Sicurezza di rete di AzureAzure network security

La sicurezza è la priorità principale nel cloud ed è importante che l'utente trovi informazioni accurate e tempestive sulla sicurezza di Azure.We know that security is job one in the cloud and how important it is that you find accurate and timely information about Azure security. Uno dei motivi migliori per usare Azure per le proprie applicazioni e i propri servizi consiste nella possibilità di sfruttare una vasta gamma di strumenti e funzionalità di Azure per la sicurezza.One of the best reasons to use Azure for your applications and services is to take advantage of Azure’s wide array of security tools and capabilities. Questi strumenti e queste funzionalità consentono di creare soluzioni sicure sulla piattaforma Azure.These tools and capabilities help make it possible to create secure solutions on the Azure platform.

Microsoft Azure garantisce la riservatezza, l'integrità e la disponibilità dei dati dei clienti, assicurando anche al tempo stesso una rendicontazione trasparente.Microsoft Azure provides confidentiality, integrity, and availability of customer data, while also enabling transparent accountability. Per consentire una migliore comprensione della raccolta di controlli di sicurezza di rete implementati in Microsoft Azure dal punto di vista del cliente, questo articolo sulla sicurezza di rete di Azure offre una panoramica completa dei controlli di sicurezza di rete disponibili in Microsoft Azure.To help you better understand the collection of network security controls implemented within Microsoft Azure from the customer's perspective, this article, “Azure Network Security", is written to provide a comprehensive look at the network security controls available with Microsoft Azure.

Questo documento illustra l'ampia gamma di controlli di rete che è possibile configurare per migliorare la sicurezza delle soluzioni distribuite in Azure.This paper is intended to inform you about the wide range of network controls that you can configure to enhance the security of the solutions you deploy in Azure. Per informazioni sul modo in cui Microsoft protegge l'infrastruttura di rete della stessa piattaforma Azure, vedere la sezione relativa alla sicurezza di Azure nel Microsoft Trust Center.If you are interested in what Microsoft does to secure the network fabric of the Azure platform itself, see the Azure security section in the Microsoft Trust Center.

Piattaforma AzureAzure platform

Azure è una piattaforma di servizi cloud pubblici che supporta un'ampia gamma di sistemi operativi, linguaggi di programmazione, framework, strumenti, database e dispositivi.Azure is a public cloud service platform that supports a broad selection of operating systems, programming languages, frameworks, tools, databases, and devices. Può eseguire contenitori Linux con integrazione con Docker, compilare app con JavaScript, Python, .NET, PHP, Java e Node.js e creare back-end per dispositivi iOS, Android e Windows.It can run Linux containers with Docker integration; build apps with JavaScript, Python, .NET, PHP, Java, and Node.js; build back-ends for iOS, Android, and Windows devices. I servizi cloud di Azure supportano le stesse tecnologie già considerate affidabili e usate da milioni di sviluppatori e professionisti IT.Azure cloud services support the same technologies millions of developers and IT professionals already rely on and trust.

Quando si compilano asset IT o se ne esegue la migrazione in un provider di servizi di cloud pubblico, si dipende dalla capacità di tale organizzazione di proteggere le applicazioni e i dati con i servizi e i controlli offerti per gestire la sicurezza degli asset basati sul cloud.When you build on, or migrate IT assets to, a public cloud service provider, you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

L'infrastruttura di Azure è stata progettata, dalla struttura fino alle applicazioni, per ospitare milioni di clienti contemporaneamente e offre alle aziende una solida base per poter soddisfare le loro esigenze di sicurezza.Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security requirements. Azure offre anche una vasta gamma di opzioni di sicurezza configurabili, con la possibilità di controllarle per poter personalizzare il livello di sicurezza e soddisfare così i requisiti univoci di distribuzione dell'organizzazione.In addition, Azure provides you with an extensive collection of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your organization’s deployments.

SuntoAbstract

I servizi cloud pubblici Microsoft offrono servizi e infrastruttura su scala elevata, capacità di livello aziendale e molte opzioni per la connettività ibrida.Microsoft public cloud services deliver hyper-scale services and infrastructure, enterprise-grade capabilities, and many choices for hybrid connectivity. È possibile scegliere di accedere a questi servizi tramite Internet o con Azure ExpressRoute, che offre connettività di rete privata.You can choose to access these services either via the Internet or with Azure ExpressRoute, which provides private network connectivity. La piattaforma Microsoft Azure consente di estendere con facilità la propria infrastruttura nel cloud e di sviluppare architetture a più livelli.The Microsoft Azure platform allows you to seamlessly extend your infrastructure into the cloud and build multi-tier architectures. Inoltre, le terze parti possono abilitare capacità avanzate offrendo servizi di sicurezza e appliance virtuali.Additionally, third parties can enable enhanced capabilities by offering security services and virtual appliances.

I servizi di rete di Azure permettono di ottimizzare la flessibilità, la disponibilità, la resilienza, la sicurezza e l'integrità da progettazione.Azure’s network services maximize flexibility, availability, resiliency, security, and integrity by design. Questo white paper illustra in modo dettagliato le funzioni di rete di Azure e contiene informazioni su come usare le funzionalità di sicurezza native di Azure per proteggere gli asset di informazione.This white paper provides details on the networking functions of Azure and information on how customers can use Azure’s native security features to help protect their information assets.

I destinatari di questo white paper includono:The intended audiences for this whitepaper include:

  • Responsabili tecnici, amministratori di rete e sviluppatori che cercano soluzioni di sicurezza disponibili e supportate in Azure.Technical managers, network administrators, and developers who are looking for security solutions available and supported in Azure.

  • PMI o responsabili dei processi aziendali che cercano una panoramica generale dei servizi e delle tecnologie di rete di Azure attinenti a discussioni sulla sicurezza di rete nel cloud pubblico di Azure.SMEs or business process executives who want to get a high-level overview the Azure networking technologies and services that are relevant in discussions around network security in the Azure public cloud.

Quadro generale della rete di AzureAzure networking big picture

Microsoft Azure include una solida infrastruttura di rete per supportare i requisiti di connettività di applicazioni e servizi.Microsoft Azure includes a robust networking infrastructure to support your application and service connectivity requirements. La connettività di rete è possibile tra le risorse disponibili in Azure, le risorse locali e quelle ospitate in Azure, nonché da e verso Internet e Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the Internet and Azure.

Quadro generale della rete di Azure

L'infrastruttura di rete di Azure consente di connettere tra loro le risorse di Azure in modo sicuro con reti virtuali.The Azure network infrastructure enables you to securely connect Azure resources to each other with virtual networks (VNets). Una rete virtuale è una rappresentazione della propria rete nel cloud.A VNet is a representation of your own network in the cloud. È un isolamento logico della rete nel cloud di Azure dedicato alla sottoscrizione.A VNet is a logical isolation of the Azure cloud network dedicated to your subscription. È possibile connettere le reti virtuali alle reti locali.You can connect VNets to your on-premises networks.

Azure supporta la connettività con collegamento WAN dedicato alla rete locale e una rete virtuale di Azure con ExpressRoute.Azure supports dedicated WAN link connectivity to your on-premises network and an Azure Virtual Network with ExpressRoute. Il collegamento tra Azure e il sito dell'utente si avvale di una connessione dedicata che non usa la rete Internet pubblica.The link between Azure and your site uses a dedicated connection that does not go over the public Internet. Se l'applicazione Azure è in esecuzione in più data center, è possibile usare Gestione traffico di Azure per indirizzare le richieste degli utenti in modo intelligente tra le istanze dell'applicazione.If your Azure application is running in multiple datacenters, you can use Azure Traffic Manager to route requests from users intelligently across instances of the application. È anche possibile instradare il traffico ai servizi non in esecuzione in Azure, se sono accessibili da Internet.You can also route traffic to services not running in Azure if they are accessible from the Internet.

Visualizzazione a livello aziendale dei componenti di rete di AzureEnterprise view of Azure networking components

Azure ha diversi componenti di rete rilevanti per le discussioni sulla sicurezza di rete,Azure has many networking components that are relevant to network security discussions. che qui vengono descritti con particolare attenzione ai problemi di sicurezza a essi correlati.we describe these networking components and focus on the security issues related to them.

Nota

Non vengono descritti tutti gli aspetti della rete di Azure, ma soltanto quelli considerati fondamentali nella pianificazione e progettazione di un'infrastruttura di rete protetta per i servizi e le applicazioni distribuiti in Azure.Not all aspects of Azure networking are described – we discuss only those considered to be pivotal in planning and designing a secure network infrastructure around your services and applications you deploy in Azure.

Questo documento illustra le seguenti funzionalità aziendali della rete di Azure:In this paper, will be cover the following Azure networking enterprise capabilities:

  • Connettività di rete di baseBasic network connectivity

  • Connettività ibridaHybrid Connectivity

  • Security ControlsSecurity Controls

  • Convalida della reteNetwork Validation

Connettività di rete di baseBasic network connectivity

Il servizio Rete virtuale di Azure consente di connettere tra loro le risorse di Azure in modo sicuro con reti virtuali.The Azure Virtual Network service enables you to securely connect Azure resources to each other with virtual networks (VNet). Una rete virtuale è una rappresentazione della propria rete nel cloud.A VNet is a representation of your own network in the cloud. È un isolamento logico dell'infrastruttura di rete di Azure dedicato alla sottoscrizione.A VNet is a logical isolation of the Azure network infrastructure dedicated to your subscription. È anche possibile connettere le reti virtuali tra loro e alle reti locali tramite VPN da sito a sito e collegamenti WAN dedicati.You can also connect VNets to each other and to your on-premises networks using site-to-site VPNs and dedicated WAN links.

Connettività di rete di base

Le macchine virtuali vengono usate per ospitare i server in Azure. Occorre però approfondire il modo in cui tali macchine virtuali si connettono a una rete.With the understanding that you use VMs to host servers in Azure, the question is how those VMs connect to a network. Ciò avviene tramite una rete virtuale di Azure.The answer is that VMs connect to an Azure Virtual Network.

Le reti virtuali di Azure sono simili alle reti virtuali usate in locale con soluzioni di piattaforma di virtualizzazione proprie, come Microsoft Hyper-V o VMware.Azure Virtual Networks are like the virtual networks you use on-premises with your own virtualization platform solutions, such as Microsoft Hyper-V or VMware.

Connettività tra reti virtualiIntra-VNet connectivity

È possibile connettere tra loro le reti virtuali in modo che le risorse connesse a una di esse possano comunicare tra loro attraverso le reti virtuali.You can connect VNets to each other, enabling resources connected to either VNet to communicate with each other across VNets. Per connettere tra loro le reti virtuali è possibile usare una o entrambe le opzioni seguenti.You can use either or both of the following options to connect VNets to each other:

  • Peering: consente alle risorse connesse a diverse reti virtuali di Azure nella stessa località di Azure di comunicare tra loro.Peering: Enables resources connected to different Azure VNets within the same Azure location to communicate with each other. La larghezza di banda e la latenza della rete virtuale sono uguali a quelle che si riscontrerebbero se le risorse fossero connesse alla stessa rete virtuale.The bandwidth and latency across the VNet is the same as if the resources were connected to the same VNet. Per altre informazioni sul peering, vedere Peering di rete virtuale.To learn more about peering, read Virtual network peering.

    Peering

  • Connessione da rete virtuale a rete virtuale: abilita le risorse connesse a diverse reti virtuali di Azure nella stessa località o in località diverse.VNet-to-VNet connection: Enables resources connected to different Azure VNet within the same, or different Azure locations. A differenza del peering, la larghezza di banda tra le reti virtuali è limitata perché il traffico deve passare attraverso un gateway VPN di Azure.Unlike peering, bandwidth is limited between VNets because traffic must flow through an Azure VPN Gateway.

Connessione da rete virtuale a rete virtuale

Per altre informazioni sulla connessione di reti virtuali con una connessione da rete virtuale a rete virtuale, vedere l'articolo Configurare una connessione da rete virtuale a rete virtuale.To learn more about connecting VNets with a VNet-to-VNet connection, read the Configure a VNet-to-VNet connection article.

Funzionalità della rete virtuale di Azure:Azure virtual network capabilities:

Una rete virtuale di Azure fornisce le macchine virtuali per la connessione alla rete, in modo che possano connettersi ad altre risorse di rete in modo sicuro.As you can see, an Azure Virtual Network provides virtual machines to connect to the network so that they can connect to other network resources in a secure fashion. Tuttavia, la connettività di base è solo l'inizio.However, basic connectivity is just the beginning. Le seguenti funzionalità del servizio di rete virtuale di Azure espongono le caratteristiche di sicurezza della rete virtuale di Azure:The following capabilities of the Azure Virtual Network service expose security characteristics of the Azure Virtual Network:

  • IsolamentoIsolation

  • Connettività InternetInternet connectivity

  • Connettività delle risorse di AzureAzure resource connectivity

  • Connettività di rete virtualeVNet connectivity

  • Connettività localeOn-premises connectivity

  • Filtro del trafficoTraffic filtering

  • Routing.Routing

IsolamentoIsolation

Le reti virtuali sono isolate le une dalle altre.VNets are isolated from one another. È possibile creare reti virtuali separate per sviluppo, test e produzione che usano gli stessi blocchi di indirizzi CIDR.You can create separate VNets for development, testing, and production that use the same CIDR address blocks. È altrimenti possibile creare più reti virtuali che usano blocchi di indirizzi CIDR diversi e connettere tra loro le reti.Conversely, you can create multiple VNets that use different CIDR address blocks and connect networks together. Una rete virtuale può essere segmentata in più subnet.You can segment a VNet into multiple subnets.

Azure offre la risoluzione dei nomi interna per le VM e le istanze del ruolo Servizi cloud connesse a una rete virtuale.Azure provides internal name resolution for VMs and Cloud Services role instances connected to a VNet. Facoltativamente, è possibile configurare una rete virtuale in modo da usare server DNS personalizzati anziché la risoluzione dei nomi interna di Azure.You can optionally configure a VNet to use your own DNS servers, instead of using Azure internal name resolution.

È possibile implementare più reti virtuali in ogni sottoscrizione e area di Azure.You can implement multiple VNets within each Azure subscription and Azure region. Ogni rete virtuale è isolata dalle altre.Each VNet is isolated from other VNets. Per ogni rete virtuale è possibile:For each VNet you can:

  • Specificare uno spazio indirizzi IP privato personalizzato con indirizzi pubblici e privati (RFC 1918).Specify a custom private IP address space using public and private (RFC 1918) addresses. Azure assegna alle risorse connesse alla rete virtuale un indirizzo IP privato dello spazio indirizzi specificato.Azure assigns resources connected to the VNet a private IP address from the address space, you assign.

  • Segmentare la rete virtuale in una o più subnet e allocare una parte dello spazio indirizzi della rete virtuale a ogni subnet.Segment the VNet into one or more subnets and allocate a portion of the VNet address space to each subnet.

  • Usare la risoluzione dei nomi fornita da Azure oppure specificare un server DNS personalizzato che verrà usato dalle risorse connesse a una rete virtuale.Use Azure-provided name resolution or specify your own DNS server for use by resources connected to a VNet. Per altre informazioni sulla risoluzione dei nomi nelle reti virtuali, vedere Risoluzione dei nomi per macchine virtuali e servizi cloud.To learn more about name resolution in VNets, read the Name resolution for VMs and Cloud Services.

Connettività InternetInternet connectivity

Per impostazione predefinita, tutte le macchine virtuali di Azure e le istanze del ruolo Servizi cloud connesse a una rete virtuale hanno accesso a Internet.All Azure Virtual Machines (VM) and Cloud Services role instances connected to a VNet have access to the Internet, by default. È anche possibile abilitare l'accesso in ingresso a risorse specifiche, se necessario. Per impostazione predefinita, le macchine virtuali e le istanze del ruolo Servizi cloud connesse a una rete virtuale hanno accesso a Internet.You can also enable inbound access to specific resources, as needed.(VM) and Cloud Services role instances connected to a VNet have access to the Internet,by default. È anche possibile abilitare l'accesso in ingresso a risorse specifiche, se necessario.You can also enable inbound access to specific resources, as needed.

Per impostazione predefinita, tutte le risorse connesse a una rete virtuale hanno la connettività in uscita a Internet.All resources connected to a VNet have outbound connectivity to the Internet by default. L'indirizzo IP privato della risorsa viene convertito (con Source Network Address Translation, SNAT) in un indirizzo IP pubblico dall'infrastruttura di Azure.The private IP address of the resource is source network address translated (SNAT) to a public IP address by the Azure infrastructure. È possibile modificare la connettività predefinita implementando il routing personalizzato e applicando filtri al traffico.You can change the default connectivity by implementing custom routing and traffic filtering. Per altre informazioni sulla connettività Internet in uscita, vedere Informazioni sulle connessioni in uscita in Azure.To learn more about outbound Internet connectivity, read the Understanding outbound connections in Azure.

Per la comunicazione in ingresso verso le risorse di Azure da Internet o la comunicazione in uscita verso Internet senza SNAT, è necessario che a una risorsa sia assegnato un indirizzo IP pubblico.To communicate inbound to Azure resources from the Internet, or to communicate outbound to the Internet without SNAT, a resource must be assigned a public IP address. Per altre informazioni sugli indirizzi IP pubblici, vedere Indirizzi IP pubblici.To learn more about public IP addresses, read the Public IP addresses.

Connettività delle risorse di AzureAzure resource connectivity

Le risorse di Azure come Servizi cloud e VM possono essere connesse alla stessa rete virtuale.Azure resources such as Cloud Services and VMs can be connected to the same VNet. Le risorse possono essere connesse tra loro usando indirizzi IP privati, anche se si trovano in subnet diverse.The resources can connect to each other using private IP addresses, even if they are in different subnets. Azure offre il routing predefinito tra subnet, reti virtuali e reti locali, quindi non è necessario configurare e gestire le route.Azure provides default routing between subnets, VNets, and on-premises networks, so you don't have to configure and manage routes.

È possibile connettere a una rete virtuale diverse risorse di Azure, ad esempio macchine virtuali (VM), Servizi cloud, ambienti del servizio app e set di scalabilità di macchine virtuali.You can connect several Azure resources to a VNet, such as Virtual Machines (VM), Cloud Services, App Service Environments, and Virtual Machine Scale Sets. Le VM si connettono a una subnet di una rete virtuale tramite un'interfaccia di rete.VMs connect to a subnet within a VNet through a network interface (NIC). Per altre informazioni sulle interfacce di rete, vedere Interfacce di rete.To learn more about NICs, read the Network interfaces.

Connettività di rete virtualeVNet connectivity

Le reti virtuali possono essere connesse tra loro, in modo che le risorse connesse a qualsiasi rete virtuale possano comunicare con qualsiasi risorsa in un'altra rete virtuale.VNets can be connected to each other, enabling resources connected to any VNet to communicate with any resource on any other VNet.

È possibile connettere tra loro le reti virtuali in modo che le risorse connesse a una di esse possano comunicare tra loro attraverso le reti virtuali.You can connect VNets to each other, enabling resources connected to either VNet to communicate with each other across VNets. Per connettere tra loro le reti virtuali è possibile usare una o entrambe le opzioni seguenti.You can use either or both of the following options to connect VNets to each other:

  • Peering: consente alle risorse connesse a diverse reti virtuali di Azure nella stessa località di Azure di comunicare tra loro.Peering: Enables resources connected to different Azure VNets within the same Azure location to communicate with each other. La larghezza di banda e la latenza tra le reti virtuali sono uguali a quelle che si riscontrerebbero se le risorse fossero connesse alla stessa rete virtuale. Per altre informazioni sul peering, vedere Peering di rete virtuale.The bandwidth and latency across the VNets is the same as if the resources were connected to the same VNet.To learn more about peering, read the Virtual network peering.

  • Connessione da rete virtuale a rete virtuale: abilita le risorse connesse a diverse reti virtuali di Azure nella stessa località o in località diverse.VNet-to-VNet connection: Enables resources connected to different Azure VNet within the same, or different Azure locations. A differenza del peering, la larghezza di banda tra le reti virtuali è limitata perché il traffico deve passare attraverso un gateway VPN di Azure.Unlike peering, bandwidth is limited between VNets because traffic must flow through an Azure VPN Gateway. Per altre informazioni sulla connessione di reti virtuali con una connessione di rete virtuale,To learn more about connecting VNets with a VNet-to-VNet connection. vedere Configurare una connessione da rete virtuale a rete virtuale.To learn more, read the Configure a VNet-to-VNet connection .

