Limitare l'accesso tramite endpoint con connessione Internet in Centro sicurezza di Azure

Il Centro sicurezza di Azure consiglia di limitare l'accesso tramite endpoint con connessione Internet se uno dei gruppi di sicurezza di rete contiene una o più regole in ingresso che consentono l'accesso da "qualsiasi" indirizzo IP di origine. L'accesso su "qualsiasi" origine potrebbe abilitare utenti malintenzionati ad accedere alle risorse. Il Centro sicurezza consiglierà di modificare queste regole in ingresso per limitare l'accesso agli indirizzi IP di origine che necessitano effettivamente dell'accesso.

Questa raccomandazione viene generata per qualsiasi porta Web con "any" come origine.

Nota

Il documento introduce il servizio usando una distribuzione di esempio. Questa non è una guida dettagliata.

Implementare la raccomandazione

  1. Nel pannello Indicazioni selezionare Limita l'accesso tramite un endpoint con connessione Internet.

    Restrict access through Internet facing endpoint (Limita accesso tramite endpoint con connessione Internet)

  2. Verrà visualizzato il pannello Limita l'accesso tramite un endpoint con connessione Internet. Questo pannello elenca le macchine virtuali (VM) con regole in ingresso che creano un potenziale problema di sicurezza. Selezionare una macchina virtuale.

    Selezionare una macchina virtuale

  3. Il pannello Gruppo di sicurezza di rete visualizza le informazioni sul gruppo di sicurezza di rete, le regole in ingresso correlate e la VM associata. Selezionare Modifica le regole in ingresso per procedere con la modifica di una regola in ingresso.

    Pannello Gruppo di sicurezza di rete

  4. Nel pannello Regole di sicurezza in ingresso selezionare la regola in ingresso da modificare. In questo esempio selezioniamo Consenti Web.

    Regole di sicurezza in ingresso

    Si noti che è possibile anche selezionare Regole predefinite per visualizzare il set di regole predefinite contenute in tutti i gruppi di sicurezza di rete. Le regole predefinite non possono essere eliminate, ma poiché hanno la priorità più bassa, è possibile eseguirne l'override con le regole create dall'utente. Altre informazioni sulle regole predefinite.

    Regole predefinite

  5. Nel pannello AllowWeb (Consenti Web) modificare le proprietà della regola in ingresso in modo che Origine sia un indirizzo IP o un blocco di indirizzi IP. Per altre informazioni sulle proprietà della regola in ingresso, vedere Regole NSG.

    Modificare la regola in ingresso

Vedere anche

Questo articolo illustra come implementare la raccomandazione "Restrict access through Internet facing endpoint" (Limita accesso tramite endpoint con connessione Internet) del Centro sicurezza. Per altre informazioni sull'abilitazione dei gruppi di sicurezza di rete e delle regole, vedere gli articoli seguenti:

Per altre informazioni sul Centro sicurezza, vedere gli argomenti seguenti: