Gruppi di sicurezza di reteNetwork security groups

È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete da e verso le risorse di Azure in una rete virtuale di Azure.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita da, diversi tipi di risorse di Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Per ogni regola è possibile specificare l'origine e la destinazione, la porta e il protocollo.For each rule, you can specify source and destination, port, and protocol.

Questo articolo descrive le proprietà di una regola del gruppo di sicurezza di rete, le regole di sicurezza predefinite applicate e le proprietà delle regole che è possibile modificare per creare una regola di sicurezza aumentata.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Regole di sicurezzaSecurity rules

Un gruppo di sicurezza di rete può contenere zero regole o il numero di regole desiderato, entro i limiti della sottoscrizione di Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Ogni regola specifica le proprietà seguenti:Each rule specifies the following properties:

ProprietàProperty SpiegazioneExplanation
NomeName Nome univoco all'interno del gruppo di sicurezza di rete.A unique name within the network security group.
PrioritàPriority Numero compreso tra 100 e 4096.A number between 100 and 4096. Le regole vengono elaborate in ordine di priorità. I numeri più bassi vengono elaborati prima di quelli più elevati perché hanno priorità più alta.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Quando il traffico corrisponde a una regola, l'elaborazione viene interrotta.Once traffic matches a rule, processing stops. Di conseguenza, le regole con priorità più bassa (numeri più elevati) che hanno gli stessi attributi di regole con priorità più elevata non vengono elaborate.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origine o destinazioneSource or destination Qualsiasi indirizzo IP, blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, tag di servizio o gruppo di sicurezza delle applicazioni.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Se si specifica un indirizzo per una risorsa di Azure, specificare l'indirizzo IP privato assegnato alla risorsa.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. I gruppi di sicurezza della rete vengono elaborati dopo che Azure ha convertito un indirizzo IP pubblico in un indirizzo IP privato per il traffico in ingresso e prima che Azure converta un indirizzo IP privato in un indirizzo IP pubblico per il traffico in uscita.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. Specificando un intervallo, un tag di servizio o un gruppo di sicurezza delle applicazioni è possibile creare un minor numero di regole di sicurezza.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La possibilità di specificare più intervalli e indirizzi IP singoli (non è possibile specificare più tag di servizio o gruppi di applicazioni) in una regola è indicata come regole di sicurezza aumentata.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Non si possono specificare più indirizzi IP e intervalli di indirizzi IP nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocolloProtocol TCP, UDP, ICMP o any.TCP, UDP, ICMP or Any.
DirezioneDirection Definisce se la regola si applica al traffico in ingresso o in uscita.Whether the rule applies to inbound, or outbound traffic.
Intervallo di portePort range È possibile specificare una singola porta o un intervallo di porte.You can specify an individual or range of ports. Ad esempio, è possibile specificare 80 oppure 10000-10005.For example, you could specify 80 or 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza.Specifying ranges enables you to create fewer security rules. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AzioneAction Consentire o impedire.Allow or deny

Le regole di sicurezza del gruppo di sicurezza di rete vengono valutate in base alla priorità, usando informazioni a 5 tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo) per consentire o negare il traffico.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Non è possibile creare due regole di sicurezza con la stessa priorità e direzione.You may not create two security rules with the same priority and direction. Viene creato un record di flusso per le connessioni esistenti.A flow record is created for existing connections. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso.Communication is allowed or denied based on the connection state of the flow record. Il record di flusso consente al gruppo di sicurezza di avere uno stato.The flow record allows a network security group to be stateful. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno.You only need to specify an inbound security rule if communication is initiated externally. Questa considerazione si applica anche al contrario.The opposite is also true. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

Le connessioni esistenti non possono essere interrotte quando si rimuove una regola di sicurezza che abilita il flusso.Existing connections may not be interrupted when you remove a security rule that enabled the flow. I flussi di traffico vengono interrotti quando le connessioni vengono arrestate e non è presente alcun flusso di traffico in entrambe le direzioni almeno per alcuni minuti.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato.There are limits to the number of security rules you can create in a network security group. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.

Regole di sicurezza predefiniteDefault security rules

Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:Azure creates the following default rules in each network security group that you create:

In entrataInbound

AllowVNetInBoundAllowVNetInBound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualsiasiAny AllowAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny AllowAllow
DenyAllInboundDenyAllInbound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny NegaDeny

In uscitaOutbound

AllowVnetOutBoundAllowVnetOutBound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualsiasiAny AllowAllow
AllowInternetOutBoundAllowInternetOutBound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 QualsiasiAny AllowAllow
DenyAllOutBoundDenyAllOutBound
PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny NegaDeny

Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio, anziché indirizzi IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Nella colonna protocollo, any include TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Quando si crea una regola, è possibile specificare TCP, UDP, ICMP o any.When creating a rule, you can specify TCP, UDP, ICMP or Any. Nelle colonne Origine e Destinazione, 0.0.0.0/0 rappresenta tutti gli indirizzi.0.0.0.0/0 in the Source and Destination columns represents all addresses. I client come portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o any per questa espressione.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più alta.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Regole di sicurezza aumentataAugmented security rules

Le regole di sicurezza ottimizzate semplificano la definizione della sicurezza per le reti virtuali, perché consentono di definire criteri di sicurezza di rete più estesi e complessi con un minor numero di regole.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola.Use augmented rules in the source, destination, and port fields of a rule. Per semplificare la manutenzione della definizione della regola di sicurezza, combinare regole di sicurezza potenziate con tag di servizio o gruppi di sicurezza delle applicazioni.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Il numero di indirizzi, intervalli e porte che è possibile specificare in una regola è limitato.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.