Connettività localeOn-premises connectivity

È possibile connettere le reti virtuali a reti locali tramite connessioni di rete private tra la rete e Azure o tramite una connessione VPN da sito a sito su Internet.VNets can be connected to on-premises networks through private network connections between your network and Azure, or through a site-to-site VPN connection over the Internet.

È possibile connettere la rete locale a una rete virtuale usando qualsiasi combinazione delle opzioni seguenti.You can connect your on-premises network to a VNet using any combination of the following options:

  • Rete privata virtuale (VPN) da punto a sito: viene stabilita tra un singolo PC connesso alla rete e la rete virtuale.Point-to-site virtual private network (VPN): Established between a single PC connected to your network and the VNet. Questo tipo di connessione è ideale se si sta appena iniziando a usare Azure o per gli sviluppatori, perché richiede modifiche minime o nessuna modifica alla rete esistente.This connection type is great if you're just getting started with Azure, or for developers, because it requires little or no changes to your existing network. La connessione usa il protocollo SSTP per fornire la comunicazione crittografata su Internet tra il PC e la rete virtuale.The connection uses the SSTP protocol to provide encrypted communication over the Internet between the PC and the VNet. La latenza per una VPN da punto a sito è imprevedibile, dal momento che il traffico attraversa Internet.The latency for a point-to-site VPN is unpredictable since the traffic traverses the Internet.

  • VPN da sito a sito: viene stabilita una connessione tra il dispositivo VPN e un gateway VPN di Azure.Site-to-site VPN: Established between your VPN device and an Azure VPN Gateway. Questo tipo di connessione consente a qualsiasi risorsa locale autorizzata dall'utente di accedere a una rete virtuale.This connection type enables any on-premises resource you authorize to access a VNet. La connessione è una VPN IPSec/IKE che fornisce la comunicazione crittografata su Internet tra il dispositivo locale e il gateway VPN di Azure.The connection is an IPsec/IKE VPN that provides encrypted communication over the Internet between your on-premises device and the Azure VPN gateway. La latenza per una connessione da sito a sito è imprevedibile, perché il traffico attraversa Internet.The latency for a site-to-site connection is unpredictable since the traffic traverses the Internet.

  • Azure ExpressRoute: viene stabilita una connessione tra la rete e Azure tramite un partner ExpressRoute.Azure ExpressRoute: Established between your network and Azure, through an ExpressRoute partner. La connessione è privata.This connection is private. Il traffico non attraversa Internet.Traffic does not traverse the Internet. La latenza per una connessione ExpressRoute è prevedibile, perché il traffico non attraversa Internet.The latency for an ExpressRoute connection is predictable since traffic doesn't traverse the Internet. Per altre informazioni su tutte le opzioni di connessione riportate sopra, vedere Diagrammi delle topologie di connessione.To learn more about all the previous connection options, read the Connection topology diagrams.

Filtro del trafficoTraffic filtering

Il traffico di rete delle VM e delle istanze del ruolo Servizi cloud può essere filtrato in ingresso e in uscita per indirizzo IP e porta di origine, indirizzo IP e porta di destinazione e protocollo.VM and Cloud Services role instances network traffic can be filtered inbound and outbound by source IP address and port, destination IP address and port, and protocol.

È possibile filtrare il traffico di rete tra subnet usando una o entrambe le opzioni seguenti.You can filter network traffic between subnets using either or both of the following options:

  • Gruppi di sicurezza di rete (NSG): ogni gruppo di sicurezza di rete contiene più regole di sicurezza in ingresso e in uscita che consentono di filtrare il traffico per protocollo, porta e indirizzo IP di origine e di destinazione.Network security groups (NSG): Each NSG can contain multiple inbound and outbound security rules that enable you to filter traffic by source and destination IP address, port, and protocol. È possibile applicare un gruppo di sicurezza di rete a qualsiasi interfaccia di rete di una VM,You can apply an NSG to each NIC in a VM. nonché alla subnet a cui è connessa un'interfaccia di rete o un'altra risorsa di Azure.You can also apply an NSG to the subnet a NIC, or other Azure resource, is connected to. Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza di rete.To learn more about NSGs, read the Network security groups.

  • Appliance di rete virtuale: un'appliance di rete virtuale è una VM che esegue software con una funzione di rete, ad esempio un firewall.Virtual Network Appliances: A virtual network appliance is a VM running software that performs a network function, such as a firewall. Per un elenco delle appliance di rete virtuale disponibili, vedere Azure Marketplace.View a list of available NVAs in the Azure Marketplace. Sono anche disponibili appliance virtuali di rete che eseguono l'ottimizzazione WAN e altre funzioni per il traffico di rete.NVAs are also available that provide WAN optimization and other network traffic functions. Le appliance virtuali di rete vengono in genere usate con route BGP o definite dall'utente.NVAs are typically used with user-defined or BGP routes. È anche possibile usare un'appliance virtuale di rete per filtrare il traffico tra reti virtuali.You can also use an NVA to filter traffic between VNets.

RoutingRouting

Facoltativamente, è possibile sostituire il routing predefinito di Azure configurando route personalizzate o usando route BGP attraverso un gateway di rete.You can optionally override Azure's default routing by configuring your own routes, or using BGP routes through a network gateway.

Per impostazione predefinita, Azure crea tabelle di route che consentono alle risorse connesse a qualsiasi subnet di qualsiasi rete virtuale di comunicare tra loro.Azure creates route tables that enable resources connected to any subnet in any VNet to communicate with each other, by default. Per sostituire le route predefinite create da Azure, è possibile implementare una o entrambe le opzioni seguenti.You can implement either or both of the following options to override the default routes Azure creates:

  • Route definite dall'utente: è possibile creare tabelle di route personalizzate con route che controllano l'instradamento del traffico per ogni subnet.User-defined routes: You can create custom route tables with routes that control where traffic is routed to for each subnet. Per altre informazioni sulle route definite dall'utente, vedere Route definite dall'utente.To learn more about user-defined routes, read the User-defined routes.

  • Route BGP: se si connette la rete virtuale alla rete locale con un gateway VPN di Azure o una connessione ExpressRoute, è possibile propagare le route BGP alle reti virtuali.BGP routes: If you connect your VNet to your on-premises network using an Azure VPN Gateway or ExpressRoute connection, you can propagate BGP routes to your VNets.

Connettività Internet ibrida: connettersi a una rete localeHybrid internet connectivity: Connect to an on-premises network

È possibile connettere la rete locale a una rete virtuale usando qualsiasi combinazione delle opzioni seguenti.You can connect your on-premises network to a VNet using any combination of the following options:

  • Connettività InternetInternet connectivity

  • VPN da punto a sitoPoint-to-site VPN (P2S VPN)

  • VPN da sito a sitoSite-to-Site VPN (S2S VPN)

  • ExpressRouteExpressRoute

Connettività InternetInternet Connectivity

Come suggerisce il nome, la connettività Internet rende i carichi di lavoro accessibili da Internet. Ciò avviene esponendo diversi endpoint pubblici a carichi di lavoro che si trovano all'interno della rete virtuale.As its name suggests, Internet connectivity makes your workloads accessible from the Internet, by having you expose different public endpoints to workloads that live inside the virtual network. Tali carichi di lavoro possono essere esposti tramite un servizio di bilanciamento del carico Internet o semplicemente assegnando un indirizzo IP pubblico alla macchina virtuale.These workloads could be exposed using Internet-facing Load Balancer or simply assigning a public IP address to the VM. In questo modo è possibile raggiungere la macchina virtuale da Internet, passando attraverso un firewall host, gruppi di sicurezza di rete e route definite dall'utente.This way, it becomes possible for anything on the Internet to be able to reach that virtual machine, provided a host firewall, network security groups (NSG), and User-Defined Routes allow that to happen.

In questo scenario è possibile esporre a Internet un'applicazione che deve essere pubblica e connettersi all'applicazione da un punto qualsiasi o da percorsi specifici, a seconda della configurazione dei carichi di lavoro.In this scenario, you could expose an application that needs to be public to the Internet and be able to connect to it from anywhere, or from specific locations depending on the configuration of your workloads.

VPN da punto a sito o VPN da sito a sitoPoint-to-Site VPN or Site-to-Site VPN

Questi due tipi di VPN rientrano nella stessa categoria.These two falls into the same category. In entrambi i casi la rete virtuale deve avere un gateway VPN a cui sia possibile connettersi tramite un client VPN per la workstation, come parte della configurazione da punto a sito oppure configurando il dispositivo VPN locale in modo che possa terminare una connessione VPN da sito a sito.They both need your VNet to have a VPN Gateway and you can connect to it using either a VPN Client for your workstation as part of the Point-to-Site configuration or you can configure your on-premises VPN device to be able to terminate a site-to-site VPN. In questo modo i dispositivi locali possono connettersi alle risorse all'interno della rete virtuale.This way, on-premises devices can connect to resources within the VNet.

Una configurazione da punto a sito (P2S) permette di creare una connessione protetta da un singolo computer client a una rete virtuale.A Point-to-Site (P2S) configuration lets you create a secure connection from an individual client computer to a virtual network. P2S è una connessione VPN tramite SSTP (Secure Sockets Tunneling Protocol).P2S is a VPN connection over SSTP (Secure Socket Tunneling Protocol).

VPN da punto a sito

Una soluzione da punto a sito è utile quando ci si vuole connettere alla rete virtuale da una posizione remota, ad esempio da casa o da un centro congressi, oppure quando solo pochi client devono connettersi a una rete virtuale.Point-to-Site connections are useful when you want to connect to your VNet from a remote location, such as from home or a conference center, or when you only have a few clients that need to connect to a virtual network.

Le connessioni P2S non richiedono un dispositivo VPN o un indirizzo IP pubblico.P2S connections do not require a VPN device or a public-facing IP address. La connessione VPN viene avviata dal computer client.You establish the VPN connection from the client computer. Non è quindi consigliabile usare una VPN da punto a sito per connettersi ad Azure quando è necessario stabilire una connessione permanente tra più dispositivi e computer locali e la rete di Azure.Therefore, P2S is not recommended way to connect to Azure in case you need a persistent connection from many on-premises devices and computers to your Azure network.

