Servizi cloud Microsoft e sicurezza di reteMicrosoft cloud services and network security

I Servizi cloud Microsoft offrono servizi e infrastruttura su scala elevata, capacità di livello aziendale e molte opzioni per la connettività ibrida.Microsoft cloud services deliver hyper-scale services and infrastructure, enterprise-grade capabilities, and many choices for hybrid connectivity. I clienti possono scegliere di accedere a questi servizi tramite Internet o con Azure ExpressRoute, che offre connettività di rete privata.Customers can choose to access these services either via the Internet or with Azure ExpressRoute, which provides private network connectivity. La piattaforma Microsoft Azure consente ai clienti di estendere con facilità la propria infrastruttura nel cloud e di sviluppare architetture a più livelli.The Microsoft Azure platform allows customers to seamlessly extend their infrastructure into the cloud and build multi-tier architectures. Inoltre, le terze parti possono abilitare capacità avanzate offrendo servizi di sicurezza e appliance virtuali.Additionally, third parties can enable enhanced capabilities by offering security services and virtual appliances. Questo white paper offre una panoramica dei problemi relativi a sicurezza e architettura che i clienti dovrebbero tenere in considerazione quando usano i Servizi cloud Microsoft con accesso tramite ExpressRoute.This white paper provides an overview of security and architectural issues that customers should consider when using Microsoft cloud services accessed via ExpressRoute. Il documento illustra anche come creare servizi più sicuri sulle reti virtuali di Azure.It also covers creating more secure services in Azure virtual networks.

Avvio veloceFast start

Il grafico logico seguente indirizza a un esempio specifico delle numerose tecniche di sicurezza disponibili con la piattaforma Azure.The following logic chart can direct you to a specific example of the many security techniques available with the Azure platform. Per un riferimento rapido, cercare l'esempio più adatto al proprio caso.For quick reference, find the example that best fits your case. Per informazioni complete, proseguire con la lettura del documento.For expanded explanations, continue reading through the paper. 00

Esempio 1: Creare una rete perimetrale (anche nota come DMZ) per proteggere le applicazioni con gruppi di sicurezza di rete (NSG).Example 1: Build a perimeter network (also known as DMZ, demilitarized zone, or screened subnet) to help protect applications with network security groups (NSGs).
Esempio 2: Creare una rete perimetrale per proteggere le applicazioni con un firewall e gruppi di sicurezza di rete. Example 2: Build a perimeter network to help protect applications with a firewall and NSGs.
Esempio 3: Creare una rete perimetrale per proteggere le reti con un firewall, route definite dall'utente (UDR) e gruppi di sicurezza di rete. Example 3: Build a perimeter network to help protect networks with a firewall, user-defined route (UDR), and NSG.
Esempio 4: Aggiungere una connessione ibrida con un'appliance virtuale da sito a sito e con una rete virtuale privata (VPN). Example 4: Add a hybrid connection with a site-to-site, virtual appliance virtual private network (VPN).
Esempio 5: Aggiungere una connessione ibrida con un gateway VPN di Azure da sito a sito. Example 5: Add a hybrid connection with a site-to-site, Azure VPN gateway.
Esempio 6: Aggiungere una connessione ibrida con ExpressRoute. Example 6: Add a hybrid connection with ExpressRoute.
Nei prossimi mesi saranno resi disponibili in questo documento esempi per l'aggiunta di connessioni tra reti virtuali, la disponibilità elevata e il concatenamento dei servizi.Examples for adding connections between virtual networks, high availability, and service chaining will be added to this document over the next few months.

Conformità Microsoft e protezione dell'infrastrutturaMicrosoft compliance and infrastructure protection

Microsoft offre oltre 40 certificazioni e attestazioni che consentono alle organizzazioni di soddisfare i requisiti nazionali, regionali e specifici del settore che regolano la raccolta e l'uso dei dati degli utenti.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals’ data, Microsoft offers over 40 certifications and attestations. Si tratta del set più completo offerto da qualsiasi provider di servizi cloud.The most comprehensive set of any cloud service provider.

Per informazioni dettagliate, vedere le informazioni sulla conformità nel Centro protezione di Microsoft.For more information, see the compliance information on the Microsoft Trust Center.

Microsoft offre un approccio completo per la protezione dell'infrastruttura cloud necessaria per l'esecuzione di servizi globali su scala elevatissima.Microsoft has a comprehensive approach to protect cloud infrastructure needed to run hyper-scale global services. Oltre ai data center fisici, l'infrastruttura cloud Microsoft include hardware, software, reti e personale con mansioni amministrative e operative.Microsoft cloud infrastructure includes hardware, software, networks, and administrative and operations staff, in addition to the physical data centers.

22

Questo tipo di approccio offre ai clienti una base più sicura per distribuire i propri servizi nel cloud Microsoft.This approach provides a more secure foundation for customers to deploy their services in the Microsoft cloud. Il passaggio successivo consiste nella progettazione e nella creazione di un'architettura di sicurezza da parte del cliente per la protezione dei servizi.The next step is for customers to design and create a security architecture to protect these services.

Architetture di sicurezza tradizionali e reti perimetraliTraditional security architectures and perimeter networks

Nonostante gli importanti investimenti Microsoft nella protezione dell'infrastruttura cloud, anche i clienti devono proteggere i propri servizi cloud e i gruppi di risorse.Although Microsoft invests heavily in protecting the cloud infrastructure, customers must also protect their cloud services and resource groups. Un approccio a più livelli per la sicurezza offre la difesa migliore.A multilayered approach to security provides the best defense. Un'area di sicurezza della rete perimetrale protegge le risorse di rete interne da una rete non attendibile.A perimeter network security zone protects internal network resources from an untrusted network. Con rete perimetrale si intendono i perimetri o le parti della rete compresa tra Internet e l'infrastruttura IT aziendale protetta.A perimeter network refers to the edges or parts of the network that sit between the Internet and the protected enterprise IT infrastructure.

Nelle reti aziendali tipiche l'infrastruttura di base viene protetta in modo rilevante nelle aree perimetrali, con più livelli di dispositivi di sicurezza.In typical enterprise networks, the core infrastructure is heavily fortified at the perimeters, with multiple layers of security devices. Il limite di ogni livello è costituito da dispositivi e punti di applicazione dei criteri.The boundary of each layer consists of devices and policy enforcement points. Ogni livello può includere una combinazione dei seguenti dispositivi di sicurezza: firewall, prevenzione di attacchi DDoS (Distributed Denial of Service), sistemi di identificazione delle intrusioni o di protezione (IDS/IPS) e dispositivi VPN.Each layer can include a combination of the following network security devices: firewalls, Denial of Service (DoS) prevention, Intrusion Detection or Protection Systems (IDS/IPS), and VPN devices. L'applicazione dei criteri può essere effettuata tramite criteri del firewall, elenchi di controllo di accesso (ACL) o routing specifico.Policy enforcement can take the form of firewall policies, access control lists (ACLs), or specific routing. La prima linea di difesa della rete, che accetta direttamente traffico in arrivo da Internet, è costituita da una combinazione di questi meccanismi per bloccare gli attacchi e il traffico dannoso, senza impedire al tempo stesso il trasferimento di richieste legittime sulla rete.The first line of defense in the network, directly accepting incoming traffic from the Internet, is a combination of these mechanisms to block attacks and harmful traffic while allowing legitimate requests further into the network. Il traffico si instrada direttamente verso le risorse della rete perimetrale.This traffic routes directly to resources in the perimeter network. La risorsa interessata potrà quindi "comunicare" con risorse più interne della rete, attraversando prima il limite successivo per la convalida.That resource may then “talk” to resources deeper in the network, transiting the next boundary for validation first. Il livello più esterno è definito rete perimetrale perché questa parte della rete è esposta a Internet, in genere con qualche tipo di protezione su entrambi i lati.The outermost layer is called the perimeter network because this part of the network is exposed to the Internet, usually with some form of protection on both sides. La figura seguente illustra un esempio di una rete perimetrale con subnet singola all'interno di una rete aziendale e due limiti di sicurezza.The following figure shows an example of a single subnet perimeter network in a corporate network, with two security boundaries.

33

Per implementare una rete perimetrale vengono usate numerose architetture,There are many architectures used to implement a perimeter network. che possono variare da un semplice servizio di bilanciamento del carico a una rete perimetrale con più subnet dotate di diversi meccanismi in ogni limite per bloccare il traffico e proteggere i livelli più interni della rete aziendale.These architectures can range from a simple load balancer to a multiple-subnet perimeter network with varied mechanisms at each boundary to block traffic and protect the deeper layers of the corporate network. La modalità di costruzione della rete perimetrale dipende dalle esigenze specifiche dell'organizzazione e dalla tolleranza del rischio complessivo ad essa associata.How the perimeter network is built depends on the specific needs of the organization and its overall risk tolerance.

Quando i clienti spostano i propri carichi di lavoro nei cloud pubblici, è essenziale supportare capacità analoghe per l'architettura della rete perimetrale in Azure al fine di soddisfare i requisiti di conformità e sicurezza.As customers move their workloads to public clouds, it is critical to support similar capabilities for perimeter network architecture in Azure to meet compliance and security requirements. Questo documento offre indicazioni su come creare un ambiente di rete sicuro in Azure.This document provides guidelines on how customers can build a secure network environment in Azure. Il documento è incentrato sulla rete perimetrale, ma include anche una discussione approfondita dei numerosi aspetti riguardanti la sicurezza di rete.It focuses on the perimeter network, but also includes a comprehensive discussion of many aspects of network security. La discussione risponde alle domande seguenti:The following questions inform this discussion:

  • Come è possibile creare una rete perimetrale in Azure?How can a perimeter network in Azure be built?
  • Quali sono alcune delle funzionalità di Azure disponibili per la creazione della rete perimetrale?What are some of the Azure features available to build the perimeter network?
  • Come è possibile proteggere i carichi di lavoro back-end?How can back-end workloads be protected?
  • In che modo vengono controllate le comunicazioni Internet per i carichi di lavoro in Azure?How are Internet communications controlled to the workloads in Azure?
  • In che modo è possibile proteggere le reti locali da distribuzioni in Azure?How can the on-premises networks be protected from deployments in Azure?
  • Quando è consigliabile usare le funzionalità di sicurezza native di Azure invece di appliance o servizi di terze parti?When should native Azure security features be used versus third-party appliances or services?

Il diagramma seguente mostra i vari livelli di sicurezza che Azure offre ai clienti.The following diagram shows various layers of security Azure provides to customers. Questi livelli sono costituiti sia da funzionalità native della piattaforma Azure sia da funzionalità definite dal cliente:These layers are both native in the Azure platform itself and customer-defined features:

44

La protezione DDoS protegge il traffico in ingresso da Internet da attacchi su larga scala contro Azure.Inbound from the Internet, Azure DDoS helps protect against large-scale attacks against Azure. Il livello successivo è costituito da indirizzi IP pubblici (endpoint) definiti dall'utente, che vengono usati per determinare il traffico che può passare alla rete virtuale attraverso il servizio cloud.The next layer is customer-defined public IP addresses (endpoints), which are used to determine which traffic can pass through the cloud service to the virtual network. L'isolamento nativo della rete virtuale di Azure assicura l'isolamento completo da tutte le altre reti; consente anche il passaggio del flusso di traffico solo tramite percorsi e metodi configurati dall'utente.Native Azure virtual network isolation ensures complete isolation from all other networks and that traffic only flows through user configured paths and methods. Questi percorsi e metodi costituiscono il livello successivo, in cui è possibile usare NSG, UDR e appliance virtuali di rete per creare limiti di sicurezza e proteggere le distribuzioni delle applicazioni nella rete protetta.These paths and methods are the next layer, where NSGs, UDR, and network virtual appliances can be used to create security boundaries to protect the application deployments in the protected network.

La sezione che segue fornisce una panoramica delle reti virtuali di Azure.The next section provides an overview of Azure virtual networks. Queste reti virtuali di Azure vengono create dai clienti e i carichi di lavoro distribuiti dei clienti sono collegati ad esse.These virtual networks are created by customers, and are what their deployed workloads are connected to. Le reti virtuali sono alla base di tutte le funzionalità di sicurezza di rete necessarie per stabilire una rete perimetrale in grado di proteggere le distribuzioni ai clienti in Azure.Virtual networks are the basis of all the network security features required to establish a perimeter network to protect customer deployments in Azure.

Panoramica delle reti virtuali di AzureOverview of Azure virtual networks

Prima che il traffico Internet possa raggiungere le reti virtuali di Azure, sono disponibili due livelli di sicurezza insiti nella piattaforma Azure:Before Internet traffic can get to the Azure virtual networks, there are two layers of security inherent to the Azure platform:

  1. Protezione DDoS: la protezione DDoS è un livello della rete fisica di Azure che protegge la piattaforma Azure stessa da attacchi su larga scala basati su Internet.DDoS protection: DDoS protection is a layer of the Azure physical network that protects the Azure platform itself from large-scale Internet-based attacks. Per questi attacchi vengono usati più nodi "bot" nel tentativo di sovraccaricare un servizio Internet.These attacks use multiple “bot” nodes in an attempt to overwhelm an Internet service. Azure vanta una solida rete di protezione DDoS su tutta la connettività Internet in ingresso, in uscita e tra le aree di Azure.Azure has a robust DDoS protection mesh on all inbound, outbound, and cross-Azure region connectivity. Questo livello di protezione DDoS non dispone di attributi configurabili dall'utente e non è accessibile al cliente.This DDoS protection layer has no user configurable attributes and is not accessible to the customer. Il livello di protezione DDoS protegge Azure dagli attacchi su larga scala e monitora il traffico in uscita e tra aree di Azure.The DDoS protection layer protects Azure as a platform from large-scale attacks, it also monitors out-bound traffic and cross-Azure region traffic. Usando le appliance di rete virtuali nella rete virtuale, l'utente può configurare livelli di resilienza aggiuntivi per far fronte ad attacchi di scala minore che non attraversano la protezione a livello di piattaforma.Using network virtual appliances on the VNet, additional layers of resilience can be configured by the customer against a smaller scale attack that doesn't trip the platform level protection. Un esempio di DDoS in azione: se un indirizzo IP Internet subisce un attacco DDoS su larga scala, Azure rileva le origini degli attacchi ed elimina il traffico problematico prima che raggiunga la destinazione prevista.An example of DDoS in action; if an internet facing IP address was attacked by a large-scale DDoS attack, Azure would detect the sources of the attacks and scrub the offending traffic before it reached its intended destination. Nella quasi totalità dei casi, l'attacco non ha conseguenze sull'endpoint attaccato.In almost all cases, the attacked endpoint isn't affected by the attack. Nei rari casi in cui un endpoint subisce danni, il traffico diretto agli altri endpoint non viene alterato.In the rare cases that an endpoint is affected, no traffic is affected to other endpoints, only the attacked endpoint. Pertanto altri clienti e servizi non subiranno alcun effetto di tale attacco.Thus other customers and services would see no impact from that attack. È fondamentale notare che il livello DDoS di Azure monitora solo gli attacchi su larga scala.It's critical to note that Azure DDoS is only looking for large-scale attacks. È possibile che il servizio specifico risulti sovraccarico prima che siano superate le soglie di protezione a livello di piattaforma.It is possible that your specific service could be overwhelmed before the platform level protection thresholds are exceeded. Ad esempio, un sito Web in un singolo server IIS A0 potrebbe essere danneggiato da un attacco DDoS prima che la protezione DDoS a livello di piattaforma di Azure rilevi la minaccia.For example, a web site on a single A0 IIS server, could be taken offline by a DDoS attack before Azure platform level DDoS protection registered a threat.

  2. Indirizzi IP pubblici: gli indirizzi IP pubblici (abilitati tramite endpoint del servizio, indirizzi IP pubblici, gateway applicazione e altre funzionalità di Azure che presentano un indirizzo IP pubblico a Internet instradato alla risorsa) consentono ai servizi cloud o ai gruppi di risorse di esporre gli indirizzi IP pubblici e le porte Internet.Public IP Addresses: Public IP addresses (enabled via service endpoints, Public IP addresses, Application Gateway, and other Azure features that present a public IP address to the internet routed to your resource) allow cloud services or resource groups to have public Internet IP addresses and ports exposed. L'endpoint usa il processo NAT (Network Address Translation) per instradare il traffico fino all'indirizzo e alla porta interni nella rete virtuale di Azure.The endpoint uses Network Address Translation (NAT) to route traffic to the internal address and port on the Azure virtual network. È questa la modalità primaria che consente al traffico esterno di passare attraverso la rete virtuale.This path is the primary way for external traffic to pass into the virtual network. Gli indirizzi IP pubblici possono essere configurati per determinare il traffico autorizzato a passare e come/dove viene convertito nella rete virtuale.The Public IP addresses are configurable to determine which traffic is passed in, and how and where it's translated on to the virtual network.

Quando il traffico raggiunge la rete virtuale, sono disponibili molte funzionalità.Once traffic reaches the virtual network, there are many features that come into play. Le reti virtuali di Azure costituiscono la base a cui i clienti collegano i rispettivi carichi di lavoro e a cui si applica la sicurezza a livello di rete di base.Azure virtual networks are the foundation for customers to attach their workloads and where basic network-level security applies. Si tratta di una rete privata (un overlay di rete virtuale) in Azure per i clienti, che offre le funzionalità e le caratteristiche seguenti:It is a private network (a virtual network overlay) in Azure for customers with the following features and characteristics:

  • Isolamento del traffico: una rete virtuale è il limite di isolamento del traffico nella piattaforma Azure.Traffic isolation: A virtual network is the traffic isolation boundary on the Azure platform. Le macchine virtuali (VM) in una rete virtuale non possono comunicare direttamente con le VM in una rete virtuale diversa, anche se entrambe le reti virtuali vengono create dallo stesso cliente.Virtual machines (VMs) in one virtual network cannot communicate directly to VMs in a different virtual network, even if both virtual networks are created by the same customer. L'isolamento è una proprietà essenziale che assicura che le macchine virtuali e le comunicazioni dei clienti rimangano private entro una rete virtuale.Isolation is a critical property that ensures customer VMs and communication remains private within a virtual network.

Nota

L'isolamento del traffico fa riferimento solo al traffico in ingresso verso la rete virtuale.Traffic isolation refers only to traffic inbound to the virtual network. Per impostazione predefinita è consentito il traffico in uscita dalla rete virtuale verso Internet, ma può essere evitato dai gruppi di sicurezza di rete.By default outbound traffic from the VNet to the internet is allowed, but can be prevented if desired by NSGs.

  • Topologia a più livelli: le reti virtuali consentono ai clienti di definire una topologia a più livelli, allocando subnet e designando spazi di indirizzi separati per diversi elementi o "livelli" dei rispettivi carichi di lavoro.Multi-tier topology: Virtual networks allow customers to define multi-tier topology by allocating subnets and designating separate address spaces for different elements or “tiers” of their workloads. Questi raggruppamenti logici e queste topologie consentono ai clienti di definire diversi criteri di accesso in base ai tipi di carico di lavoro e anche di controllare i flussi del traffico tra i livelli.These logical groupings and topologies enable customers to define different access policy based on the workload types, and also control traffic flows between the tiers.
  • Connettività cross-premise: i clienti possono stabilire la connettività cross-premise tra una rete virtuale e più siti locali o altre reti virtuali in Azure.Cross-premises connectivity: Customers can establish cross-premises connectivity between a virtual network and multiple on-premises sites or other virtual networks in Azure. Per creare una connessione, i clienti possono usare il peering reti virtuali, i gateway VPN di Azure, appliance di rete virtuale di terze parti o ExpressRoute.To construct a connection, customers can use VNet Peering, Azure VPN Gateways, third-party network virtual appliances, or ExpressRoute. Azure supporta VPN da sito a sito (S2S, site-to-site) mediante protocolli IPsec/IKE standard e la connettività privata di ExpressRoute.Azure supports site-to-site (S2S) VPNs using standard IPsec/IKE protocols and ExpressRoute private connectivity.
  • Gruppo di sicurezza di rete (NSG) : consente ai clienti di creare regole (ACL) al livello di granularità desiderato, ovvero interfacce di rete, singole VM o subnet virtuali.NSG allows customers to create rules (ACLs) at the desired level of granularity: network interfaces, individual VMs, or virtual subnets. I clienti possono controllare l'accesso autorizzando o negando la comunicazione tra i carichi di lavoro all'interno di una rete virtuale, da sistemi nelle reti dei clienti tramite la connettività cross-premise oppure la comunicazione Internet diretta.Customers can control access by permitting or denying communication between the workloads within a virtual network, from systems on customer’s networks via cross-premises connectivity, or direct Internet communication.
  • La route definite dall'utente e l'inoltro IP consentono ai clienti di definire i percorsi di comunicazione tra livelli diversi all'interno di una rete virtuale.UDR and IP Forwarding allow customers to define the communication paths between different tiers within a virtual network. I clienti possono distribuire un firewall, IDS/IPS e altre appliance virtuali e instradare il traffico di rete attraverso queste appliance di sicurezza per l'applicazione dei criteri relativi ai limiti di sicurezza, il controllo e l'ispezione.Customers can deploy a firewall, IDS/IPS, and other virtual appliances, and route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection.
  • Appliance virtuali di rete in Azure Marketplace: le appliance di sicurezza, ad esempio firewall, servizi di bilanciamento del carico e IDS/IPS, sono disponibili in Azure Marketplace e nella raccolta di immagini delle VM.Network virtual appliances in the Azure Marketplace: Security appliances such as firewalls, load balancers, and IDS/IPS are available in the Azure Marketplace and the VM Image Gallery. I clienti possono distribuire queste appliance nelle proprie reti virtuali e, in particolare, nei propri limiti di sicurezza (incluse le subnet della rete perimetrale) per ottenere un ambiente di rete sicuro a più livelli.Customers can deploy these appliances into their virtual networks, and specifically, at their security boundaries (including the perimeter network subnets) to complete a multi-tiered secure network environment.

Con queste funzionalità e capacità, ad esempio, è possibile creare in Azure l'architettura di rete perimetrale seguente:With these features and capabilities, one example of how a perimeter network architecture could be constructed in Azure is the following diagram:

55

Caratteristiche e requisiti della rete perimetralePerimeter network characteristics and requirements

La rete perimetrale è il front-end della rete e si interfaccia direttamente con le comunicazioni provenienti da Internet.The perimeter network is the front end of the network, directly interfacing communication from the Internet. I pacchetti in ingresso devono attraversare le appliance di sicurezza, ovvero firewall, IDS e IPS, prima di raggiungere i server back-end.The incoming packets should flow through the security appliances, such as the firewall, IDS, and IPS, before reaching the back-end servers. Anche i pacchetti diretti a Internet dai carichi di lavoro possono attraversare le appliance di sicurezza nella rete perimetrale per finalità di applicazione dei criteri, ispezione e controllo, prima di lasciare la rete.Internet-bound packets from the workloads can also flow through the security appliances in the perimeter network for policy enforcement, inspection, and auditing purposes, before leaving the network. Inoltre, la rete perimetrale può essere usata per ospitare gateway VPN cross-premise tra reti virtuali del cliente e reti locali.Additionally, the perimeter network can host cross-premises VPN gateways between customer virtual networks and on-premises networks.

Caratteristiche della rete perimetralePerimeter network characteristics

Con riferimento alla figura precedente, di seguito vengono riportate alcune caratteristiche di una rete perimetrale efficiente:Referencing the previous figure, some of the characteristics of a good perimeter network are as follows:

  • Connessione a Internet:Internet-facing:
    • La subnet perimetrale stessa è rivolta a Internet e comunica direttamente con Internet.The perimeter network subnet itself is Internet-facing, directly communicating with the Internet.
    • Gli indirizzi IP pubblici, gli indirizzi VIP e/o gli endpoint di servizio attraversano il traffico Internet per raggiungere la rete e i dispositivi front-end.Public IP addresses, VIPs, and/or service endpoints pass Internet traffic to the front-end network and devices.
    • Il traffico in ingresso da Internet passa attraverso dispositivi di sicurezza prima di altre risorse sulla rete front-end.Inbound traffic from the Internet passes through security devices before other resources on the front-end network.
    • Se la sicurezza in uscita è abilitata, il traffico attraversa i dispositivi di sicurezza, come passaggio finale, prima di passare a Internet.If outbound security is enabled, traffic passes through security devices, as the final step, before passing to the Internet.
  • Rete protetta:Protected network:
    • Non vi sono percorsi diretti da Internet all'infrastruttura di base.There is no direct path from the Internet to the core infrastructure.
    • I canali verso l'infrastruttura di base devono attraversare i dispositivi di sicurezza, come ad esempio i gruppi di sicurezza di rete, i firewall o i dispositivi VPN.Channels to the core infrastructure must traverse through security devices such as NSGs, firewalls, or VPN devices.
    • Altri dispositivi non devono eseguire il bridging tra Internet e l'infrastruttura di base.Other devices must not bridge Internet and the core infrastructure.
    • I dispositivi di sicurezza nella rete rivolta a Internet e nella rete protetta rivolta ai limiti della rete perimetrale (ad esempio le due icone del firewall presenti nella figura precedente) possono in effetti costituire una singola appliance virtuale con regole o interfacce differenziate per ogni limiteSecurity devices on both the Internet-facing and the protected network facing boundaries of the perimeter network (for example, the two firewall icons shown in the previous figure) may actually be a single virtual appliance with differentiated rules or interfaces for each boundary. (ovvero, un dispositivo fisico, separato logicamente, che gestisce il carico per entrambi i limiti della rete perimetrale).For example, one physical device, logically separated, handling the load for both boundaries of the perimeter network.
  • Altri vincoli e procedure comuni:Other common practices and constraints:
    • I carichi di lavoro non devono archiviare informazioni essenziali per l'azienda.Workloads must not store business critical information.
    • L'accesso e gli aggiornamenti alle configurazioni e alle distribuzioni della rete perimetrale sono limitati solo agli amministratori autorizzati.Access and updates to perimeter network configurations and deployments are limited to only authorized administrators.

Requisiti della rete perimetralePerimeter network requirements

Per abilitare queste caratteristiche, seguire le indicazioni riportate di seguito sui requisiti della rete virtuale necessari per implementare una rete perimetrale efficace:To enable these characteristics, follow these guidelines on virtual network requirements to implement a successful perimeter network:

  • Architettura della subnet: specificare la rete virtuale in modo che un'intera subnet sia dedicata come rete perimetrale, separata da altre subnet nella stessa rete virtuale.Subnet architecture: Specify the virtual network such that an entire subnet is dedicated as the perimeter network, separated from other subnets in the same virtual network. Questa separazione garantisce che il traffico tra la rete perimetrale e altri livelli di subnet interne o private attraversi un firewall o un'appliance virtuale IDS/IPS.This separation ensures the traffic between the perimeter network and other internal or private subnet tiers flows through a firewall or IDS/IPS virtual appliance. Le route definite dall'utente ai limiti delle subnet sono necessarie per inoltrare il traffico all'appliance virtuale.User-defined routes on the boundary subnets are required to forward this traffic to the virtual appliance.
  • Gruppo di sicurezza di rete (NSG): la subnet perimetrale stessa deve essere aperta per consentire le comunicazioni con Internet, ma ciò non significa che i clienti devono ignorare i gruppi di sicurezza di rete.NSG: The perimeter network subnet itself should be open to allow communication with the Internet, but that does not mean customers should be bypassing NSGs. Osservare le procedure di sicurezza comuni per ridurre al minimo l'esposizione a Internet delle superfici di rete.Follow common security practices to minimize the network surfaces exposed to the Internet. Bloccare gli intervalli di indirizzi remoti autorizzati ad accedere alle distribuzioni o i protocolli applicativi specifici e le porte aperte.Lock down the remote address ranges allowed to access the deployments or the specific application protocols and ports that are open. In alcuni casi, tuttavia, non è possibile usare questa procedura.There may be circumstances, however, in which a complete lock-down is not possible. Ad esempio, se i clienti hanno un sito Web esterno in Azure, la rete perimetrale dovrà consentire le richieste Web in ingresso da qualsiasi indirizzo IP pubblico, ma dovrà aprire solo le porte di applicazione Web TCP 80 e/o 443.For example, if customers have an external website in Azure, the perimeter network should allow the incoming web requests from any public IP addresses, but should only open the web application ports: TCP on port 80 and/or TCP on port 443.
  • Tabella di routing : la subnet perimetrale stessa dovrebbe essere in grado di comunicare direttamente con Internet, ma non deve consentire le comunicazioni dirette verso e da il back-end o dalle reti locali senza attraversare un firewall o un'appliance di sicurezza.Routing table: The perimeter network subnet itself should be able to communicate to the Internet directly, but should not allow direct communication to and from the back end or on-premises networks without going through a firewall or security appliance.
  • Configurazione delle appliance di sicurezza: per instradare e ispezionare i pacchetti tra la rete perimetrale e il resto delle reti protette, le appliance di sicurezza, come ad esempio i firewall e i dispositivi IDS e IPS, possono essere multihomed.Security appliance configuration: To route and inspect packets between the perimeter network and the rest of the protected networks, the security appliances such as firewall, IDS, and IPS devices may be multi-homed. Questi dispositivi potrebbero disporre di schede di interfaccia di rete separate per la rete perimetrale e le subnet back-end.They may have separate NICs for the perimeter network and the back-end subnets. Le schede di interfaccia di rete della rete perimetrale comunicano direttamente verso e da Internet, con i gruppi di sicurezza di rete e la tabella di routing della rete perimetrale corrispondenti.The NICs in the perimeter network communicate directly to and from the Internet, with the corresponding NSGs and the perimeter network routing table. Le schede di interfaccia di rete che si connettono alle subnet back-end avranno gruppi di sicurezza di rete e tabelle di routing delle subnet back-end corrispondenti con più restrizioni.The NICs connecting to the back-end subnets have more restricted NSGs and routing tables of the corresponding back-end subnets.
  • Funzionalità dell'appliance di sicurezza: le appliance di sicurezza distribuite nella rete perimetrale offrono in genere le funzionalità seguenti:Security appliance functionality: The security appliances deployed in the perimeter network typically perform the following functionality:
    • Firewall: applicazione delle regole del firewall o dei criteri di controllo di accesso per le richieste in ingresso.Firewall: Enforcing firewall rules or access control policies for the incoming requests.
    • Rilevamento e prevenzione delle minacce: rilevamento e mitigazione degli attacchi dannosi provenienti da Internet.Threat detection and prevention: Detecting and mitigating malicious attacks from the Internet.
    • Controllo e registrazione: gestione di log dettagliati per il controllo e l'analisi.Auditing and logging: Maintaining detailed logs for auditing and analysis.
    • Proxy inverso: reindirizzamento delle richieste in ingresso verso i server back-end corrispondenti.Reverse proxy: Redirecting the incoming requests to the corresponding back-end servers. Questo reindirizzamento comporta il mapping e la conversione degli indirizzi di destinazione nei dispositivi front-end, in genere firewall, verso gli indirizzi dei server back-end.This redirection involves mapping and translating the destination addresses on the front-end devices, typically firewalls, to the back-end server addresses.
    • Proxy di inoltro: processi NAT ed esecuzione di controlli per le comunicazioni avviate dall'interno della rete virtuale verso Internet.Forward proxy: Providing NAT and performing auditing for communication initiated from within the virtual network to the Internet.
    • Router: inoltro del traffico in ingresso e tra le subnet all'interno della rete virtuale.Router: Forwarding incoming and cross-subnet traffic inside the virtual network.
    • Dispositivo VPN: funzione di gateway VPN cross-premise per la connettività VPN cross-premise tra le reti locali dei clienti e le reti virtuali di Azure.VPN device: Acting as the cross-premises VPN gateways for cross-premises VPN connectivity between customer on-premises networks and Azure virtual networks.
    • Server VPN: accettazione dei client VPN che si connettono alle reti virtuali di Azure.VPN server: Accepting VPN clients connecting to Azure virtual networks.

Suggerimento

Mantenere i seguenti due gruppi separati: gli individui autorizzati ad accedere ai dispositivi di sicurezza della rete perimetrale e gli individui autorizzati come amministratori per lo sviluppo, la distribuzione e le operazioni sulle applicazioni.Keep the following two groups separate: the individuals authorized to access the perimeter network security gear and the individuals authorized as application development, deployment, or operations administrators. Se si mantengono separati questi gruppi, sarà possibile separare nettamente i compiti e impedire a una singola persona di ignorare i controlli di sicurezza delle applicazioni e della rete.Keeping these groups separate allows for a segregation of duties and prevents a single person from bypassing both applications security and network security controls.

Domande da porre durante la creazione dei limiti della reteQuestions to be asked when building network boundaries

In questa sezione, se non espressamente specificato, il termine "reti" si riferisce a reti private virtuali di Azure create da un amministratore della sottoscrizione.In this section, unless specifically mentioned, the term "networks" refers to private Azure virtual networks created by a subscription administrator. Il termine non fa riferimento a reti fisiche sottostanti all'interno di Azure.The term doesn't refer to the underlying physical networks within Azure.

Le reti virtuali di Azure, inoltre, vengono usate spesso per estendere reti locali tradizionali.Also, Azure virtual networks are often used to extend traditional on-premises networks. È possibile incorporare soluzioni di rete ibride da sito a sito o ExpressRoute con le architetture della rete perimetrale.It is possible to incorporate either site-to-site or ExpressRoute hybrid networking solutions with perimeter network architectures. Questo collegamento ibrido è un fattore da tenere in considerazione durante la creazione dei limiti di sicurezza della rete.This hybrid link is an important consideration in building network security boundaries.

