Regole di amministrazione della sicurezza in Azure Rete virtuale Manager
Questo articolo illustra le regole di amministrazione della sicurezza in Azure Rete virtuale Manager. Le regole di amministratore della sicurezza vengono usate per definire regole di sicurezza di rete globali applicabili a tutte le reti virtuali all'interno di un gruppo di rete. Vengono fornite informazioni sulle regole di amministrazione della sicurezza, sul loro funzionamento e su quando usarle.
Importante
Azure Rete virtuale Manager è disponibile a livello generale per Rete virtuale Manager, configurazioni di connettività hub-spoke e configurazioni di sicurezza con regole di amministrazione della sicurezza. Le configurazioni di connettività mesh rimangono in anteprima pubblica.
Questa versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
Che cos'è una regola di amministrazione della sicurezza?
Le regole di amministrazione della sicurezza sono regole di sicurezza di rete globali che applicano i criteri di sicurezza definiti nella raccolta di regole nelle reti virtuali. Queste regole possono essere usate per consentire, consentire sempre o negare il traffico tra reti virtuali all'interno dei gruppi di rete di destinazione. Questi gruppi di rete possono essere costituiti solo da reti virtuali nell'ambito dell'istanza di Virtual Network Manager. Le regole di amministrazione della sicurezza non possono essere applicate alle reti virtuali non gestite da un gestore di rete virtuale.
Ecco alcuni scenari in cui è possibile usare le regole di amministrazione della sicurezza:
| Scenario | Descrizione |
|---|---|
| Limitazione dell'accesso alle porte di rete ad alto rischio | Le regole di amministrazione della sicurezza possono essere usate per bloccare il traffico su porte specifiche comunemente mirate da utenti malintenzionati, ad esempio la porta 3389 per Remote Desktop Protocol (RDP) o la porta 22 per Secure Shell (SSH). |
| Applicazione dei requisiti di conformità | Le regole di amministrazione della sicurezza possono essere usate per applicare i requisiti di conformità. Ad esempio, bloccando il traffico da o verso indirizzi IP o blocchi di rete specifici. |
| Protezione dei dati sensibili | Le regole di amministrazione della sicurezza possono essere usate per limitare l'accesso ai dati sensibili bloccando il traffico da o verso indirizzi IP o subnet specifici. |
| Applicazione della segmentazione di rete | Le regole di amministrazione della sicurezza possono essere usate per applicare la segmentazione di rete bloccando il traffico tra reti virtuali o subnet. |
| Applicazione della sicurezza a livello di applicazione | Le regole di amministrazione della sicurezza possono essere usate per applicare la sicurezza a livello di applicazione bloccando il traffico da o verso applicazioni o servizi specifici. |
Con Azure Rete virtuale Manager è disponibile una posizione centralizzata per gestire le regole di amministrazione della sicurezza. La centralizzazione consente di definire criteri di sicurezza su larga scala e applicarli a più reti virtuali contemporaneamente.
Nota
Attualmente, le regole di amministrazione della sicurezza non si applicano agli endpoint privati che rientrano nell'ambito di una rete virtuale gestita.
Come funzionano le regole di amministrazione della sicurezza?
Le regole di amministrazione della sicurezza consentono o negano il traffico su porte, protocolli e prefissi IP di origine/destinazione in una direzione specificata. Quando si definisce una regola di amministrazione della sicurezza, specificare le condizioni seguenti:
- Priorità della regola
- Azione da eseguire (consentire, negare o consentire sempre)
- Direzione del traffico (in ingresso o in uscita)
- Protocollo da usare
Per applicare i criteri di sicurezza in più reti virtuali, creare e distribuire una configurazione di amministratore della sicurezza. Questa configurazione contiene un set di raccolte regole e ogni raccolta di regole contiene una o più regole di amministrazione della sicurezza. Dopo la creazione, associare la raccolta regole ai gruppi di rete che richiedono regole di amministratore della sicurezza. Le regole vengono quindi applicate a tutte le reti virtuali contenute nei gruppi di rete quando viene distribuita la configurazione. Una singola configurazione offre un'imposizione centralizzata e scalabile dei criteri di sicurezza in più reti virtuali.
Importante
È possibile distribuire una sola configurazione di amministratore della sicurezza in un'area. Tuttavia, in un'area possono esistere più configurazioni di connettività. Per distribuire più configurazioni di amministratore della sicurezza in un'area, è invece possibile creare più raccolte regole in una configurazione di sicurezza.