Tag di servizioService tags

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure.A service tag represents a group of IP address prefixes from a given Azure service. Consente di ridurre al minimo la complessità degli aggiornamenti frequenti sulle regole di sicurezza di rete.It helps to minimize the complexity of frequent updates on network security rules.

Per altre informazioni, vedere tag dei servizi di Azure.For more information, see Azure service tags. Per un esempio su come usare il tag del servizio di archiviazione per limitare l'accesso alla rete, vedere limitare l'accesso di rete alle risorse PaaS.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

Gruppi di sicurezza delle applicazioniApplication security groups

I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Per altre informazioni, vedere gruppi di sicurezza delle applicazioni.To learn more, see Application security groups.

Considerazioni sulla piattaforma AzureAzure platform considerations

  • IP virtuale del nodo host: i servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dello stato vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Le regole di sicurezza effettive e le route valide non includeranno queste regole della piattaforma.Effective security rules and effective routes will not include these platform rules. Per eseguire l'override di questa comunicazione di infrastruttura di base, è possibile creare una regola di sicurezza per negare il traffico usando i tag di servizio seguenti nelle regole del gruppo di sicurezza di rete: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Informazioni su come diagnosticare il filtro del traffico di rete e diagnosticare il routing di rete.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La richiesta viene inviata in uscita tramite la porta 1688.The request is made outbound through port 1688. Per le distribuzioni tramite la configurazione di route predefinita 0.0.0.0/0, questa regola di piattaforma sarà disabilitata.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il servizio di bilanciamento del carico.The destination port and address range are for the destination computer, not the load balancer.

  • Istanze di servizi di Azure: nelle subnet delle reti virtuali vengono distribuite istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio app e set di scalabilità di macchine virtuali.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Per un elenco completo dei servizi che è possibile distribuire nelle reti virtuali, vedere l'articolo relativo alla rete virtuale per i servizi di Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Assicurarsi di acquisire familiarità con i requisiti relativi alle porte per ogni servizio prima di applicare un gruppo di sicurezza di rete alla subnet in cui è distribuita la risorsa.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Se si bloccano le porte richieste dal servizio, il servizio non funzionerà correttamente.If you deny ports required by the service, the service doesn't function properly.

  • Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Sono disponibili servizi di inoltro SMTP specializzati per la reputazione del mittente, per ridurre al minimo la possibilità che provider di posta elettronica di terze parti rifiutino i messaggi.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Tali servizi di inoltro SMTP includono, ad esempio, Exchange Online Protection e SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Se la sottoscrizione di Azure è stata creata prima del 15 novembre 2017, oltre a poter usare servizi di inoltro SMTP è possibile inviare posta elettronica direttamente sulla porta TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare posta elettronica direttamente sulla porta 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Enterprise Agreement: la comunicazione in uscita sulla porta 25 è consentita.Enterprise Agreement: Outbound port 25 communication is allowed. È possibile inviare un messaggio di posta elettronica in uscita direttamente dalle macchine virtuali a provider di posta elettronica esterni, senza restrizioni dalla piattaforma Azure.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Se è necessario inviare posta elettronica direttamente da un macchina virtuale a provider di posta elettronica esterni, senza un inoltro SMTP autenticato, è necessario richiedere la rimozione della restrizione.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Le richieste vengono esaminate e approvate a discrezione di Microsoft e vengono soddisfatte solo in seguito a controlli anti-frode.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Per effettuare una richiesta, aprire un caso di supporto con il tipo di problema Tecnico, Virtual Network Connectivity (Connettività di rete virtuale), Cannot send e-mail (SMTP/Port 25) (Impossibile inviare posta elettronica - SMTP/porta 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Nel caso di supporto includere informazioni dettagliate sui motivi per cui è necessario inviare posta elettronica dalla sottoscrizione a provider di posta direttamente anziché tramite un inoltro SMTP autenticato.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Se la sottoscrizione viene esentata, potranno comunicare in uscita sulla porta 25 solo le macchine virtuali create dopo la data di esenzione.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte.No requests to remove the restriction can be made, because requests are not granted. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Provider di servizi cloud: i clienti che utilizzano le risorse di Azure tramite un provider di servizi cloud possono creare un caso di supporto presso tale provider e richiedergli di creare un caso di sblocco per loro conto, se non può essere usato un inoltro SMTP sicuro.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Se Azure consente di inviare posta elettronica sulla porta 25, Microsoft non può garantire che i provider di posta elettronica accetteranno i messaggi in ingresso provenienti dalla macchina virtuale.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Se un provider specifico rifiuta la posta dalla macchina virtuale, collaborare direttamente con il provider per risolvere eventuali problemi di invio dei messaggi o di filtro antispam oppure usare un servizio di inoltro SMTP autenticato.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Passaggi successiviNext steps