Le tre domande che seguono sono fondamentali per la creazione di una rete con una rete perimetrale e numerosi limiti di sicurezza.The following three questions are critical to answer when you're building a network with a perimeter network and multiple security boundaries.

1) Quanti limiti servono?1) How many boundaries are needed?

Il primo punto di decisione consiste nel decidere il numero di limiti di sicurezza necessari in un determinato scenario:The first decision point is to decide how many security boundaries are needed in a given scenario:

  • Un singolo limite: un limite nella rete perimetrale front-end tra la rete virtuale e Internet.A single boundary: One on the front-end perimeter network, between the virtual network and the Internet.
  • Due limiti: uno sul lato Internet della rete perimetrale, un altro tra la subnet perimetrale e le subnet back-end nelle reti virtuali di Azure.Two boundaries: One on the Internet side of the perimeter network, and another between the perimeter network subnet and the back-end subnets in the Azure virtual networks.
  • Tre limiti: uno sul lato Internet della rete perimetrale, un altro tra la subnet perimetrale e le subnet back-end e l'ultimo tra le subnet back-end e la rete locale.Three boundaries: One on the Internet side of the perimeter network, one between the perimeter network and back-end subnets, and one between the back-end subnets and the on-premises network.
  • Numero di limiti: variabile.N boundaries: A variable number. In base ai requisiti di sicurezza, non è prevista alcuna restrizione al numero di limiti di sicurezza applicabili in una determinata rete.Depending on security requirements, there is no limit to the number of security boundaries that can be applied in a given network.

Il numero e il tipo di limiti necessari dipende dalla tolleranza del rischio dell'azienda e dallo scenario specifico da implementare.The number and type of boundaries needed vary based on a company’s risk tolerance and the specific scenario being implemented. Si tratta spesso di una decisione comune presa da più gruppi di un'organizzazione, spesso in collaborazione con un team responsabile dei rischi e della conformità, un team responsabile della rete e della piattaforma e un team responsabile dello sviluppo di applicazioni.This decision is often made together with multiple groups within an organization, often including a risk and compliance team, a network and platform team, and an application development team. Le persone esperte in ambito di sicurezza, dei dati coinvolti e delle tecnologie da usare dovrebbero poter partecipare a questa decisione, per assicurare la strategia di sicurezza appropriata per ogni implementazione.People with knowledge of security, the data involved, and the technologies being used should have a say in this decision to ensure the appropriate security stance for each implementation.

Suggerimento

Usare il numero minore possibile di limiti in grado di soddisfare i requisiti di sicurezza per una determinata situazione.Use the smallest number of boundaries that satisfy the security requirements for a given situation. Un numero maggiore di limiti può rendere più difficili le operazioni e la risoluzione dei problemi, oltre a incrementare il sovraccarico di gestione correlato alla gestione di più criteri di limite nel tempo.With more boundaries, operations and troubleshooting can be more difficult, as well as the management overhead involved with managing the multiple boundary policies over time. Un numero insufficiente di limiti, tuttavia, comporta un aumento del rischio.However, insufficient boundaries increase risk. È essenziale trovare il giusto equilibrio.Finding the balance is critical.

66

La figura precedente mostra una visualizzazione generale di una rete con tre limiti di sicurezza.The preceding figure shows a high-level view of a three security boundary network. I limiti sono posizionati tra la rete perimetrale e Internet, tra le subnet private front-end e back-end di Azure e tra la subnet back-end di Azure e la rete aziendale locale.The boundaries are between the perimeter network and the Internet, the Azure front-end and back-end private subnets, and the Azure back-end subnet and the on-premises corporate network.

2) Dove sono situati i limiti?2) Where are the boundaries located?

Dopo avere stabilito il numero di limiti, occorre determinare dove implementarli.Once the number of boundaries are decided, where to implement them is the next decision point. In genere, sono disponibili tre opzioni:There are generally three choices:

  • Usare un servizio intermediario basato su Internet (ad esempio, un Web application firewall basato su cloud, non trattato in questo documento)Using an Internet-based intermediary service (for example, a cloud-based Web application firewall, which is not discussed in this document)
  • Usare funzionalità native e/o appliance virtuali di rete in AzureUsing native features and/or network virtual appliances in Azure
  • Usare dispositivi fisici nella rete localeUsing physical devices on the on-premises network

In reti puramente Azure le opzioni disponibili sono le funzionalità di Azure native (ad esempio i servizi di bilanciamento del carico di Azure) oppure le appliance virtuali di rete presenti nel ricco ecosistema di partner di Azure (ad esempio i firewall Check Point).On purely Azure networks, the options are native Azure features (for example, Azure Load Balancers) or network virtual appliances from the rich partner ecosystem of Azure (for example, Check Point firewalls).

Se è necessario impostare un limite tra Azure e una rete locale, le appliance di sicurezza possono trovarsi su un qualsiasi lato della connessione (o su entrambi i lati).If a boundary is needed between Azure and an on-premises network, the security devices can reside on either side of the connection (or both sides). È quindi necessario stabilire in che posizione inserire i dispositivi di sicurezza.Thus a decision must be made on the location to place security gear.

Nella figura precedente i limiti da Internet alla rete perimetrale e dal front-end sono inclusi interamente in Azure e devono essere funzionalità native di Azure o appliance virtuali di rete.In the previous figure, the Internet-to-perimeter network and the front-to-back-end boundaries are entirely contained within Azure, and must be either native Azure features or network virtual appliances. Le appliance di sicurezza sul limite tra Azure (subnet back-end) e la rete aziendale possono essere sul lato Azure o sul lato locale oppure è possibile usare una combinazione di appliance su entrambi i lati.Security devices on the boundary between Azure (back-end subnet) and the corporate network could be either on the Azure side or the on-premises side, or even a combination of devices on both sides. Occorre valutare con attenzione i vantaggi e gli svantaggi significativi di entrambe le opzioni.There can be significant advantages and disadvantages to either option that must be seriously considered.

Ad esempio, l'uso dei dispositivi fisici di sicurezza esistenti sulla rete locale consente di non usare necessariamente nuovi dispositivi.For example, using existing physical security gear on the on-premises network side has the advantage that no new gear is needed. È sufficiente la riconfigurazione dei dispositivi esistenti.It just needs reconfiguration. Di contro, tutto il traffico deve tornare da Azure alla rete locale per potere essere visualizzato dal dispositivo di sicurezza.The disadvantage, however, is that all traffic must come back from Azure to the on-premises network to be seen by the security gear. Il traffico da Azure ad Azure potrebbe quindi subire una latenza significativa e influire sulle prestazioni delle applicazioni e sull'esperienza utente, se ne è stato imposto il ritorno alla rete locale tramite l'applicazione dei criteri di sicurezza.Thus Azure-to-Azure traffic could incur significant latency, and affect application performance and user experience, if it was forced back to the on-premises network for security policy enforcement.

3) In che modo vengono implementati i limiti?3) How are the boundaries implemented?

È probabile che per ogni limite di sicurezza siano previsti requisiti di capacità diversi (ad esempio regole per IDS e firewall sul lato Internet della rete perimetrale, ma solo elenchi di controllo di accesso tra la rete perimetrale e la subnet back-end).Each security boundary will likely have different capability requirements (for example, IDS and firewall rules on the Internet side of the perimeter network, but only ACLs between the perimeter network and back-end subnet). La decisione relativa a quali o quanti dispositivi usare dipende dallo scenario e dai requisiti di sicurezza.Deciding on which device (or how many devices) to use depends on the scenario and security requirements. Nella sezione seguente, gli esempi 1, 2 e 3 illustrano alcune opzioni che possono essere utilizzate.In the following section, examples 1, 2, and 3 discuss some options that could be used. La verifica delle funzionalità di rete native di Azure e dei dispositivi disponibili in Azure dall'ecosistema partner mette in luce le numerosissime opzioni disponibili per risolvere quasi tutti gli scenari.Reviewing the Azure native network features and the devices available in Azure from the partner ecosystem shows the myriad options available to solve virtually any scenario.

Un altro punto di decisione essenziale per l'implementazione consiste nella modalità di connessione della rete locale con Azure.Another key implementation decision point is how to connect the on-premises network with Azure. Sarebbe opportuno usare il gateway virtuale di Azure o un'appliance virtuale di rete?Should you use the Azure virtual gateway or a network virtual appliance? Nella seguente sezione vengono illustrate nel dettaglio queste opzioni (esempi 4, 5 e 6).These options are discussed in greater detail in the following section (examples 4, 5, and 6).

Inoltre, potrebbe essere necessario consultare informazioni sul traffico tra reti virtuali all'interno di Azure.Additionally, traffic between virtual networks within Azure may be needed. Questi scenari verranno aggiunti in futuro.These scenarios will be added in the future.

Una volta ricevute le risposte alle domande precedenti, la sezione Avvio veloce può semplificare l'identificazione degli esempi più appropriati per un particolare scenario.Once you know the answers to the previous questions, the Fast Start section can help identify which examples are most appropriate for a given scenario.

Esempi: Creare limiti di sicurezza con le reti virtuali di AzureExamples: Building security boundaries with Azure virtual networks

Esempio 1: Creare una rete perimetrale per proteggere le applicazioni con i gruppi di sicurezza di reteExample 1 Build a perimeter network to help protect applications with NSGs

Torna all'avvio veloce | Istruzioni di creazione dettagliate per questo esempioBack to Fast start | Detailed build instructions for this example

77

Descrizione dell'ambienteEnvironment description

In questo esempio è presente una sottoscrizione che include le risorse seguenti:In this example, there is a subscription that contains the following resources:

  • Un unico gruppo di risorseA single resource group
  • Una rete virtuale con due subnet: front-end e back-endA virtual network with two subnets: “FrontEnd” and “BackEnd”
  • Un gruppo di sicurezza di rete applicato a entrambe le subnetA Network Security Group that is applied to both subnets
  • Un server Windows che rappresenta un server Web applicazioni ("IIS01")A Windows server that represents an application web server (“IIS01”)
  • Due server Windows che rappresentano server back-end applicazioni ("AppVM01", "AppVM02")Two Windows servers that represent application back-end servers (“AppVM01”, “AppVM02”)
  • Un server Windows che rappresenta un server DNS ("DNS01")A Windows server that represents a DNS server (“DNS01”)
  • Un IP pubblico associato al server Web dell'applicazioneA public IP associated with the application web server

Per gli script e un modello di Azure Resource Manager, vedere le istruzioni di creazione dettagliate.For scripts and an Azure Resource Manager template, see the detailed build instructions.

Descrizione di un gruppo di sicurezza di reteNSG description

In questo esempio viene creato un gruppo di sicurezza di rete, in cui vengono poi caricate sei regole.In this example, an NSG group is built and then loaded with six rules.

Suggerimento

In genere, è consigliabile creare prima di tutto le regole specifiche di tipo "Consenti" e infine le regole di tipo "Nega", più generiche.Generally speaking, you should create your specific “Allow” rules first, followed by the more generic “Deny” rules. La priorità assegnata determina quali regole vengono valutate per prime.The given priority dictates which rules are evaluated first. Quando si rileva che al traffico è applicabile una determinata regola, non vengono valutate altre regole.Once traffic is found to apply to a specific rule, no further rules are evaluated. Le regole del gruppo di sicurezza di rete possono essere applicate nella direzione in ingresso o in uscita (dal punto di vista della subnet).NSG rules can apply in either the inbound or outbound direction (from the perspective of the subnet).