VPN da sito a sito

Nota

Per altre informazioni al riguardo, vedere le domande frequenti sulla connettività da punto a sito.For more information about Point-to-Site connections, see the Point-to-Site FA v Q.

Una connessione gateway VPN da sito a sito viene usata per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2).A Site-to-Site VPN gateway connection is used to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel.

Questo tipo di connessione richiede un dispositivo VPN che si trova in locale con un indirizzo IP pubblico esterno assegnato.This type of connection requires a VPN device located on-premises that has an externally facing public IP address assigned to it. Questa connessione viene eseguita via Internet e consente di inviare le informazioni attraverso un "tunnel" all'interno di un collegamento crittografato tra la rete e Azure.This connection takes place over the Internet and allows you to “tunnel” information inside an encrypted link between your network and Azure. La rete VPN da sito a sito è una tecnologia sicura e collaudata, che viene distribuita da aziende di ogni dimensione ormai da decenni.Site-to-site VPN is a secure, mature technology that has been deployed by enterprises of all sizes for decades. La crittografia del tunnel viene eseguita usando la modalità tunnel IPsec.Tunnel encryption is performed using IPsec tunnel mode.

Nonostante la tecnologia VPN da sito a sito sia attendibile, affidabile e consolidata, il traffico all'interno del tunnel attraversa comunque Internet.While site-to-site VPN is a trusted, reliable, and established technology, traffic within the tunnel does traverse the Internet. Per di più, la larghezza di banda è relativamente vincolata a un massimo di circa 200 Mbps.In addition, bandwidth is relatively constrained to a maximum of about 200 Mbps.

Se si richiede un livello di sicurezza o prestazioni eccezionale per le connessioni cross-premise, è consigliabile usare Azure ExpressRoute per la connettività cross-premise.If you require an exceptional level of security or performance for your cross-premises connections, we recommend that you use Azure ExpressRoute for your cross-premises connectivity. ExpressRoute è un collegamento WAN dedicato tra il percorso locale o un provider di hosting di Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or an Exchange hosting provider. Dal momento che si tratta di una connessione di telecomunicazioni, i dati non vengono trasmessi via Internet e quindi non sono esposti a potenziali rischi inerenti alle comunicazioni Internet.Because this is a telco connection, your data doesn’t travel over the Internet and therefore is not exposed to the potential risks inherent in Internet communications.

Nota

Per altre informazioni al riguardo, vedere Informazioni sul gateway VPN.For more information about VPN gateways, see About VPN gateway.

Microsoft Azure ExpressRoute consente di estendere le reti locali in Azure tramite una connessione privata dedicata fornita da un provider di connettività.Microsoft Azure ExpressRoute lets you extend your on-premises networks into the Azure over a dedicated private connection facilitated by a connectivity provider.

Le connessioni ExpressRoute non sfruttano la rete Internet pubblica.ExpressRoute connections do not go over the public Internet. In questo modo possono offrire un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e minori latenze rispetto alle connessioni Internet tradizionali.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

 <span data-ttu-id="1f5d2-296">Collegamento WAN dedicato</span><span class="sxs-lookup"><span data-stu-id="1f5d2-296">Dedicated WAN Link</span></span>

Nota

Per informazioni sulla procedura di connessione della rete a Microsoft tramite ExpressRoute, vedere Modelli di connettività di ExpressRoute e Panoramica di ExpressRoute.For information on how to connect your network to Microsoft using ExpressRoute, see ExpressRoute connectivity models and ExpressRoute technical overview.

Come per le opzioni VPN da sito a sito, anche ExpressRoute consente di connettersi a risorse che non si trovano necessariamente in una sola rete virtuale.As with the site-to-site VPN options, ExpressRoute also allows you to connect to resources that are not necessarily in only one VNet. A seconda dello SKU, di fatto è possibile connettersi a 10 reti virtuali.In fact, depending on the SKU, you can connect to 10 VNets. Con un componente aggiuntivo Premium, è possibile stabilire fino a 100 connessioni a reti virtuali, a seconda della larghezza di banda.If you have the premium add-on, connections to up to 100 VNets are possible, depending on bandwidth. Per altre informazioni sull'aspetto di questi tipi di connessione, vedere Diagrammi delle topologie di connessione.To learn more about what these types of connections look like, read Connection topology diagrams.

Controlli di sicurezzaSecurity controls

Una rete virtuale di Azure offre una rete logica e sicura, isolata dalle altre reti virtuali, e supporta molti controlli di sicurezza usati nelle reti locali.An Azure Virtual Network provides a secure, logical network that is isolated from other virtual networks and supports many security controls that you use on your on-premises networks. I clienti possono creare una struttura personale con le subnet, usando un proprio intervallo di indirizzi IP privati e configurando tabelle di routing, gruppi di sicurezza di rete, elenchi di controllo di accesso (ACL), gateway e appliance virtuali per eseguire i carichi di lavoro nel cloud.Customers create their own structure by using: subnets—they use their own private IP address range, configure route tables, network security groups, access control lists (ACLs), gateways, and virtual appliances to run their workloads in the cloud.

Di seguito sono riportati i controlli di sicurezza che è possibile usare nelle reti virtuali di Azure:The following are security controls you can use on your Azure Virtual Networks:

  • Controlli di accesso alla reteNetwork Access Controls

  • Route definite dall'utenteUser-Defined Routes

  • Appliance di sicurezza di reteNetwork Security Appliance

  • gateway applicazioneApplication Gateway

  • Web application firewall di AzureAzure Web Application Firewall

  • Controllo di disponibilità di reteNetwork Availability Control

Controlli di accesso alla reteNetwork access controls

Se da un lato la rete virtuale di Azure è il fulcro del modello di rete di Azure e offre isolamento e protezione, i gruppi di sicurezza di rete rappresentano lo strumento principale per applicare e controllare le regole del traffico di rete a livello di rete.While the Azure Virtual Network (VNet) is the cornerstone of Azure networking model and provides isolation and protection, the Network Security Groups (NSG) are the main tool you use to enforce and control network traffic rules at the network level.

 <span data-ttu-id="1f5d2-314">Controlli di accesso alla rete</span><span class="sxs-lookup"><span data-stu-id="1f5d2-314">Network Access Controls</span></span>

È possibile controllare l'accesso autorizzando o negando la comunicazione tra i carichi di lavoro all'interno di una rete virtuale, da sistemi nelle reti dei clienti tramite la connettività cross-premise oppure la comunicazione Internet diretta.You can control access by permitting or denying communication between the workloads within a virtual network, from systems on customer’s networks via cross-premises connectivity, or direct Internet communication.

Nel diagramma, sia le reti virtuali che i gruppi di sicurezza di rete si trovano a un livello specifico dello stack di sicurezza di Azure, in cui è possibile usare gruppi di sicurezza di rete, route definite dall'utente e appliance virtuali di rete per creare limiti di sicurezza e proteggere le distribuzioni delle applicazioni nella rete protetta.In the diagram, both VNets and NSGs reside in a specific layer in the Azure overall security stack, where NSGs, UDR, and network virtual appliances can be used to create security boundaries to protect the application deployments in the protected network.

I gruppi di sicurezza di rete usano 5 tuple per valutare il traffico (usate nelle regole configurate per il gruppo di sicurezza di rete):NSGs use a 5-tuple to evaluate traffic (and are used in the rules you configure for the NSG):

Ciò significa che è possibile controllare l'accesso tra una macchina virtuale singola e un gruppo di macchine virtuali o una macchina virtuale singola e un'altra macchina virtuale singola o tra intere subnet.This means you can control access between a single VM and a group of VMs, or a single VM to another single VM, or between entire subnets. Anche in questo caso, occorre tenere presente che si tratta di un semplice filtro dei pacchetti con stato, non di un'ispezione completa dei pacchetti.Again, keep in mind that this is simple stateful packet filtering, not full packet inspection. In un gruppo di sicurezza di rete non c'è alcuna convalida del protocollo, IDS a livello di rete o funzionalità IPS.There is no protocol validation or network level IDS or IPS capability in a Network Security Group.

Il gruppo di sicurezza di rete include alcune regole predefinite che è opportuno conoscere.An NSG comes with some built-in rules that you should be aware of. Si tratta di:These are:

  • Consenti tutto il traffico all'interno di una rete virtuale specifica: tutte le macchine virtuali nella stessa rete virtuale di Azure possono comunicare tra loro.Allow all traffic within a specific virtual network: All VMs on the same Azure Virtual Network can communicate with each other.

  • Consenti il traffico in ingresso per il bilanciamento del carico di Azure:  questa regola consente il traffico da qualsiasi indirizzo di origine a qualsiasi indirizzo di destinazione per il servizio di bilanciamento del carico di Azure.Allow Azure load balancing to inbound: This rule allows traffic from any source address to any destination address for the Azure load balancer.

  • Nega tutto il traffico in ingresso:  questa regola blocca tutto il traffico proveniente da Internet che è stato consentito in modo esplicito.Deny all inbound: This rule blocks all traffic sourcing from the Internet that you have explicitly allowed.

  • Consenti tutto il traffico in uscita verso Internet: questa regola consente alle macchine virtuali di avviare connessioni a Internet.Allow all traffic outbound to the Internet: This rule allows VMs to initiate connections to the Internet. Se si preferisce che tali connessioni non vengano avviate, è necessario creare una regola per bloccare le connessioni o applicare il tunneling forzato.If you do not want these connections initiated, you need to create a rule to block those connections or enforce forced tunneling.

Route di sistema e route definite dall'utenteSystem routes and user-defined routes

Quando si aggiungono macchine virtuali a una rete virtuale in Azure, si nota che le macchine virtuali possono automaticamente comunicare tra loro in rete.When you add virtual machines (VMs) to a virtual network (VNet) in Azure, you notice that the VMs are able to communicate with each other over the network, automatically. Non è necessario specificare un gateway, anche se le macchine virtuali si trovano in subnet diverse.You do not need to specify a gateway, even though the VMs are in different subnets.

