hanno punti ciechi che il logging applicativo non copre.</p> <p><strong>Esecuzione vincolata</strong>: parametrizzazione, RLS e DDM sono asset di sicurezza indipendentemente dal fatto che il chiamante sia umano. Non indebolirli per accomodare gli agenti.</p> <p><strong>Responsabilità</strong>: il logging di audit di SQL Server crea un registro di chi (quale agente, con quali credenziali) ha eseguito cosa in quale momento. Questo conta quando i sistemi agentici compiono azioni con conseguenze reali nel mondo.</p> <p>SQL Server 2025 non è stato costruito per risolvere il rischio agentivo in astratto — è stato costruito per essere un database relazionale. Ma la governance che rende affidabile un database enterprise si rivela essere esattamente ciò che rende sicuro un confine di esecuzione degli agenti.</p> <p>Post originale: <a href="https://devblogs.microsoft.com/azure-sql/microsoft-sql-security-across-the-maestro-stack-building-secure-agentic-ai-with-defense-in-depth/">Microsoft SQL Security Across the MAESTRO Stack</a></p>