A livello dichiarativo, per il traffico in ingresso vengono create le righe seguenti:Declaratively, the following rules are being built for inbound traffic:

  1. Il traffico DNS interno (porta 53) è consentito.Internal DNS traffic (port 53) is allowed.
  2. Il traffico RDP (porta 3389) da Internet a qualsiasi macchina virtuale è consentito.RDP traffic (port 3389) from the Internet to any Virtual Machine is allowed.
  3. Il traffico HTTP (porta 80) da Internet al server Web (IIS01) è consentito.HTTP traffic (port 80) from the Internet to web server (IIS01) is allowed.
  4. Tutto il traffico (tutte le porte) da IIS01 ad AppVM1 è consentito.Any traffic (all ports) from IIS01 to AppVM1 is allowed.
  5. Tutto il traffico (tutte le porte) da Internet all'intera rete virtuale (entrambe le subnet) viene bloccato.Any traffic (all ports) from the Internet to the entire virtual network (both subnets) is denied.
  6. Tutto il traffico (tutte le porte) dalla subnet front-end alla subnet back-end viene bloccato.Any traffic (all ports) from the front-end subnet to the back-end subnet is denied.

Con queste regole associate a ogni subnet, se una richiesta HTTP proviene da Internet verso il server Web, entrambe le regole 3 (consenti) e 5 (nega) saranno applicabili.With these rules bound to each subnet, if an HTTP request was inbound from the Internet to the web server, both rules 3 (allow) and 5 (deny) would apply. Tuttavia, poiché la regola 3 ha una priorità maggiore, verrà applicata solo tale regola e la regola 5 non verrà presa in considerazione.But because rule 3 has a higher priority, only it would apply, and rule 5 would not come into play. La richiesta HTTP verrà quindi consentita sul server Web.Thus the HTTP request would be allowed to the web server. Se lo stesso traffico prova a raggiungere il server DNS01, la regola 5 (nega) sarà la prima applicabile e il traffico non sarà autorizzato a passare al server.If that same traffic was trying to reach the DNS01 server, rule 5 (deny) would be the first to apply, and the traffic would not be allowed to pass to the server. La regola 6 (nega) blocca la comunicazione tra la subnet front-end e la subnet back-end (ad eccezione del traffico consentito nelle regole 1 e 4).Rule 6 (deny) blocks the front-end subnet from talking to the back-end subnet (except for allowed traffic in rules 1 and 4). L'insieme di regole consente di proteggere la rete di back-end nel caso in cui un utente malintenzionato comprometta l'applicazione Web sul front-end.This rule-set protects the back-end network in case an attacker compromises the web application on the front end. L'utente malintenzionato potrebbe disporre di accesso limitato alla rete di back-end "protetta" (solo verso risorse esposte sul server AppVM01).The attacker would have limited access to the back-end “protected” network (only to resources exposed on the AppVM01 server).

Esiste una regola in uscita predefinita che consente il traffico in uscita verso Internet.There is a default outbound rule that allows traffic out to the Internet. Per questo esempio si consente il traffico in uscita e non si modificano le regole in uscita.For this example, we’re allowing outbound traffic and not modifying any outbound rules. Per bloccare il traffico in entrambe le direzioni, è necessario il routing definito dall'utente (consultare l'esempio 3).To lock down traffic in both directions, user-defined routing is required (see example 3).

ConclusioniConclusion

Questo esempio consente di isolare la subnet back-end dal traffico in ingresso in un modo semplice e diretto.This example is a relatively simple and straightforward way of isolating the back-end subnet from inbound traffic. Per altre informazioni, vedere le istruzioni di creazione dettagliate.For more information, see the detailed build instructions. Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale con script di PowerShell classico.How to build this perimeter network with classic PowerShell scripts.
  • Come creare la rete perimetrale con un modello di Azure Resource ManagerHow to build this perimeter network with an Azure Resource Manager template.
  • Descrizioni dettagliate di ogni comando del gruppo di sicurezza di reteDetailed descriptions of each NSG command.
  • Scenari dettagliati del flusso di traffico che illustrano il modo in cui il traffico viene consentito o negato su ogni livelloDetailed traffic flow scenarios, showing how traffic is allowed or denied in each layer.

Esempio 2: Creare una rete perimetrale per proteggere le applicazioni con un firewall e gruppi di sicurezza di reteExample 2 Build a perimeter network to help protect applications with a firewall and NSGs

Torna all'avvio veloce | Istruzioni di creazione dettagliate per questo esempioBack to Fast start | Detailed build instructions for this example

88

Descrizione dell'ambienteEnvironment description

In questo esempio è presente una sottoscrizione che include le risorse seguenti:In this example, there is a subscription that contains the following resources:

  • Un unico gruppo di risorseA single resource group
  • Una rete virtuale con due subnet: front-end e back-endA virtual network with two subnets: “FrontEnd” and “BackEnd”
  • Un gruppo di sicurezza di rete applicato a entrambe le subnetA Network Security Group that is applied to both subnets
  • Un'appliance virtuale di rete, in questo caso un firewall connesso alla subnet front-endA network virtual appliance, in this case a firewall, connected to the front-end subnet
  • Un server Windows che rappresenta un server Web applicazioni ("IIS01")A Windows server that represents an application web server (“IIS01”)
  • Due server Windows che rappresentano server back-end applicazioni ("AppVM01", "AppVM02")Two Windows servers that represent application back-end servers (“AppVM01”, “AppVM02”)
  • Un server Windows che rappresenta un server DNS ("DNS01")A Windows server that represents a DNS server (“DNS01”)

Per gli script e un modello di Azure Resource Manager, vedere le istruzioni di creazione dettagliate.For scripts and an Azure Resource Manager template, see the detailed build instructions.

Descrizione di un gruppo di sicurezza di reteNSG description

In questo esempio viene creato un gruppo di sicurezza di rete, in cui vengono poi caricate sei regole.In this example, an NSG group is built and then loaded with six rules.

Suggerimento

In genere, è consigliabile creare prima di tutto le regole specifiche di tipo "Consenti" e infine le regole di tipo "Nega", più generiche.Generally speaking, you should create your specific “Allow” rules first, followed by the more generic “Deny” rules. La priorità assegnata determina quali regole vengono valutate per prime.The given priority dictates which rules are evaluated first. Quando si rileva che al traffico è applicabile una determinata regola, non vengono valutate altre regole.Once traffic is found to apply to a specific rule, no further rules are evaluated. Le regole del gruppo di sicurezza di rete possono essere applicate nella direzione in ingresso o in uscita (dal punto di vista della subnet).NSG rules can apply in either the inbound or outbound direction (from the perspective of the subnet).

A livello dichiarativo, per il traffico in ingresso vengono create le righe seguenti:Declaratively, the following rules are being built for inbound traffic:

  1. Il traffico DNS interno (porta 53) è consentito.Internal DNS traffic (port 53) is allowed.
  2. Il traffico RDP (porta 3389) da Internet a qualsiasi macchina virtuale è consentito.RDP traffic (port 3389) from the Internet to any Virtual Machine is allowed.
  3. Tutto il traffico Internet (tutte le porte) verso l'appliance virtuale di rete (firewall) è consentito.Any Internet traffic (all ports) to the network virtual appliance (firewall) is allowed.
  4. Tutto il traffico (tutte le porte) da IIS01 ad AppVM1 è consentito.Any traffic (all ports) from IIS01 to AppVM1 is allowed.
  5. Tutto il traffico (tutte le porte) da Internet all'intera rete virtuale (entrambe le subnet) viene bloccato.Any traffic (all ports) from the Internet to the entire virtual network (both subnets) is denied.
  6. Tutto il traffico (tutte le porte) dalla subnet front-end alla subnet back-end viene bloccato.Any traffic (all ports) from the front-end subnet to the back-end subnet is denied.

Con queste regole associate a ogni subnet, se una richiesta HTTP proviene da Internet verso il firewall, le regole 3 (consenti) e 5 (nega) saranno applicabili,With these rules bound to each subnet, if an HTTP request was inbound from the Internet to the firewall, both rules 3 (allow) and 5 (deny) would apply. Tuttavia, poiché la regola 3 ha una priorità maggiore, verrà applicata solo tale regola e la regola 5 non verrà presa in considerazione.But because rule 3 has a higher priority, only it would apply, and rule 5 would not come into play. La richiesta HTTP verrà quindi consentita sul firewall.Thus the HTTP request would be allowed to the firewall. Se lo stesso traffico prova a raggiungere il server IIS01, anche se si trova sulla subnet front-end, la regola 5 (nega) verrà applicata e il traffico non sarà autorizzato a passare al server.If that same traffic was trying to reach the IIS01 server, even though it’s on the front-end subnet, rule 5 (deny) would apply, and the traffic would not be allowed to pass to the server. La regola 6 (nega) blocca la comunicazione tra la subnet front-end e la subnet back-end (ad eccezione del traffico consentito nelle regole 1 e 4).Rule 6 (deny) blocks the front-end subnet from talking to the back-end subnet (except for allowed traffic in rules 1 and 4). L'insieme di regole consente di proteggere la rete di back-end nel caso in cui un utente malintenzionato comprometta l'applicazione Web sul front-end.This rule-set protects the back-end network in case an attacker compromises the web application on the front end. L'utente malintenzionato potrebbe disporre di accesso limitato alla rete di back-end "protetta" (solo verso risorse esposte sul server AppVM01).The attacker would have limited access to the back-end “protected” network (only to resources exposed on the AppVM01 server).

Esiste una regola in uscita predefinita che consente il traffico in uscita verso Internet.There is a default outbound rule that allows traffic out to the Internet. Per questo esempio si consente il traffico in uscita e non si modificano le regole in uscita.For this example, we’re allowing outbound traffic and not modifying any outbound rules. Per bloccare il traffico in entrambe le direzioni, è necessario il routing definito dall'utente (consultare l'esempio 3).To lock down traffic in both directions, user-defined routing is required (see example 3).

Descrizione della regola del firewallFirewall rule description

Sul firewall è necessario creare regole di inoltro.On the firewall, forwarding rules should be created. Poiché questo esempio instrada solo il traffico Internet in ingresso verso il firewall e quindi verso il server Web, sarà necessaria solo una regola del processo NAT (Network Address Translation) di inoltro.Since this example only routes Internet traffic in-bound to the firewall and then to the web server, only one forwarding network address translation (NAT) rule is needed.

La regola di inoltro accetterà qualsiasi indirizzo di origine in ingresso che raggiunge il firewall nel tentativo di raggiungere HTTP (porta 80 o 443 per HTTPS).The forwarding rule accepts any inbound source address that hits the firewall trying to reach HTTP (port 80 or 443 for HTTPS). Gli indirizzi verranno trasmessi all'interfaccia locale del firewall e reindirizzati al server Web con indirizzo IP 10.0.1.5.It's sent out of the firewall’s local interface and redirected to the web server with the IP Address of 10.0.1.5.

ConclusioniConclusion

Questo esempio rappresenta un metodo relativamente semplice per proteggere l'applicazione con un firewall e isolare la subnet back-end dal traffico in ingresso.This example is a relatively straightforward way of protecting your application with a firewall and isolating the back-end subnet from inbound traffic. Per altre informazioni, vedere le istruzioni di creazione dettagliate.For more information, see the detailed build instructions. Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale con script di PowerShell classico.How to build this perimeter network with classic PowerShell scripts.
  • Come creare la rete perimetrale di esempio con un modello di Azure Resource ManagerHow to build this example with an Azure Resource Manager template.
  • Descrizioni dettagliate di ogni comando del gruppo di sicurezza di rete e di ogni regola del firewallDetailed descriptions of each NSG command and firewall rule.
  • Scenari dettagliati del flusso di traffico che illustrano il modo in cui il traffico viene consentito o negato su ogni livelloDetailed traffic flow scenarios, showing how traffic is allowed or denied in each layer.