Modalità di valutazione delle regole di amministrazione della sicurezza e dei gruppi di sicurezza di rete
Le regole di amministrazione della sicurezza e i gruppi di sicurezza di rete (NSG) possono essere usati per applicare i criteri di sicurezza di rete in Azure. Tuttavia, hanno ambiti e priorità diversi. #
Le regole di amministrazione della sicurezza devono essere usate dagli amministratori di rete di un team di governance centrale, delegando così le regole del gruppo di sicurezza di rete a singoli team dell'applicazione o del servizio per specificare ulteriormente la sicurezza in base alle esigenze. Le regole di amministrazione della sicurezza hanno una priorità più alta rispetto ai gruppi di sicurezza di rete e vengono valutate prima delle regole del gruppo di sicurezza di rete.
I gruppi di sicurezza di rete, d'altra parte, vengono usati per filtrare il traffico di rete da e verso singole subnet o interfacce di rete. Devono essere usati da singoli team di applicazioni o servizi per specificare ulteriormente la sicurezza in base alle esigenze. I gruppi di sicurezza di rete hanno una priorità inferiore rispetto alle regole di amministratore della sicurezza e vengono valutati dopo le regole di amministrazione della sicurezza.
Le regole di amministrazione della sicurezza vengono attualmente applicate a livello di rete virtuale, mentre i gruppi di sicurezza di rete possono essere associati a livello di subnet e scheda di interfaccia di rete. Questa tabella illustra le differenze e le analogie seguenti:
| Tipo di regola | Target | Applicato su | Ordine di valutazione | Tipi di azione | Parametri |
|---|---|---|---|---|---|
| Regole di amministrazione della sicurezza | Amministratori di rete, team di governance centrale | Reti virtuali | Priorità maggiore | Consenti, Nega, Consenti sempre | Priorità, protocollo, azione, origine, destinazione |
| Regole dei gruppi di sicurezza di rete | Singoli team | Subnet, schede di interfaccia di rete | Priorità inferiore, dopo le regole di amministrazione della sicurezza | Consenti, Nega | Priorità, protocollo, azione, origine, destinazione |
Le regole di amministrazione della sicurezza possono eseguire tre azioni sul traffico: Consenti, Consenti sempre e Nega. Al momento della creazione, le regole consenti vengono valutate per prime, seguite dalle regole del gruppo di sicurezza di rete. Questa azione consente alle regole del gruppo di sicurezza di rete di gestire il traffico in modo diverso, se necessario.
Se si crea una regola Always Allow o Deny , la valutazione del traffico viene terminata dopo la valutazione della regola di amministrazione della sicurezza. Con una regola Consenti sempre, il traffico passa direttamente alla risorsa e termina ulteriormente (ed eventualmente in conflitto) la valutazione da parte delle regole del gruppo di sicurezza di rete. Questa azione può essere utile per applicare il traffico e impedire la negazione da parte delle regole del gruppo di sicurezza di rete. Con una regola Nega , il traffico viene arrestato senza essere recapitato alla destinazione. Le regole di amministrazione della sicurezza non dipendono dai gruppi di sicurezza di rete, quindi possono essere usate per creare regole di sicurezza predefinite autonomamente.
Usando insieme le regole di amministrazione della sicurezza e i gruppi di sicurezza di rete, è possibile applicare i criteri di sicurezza di rete sia a livello globale che a singoli livelli, assicurandosi che le reti virtuali siano sicure e conformi ai criteri di sicurezza dell'organizzazione.
Importante
Quando vengono distribuite le regole di amministrazione della sicurezza, viene usato il modello di coerenza finale. Ciò significa che le regole di amministrazione della sicurezza verranno applicate alle risorse contenute in una rete virtuale dopo un breve ritardo. Le risorse aggiunte a una rete virtuale che dispone già di regole di amministrazione della sicurezza applicate riceveranno anche le stesse regole di amministratore della sicurezza con un ritardo.
Vantaggi delle regole di amministratore della sicurezza
Le regole di amministrazione della sicurezza offrono molti vantaggi per proteggere le risorse dell'organizzazione. Usando le regole di amministratore della sicurezza, è possibile applicare il traffico consentito e impedire la negazione tramite regole del gruppo di sicurezza di rete in conflitto. È anche possibile creare regole di amministratore della sicurezza predefinite che non dipendono dai gruppi di sicurezza di rete esistenti. Queste regole predefinite possono essere particolarmente utili quando i proprietari di applicazioni non configurano correttamente o dimenticano di stabilire gruppi di sicurezza di rete. Inoltre, le regole di amministrazione della sicurezza consentono di gestire la sicurezza su larga scala, riducendo il sovraccarico operativo che comporta un numero crescente di risorse di rete.