Lo stesso vale per la comunicazione tra macchine virtuali e rete Internet pubblica e anche rete locale se è presente una connessione ibrida tra Azure e il proprio Data Center.The same is true for communication from the VMs to the public Internet, and even to your on-premises network when a hybrid connection from Azure to your own datacenter is present.

Le route di sistema

Questo flusso di comunicazione è possibile perché Azure utilizza una serie di route di sistema per definire il flusso di traffico IP.This flow of communication is possible because Azure uses a series of system routes to define how IP traffic flows. I route di sistema controllano il flusso delle comunicazioni negli scenari seguenti:System routes control the flow of communication in the following scenarios:

  • All'interno della stessa subnet.From within the same subnet.

  • Da una subnet a altra all'interno di una rete virtuale.From a subnet to another within a VNet.

  • Da macchine virtuali a Internet.From VMs to the Internet.

  • Da una rete virtuale a un'altra rete virtuale tramite un gateway VPN.From a VNet to another VNet through a VPN gateway.

  • Da una rete virtuale a un'altra tramite il peering di rete virtuale (concatenamento dei servizi).From a VNet to another VNet through VNet Peering (Service Chaining).

  • Da una rete virtuale alla rete locale tramite un gateway VPN.From a VNet to your on-premises network through a VPN gateway.

Molte aziende hanno rigidi requisiti di sicurezza e conformità che richiedono l'ispezione locale di tutti i pacchetti di rete per l'applicazione di criteri specifici.Many enterprises have strict security and compliance requirements that require on-premises inspection of all network packets to enforce specific polices. Azure offre un meccanismo denominato tunneling forzato che instrada il traffico dalle macchine virtuali alla rete locale, creando una route personalizzata o per mezzo di annunci Border Gateway Protocol (BGP) tramite ExpressRoute o VPN.Azure provides a mechanism called forced tunneling that routes traffic from the VMs to on-premises by creating a custom route or by Border Gateway Protocol (BGP) advertisements through ExpressRoute or VPN.

Il tunneling forzato in Azure viene configurato tramite route di rete virtuale definite dall'utente.Forced tunneling in Azure is configured via virtual network user-defined routes (UDR). Il reindirizzamento del traffico a un sito locale viene espresso come route predefinita al gateway VPN di Azure.Redirecting traffic to an on-premises site is expressed as a Default Route to the Azure VPN gateway.

Nella sezione seguente viene elencata la limitazione attuale della tabella di routing e delle route per una rete virtuale di Azure:The following section lists the current limitation of the routing table and routes for an Azure Virtual Network:

  • Ciascuna subnet della rete virtuale dispone di una tabella di routing di sistema integrata.Each virtual network subnet has a built-in, system routing table. La tabella di routing di sistema include i tre gruppi di route seguenti:The system routing table has the following three groups of routes:

    • Route della rete virtuale locale: direttamente alla destinazione di macchine virtuali nella stessa rete virtualeLocal VNet routes: Directly to the destination VMs in the same virtual network

    • Route locale: al gateway VPN di AzureOn premises routes: To the Azure VPN gateway

    • Route predefinita: direttamente a Internet.Default route: Directly to the Internet. I pacchetti destinati agli indirizzi IP privati che non rientrano nelle due route precedenti vengono eliminati.Packets destined to the private IP addresses not covered by the previous two routes are dropped.

  • Con il rilascio di route definite dall'utente, è possibile creare una tabella di routing per aggiungere una route predefinita, quindi associare la tabella di routing alla subnet della rete virtuale per abilitare il tunneling forzato su tali subnet.With the release of user-defined routes, you can create a routing table to add a default route, and then associate the routing table to your VNet subnet to enable forced tunneling on those subnets.

  • È necessario impostare un "sito predefinito" tra i siti locali cross-premise connessi alla rete virtuale.You need to set a "default site" among the cross-premises local sites connected to the virtual network.

  • Il tunneling forzato deve essere associato a una rete virtuale che disponga di un gateway VPN (non un gateway statico).Forced tunneling must be associated with a VNet that has a dynamic routing VPN gateway (not a static gateway).

  • Il tunneling forzato ExpressRoute non viene configurato mediante questo meccanismo, ma è abilitato annunciando una route predefinita tramite le sessioni di peering BGP ExpressRoute.ExpressRoute forced tunneling is not configured via this mechanism, but instead, is enabled by advertising a default route via the ExpressRoute BGP peering sessions.

Nota

Per altre informazioni, vedere la documentazione di ExpressRoute.For more information, see the ExpressRoute Documentation for more information.

Appliance di sicurezza di reteNetwork security appliances

Anche se i gruppi di sicurezza di rete e le route definite dall'utente possono offrire un certo grado di sicurezza di rete ai livelli di rete e di trasporto del modello OSI, in alcune situazioni è opportuno o necessario abilitare la sicurezza a livelli più alti dello stack di rete.While Network Security Groups and User-Defined Routes can provide a certain measure of network security at the network and transport layers of the OSI model, there are going to be situations where you want or need to enable security at higher levels of the networking stack. In tali situazioni, è consigliabile distribuire i dispositivi di sicurezza di rete virtuale forniti dai partner di Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Appliance di sicurezza di rete

Le appliance di sicurezza di rete di Azure migliorano la sicurezza della rete virtuale e le funzioni di rete. In Azure Marketplace sono disponibili appliance di diversi fornitori.Azure network security appliances improve VNet security and network functions, and they’re available from numerous vendors via the Azure Marketplace. È possibile distribuire le appliance di sicurezza virtuale allo scopo di garantire quanto segue:These virtual security appliances can be deployed to provide:

  • Firewall a disponibilità elevataHighly available firewalls

  • Prevenzione delle intrusioniIntrusion prevention

  • Rilevamento delle intrusioniIntrusion detection

  • Web application firewallWeb application firewalls (WAFs)

  • Ottimizzazione WANWAN optimization

  • Routing.Routing

  • Bilanciamento del carico.Load balancing

  • VPNVPN

  • Gestione dei certificatiCertificate management

  • Active DirectoryActive Directory

  • Autenticazione a più fattoriMultifactor authentication

gateway applicazioneApplication gateway

Il gateway applicazione di Microsoft Azure è un'appliance virtuale dedicata che offre un servizio di controller per la distribuzione di applicazioni.Microsoft Azure Application Gateway is a dedicated virtual appliance that provides an application delivery controller (ADC) as a service.

gateway applicazione

Il gateway applicazione consente di ottimizzare le prestazioni e la disponibilità delle Web farm eseguendo l'offload al gateway applicazione della terminazione SSL con utilizzo elevato di CPU (offload SSL).Application Gateway enables you to optimize web farm performance and availability by offloading CPU intensive SSL termination to the application gateway (SSL-offloading). Offre inoltre funzionalità di routing di livello 7, tra cui:It also provides other layer 7 routing capabilities including:

  • Distribuzione round-robin del traffico in ingressoRound-robin distribution of incoming traffic

  • Affinità di sessione basata su cookieCookie-based session affinity

  • Routing basato su percorsi URLURL path-based routing

  • Possibilità di ospitare più siti Web dietro un gateway applicazione singoloAbility to host multiple websites behind a single Application Gateway

Nel gateway applicazione è incluso anche un Web application firewall (WAF).A web application firewall (WAF) is also provided as part of the application gateway. Questo offre alle applicazioni Web la protezione da exploit e vulnerabilità Web comuni.This provides protection to web applications from common web vulnerabilities and exploits. Il gateway applicazione può essere configurato come gateway con connessione Internet, come gateway solo interno o come una combinazione di queste due opzioni.Application Gateway can be configured as an Internet facing gateway, internal only gateway, or a combination of both.

È possibile eseguire il Web application firewall del gateway applicazione in modalità di rilevamento o di prevenzione.Application Gateway WAF can be run in detection or prevention mode. Gli amministratori lo eseguono comunemente in modalità di rilevamento per tenere traccia di eventuali schemi dannosi nel traffico.A common use case is for administrators to run in detection mode to observe traffic for malicious patterns. Quando vengono rilevati exploit potenziali, il passaggio alla modalità di prevenzione blocca il traffico in ingresso sospetto.Once potential exploits are detected, turning to prevention mode blocks suspicious incoming traffic.

gateway applicazione

Il Web application firewall del gateway applicazione permette anche di monitorare le applicazioni Web contro gli attacchi, grazie a un log WAF in tempo reale integrato con Monitoraggio di Azure e con il Centro sicurezza di Azure per tenere traccia degli avvisi WAF e monitorare facilmente le tendenze.In addition, Application Gateway WAF helps you monitor web applications against attacks using a real-time WAF log that is integrated with Azure Monitor and Azure Security Center to track WAF alerts and easily monitor trends.

Il log in formato JSON passa direttamente all'account di archiviazione del cliente.The JSON formatted log goes directly to the customer’s storage account. L'utente ha il controllo completo sui log e può applicare i propri criteri di conservazione.You have full control over these logs and can apply your own retention policies.

È anche possibile inserire i log nel proprio sistema di analisi usando l'integrazione dei log di Azure.You can also ingest these logs into your own analytics system using Azure Log Integration. I log WAF sono anche integrati con Operations Management Suite (OMS). Questo permette di usare Log Analytics di OMS per eseguire query sofisticate con granularità fine.WAF logs are also integrated with Operations Management Suite (OMS) so you can use OMS log analytics to execute sophisticated fine-grained queries.

Web application firewall (WAF) di AzureAzure web application firewall (WAF)

Le applicazioni Web sono sempre più spesso oggetto di attacchi che sfruttano vulnerabilità comuni note, come gli attacchi SQL injection, cross site scripting e altri attacchi indicati tra le 10 vulnerabilità Web OWASP più diffuse.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities, such as SQL injection, cross site scripting attacks, and other attacks that appear in the OWASP top 10. Impedire questo tipo di exploit nell'applicazione richiede una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione.Preventing such exploits in the application requires rigorous maintenance, patching, and monitoring at multiple layers of the application topology.

Web application firewall (WAF) di Azure

Un Web application firewall centralizzato permette di proteggersi dagli attacchi Web e semplifica la gestione della sicurezza, senza richiedere alcuna modifica alle applicazioni.A centralized web application firewall (WAF) can protect against web attacks and simplifies security management without requiring any application changes.