Esempio 3: Creare una rete perimetrale per proteggere le reti con un firewall, route definite dall'utente e gruppi di sicurezza di reteExample 3 Build a perimeter network to help protect networks with a firewall and UDR and NSG

Torna all'avvio veloce | Istruzioni di creazione dettagliate per questo esempioBack to Fast start | Detailed build instructions for this example

99

Descrizione dell'ambienteEnvironment description

In questo esempio è presente una sottoscrizione che include le risorse seguenti:In this example, there is a subscription that contains the following resources:

  • Un unico gruppo di risorseA single resource group
  • Una rete virtuale con tre subnet: "SecNet", "FrontEnd" e "BackEnd"A virtual network with three subnets: “SecNet”, “FrontEnd”, and “BackEnd”
  • Un'appliance virtuale di rete, in questo caso un firewall connesso alla subnet "SecNet"A network virtual appliance, in this case a firewall, connected to the SecNet subnet
  • Un server Windows che rappresenta un server Web applicazioni ("IIS01")A Windows server that represents an application web server (“IIS01”)
  • Due server Windows che rappresentano server back-end applicazioni ("AppVM01", "AppVM02")Two Windows servers that represent application back-end servers (“AppVM01”, “AppVM02”)
  • Un server Windows che rappresenta un server DNS ("DNS01")A Windows server that represents a DNS server (“DNS01”)

Per gli script e un modello di Azure Resource Manager, vedere le istruzioni di creazione dettagliate.For scripts and an Azure Resource Manager template, see the detailed build instructions.

Descrizione delle route definite dall'utente (UDR)UDR description

Per impostazione predefinita, le route di sistema seguenti sono definite in questo modo:By default, the following system routes are defined as:

    Effective routes :
     Address Prefix    Next hop type    Next hop IP address Status   Source     
     --------------    -------------    ------------------- ------   ------     
     {10.0.0.0/16}     VNETLocal                            Active   Default    
     {0.0.0.0/0}       Internet                             Active   Default    
     {10.0.0.0/8}      Null                                 Active   Default    
     {100.64.0.0/10}   Null                                 Active   Default    
     {172.16.0.0/12}   Null                                 Active   Default    
     {192.168.0.0/16}  Null                                 Active   Default

VNETLocal è sempre uno dei prefissi degli indirizzi definiti della rete virtuale per la rete specifica (ovvero, cambia da una rete virtuale all'altra, a seconda della definizione di ogni specifica rete virtuale).The VNETLocal is always one or more defined address prefixes that make up the virtual network for that specific network (that is, it changes from virtual network to virtual network, depending on how each specific virtual network is defined). Le route di sistema rimanenti sono statiche e predefinite come indicato nella tabella.The remaining system routes are static and default as indicated in the table.

In questo esempio vengono create due tabelle di routing, una per la subnet front-end e una per la subnet back-end.In this example, two routing tables are created, one each for the front-end and back-end subnets. In ogni tabella vengono caricate le route statiche appropriate per la subnet specifica.Each table is loaded with static routes appropriate for the given subnet. In questo esempio, ogni tabella contiene tre route che indirizzano tutto il traffico (0.0.0.0/0) attraverso il firewall (hop successivo = indirizzo IP dell'appliance virtuale):In this example, each table has three routes that direct all traffic (0.0.0.0/0) through the firewall (Next hop = Virtual Appliance IP address):

  1. Traffico della subnet locale senza la definizione di un hop successivo per consentire al traffico della subnet locale di ignorare il firewall.Local subnet traffic with no Next Hop defined to allow local subnet traffic to bypass the firewall.
  2. Traffico della rete virtuale con la definizione di un hop successivo come firewall,Virtual network traffic with a Next Hop defined as firewall. in modo da eseguire l'override della regola predefinita che consente l'indirizzamento diretto del traffico della rete virtuale locale.This next hop overrides the default rule that allows local virtual network traffic to route directly.
  3. Tutto il traffico rimanente (0/0) con un hop successivo definito come firewall.All remaining traffic (0/0) with a Next Hop defined as the firewall.

Suggerimento

Se la voce della rete locale non è presente nella route definita dall'utente, verranno interrotte le comunicazioni con la subnet locale.Not having the local subnet entry in the UDR breaks local subnet communications.

  • Nel nostro esempio, è fondamentale che 10.0.1.0/24 punti a VNETLocal.In our example, 10.0.1.0/24 pointing to VNETLocal is critical! In caso contrario, il pacchetto in uscita dal server Web (10.0.1.4) e destinato a un altro server locale, ad esempio 10.0.1.25, verrà inviato all'appliance virtuale di rete,Without it, packet leaving the Web Server (10.0.1.4) destined to another local server (for example) 10.0.1.25 will fail as they will be sent to the NVA. la quale provvederà a inviarlo alla subnet, che a sua volta lo reinvierà all'appliance virtuale di rete, generando un loop infinito.The NVA will send it to the subnet, and the subnet will resend it to the NVA in an infinite loop.
  • Le possibilità di un loop di routing in genere sono maggiori nelle appliance a più NIC direttamente connesse a diverse subnet, come di solito accade per le appliance tradizionali locali.The chances of a routing loop are typically higher on appliances with multiple NICs that are connected to separate subnets, which is often of traditional, on-premises appliances.

Dopo la creazione, le tabelle di routing vengono associate alle rispettive subnet.Once the routing tables are created, they must be bound to their subnets. Dopo la creazione e l'associazione alla subnet, la tabella di routing della subnet front-end avrà un aspetto analogo al seguente:The front-end subnet routing table, once created and bound to the subnet, would look like this output:

    Effective routes :
     Address Prefix    Next hop type    Next hop IP address Status   Source     
     --------------    -------------    ------------------- ------   ------     
     {10.0.1.0/24}     VNETLocal                            Active
     {10.0.0.0/16}     VirtualAppliance 10.0.0.4            Active    
     {0.0.0.0/0}       VirtualAppliance 10.0.0.4            Active

Nota

La route definita dall'utente ora può essere applicata alla subnet del gateway a cui è connesso il circuito ExpressRoute.UDR can now be applied to the gateway subnet on which the ExpressRoute circuit is connected.

Negli esempi 3 e 4 sono illustrate le modalità per abilitare la rete perimetrale con la rete da sito a sito o con ExpressRoute.Examples of how to enable your perimeter network with ExpressRoute or site-to-site networking are shown in examples 3 and 4.

Descrizione dell'inoltro IPIP Forwarding description

L'inoltro IP è una funzionalità complementare delle route definite dall'utente.IP Forwarding is a companion feature to UDR. Si tratta di un'impostazione in un'appliance virtuale che consente al dispositivo di ricevere traffico non indirizzato in modo specifico allo stesso e quindi di inoltrare il traffico alla destinazione finale.IP Forwarding is a setting on a virtual appliance that allows it to receive traffic not specifically addressed to the appliance, and then forward that traffic to its ultimate destination.

Ad esempio, se il traffico da AppVM01 esegue una richiesta al server DNS01, le route definite dall'utente instraderanno tale richiesta al firewall.For example, if AppVM01 makes a request to the DNS01 server, UDR would route this traffic to the firewall. Se l'inoltro IP è abilitato, il traffico per la destinazione DNS01 (10.0.2.4) viene accettato dall'appliance (10.0.0.4) e quindi inoltrato alla destinazione finale (10.0.2.4).With IP Forwarding enabled, the traffic for the DNS01 destination (10.0.2.4) is accepted by the appliance (10.0.0.4) and then forwarded to its ultimate destination (10.0.2.4). Se l'inoltro IP non è abilitato sul firewall, il traffico non verrà accettato dall'appliance, anche se la tabella di route specifica il firewall come hop successivo.Without IP Forwarding enabled on the firewall, traffic would not be accepted by the appliance even though the route table has the firewall as the next hop. Per usare un'appliance virtuale, è essenziale ricordare di abilitare l'inoltro IP insieme alle route definite dall'utente.To use a virtual appliance, it’s critical to remember to enable IP Forwarding along with UDR.

Descrizione di un gruppo di sicurezza di reteNSG description

In questo esempio viene creato un gruppo di sicurezza di rete, in cui viene poi caricata una singola regola.In this example, an NSG group is built and then loaded with a single rule. Questo gruppo viene quindi associato solo alle subnet front-end e back-end (non a SecNet).This group is then bound only to the front-end and back-end subnets (not the SecNet). La regola seguente viene creata in modo dichiarativo:Declaratively the following rule is being built:

  • Tutto il traffico (tutte le porte) da Internet all'intera rete virtuale (tutte le subnet) viene bloccato.Any traffic (all ports) from the Internet to the entire virtual network (all subnets) is denied.

Anche se in questo esempio vengono usati i gruppi di sicurezza di rete: lo scopo principale consiste nel creare un secondo livello di difesa contro errori di configurazione manuale.Although NSGs are used in this example, its main purpose is as a secondary layer of defense against manual misconfiguration. L'obiettivo è bloccare tutto il traffico in ingresso da Internet verso le subnet front-end o back-end.The goal is to block all inbound traffic from the Internet to either the front-end or back-end subnets. Il traffico deve solo attraversare la subnet SecNet verso il firewall (e quindi, se appropriato, deve raggiungere le subnet front-end o back-end).Traffic should only flow through the SecNet subnet to the firewall (and then, if appropriate, on to the front-end or back-end subnets). Con l'abilitazione delle regole delle route definite dall'utente, inoltre, tutto il traffico che raggiunge le subnet front-end o back-end verrà indirizzato verso il firewall (grazie alle route definite dall'utente).Plus, with the UDR rules in place, any traffic that did make it into the front-end or back-end subnets would be directed out to the firewall (thanks to UDR). Il firewall considera questo traffico come un flusso asimmetrico e rimuove il traffico in uscita.The firewall would see this traffic as an asymmetric flow and would drop the outbound traffic. Sono quindi disponibili tre livelli di sicurezza per la protezione delle subnet:Thus there are three layers of security protecting the subnets:

  • Nessun indirizzo IP pubblico su qualsiasi scheda di interfaccia di rete front-end o back-end.No Public IP addresses on any FrontEnd or BackEnd NICs.
  • Gruppi di sicurezza di rete che non consentono il traffico da InternetNSGs denying traffic from the Internet.
  • Rimozione del traffico asimmetrico da parte del firewallThe firewall dropping asymmetric traffic.

Un aspetto interessante del gruppo di sicurezza di rete di questo esempio consiste nel fatto che include solo una regola, ovvero non consentire il traffico Internet nell'intera rete virtuale, inclusa la subnet di sicurezza.One interesting point regarding the NSG in this example is that it contains only one rule, which is to deny Internet traffic to the entire virtual network, including the Security subnet. Poiché, tuttavia, il gruppo di sicurezza di rete è associato solo alle subnet front-end e back-end, la regola non viene elaborata sul traffico in ingresso verso la subnet di sicurezza.However, since the NSG is only bound to the front-end and back-end subnets, the rule isn’t processed on traffic inbound to the Security subnet. Di conseguenza, il traffico raggiungerà la subnet di sicurezza.As a result, traffic flows to the Security subnet.

Regole del firewallFirewall rules

Sul firewall è necessario creare regole di inoltro.On the firewall, forwarding rules should be created. Poiché il firewall blocca o inoltra tutto il traffico in ingresso, in uscita e tra le reti virtuali, sono necessarie molte regole del firewall.Since the firewall is blocking or forwarding all inbound, outbound, and intra-virtual network traffic, many firewall rules are needed. Tutto il traffico in ingresso, inoltre, raggiungerà l'indirizzo IP pubblico del servizio di sicurezza su porte diverse, per l'elaborazione da parte del firewall.Also, all inbound traffic hits the Security Service public IP address (on different ports), to be processed by the firewall. Una procedura consigliata consiste nel creare un diagramma dei flussi logici prima di configurare le regole delle subnet e del firewall, per evitare modifiche successive.A best practice is to diagram the logical flows before setting up the subnets and firewall rules, to avoid rework later. La figura seguente è una visualizzazione logica delle regole del firewall per questo esempio:The following figure is a logical view of the firewall rules for this example:

1010

Nota

Le porte di gestione dipendono dall'appliance virtuale di rete usata.Based on the Network Virtual Appliance used, the management ports vary. In questo esempio si fa riferimento a Barracuda NextGen Firewall, che usa le porte 22, 801 e 807.In this example, a Barracuda NextGen Firewall is referenced, which uses ports 22, 801, and 807. Per informazioni precise sulle porte usate per la gestione del dispositivo in uso, consultare la documentazione del fornitore del dispositivo.Consult the appliance vendor documentation to find the exact ports used for management of the device being used.

Descrizione delle regole del firewallFirewall rules description

Nel diagramma precedente la subnet di sicurezza non viene visualizzata perché il firewall è l'unica risorsa in tale subnet.In the preceding logical diagram, the security subnet is not shown because the firewall is the only resource on that subnet. Questo diagramma illustra le regole del firewall e il modo in cui le regole consentono o negano logicamente i flussi di traffico, non il percorso instradato effettivo.The diagram is showing the firewall rules and how they logically allow or deny traffic flows, not the actual routed path. Le porte esterne selezionate per il traffico RDP, inoltre, sono le porte incluse negli intervalli più elevati (8014 - 8026) e sono state selezionate per allinearsi almeno in parte con gli ultimi due ottetti dell'indirizzo IP locale al fine di facilitarne la lettura (ad esempio, l'indirizzo del server locale 10.0.1.4 è associato alla porta esterna 8014).Also, the external ports selected for the RDP traffic are higher ranged ports (8014 – 8026) and were selected to loosely align with the last two octets of the local IP address for easier readability (for example, local server address 10.0.1.4 is associated with external port 8014). È tuttavia possibile usare qualsiasi porta superiore non in conflitto.Any higher non-conflicting ports, however, could be used.

Per questo esempio, sono necessari sette tipi di regole:For this example, we need seven types of rules:

  • Regole esterne (per il traffico in ingresso):External rules (for inbound traffic):
    1. Regola di gestione del firewall: questa regola di reindirizzamento dell'app consente al traffico di raggiungere le porte di gestione dell'appliance virtuale di rete.Firewall management rule: This App Redirect rule allows traffic to pass to the management ports of the network virtual appliance.
    2. Regole RDP (per ogni server Windows): queste quattro regole (una per ogni server) consentono la gestione dei singoli server tramite RDP.RDP rules (for each Windows server): These four rules (one for each server) allow management of the individual servers via RDP. È anche possibile raggruppare queste quattro regole RDP in una sola regola, in base alle capacità dell'appliance virtuale di rete usata.The four RDP rules could also be collapsed into one rule, depending on the capabilities of the network virtual appliance being used.
    3. Regole del traffico dell'applicazione: sono disponibili due regole, la prima per il traffico Web front-end e la seconda per il traffico back-end (ad esempio dal server Web al livello dati).Application traffic rules: There are two of these rules, the first for the front-end web traffic, and the second for the back-end traffic (for example, web server to data tier). La configurazione di queste regole dipende dall'architettura di rete (ovvero dove sono posizionati i server) e dai flussi di traffico (ovvero la direzione dei flussi di traffico e le porte usate).The configuration of these rules depends on the network architecture (where your servers are placed) and traffic flows (which direction the traffic flows, and which ports are used).
      • La prima regola consente al traffico effettivo dell'applicazione di raggiungere il server applicazioni.The first rule allows the actual application traffic to reach the application server. Anche se altre regole consentono la sicurezza e la gestione, le regole del traffico dell'applicazione consentono a utenti o servizi esterni di accedere alle applicazioni.While the other rules allow for security and management, application traffic rules are what allow external users or services to access the applications. In questo esempio è presente un singolo server Web sulla porta 80.For this example, there is a single web server on port 80. Pertanto, una singola regola delle applicazioni per il firewall reindirizza il traffico in ingresso verso l'indirizzo IP esterno e verso l'indirizzo IP interno dei server Web.Thus a single firewall application rule redirects inbound traffic to the external IP, to the web servers internal IP address. La sessione di traffico reindirizzato sarà trasferita tramite il processo NAT verso il server interno.The redirected traffic session would be translated via NAT to the internal server.
      • La seconda regola è la regola back-end per consentire al server Web di comunicare con il server AppVM01 (ma non con AppVM02) tramite qualsiasi porta.The second rule is the back-end rule to allow the web server to talk to the AppVM01 server (but not AppVM02) via any port.
  • Regole interne (per il traffico tra le reti virtuali)Internal rules (for intra-virtual network traffic)
    1. Regola in uscita verso Internet: questa regola consente al traffico proveniente da qualsiasi rete di passare alle reti selezionate.Outbound to Internet rule: This rule allows traffic from any network to pass to the selected networks. Questa regola è in genere una regola predefinita già disponibile sul firewall, ma con stato disabilitato.This rule is usually a default rule already on the firewall, but in a disabled state. È consigliabile abilitarla per questo esempio.This rule should be enabled for this example.
    2. Regola DNS: questa regola consente solo al traffico DNS (porta 53) di raggiungere il server DNS.DNS rule: This rule allows only DNS (port 53) traffic to pass to the DNS server. Per questo ambiente la maggior parte del traffico dal front-end e dal back-end è bloccato.For this environment, most traffic from the front end to the back end is blocked. Questa regola consente in modo specifico il traffico DNS da qualsiasi subnet locale.This rule specifically allows DNS from any local subnet.
    3. Regola da subnet a subnet: questa regola consente a qualsiasi server sulla subnet back-end di connettersi a qualsiasi server sulla subnet front-end (ma non viceversa).Subnet to subnet rule: This rule is to allow any server on the back-end subnet to connect to any server on the front-end subnet (but not the reverse).
  • Regola alternativa (per il traffico che non soddisfa alcuna condizione precedente):Fail-safe rule (for traffic that doesn’t meet any of the previous):
    1. Regola per negare tutto il traffico: deve essere sempre la regola finale (a livello di priorità). Se i flussi di traffico non corrispondono ad alcuna regola precedente, verranno eliminati da questa regola.Deny all traffic rule: This deny rule should always be the final rule (in terms of priority), and as such if a traffic flow fails to match any of the preceding rules it is dropped by this rule. La regola è predefinita, in genere sul posto e attiva,This rule is a default rule and usually in-place and active. e non necessita di modifiche.No modifications are usually needed to this rule.

Suggerimento

Per semplificare, nella seconda regola del traffico delle applicazioni è consentita qualsiasi porta.On the second application traffic rule, to simplify this example, any port is allowed. In uno scenario reale, è consigliabile usare la porta e gli intervalli di indirizzi più specifici per ridurre la superficie di attacco di questa regola.In a real scenario, the most specific port and address ranges should be used to reduce the attack surface of this rule.

Dopo la creazione di tutte le regole precedentemente indicate, è importante esaminare la priorità di ogni regola, per assicurare che il traffico venga consentito o negato in base a quanto previsto.Once the previous rules are created, it’s important to review the priority of each rule to ensure traffic is allowed or denied as desired. Per questo esempio le regole sono elencate in ordine di priorità.For this example, the rules are in priority order.

ConclusioniConclusion

Rispetto agli esempi precedenti, questo è un metodo più complesso ma anche più completo per proteggere e isolare la reteThis example is a more complex but complete way of protecting and isolating the network than the previous examples. (l'esempio 2 protegge solo l'applicazione,mentre l'esempio 1 isola esclusivamente le subnet).(Example 2 protects just the application, and Example 1 just isolates subnets). Questa struttura consente di monitorare il traffico in entrambe le direzioni e non protegge solo il server applicazioni in ingresso, ma applica anche i criteri di sicurezza di rete su tutti i server in questa rete.This design allows for monitoring traffic in both directions, and protects not just the inbound application server but enforces network security policy for all servers on this network. In base al dispositivo usato, è anche possibile ottenere il controllo e il riconoscimento di tutto il traffico.Also, depending on the appliance used, full traffic auditing and awareness can be achieved. Per altre informazioni, vedere le istruzioni di creazione dettagliate.For more information, see the detailed build instructions. Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale di esempio con script di PowerShell classicoHow to build this example perimeter network with classic PowerShell scripts.
  • Come creare la rete perimetrale di esempio con un modello di Azure Resource ManagerHow to build this example with an Azure Resource Manager template.
  • Descrizioni dettagliate di ogni route definita dall'utente, ogni comando del gruppo di sicurezza di rete e ogni regola del firewallDetailed descriptions of each UDR, NSG command, and firewall rule.
  • Scenari dettagliati del flusso di traffico che illustrano il modo in cui il traffico viene consentito o negato su ogni livelloDetailed traffic flow scenarios, showing how traffic is allowed or denied in each layer.

Esempio 4: Aggiungere una connessione ibrida con un'appliance virtuale da sito a sito e con una rete virtuale privata (VPN)Example 4 Add a hybrid connection with a site-to-site, virtual appliance VPN

Torna all'avvio veloce | Le istruzioni di creazione dettagliate saranno presto disponibiliBack to Fast start | Detailed build instructions available soon

1111

Descrizione dell'ambienteEnvironment description

Le reti ibride che usano un'appliance virtuale di rete possono essere aggiunte a qualsiasi tipo di rete perimetrale illustrato negli esempi 1, 2 o 3.Hybrid networking using a network virtual appliance (NVA) can be added to any of the perimeter network types described in examples 1, 2, or 3.

Come illustrato nella figura precedente, una connessione VPN su Internet (da sito a sito) viene usata per connettere una rete locale a una rete virtuale di Azure tramite un'appliance virtuale di rete.As shown in the previous figure, a VPN connection over the Internet (site-to-site) is used to connect an on-premises network to an Azure virtual network via an NVA.

Nota

Se si usa ExpressRoute attivando l'opzione di peering pubblico di Azure, è necessario creare una route statica,If you use ExpressRoute with the Azure Public Peering option enabled, a static route should be created. che deve indirizzare all'indirizzo IP VPN dell'appliance virtuale di rete all'esterno dell'Internet aziendale, senza transitare tramite la connessione di ExpressRoute.This static route should route to the NVA VPN IP address out your corporate Internet and not via the ExpressRoute connection. Il protocollo NAT necessario per l'opzione di peering pubblico di Azure su ExpressRoute può interrompere la sessione VPN.The NAT required on the ExpressRoute Azure Public Peering option can break the VPN session.