Proteggere le porte ad alto rischio
In base allo studio del settore e ai suggerimenti di Microsoft, è consigliabile che i clienti limitino il traffico dall'esterno usando le regole di amministrazione della sicurezza per questo elenco di porte ad alto rischio. Queste porte vengono spesso usate per la gestione delle risorse o per la trasmissione di dati non sicuri/non crittografati e non devono essere esposte a Internet. Tuttavia, in alcuni casi alcune reti virtuali e le relative risorse devono consentire il traffico per la gestione o altri processi. È possibile creare eccezioni , se necessario. Informazioni su come bloccare le porte ad alto rischio con eccezioni per questi tipi di scenari.
| Porta | Protocollo | Descrizione |
|---|---|---|
| 20 | TCP | Traffico FTP non crittografato |
| 21 | TCP | Traffico FTP non crittografato |
| 22 | TCP | SSH. Potenziali attacchi di forza bruta |
| 23 | TCP | TFTP consente il traffico non autenticato e/o non crittografato |
| 69 | UDP | TFTP consente il traffico non autenticato e/o non crittografato |
| 111 | TCP/UDP | RPC. Autenticazione non crittografata consentita |
| 119 | TCP | NNTP per l'autenticazione non crittografata |
| 135 | TCP/UDP | End Point Mapper, più servizi di gestione remota |
| 161 | TCP | SNMP per l'autenticazione non protetta/senza autenticazione |
| 162 | TCP/UDP | Trap SNMP - non sicuro/ nessuna autenticazione |
| 445 | TCP | SMB - vettore di attacco noto |
| 512 | TCP | Rexec in Linux - Comandi remoti senza autenticazione di crittografia |
| 514 | TCP | Remote Shell - Comandi remoti senza autenticazione o crittografia |
| 593 | TCP/UDP | HTTP RPC EPMAP - Chiamata di procedura remota non crittografata |
| 873 | TCP | Rsync - Trasferimento di file non crittografato |
| 2049 | TCP/UDP | NFS (Network File System) |
| 3389 | TCP | RDP - Porta di attacco di forza bruta comune |
| 5800 | TCP | Buffer dei frame remoti VNC su HTTP |
| 5900 | TCP | Buffer dei frame remoti VNC su HTTP |
| 11211 | UDP | Memcached |
Gestione su larga scala
Azure Rete virtuale Manager consente di gestire i criteri di sicurezza su larga scala con le regole di amministrazione della sicurezza. Quando si applica una configurazione di amministratore della sicurezza a un gruppo di rete, tutte le reti virtuali e le relative risorse contenute nell'ambito dei gruppi di rete ricevono le regole di amministratore della sicurezza nei criteri.
Le nuove risorse sono protette insieme alle risorse esistenti. Ad esempio, se si aggiungono nuove macchine virtuali a una rete virtuale nell'ambito di una regola di amministrazione della sicurezza, le macchine virtuali vengono protette automaticamente. Poco dopo la distribuzione di queste macchine virtuali, le regole di amministrazione della sicurezza verranno applicate e protette.
Quando vengono identificati nuovi rischi per la sicurezza, è possibile distribuirli su larga scala creando una regola di amministrazione della sicurezza per proteggersi dal nuovo rischio e applicandola ai gruppi di rete. Dopo la distribuzione di questa nuova regola, tutte le risorse nell'ambito dei gruppi di rete saranno protette ora e in futuro.
Non applicazione delle regole di amministrazione della sicurezza
Nella maggior parte dei casi, le regole di amministrazione della sicurezza si applicano a tutte le reti virtuali e le subnet nell'ambito della configurazione di sicurezza applicata di un gruppo di rete. Esistono tuttavia alcuni servizi che non applicano le regole di amministrazione della sicurezza a causa dei requisiti di rete del servizio. I criteri di finalità di rete del servizio applicano questi requisiti.
Non applicazione delle regole di amministratore della sicurezza a livello di rete virtuale
Per impostazione predefinita, le regole di amministratore della sicurezza non vengono applicate a una rete virtuale contenente i servizi seguenti:
- Istanza gestita di SQL di Azure
- Azure Databricks
Quando una rete virtuale contiene questi servizi, le regole di amministrazione della sicurezza ignorano questa rete virtuale. Se si desidera applicare le regole Consenti a questa rete virtuale, creare la configurazione di sicurezza con il AllowRulesOnly campo impostato nella classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET. Se impostata, alla rete virtuale vengono applicate solo le regole Consenti nella configurazione di sicurezza. Le regole di negazione non vengono applicate a questa rete virtuale. Le reti virtuali senza questi servizi possono continuare a usare le regole Consenti e Nega .