Una soluzione WAF è anche in grado di reagire più velocemente a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. È possibile convertire facilmente i gateway applicazione esistenti in un gateway applicazione con Web application firewall.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

Controlli di disponibilità di reteNetwork availability controls

Sono disponibili diverse opzioni per distribuire il traffico di rete tramite Microsoft Azure.There are different options to distribute network traffic using Microsoft Azure. Queste opzioni funzionano in modo diverso, vantano un set di funzionalità differenti e supportano diversi scenari.These options work differently from each other, having a different feature set and support different scenarios. Possono essere utilizzate singolarmente o in combinazione.They can each be used in isolation, or combining them.

Di seguito sono indicati i controlli di disponibilità di rete:Following are the Network availability controls:

  • Azure Load BalancerAzure Load Balancer

  • gateway applicazioneApplication Gateway

  • Gestione trafficoTraffic Manager

Azure Load BalancerAzure Load balancer

Garantisce livelli elevati di disponibilità e prestazioni di rete per le applicazioni.Delivers high availability and network performance to your applications. Si tratta di un servizio di bilanciamento del carico di livello 4 (TCP, UDP) che distribuisce il traffico in ingresso tra istanze integre di servizi definiti in un set con carico bilanciato.It is a Layer 4 (TCP, UDP) load balancer that distributes incoming traffic among healthy instances of services defined in a load-balanced set.

Azure Load Balancer

Azure Load Balancer può essere configurato per:Azure Load Balancer can be configured to:

  • Bilanciare il carico del traffico Internet in ingresso nelle macchine virtuali.Load balance incoming Internet traffic to virtual machines. Questa configurazione è nota come bilanciamento del carico Internet tra più macchine virtuali o servizi.This configuration is known as Internet-facing load balancing.

  • Bilanciare il carico del traffico tra macchine virtuali in una rete virtuale, tra macchine virtuali nei servizi cloud o tra computer locali e macchine virtuali in una rete virtuale cross-premise.Load balance traffic between virtual machines in a virtual network, between virtual machines in cloud services, or between on-premises computers and virtual machines in a cross-premises virtual network. Questa configurazione è nota come bilanciamento del carico interno.This configuration is known as internal load balancing.

  • Inoltrare il traffico esterno a una specifica macchina virtuale.Forward external traffic to a specific virtual machine.

Tutte le risorse nel cloud richiedono un indirizzo IP pubblico per poter essere raggiungibili da Internet.All resources in the cloud need a public IP address to be reachable from the Internet. L'infrastruttura cloud di Azure usa per le proprie risorse indirizzi IP non instradabili.The cloud infrastructure in Azure uses non-routable IP addresses for its resources. Azure usa Network Address Translation (NAT) con indirizzi IP pubblici per comunicare con Internet.Azure uses network address translation (NAT) with public IP addresses to communicate to the Internet.

Gateway applicazioneApplication gateway

Il gateway applicazione funziona a livello di applicazione (livello 7 nello stack di riferimento di rete OSI).Application Gateway works at the application layer (Layer 7 in the OSI network reference stack). Agisce come un servizio di proxy inverso, terminando la connessione di client e inoltrando richieste a endpoint di back-end.It acts as a reverse-proxy service, terminating the client connection and forwarding requests to back-end endpoints.

Gestione trafficoTraffic manager

Gestione traffico di Microsoft Azure consente di controllare la distribuzione del traffico utente per gli endpoint di servizio in diversi data center.Microsoft Azure Traffic Manager allows you to control the distribution of user traffic for service endpoints in different datacenters. Gli endpoint di servizio supportati da Gestione traffico includono servizi cloud, app Web e macchine virtuali di Azure.Service endpoints supported by Traffic Manager include Azure VMs, Web Apps, and cloud services. È anche possibile usare Gestione traffico con endpoint esterni, non di Azure.You can also use Traffic Manager with external, non-Azure endpoints.

Gestione traffico usa il sistema DNS (Domain Name System) per indirizzare le richieste del client all'endpoint più appropriato in base a un metodo di routing del traffico e all'integrità degli endpoint.Traffic Manager uses the Domain Name System (DNS) to direct client requests to the most appropriate endpoint based on a traffic-routing method and the health of the endpoints. Gestione traffico offre diversi metodi di routing del traffico per soddisfare le diverse esigenze delle applicazioni. Offre inoltre monitoraggio dell'integrità degli endpoint e failover automatico.Traffic Manager provides a range of traffic-routing methods to suit different application needs, endpoint health monitoring, and automatic failover. Gestione traffico è resiliente agli errori, incluso l'errore di un'intera area di Azure.Traffic Manager is resilient to failure, including the failure of an entire Azure region.

Gestione traffico di Azure consente di controllare in che modo il traffico viene distribuito tra gli endpoint dell'applicazione.Azure Traffic Manager enables you to control the distribution of traffic across your application endpoints. Un endpoint è un servizio con connessione Internet ospitato all'interno o all'esterno di Azure.An endpoint is any Internet-facing service hosted inside or outside of Azure.

Gestione traffico offre due vantaggi principali:Traffic Manager provides two key benefits:

Quando un client tenta di connettersi a un servizio, è necessario prima risolvere il nome DNS del servizio a un indirizzo IP.When a client attempts to connect to a service, it must first resolve the DNS name of the service to an IP address. Il client si connette quindi a questo indirizzo IP per accedere al servizio.The client then connects to that IP address to access the service. Gestione traffico usa DNS per indirizzare i client a specifici endpoint di servizio in base alle regole del metodo di routing del traffico.Traffic Manager uses DNS to direct clients to specific service endpoints based on the rules of the traffic-routing method. I client si connettono direttamente all'endpoint selezionato.Clients connect to the selected endpoint directly. Gestione traffico non è un proxy o un gateway.Traffic Manager is not a proxy or a gateway. Gestione traffico non visualizza il traffico tra il client e il servizio.Traffic Manager does not see the traffic passing between the client and the service.

Convalida della rete di AzureAzure network validation

La convalida della rete di Azure permette di accertare il funzionamento della rete di Azure in base alla configurazione e può essere eseguita usando i servizi e le funzionalità disponibili per il monitoraggio della rete.Azure network validation is to ensure that the Azure network is operating as it is configured and validation can be done using the services and features available to monitor the network. Con Azure Network Watcher è possibile accedere a una vasta gamma di funzionalità di registrazione e diagnostica, con informazioni che permettono di conoscere le prestazioni e l'integrità della rete.With Azure Network Watcher, you can access a plethora of logging and diagnostic capabilities that empower you with insights to understand your network performance and health. Tali funzionalità sono accessibili tramite il portale, PowerShell, l'interfaccia della riga di comando, API Rest e SDK.These capabilities are accessible via Portal, Power Shell, CLI, Rest API and SDK.

La sicurezza operativa di Azure include i servizi, i controlli e le funzionalità offerti ai clienti per proteggere i dati, le applicazioni e gli altri asset di Microsoft Azure.Azure Operational Security refers to the services, controls, and features available to users for protecting their data, applications, and other assets in Microsoft Azure. La sicurezza operativa di Azure è basata su un framework che incorpora le conoscenze acquisite tramite varie funzionalità esclusive di Microsoft, tra cui Microsoft Security Development Lifecycle (SDL), il programma Microsoft Security Response Center e una profonda consapevolezza del panorama delle minacce per la sicurezza informatica.Azure Operational Security is built on a framework that incorporates the knowledge gained through a various capabilities that are unique to Microsoft, including the Microsoft Security Development Lifecycle (SDL), the Microsoft Security Response Centre program, and deep awareness of the cyber security threat landscape.

Azure Resource ManagerAzure resource manager

Le persone e i processi che usano Microsoft Azure sono forse la funzionalità di sicurezza più importante della piattaforma.The people and processes that operate Microsoft Azure are perhaps the most important security feature of the platform. Questa sezione illustra le funzionalità dell'infrastruttura del data center globale di Microsoft che consentono di migliorare e gestire la sicurezza, la continuità e la privacy.This section describes features of Microsoft’s global datacenter infrastructure that help enhance and maintain security, continuity, and privacy.

L'infrastruttura per l'applicazione è in genere costituita da vari componenti, ad esempio una macchina virtuale, un account di archiviazione e una rete virtuale oppure un'app Web, un database, un server di database e servizi di terze parti.The infrastructure for your application is typically made up of many components – maybe a virtual machine, storage account, and virtual network, or a web app, database, database server, and third-party services. Questi componenti non appaiono come entità separate, ma come parti correlate e interdipendenti di una singola entitàYou do not see these components as separate entities, instead you see them as related and interdependent parts of a single entity. e devono essere distribuite, gestite e monitorate come gruppo.You want to deploy, manage, and monitor them as a group. Gestione risorse di Azure consente di usare le risorse incluse nella soluzione come un gruppo.Azure Resource Manager enables you to work with the resources in your solution as a group.

È possibile distribuire, aggiornare o eliminare tutte le risorse della soluzione con un'unica operazione coordinata.You can deploy, update, or delete all the resources for your solution in a single, coordinated operation. Per la distribuzione viene usato un modello; questo modello può essere usato per diversi ambienti, ad esempio di testing, staging e produzione.You use a template for deployment and that template can work for different environments such as testing, staging, and production. Gestione risorse offre funzionalità di sicurezza, controllo e categorizzazione che semplificano la gestione delle risorse dopo la distribuzione.Resource Manager provides security, auditing, and tagging features to help you manage your resources after deployment.

Vantaggi offerti dall'uso di Resource ManagerThe benefits of using Resource Manager

Gestione risorse offre numerosi vantaggi:Resource Manager provides several benefits:

  • È possibile distribuire, gestire e monitorare tutte le risorse per la soluzione come un gruppo, anziché gestire singolarmente tali risorse.You can deploy, manage, and monitor all the resources for your solution as a group, rather than handling these resources individually.

  • È possibile distribuire ripetutamente la soluzione nel corso del ciclo di vita dello sviluppo garantendo al contempo che le risorse vengano distribuite in uno stato coerente.You can repeatedly deploy your solution throughout the development lifecycle and have confidence your resources are deployed in a consistent state.

  • È possibile gestire l'infrastruttura con modelli dichiarativi, piuttosto che con script.You can manage your infrastructure through declarative templates rather than scripts.