Dopo la configurazione della VPN, l'appliance virtuale di rete diventa l'hub centrale per tutte le reti e le subnet.Once the VPN is in place, the NVA becomes the central hub for all networks and subnets. Le regole di inoltro del firewall determinano i flussi di traffico consentiti, sottoposti a NAT, reindirizzati o eliminati (anche per i flussi di traffico tra la rete locale e Azure).The firewall forwarding rules determine which traffic flows are allowed, are translated via NAT, are redirected, or are dropped (even for traffic flows between the on-premises network and Azure).

I flussi di traffico devono essere esaminati con attenzione, perché possono essere ottimizzati o danneggiati da questo modello di struttura, in base al caso d'uso specifico.Traffic flows should be considered carefully, as they can be optimized or degraded by this design pattern, depending on the specific use case.

Se si usa l'ambiente creato nell'esempio 3, e quindi si aggiunge una connessione di rete ibrida VPN da sito a sito, si otterrà la struttura seguente:Using the environment built in example 3, and then adding a site-to-site VPN hybrid network connection, produces the following design:

1212

Il client VPN corrisponde al router locale o a eventuali altri dispositivi di rete compatibili con l'appliance virtuale di rete per la VPN.The on-premises router, or any other network device that is compatible with your NVA for VPN, would be the VPN client. Questo dispositivo fisico sarà responsabile per l'inizializzazione e la gestione della connessione VPN con l'appliance virtuale di rete.This physical device would be responsible for initiating and maintaining the VPN connection with your NVA.

Per l'appliance virtuale di rete, a livello logico, la rete è analoga a quattro "aree di sicurezza" distinte, con le regole dell'appliance virtuale di rete usate come strumento di indirizzamento primario per il traffico tra queste aree:Logically to the NVA, the network looks like four separate “security zones” with the rules on the NVA being the primary director of traffic between these zones:

1313

ConclusioniConclusion

L'aggiunta di una connessione di rete ibrida VPN da sito a sito a una rete virtuale di Azure può estendere la rete locale in Azure in modo sicuro.The addition of a site-to-site VPN hybrid network connection to an Azure virtual network can extend the on-premises network into Azure in a secure manner. Se si usa una connessione VPN, il traffico verrà crittografato e instradato tramite Internet.In using a VPN connection, your traffic is encrypted and routes via the Internet. L'appliance virtuale di rete in questo esempio fornisce una posizione centrale per l'applicazione e la gestione dei criteri di sicurezza.The NVA in this example provides a central location to enforce and manage the security policy. Per altre informazioni, vedere le istruzioni di creazione dettagliate (presto disponibili).For more information, see the detailed build instructions (forthcoming). Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale di esempio con script di PowerShellHow to build this example perimeter network with PowerShell scripts.
  • Come creare la rete perimetrale di esempio con un modello di Azure Resource ManagerHow to build this example with an Azure Resource Manager template.
  • Scenari dettagliati di flussi di traffico che illustrano il modo in cui il traffico scorre nella struttura.Detailed traffic flow scenarios, showing how traffic flows through this design.

Esempio 5: Aggiungere una connessione ibrida con un gateway VPN di Azure da sito a sitoExample 5 Add a hybrid connection with a site-to-site, Azure VPN gateway

Torna all'avvio veloce | Le istruzioni di creazione dettagliate saranno presto disponibiliBack to Fast start | Detailed build instructions available soon

1414

Descrizione dell'ambienteEnvironment description

È possibile aggiungere reti ibride che usano un gateway VPN di Azure a qualsiasi tipo di rete perimetrale illustrato negli esempi 1 e 2.Hybrid networking using an Azure VPN gateway can be added to either perimeter network type described in examples 1 or 2.

Come illustrato nella figura precedente, una connessione VPN su Internet (da sito a sito) viene usata per connettere una rete locale a una rete virtuale di Azure tramite un gateway VPN di Azure.As shown in the preceding figure, a VPN connection over the Internet (site-to-site) is used to connect an on-premises network to an Azure virtual network via an Azure VPN gateway.

Nota

Se si usa ExpressRoute attivando l'opzione di peering pubblico di Azure, è necessario creare una route statica,If you use ExpressRoute with the Azure Public Peering option enabled, a static route should be created. che deve indirizzare all'indirizzo IP VPN dell'appliance virtuale di rete all'esterno dell'Internet aziendale, senza transitare tramite la WAN di ExpressRoute.This static route should route to the NVA VPN IP address out your corporate Internet and not via the ExpressRoute WAN. Il protocollo NAT necessario per l'opzione di peering pubblico di Azure su ExpressRoute può interrompere la sessione VPN.The NAT required on the ExpressRoute Azure Public Peering option can break the VPN session.

La figura seguente mostra i due margini di rete di questa opzione.The following figure shows the two network edges in this example. Sul primo margine, l'appliance virtuale di rete e i gruppi di sicurezza di rete controllano i flussi di traffico tra le reti interne ad Azure e tra Azure e Internet.On the first edge, the NVA and NSGs control traffic flows for intra-Azure networks and between Azure and the Internet. Il secondo margine è il gateway VPN di Azure, ovvero un margine di rete separato e isolato tra le reti locali e Azure.The second edge is the Azure VPN gateway, which is a separate and isolated network edge between on-premises and Azure.

I flussi di traffico devono essere esaminati con attenzione, perché possono essere ottimizzati o danneggiati da questo modello di struttura, in base al caso d'uso specifico.Traffic flows should be considered carefully, as they can be optimized or degraded by this design pattern, depending on the specific use case.

Se si usa l'ambiente creato nell'esempio 1, e quindi si aggiunge una connessione di rete ibrida VPN da sito a sito, si otterrà la struttura seguente:Using the environment built in example 1, and then adding a site-to-site VPN hybrid network connection, produces the following design:

1515

ConclusioniConclusion

L'aggiunta di una connessione di rete ibrida VPN da sito a sito a una rete virtuale di Azure può estendere la rete locale in Azure in modo sicuro.The addition of a site-to-site VPN hybrid network connection to an Azure virtual network can extend the on-premises network into Azure in a secure manner. Se si usa un gateway VPN nativo di Azure, il traffico viene crittografato con IPSec e instradato tramite Internet.Using the native Azure VPN gateway, your traffic is IPSec encrypted and routes via the Internet. L'uso del gateway VPN di Azure offre anche un'opzione a costi ridotti (a differenza delle appliance virtuali di rete di terze parti, che comportano costi di licenza aggiuntivi).Also, using the Azure VPN gateway can provide a lower-cost option (no additional licensing cost as with third-party NVAs). Questa soluzione risulta estremamente conveniente nell'esempio 1, in cui non vengono usate appliance virtuali di rete.This option is most economical in example 1, where no NVA is used. Per altre informazioni, vedere le istruzioni di creazione dettagliate (presto disponibili).For more information, see the detailed build instructions (forthcoming). Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale di esempio con script di PowerShellHow to build this example perimeter network with PowerShell scripts.
  • Come creare la rete perimetrale di esempio con un modello di Azure Resource ManagerHow to build this example with an Azure Resource Manager template.
  • Scenari dettagliati di flussi di traffico che illustrano il modo in cui il traffico scorre nella struttura.Detailed traffic flow scenarios, showing how traffic flows through this design.

Esempio 6: Aggiungere una connessione ibrida con ExpressRouteExample 6 Add a hybrid connection with ExpressRoute

Torna all'avvio veloce | Le istruzioni di creazione dettagliate saranno presto disponibiliBack to Fast start | Detailed build instructions available soon

1616

Descrizione dell'ambienteEnvironment description

È possibile aggiungere reti ibride che usano una connessione con peering privato di ExpressRoute a qualsiasi tipo di rete perimetrale illustrato negli esempi 1 o 2.Hybrid networking using an ExpressRoute private peering connection can be added to either perimeter network type described in examples 1 or 2.

Come illustrato nella figura precedente, il peering privato di ExpressRoute fornisce una connessione diretta tra la rete locale e la rete virtuale di Azure.As shown in the preceding figure, ExpressRoute private peering provides a direct connection between your on-premises network and the Azure virtual network. Il traffico attraversa solo la rete del provider del servizio e la rete Microsoft Azure, senza contatto con Internet.Traffic transits only the service provider network and the Microsoft Azure network, never touching the Internet.

Suggerimento

L'utilizzo di ExpressRoute mantiene il traffico di rete aziendale fuori da Internet,Using ExpressRoute keeps corporate network traffic off the Internet. agevolando contratti di servizio dal provider ExpressRoute.It also allows for service level agreements from your ExpressRoute provider. Il gateway di Azure può raggiungere un massimo di 10 Gb/s con ExpressRoute, mentre la velocità massima effettiva con le VPN da sito a sito per il gateway di Azure è di 200 Mb/s.The Azure Gateway can pass up to 10 Gbps with ExpressRoute, whereas with site-to-site VPNs, the Azure Gateway maximum throughput is 200 Mbps.

Come illustrato nel diagramma che segue, con questa opzione l'ambiente include ora due margini di rete.As seen in the following diagram, with this option the environment now has two network edges. L'appliance virtuale di rete e i gruppi di sicurezza di rete controllano i flussi di traffico per le reti interne di Azure e tra Azure e Internet, mentre il gateway è un margine di rete separato e isolato tra le reti locali e Azure.The NVA and NSG control traffic flows for intra-Azure networks and between Azure and the Internet, while the gateway is a separate and isolated network edge between on-premises and Azure.

I flussi di traffico devono essere esaminati con attenzione, perché possono essere ottimizzati o danneggiati da questo modello di struttura, in base al caso d'uso specifico.Traffic flows should be considered carefully, as they can be optimized or degraded by this design pattern, depending on the specific use case.

Se si usa l'ambiente creato nell'esempio 1, e quindi si aggiunge una connessione di rete ibrida di ExpressRoute, si otterrà la struttura seguente:Using the environment built in example 1, and then adding an ExpressRoute hybrid network connection, produces the following design:

1717

ConclusioniConclusion

L'aggiunta di una connessione di rete con peering privato di ExpressRoute può estendere la rete locale in Azure in un modo sicuro, con latenza ridotta e prestazioni migliori.The addition of an ExpressRoute Private Peering network connection can extend the on-premises network into Azure in a secure, lower latency, higher performing manner. L'uso del gateway nativo di Azure, come illustrato in questo esempio, offre un'opzione a costi ridotti, a differenza delle appliance virtuali di rete che comportano costi di licenza aggiuntivi.Also, using the native Azure Gateway, as in this example, provides a lower-cost option (no additional licensing as with third-party NVAs). Per altre informazioni, vedere le istruzioni di creazione dettagliate (presto disponibili).For more information, see the detailed build instructions (forthcoming). Le istruzioni includono:These instructions include:

  • Come creare la rete perimetrale di esempio con script di PowerShellHow to build this example perimeter network with PowerShell scripts.
  • Come creare la rete perimetrale di esempio con un modello di Azure Resource ManagerHow to build this example with an Azure Resource Manager template.
  • Scenari dettagliati di flussi di traffico che illustrano il modo in cui il traffico scorre nella struttura.Detailed traffic flow scenarios, showing how traffic flows through this design.

RiferimentiReferences

Siti Web e documentazione utiliHelpful websites and documentation