È possibile creare una configurazione di sicurezza con Consenti solo regole e distribuirla nelle reti virtuali con Azure PowerShell e l'interfaccia della riga di comando di Azure.
Nota
Quando più istanze di Azure Rete virtuale Manager applicano impostazioni diverse nella securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe alla stessa rete virtuale, verrà usata l'impostazione dell'istanza di Gestione rete con l'ambito più alto.
Si supponga di avere due gestori di rete virtuale. Il primo gestore di rete ha come ambito il gruppo di gestione radice e ha una configurazione di sicurezza impostata su AllowRulesOnly nella securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe . Il secondo gestore di rete virtuale ha come ambito una sottoscrizione nel gruppo di gestione radice e usa il campo predefinito Nessuno nella configurazione di sicurezza. Quando entrambe le configurazioni applicano regole di amministratore della sicurezza alla stessa rete virtuale, l'impostazione AllowRulesOnly verrà applicata alla rete virtuale.
Non applicazione delle regole di amministratore della sicurezza a livello di subnet
Analogamente, alcuni servizi non applicano regole di amministrazione della sicurezza a livello di subnet quando la rete virtuale delle subnet rientra nell'ambito di una configurazione di amministratore della sicurezza. I servizi comprendono:
- Gateway applicazione di Azure
- Azure Bastion
- Firewall di Azure
- Server di route di Azure
- Gateway VPN di Azure
- Rete WAN virtuale di Azure
- Gateway di Azure ExpressRoute
In questo caso, le regole di amministrazione della sicurezza non influiscono sulle risorse nella subnet con questi servizi. Tuttavia, altre subnet all'interno della stessa rete virtuale hanno regole di amministratore della sicurezza applicate.
Nota
Se si desidera applicare le regole di amministratore della sicurezza nelle subnet contenenti un gateway di app Azure lication, assicurarsi che ogni subnet contenga solo i gateway di cui è stato effettuato il provisioning con l'isolamento di rete abilitato. Se una subnet contiene un gateway app Azure lication senza isolamento di rete, le regole di amministrazione della sicurezza non verranno applicate a questa subnet.
Campi amministratore della sicurezza
Quando si definisce una regola di amministrazione della sicurezza, sono disponibili campi obbligatori e facoltativi.
Campi obbligatori
Priorità
La priorità di una regola di amministrazione della sicurezza è un numero intero compreso tra 1 e 4096. Minore è il valore maggiore è la priorità della regola. Ad esempio, una regola di negazione con priorità 10 esegue l'override di una regola di autorizzazione con priorità 20.
Azione
È possibile definire una delle tre azioni per una regola di sicurezza:
| Azione | Descrizione |
|---|---|
| Consenti | Consente il traffico sulla porta, il protocollo e i prefissi IP di origine/destinazione specifici nella direzione specificata. |
| Nega | Bloccare il traffico sulla porta, il protocollo e i prefissi IP di origine/destinazione specificati nella direzione specificata. |
| Consenti sempre | Indipendentemente dalle altre regole con priorità inferiore o gruppi di sicurezza di rete definiti dall'utente, consentire il traffico sulla porta, il protocollo e i prefissi IP di origine/destinazione nella direzione specificata. |
Direzione
È possibile specificare la direzione del traffico per cui si applica la regola. È possibile definire in ingresso o in uscita.
Protocollo
I protocolli attualmente supportati con le regole di amministratore della sicurezza sono:
- TCP
- UDP
- ICMP
- ESP
- AH
- Qualsiasi protocollo
Campi facoltativi
Tipi di origine e di destinazione
- Indirizzi IP: è possibile fornire indirizzi IPv4 o IPv6 o blocchi di indirizzi nella notazione CIDR. Per elencare più indirizzi IP, separare ogni indirizzo IP con una virgola.
- Tag del servizio: è possibile definire tag di servizio specifici in base alle aree o a un intero servizio. Per l'elenco dei tag supportati, vedere Tag di servizio disponibili.
Porte di origine e di destinazione
È possibile definire porte comuni specifiche da bloccare dall'origine o dalla destinazione. Ecco un elenco di porte TCP comuni:
| Porti | Nome servizio |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Passaggi successivi
Informazioni su come bloccare il traffico di rete con una configurazione di amministratore della sicurezza.