  • È possibile definire le dipendenze tra le risorse in modo che vengano distribuite nell'ordine corretto.You can define the dependencies between resources, so they are deployed in the correct order.

  • è possibile applicare il controllo di accesso a tutti i servizi nel gruppo di risorse perché il controllo di accesso basato sui ruoli (RBAC) è integrato in modo nativo nella piattaforma di gestione.You can apply access control to all services in your resource group because Role-Based Access Control (RBAC) is natively integrated into the management platform.

  • È possibile applicare tag alle risorse per organizzare in modo logico tutte le risorse nella sottoscrizione.You can apply tags to resources to logically organize all the resources in your subscription.

  • È possibile ottenere informazioni dettagliate sulla fatturazione per l'organizzazione visualizzando i costi di un gruppo di risorse che condividono un tag.You can clarify your organization's billing by viewing costs for a group of resources sharing tag.

Nota

Gestione risorse offre un nuovo modo per distribuire e gestire le soluzioni.Resource Manager provides a new way to deploy and manage your solutions. Per informazioni sulle modifiche introdotte rispetto al modello di distribuzione precedente, vedere l'articolo relativo alle informazioni sulla distribuzione di Gestione risorse e sulla distribuzione classica.If you used the earlier deployment model and want to learn about the changes, see Understanding Resource Manager deployment and classic deployment.

Registrazione e monitoraggio della rete di AzureAzure network logging and monitoring

Azure offre diversi strumenti che permettono di monitorare, prevenire, rilevare e rispondere agli eventi di sicurezza di rete.Azure offers many tools to monitor, prevent, detect, and respond to network security events. Alcuni degli strumenti più potenti disponibili includono:Some of the most powerful tools available to you in this area include:

  • Network WatcherNetwork Watcher

  • Monitoraggio a livello di risorsa di reteNetwork Resource Level Monitoring

  • Log AnalyticsLog Analytics

Network WatcherNetwork watcher

Network Watcher: tra le funzionalità del servizio Network Watcher è incluso il monitoraggio basato su scenari.Network Watcher - Scenario-based monitoring is provided with the features in Network Watcher. Il servizio include l'acquisizione pacchetti, l'hop successivo, la verifica del flusso IP, la visualizzazione dei gruppi di sicurezza e i registri dei flussi dei gruppi di sicurezza di rete.This service includes packet capture, next hop, IP flow verify, security group view, NSG flow logs. A differenza del monitoraggio a livello di singole risorse di rete, il monitoraggio a livello di scenario consente una visualizzazione completa delle risorse di rete.Scenario level monitoring provides an end to end view of network resources in contrast to individual network resource monitoring.

Network Watcher

Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Gli strumenti di visualizzazione e diagnostica di rete disponibili in Network Watcher permettono di comprendere, diagnosticare e ottenere informazioni dettagliate sulla rete in Azure.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure.

Di seguito sono elencate le funzionalità attualmente disponibili in Network Watcher.Network Watcher currently has the following capabilities:

TopologiaTopology

La topologia restituisce un grafico delle risorse di rete in una rete virtuale.Topology returns a graph of network resources in a virtual network. Il grafico illustra l'interconnessione tra le risorse per rappresentare in modo completo la connettività di rete.The graph depicts the interconnection between the resources to represent the end to end network connectivity. Nel portale la topologia restituisce gli oggetti risorsa per ogni singola rete virtuale.In the portal, Topology returns the resource objects on as per virtual network basis. Le relazioni sono rappresentate dalle linee tra le risorse all'esterno dell'area di Network Watcher, anche se non vengono visualizzate nel gruppo di risorse.The relationships are depicted by lines between the resources outside of the Network Watcher region, even if in the resource group will not be displayed. Le risorse restituite nella vista del portale sono un sottoinsieme di componenti di rete rappresentati in un grafico.The resources returned in the portal view are a subset of the networking components that are graphed. Per visualizzare l'elenco completo delle risorse di rete è possibile usare PowerShell o REST.To see the full list of networking resources, you can use PowerShell or REST.

Quando le risorse vengono restituite, la connessione tra di esse viene modellata in due relazioni.As resources are returned the connection between they are modeled under two relationships.

  • Contenimento: la rete virtuale contiene una subnet che contiene una scheda di interfaccia di rete.Containment - Virtual Network contains a Subnet, which contains a NIC.

  • Associazione: una scheda di interfaccia di rete è associata a una macchina virtuale.Associated - A NIC is associated with a VM.

Acquisizione pacchetti variabileVariable packet capture

L'acquisizione pacchetti variabile di Network Watcher consente di creare sessioni di acquisizione di pacchetti per registrare il traffico da e verso una macchina virtuale.Network Watcher variable packet capture allows you to create packet capture sessions to track traffic to and from a virtual machine. Il servizio di acquisizione di pacchetti consente di individuare eventuali anomalie di rete in modo proattivo e reattivo.Packet capture helps to diagnose network anomalies both reactively and proactivity. Altri usi comprendono la raccolta di statistiche di rete, informazioni sulle intrusioni nella rete, debug delle comunicazioni client-server e molto altro ancora.Other uses include gathering network statistics, gaining information on network intrusions, to debug client-server communications and much more.

L'acquisizione di pacchetti è un'estensione macchina virtuale che viene avviata da remoto tramite Network Watcher.Packet capture is a virtual machine extension that is remotely started through Network Watcher. Questa funzionalità evita di dover eseguire manualmente questa operazione sulla macchina virtuale desiderata, consentendo un notevole risparmio di tempo.This capability eases the burden of running a packet capture manually on the desired virtual machine, which saves valuable time. L'acquisizione di pacchetti può essere attivata tramite il portale, PowerShell, l'interfaccia della riga di comando o l'API REST.Packet capture can be triggered through the portal, PowerShell, CLI, or REST API. Un esempio di modalità di attivazione è rappresentata dagli avvisi della macchina virtuale.One example of how packet capture can be triggered is with Virtual Machine alerts.

Verifica del flusso IPIP flow verify

La verifica del flusso IP controlla se un pacchetto viene accettato o rifiutato in ingresso o in uscita da una macchina virtuale in base a informazioni a 5 tuple.IP flows verify checks if a packet is allowed or denied to or from a virtual machine based on 5-tuple information. Tali informazioni sono costituite da direzione, protocollo, indirizzo IP locale, indirizzo IP remoto, porta locale e porta remota.This information consists of direction, protocol, local IP, remote IP, local port, and remote port. Se il pacchetto viene rifiutato da un gruppo di sicurezza, viene restituito il nome della regola che ha rifiutato il pacchetto.If the packet is denied by a security group, the name of the rule that denied the packet is returned. Anche se è possibile scegliere qualsiasi indirizzo IP di origine o di destinazione, questa funzionalità permette agli amministratori di diagnosticare rapidamente problemi di connettività in ingresso o in uscita da Internet e in ingresso o in uscita dall'ambiente locale.While any source or destination IP can be chosen, this feature helps administrators quickly diagnose connectivity issues from or to the internet and from or to the on-premises environment.

La verifica del flusso IP esamina l'interfaccia di rete di una macchina virtuale.IP flows verify targets a network interface of a virtual machine. Il flusso di traffico in ingresso o in uscita dall'interfaccia di rete viene quindi verificato in base alle impostazioni configurate.Traffic flow is then verified based on the configured settings to or from that network interface. Questa funzionalità permette di confermare se una regola di un gruppo di sicurezza di rete sta bloccando il traffico in ingresso o in uscita da una macchina virtuale.This capability is useful in confirming if a rule in a Network Security Group is blocking ingress or egress traffic to or from a virtual machine.

Hop successivoNext hop

Determina l'hop successivo per i pacchetti indirizzati nell'infrastruttura di rete di Azure, permettendo così di diagnosticare eventuali route definite dall'utente non configurate in modo corretto.Determines the next hop for packets being routed in the Azure Network Fabric, enabling you to diagnose any misconfigured user-defined routes. Il traffico proveniente da una macchina virtuale viene inviato a una destinazione in base alle route valide associate alla scheda di interfaccia di rete.Traffic from a VM is sent to a destination based on the effective routes associated with a NIC. L'hop successivo ottiene il tipo di hop successivo e l'indirizzo IP di un pacchetto da una macchina virtuale e una scheda di interfaccia di rete specifiche.Next hop gets the next hop type and IP address of a packet from a specific virtual machine and NIC. Ciò consente di determinare se il pacchetto viene indirizzato a destinazione o se il traffico viene inviato a un black hole.This helps to determine if the packet is being directed to the destination or is the traffic being black holed.

L'hop successivo restituisce anche la tabella di route associata all'hop successivo.Next hop also returns the route table associated with the next hop. Quando si eseguono query su un hop successivo, viene restituita la route, se definita dall'utente.When querying a next hop if the route is defined as a user-defined route, that route will be returned. In caso contrario l'hop successivo restituisce la route di sistema.Otherwise Next hop returns "System Route".

Visualizzazione dei gruppi di sicurezzaSecurity group view

Ottiene le regole di sicurezza valide e applicate in una macchina virtuale.Gets the effective and applied security rules that are applied on a VM. I gruppi di sicurezza di rete sono associati a un livello di subnet o a un livello di scheda di interfaccia di rete.Network Security groups are associated at a subnet level or at a NIC level. Se associato a livello di subnet, si applica a tutte le istanze delle VM della subnet.When associated at a subnet level, it applies to all the VM instances in the subnet. La visualizzazione dei gruppi di sicurezza di rete restituisce tutti i gruppi di sicurezza di rete configurati e le regole associate a livello di scheda di interfaccia di rete e di subnet per una macchina virtuale, offrendo così informazioni approfondite sulla configurazione.Network Security Group view returns all the configured NSGs and rules that are associated at a NIC and subnet level for a virtual machine providing insight into the configuration. Vengono anche restituite le regole di sicurezza effettive per ogni scheda di interfaccia di rete in una VM.In addition, the effective security rules are returned for each of the NICs in a VM. Usando la visualizzazione dei gruppi di sicurezza di rete, è possibile valutare le vulnerabilità di rete di una VM, ad esempio le porte aperte.Using Network Security Group view, you can assess a VM for network vulnerabilities such as open ports. È anche possibile verificare se il gruppo di sicurezza di rete funziona come previsto confrontando le regole di sicurezza configurate e quelle effettive.You can also validate if your Network Security Group is working as expected based on a comparison between the configured and the effective security rules.

Registrazione dei flussi dei gruppi di sicurezza di reteNSG Flow logging

La registrazione dei flussi dei gruppi di sicurezza di rete permette di acquisire i log relativi al traffico consentito o negato dalle regole di sicurezza nel gruppo.Flow logs for Network Security Groups enable you to capture logs related to traffic that are allowed or denied by the security rules in the group. Il flusso è definito da informazioni a 5 tuple, ovvero l'indirizzo IP di destinazione, l'indirizzo IP di origine, la porta di destinazione, la porta di origine e il protocollo.The flow is defined by a 5-tuple information – Source IP, Destination IP, Source Port, Destination Port, and Protocol.

I log dei flussi del gruppo di sicurezza di rete sono una funzionalità di Network Watcher che consente di visualizzare le informazioni sul traffico IP in entrata e in uscita tramite un gruppo di sicurezza di rete.Network Security Group flow logs are a feature of Network Watcher that allows you to view information about ingress and egress IP traffic through a Network Security Group.

Risoluzione dei problemi di connessione e del gateway di rete virtualeVirtual network gateway and connection troubleshooting

Network Watcher offre numerose funzionalità che consentono di comprendere le risorse di rete in Azure.Network Watcher provides many capabilities as it relates to understanding your network resources in Azure. Una di queste funzionalità è la risoluzione dei problemi riscontrati con le risorse.One of these capabilities is resource troubleshooting. La funzionalità di risoluzione dei problemi delle risorse può essere chiamata da PowerShell, dall'interfaccia della riga di comando o dall'API REST.Resource troubleshooting can be called by PowerShell, CLI, or REST API. Quando chiamata, Network Watcher controlla l'integrità di un gateway di rete virtuale o di una connessione e restituisce i risultati.When called, Network Watcher inspects the health of a Virtual Network gateway or a Connection and returns its findings.

Questa sezione illustra le diverse attività di gestione attualmente disponibili per la risoluzione dei problemi relativi alle risorse.This section takes you through the different management tasks that are currently available for resource troubleshooting.

Limite sottoscrizioni di reteNetwork subscription limits

Limite sottoscrizioni di rete fornisce informazioni dettagliate sull'utilizzo delle singole risorse di rete di una sottoscrizione in un'area rispetto al numero massimo di risorse disponibili.Network subscription limits provide you with details of the usage of each of the network resource in a subscription in a region against the maximum number of resources available.

Configurazione dei log di diagnosticaConfiguring diagnostics Log

Network Watcher offre una visualizzazione dei log di diagnostica.Network Watcher provides a diagnostic logs view. contenente tutte le risorse di rete che supportano la registrazione diagnostica.This view contains all networking resources that support diagnostic logging. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.From this view, you can enable and disable networking resources conveniently and quickly.

Monitoraggio a livello di risorsa di reteNetwork resource level monitoring

Per il monitoraggio a livello di risorsa sono disponibili le funzionalità seguenti:The following features are available for resource level monitoring:

Log di controlloAudit log

Le operazioni eseguite come parte della configurazione delle reti vengono registrate.Operations performed as part of the configuration of networks are logged. I log di controllo sono fondamentali per stabilire varie conformità.These audit logs are essential to establish various compliances. È possibile visualizzare i relativi log nel portale di Azure o recuperarli usando strumenti Microsoft, come Power BI, o strumenti di terze parti.These logs can be viewed in the Azure portal or retrieved using Microsoft tools such as Power BI or third-party tools. I log di controllo sono disponibili tramite il portale, PowerShell, l'interfaccia della riga di comando e l'API REST.Audit logs are available through the portal, PowerShell, CLI, and Rest API.

Nota

Per altre informazioni sui log di controllo, vedere Operazioni di controllo con Gestione risorse.For more information on Audit logs, see Audit operations with Resource Manager. I log di controllo sono disponibili per le operazioni eseguite su tutte le risorse di rete.Audit logs are available for operations done on all network resources.

MetricheMetrics

Le metriche sono costituite da contatori e misurazioni delle prestazioni raccolti in un determinato periodo di tempo.Metrics are performance measurements and counters collected over a period. Attualmente le metriche sono disponibili per il gateway applicazione.Metrics are currently available for Application Gateway. Le metriche possono essere usate per attivare avvisi in base a una soglia.Metrics can be used to trigger alerts based on threshold. Per impostazione predefinita, il gateway applicazione di Azure monitora l'integrità di tutte le risorse nel pool back-end e rimuove automaticamente dal pool le risorse considerate non integre.Azure Application Gateway by default monitors the health of all resources in its back-end pool and automatically removes any resource considered unhealthy from the pool. Il gateway applicazione continua a monitorare le istanze non integre e le riaggiunge al pool back-end integro, dopo che sono diventate disponibili e rispondono ai probe di integrità.Application Gateway continues to monitor the unhealthy instances and adds them back to the healthy back-end pool once they become available and respond to health probes. Il gateway applicazione invia i probe di integrità con la stessa porta definita nelle impostazioni HTTP del back-end.Application gateway sends the health probes with the same port that is defined in the back-end HTTP settings. Questa configurazione garantisce che il probe testi la stessa porta che verrebbe usata dai clienti per connettersi al back-end.This configuration ensures that the probe is testing the same port that customers would be using to connect to the backend.

Nota

Per informazioni su come usare le metriche per creare avvisi, vedere l'articolo relativo alla diagnostica del gateway applicazione.See Application Gateway Diagnostics to view how metrics can be used to create alerts.

Log di diagnosticaDiagnostic logs

Le risorse di rete creano eventi periodici e spontanei, che vengono registrati negli account di archiviazione e inviati a un hub eventi oppure a Log Analytics.Periodic and spontaneous events are created by network resources and logged in storage accounts, sent to an Event Hub, or Log Analytics. Questi log contengono informazioni dettagliate sull'integrità delle singole risorseThese logs provide insights into the health of a resource. e possono essere visualizzati con strumenti quali Power BI e Log Analytics.These logs can be viewed in tools such as Power BI and Log Analytics. Per informazioni su come visualizzare i log di diagnostica, vedere l'articolo relativo a Log Analytics.To learn how to view diagnostic logs, visit Log Analytics.

Sono disponibili log di diagnostica per il servizio di bilanciamento del carico, i gruppi di sicurezza di rete, le route e il gateway applicazione.Diagnostic logs are available for Load Balancer, Network Security Groups, Routes, and Application Gateway.

Network Watcher offre una visualizzazione dei log di diagnosticaNetwork Watcher provides a diagnostic logs view. contenente tutte le risorse di rete che supportano la registrazione diagnostica.This view contains all networking resources that support diagnostic logging. Da questa visualizzazione è possibile abilitare e disabilitare le risorse di rete in modo facile e veloce.From this view, you can enable and disable networking resources conveniently and quickly.

Log AnalyticsLog analytics

Log Analytics è un servizio di Operations Management Suite (OMS) che consente di monitorare gli ambienti cloud e locali per garantirne la disponibilità e le prestazioni.Log Analytics is a service in Operations Management Suite (OMS) that monitors your cloud and on-premises environments to maintain their availability and performance. Raccoglie i dati generati dalle risorse negli ambienti cloud e locali e da altri strumenti di monitoraggio per analizzare più origini.It collects data generated by resources in your cloud and on-premises environments and from other monitoring tools to provide analysis across multiple sources.

Log Analytics offre le seguenti soluzioni per il monitoraggio delle reti:Log Analytics offers the following solutions for monitoring your networks:

  • Monitoraggio delle prestazioni di reteNetwork Performance Monitor (NPM)

  • Analisi gateway applicazione di AzureAzure Application Gateway analytics

  • Analisi gruppo di sicurezza di rete di AzureAzure Network Security Group analytics

Monitoraggio prestazioni rete (NPM)Network performance monitor (NPM)

La soluzione di gestione Monitoraggio prestazioni rete consente di monitorare l'integrità, la disponibilità e la raggiungibilità delle reti.The Network Performance Monitor management solution is a network monitoring solution that monitors the health, availability, and reachability of networks.

Viene usata per monitorare la connettività tra:It is used to monitor connectivity between:

  • cloud pubblico e risorse localipublic cloud and on-premises

  • data center e percorsi utente (filiali)data centers and user locations (branch offices)

  • subnet che ospita i diversi livelli di un'applicazione a più livelli.subnets hosting various tiers of a multi-tiered application.

Analisi gateway applicazione di Azure in Log AnalyticsAzure application gateway analytics in log analytics

I log seguenti sono supportati per i gateway applicazione:The following logs are supported for Application Gateways:

  • ApplicationGatewayAccessLogApplicationGatewayAccessLog

  • ApplicationGatewayPerformanceLogApplicationGatewayPerformanceLog

  • ApplicationGatewayFirewallLogApplicationGatewayFirewallLog

Le metriche seguenti sono supportate per i gateway applicazione:The following metrics are supported for Application Gateways:

  • Velocità effettiva in cinque minuti5-minute throughput

Analisi gruppo di sicurezza di rete di Azure in Log AnalyticsAzure network security group analytics in log analytics

I log seguenti sono supportati per i gruppi di sicurezza di rete:The following logs are supported for network security groups:

  • NetworkSecurityGroupEvent: contiene voci relative alle regole dei gruppi di sicurezza di rete applicate alle VM e ai ruoli delle istanze in base all'indirizzo MAC.NetworkSecurityGroupEvent: Contains entries for which NSG rules are applied to VMs and instance roles based on MAC address. Lo stato di queste regole viene raccolto ogni 60 secondi.The status for these rules is collected every 60 seconds.

  • NetworkSecurityGroupRuleCounter: contiene voci che indicano quante volte ogni regola dei gruppi di sicurezza di rete viene applicata per rifiutare o consentire il traffico.NetworkSecurityGroupRuleCounter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

Passaggi successiviNext steps

Per altre informazioni sulla sicurezza, vedere alcuni degli approfondimenti sull'argomento:Find out more about security by reading some of our in-depth security topics: