Gruppi di sicurezzaSecurity groups

È possibile filtrare il traffico di rete da e verso le risorse di Azure in una rete virtuale di Azure con un gruppo di sicurezza di rete.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o rifiutano il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Per informazioni sulle risorse di Azure che possono essere distribuite in una rete virtuale e sui gruppi di sicurezza di rete ad esse associati, vedere Integrazione della rete virtuale per i servizi di Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Per ogni regola è possibile specificare l'origine e la destinazione, la porta e il protocollo.For each rule, you can specify source and destination, port, and protocol.

Questo articolo spiega i concetti dei gruppi di sicurezza di rete per un uso efficace.This article explains network security group concepts, to help you use them effectively. Se non è mai stato creato un gruppo di sicurezza di rete, è possibile completare una breve esercitazione per acquisire esperienza nella creazione di tale gruppo.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Se si ha familiarità con i gruppi di sicurezza di rete e si ha la necessità di gestirli, vedere Gestire un gruppo di sicurezza di rete.If you're familiar with network security groups and need to manage them, see Manage a network security group. Se si verificano problemi di comunicazione ed è necessario risolvere i problemi dei gruppi di sicurezza di rete, vedere Diagnosticare problemi di filtro del traffico di rete di una macchina virtuale.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. È possibile abilitare i log di flusso dei gruppi di sicurezza di rete per analizzare il traffico di rete da e verso le risorse che hanno un gruppo di sicurezza di rete associato.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Regole di sicurezzaSecurity rules

Un gruppo di sicurezza di rete può contenere zero regole o il numero di regole desiderato, entro i limiti della sottoscrizione di Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Ogni regola specifica le proprietà seguenti:Each rule specifies the following properties:

ProprietàProperty SpiegazioneExplanation
NameName Nome univoco all'interno del gruppo di sicurezza di rete.A unique name within the network security group.
PrioritàPriority Numero compreso tra 100 e 4096.A number between 100 and 4096. Le regole vengono elaborate in ordine di priorità. I numeri più bassi vengono elaborati prima di quelli più elevati perché hanno priorità più alta.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Quando il traffico corrisponde a una regola, l'elaborazione viene interrotta.Once traffic matches a rule, processing stops. Di conseguenza, le regole con priorità più bassa (numeri più elevati) che hanno gli stessi attributi di regole con priorità più elevata non vengono elaborate.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origine o destinazioneSource or destination Qualsiasi indirizzo IP, blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, tag di servizio o gruppo di sicurezza delle applicazioni.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Se si specifica un indirizzo per una risorsa di Azure, specificare l'indirizzo IP privato assegnato alla risorsa.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. I gruppi di sicurezza della rete vengono elaborati dopo che Azure ha convertito un indirizzo IP pubblico in un indirizzo IP privato per il traffico in ingresso e prima che Azure converta un indirizzo IP privato in un indirizzo IP pubblico per il traffico in uscita.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Vedere altre informazioni sugli indirizzi IP di Azure.Learn more about Azure IP addresses. Specificando un intervallo, un tag di servizio o un gruppo di sicurezza delle applicazioni è possibile creare un minor numero di regole di sicurezza.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La possibilità di specificare più intervalli e indirizzi IP singoli in una regola è detta regola di sicurezza ottimizzata. Non si possono specificare più tag di servizio o gruppi di applicazioni.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Non si possono specificare più indirizzi IP e intervalli di indirizzi IP nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Vedere altre informazioni sui modelli di distribuzione di Azure.Learn more about Azure deployment models.
ProtocolloProtocol TCP, UDP, ICMP o any.TCP, UDP, ICMP or Any.
DirezioneDirection Definisce se la regola si applica al traffico in ingresso o in uscita.Whether the rule applies to inbound, or outbound traffic.
Intervallo di portePort range È possibile specificare una singola porta o un intervallo di porte.You can specify an individual or range of ports. Ad esempio, è possibile specificare 80 oppure 10000-10005.For example, you could specify 80 or 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza.Specifying ranges enables you to create fewer security rules. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AzioneAction Consentire o impedire.Allow or deny

Le regole di sicurezza del gruppo di sicurezza di rete vengono valutate in base alla priorità, usando informazioni a 5 tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo) per consentire o negare il traffico.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Viene creato un record di flusso per le connessioni esistenti.A flow record is created for existing connections. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso.Communication is allowed or denied based on the connection state of the flow record. Il record di flusso consente al gruppo di sicurezza di avere uno stato.The flow record allows a network security group to be stateful. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno.You only need to specify an inbound security rule if communication is initiated externally. Questa considerazione si applica anche al contrario.The opposite is also true. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Le connessioni esistenti non possono essere interrotte quando si rimuove una regola di sicurezza che abilita il flusso.Existing connections may not be interrupted when you remove a security rule that enabled the flow. I flussi di traffico vengono interrotti quando le connessioni vengono arrestate e non è presente alcun flusso di traffico in entrambe le direzioni almeno per alcuni minuti.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato.There are limits to the number of security rules you can create in a network security group. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.

Regole di sicurezza ottimizzateAugmented security rules

Le regole di sicurezza ottimizzate semplificano la definizione della sicurezza per le reti virtuali, perché consentono di definire criteri di sicurezza di rete più estesi e complessi con un minor numero di regole.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola.Use augmented rules in the source, destination, and port fields of a rule. Per semplificare la gestione della definizione delle regole di sicurezza, combinare le regole di sicurezza ottimizzate con tag di servizio o gruppi di sicurezza delle applicazioni.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Il numero di indirizzi, intervalli e porte che è possibile specificare in una regola è limitato.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.

Tag di servizioService tags

Un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP da un determinato servizio di Azure.A service tag represents a group of IP address prefixes from a given Azure service. Consente di ridurre al minimo la complessità degli aggiornamenti frequenti sulle regole di sicurezza di rete.It helps to minimize complexity of frequent updates on network security rules.

Per altre informazioni, vedere tag dei servizi di Azure.For more information, see Azure service tags.

Regole di sicurezza predefiniteDefault security rules

Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:Azure creates the following default rules in each network security group that you create:

In ingressoInbound

AllowVNetInBoundAllowVNetInBound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualsiasiAny ConsentiAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny ConsentiAllow

DenyAllInboundDenyAllInbound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny NEGADeny

In uscitaOutbound

AllowVnetOutBoundAllowVnetOutBound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualsiasiAny ConsentiAllow

AllowInternetOutBoundAllowInternetOutBound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 QualsiasiAny ConsentiAllow

DenyAllOutBoundDenyAllOutBound

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualsiasiAny NEGADeny

Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio, anziché indirizzi IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Nella colonna protocollo, any include TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Quando si crea una regola, è possibile specificare TCP, UDP, ICMP o any.When creating a rule, you can specify TCP, UDP, ICMP or Any. Nelle colonne Origine e Destinazione, 0.0.0.0/0 rappresenta tutti gli indirizzi.0.0.0.0/0 in the Source and Destination columns represents all addresses. I client come portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o any per questa espressione.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più alta.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Gruppi di sicurezza delle applicazioniApplication security groups

I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La piattaforma gestisce la complessità degli indirizzi IP espliciti e di più set di regole, consentendo all'utente di concentrarsi sulla logica di business.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Per comprendere meglio i gruppi di sicurezza delle applicazioni, considerare l'esempio seguente:To better understand application security groups, consider the following example:

Gruppi di sicurezza delle applicazioni

Nell'immagine precedente, NIC1 e NIC2 sono membri del gruppo di sicurezza delle applicazioni AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 è un membro del gruppo di sicurezza delle applicazioni AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 è un membro del gruppo di sicurezza delle applicazioni AsgDb.NIC4 is a member of the AsgDb application security group. Anche se in questo esempio ogni interfaccia di rete è membro di un solo gruppo di sicurezza delle applicazioni, un'interfaccia di rete può essere membro di più gruppi di sicurezza delle applicazioni, fino ai limiti di Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Nessuna delle interfacce di rete ha un gruppo di sicurezza di rete associato.None of the network interfaces have an associated network security group. NSG1 è associato a entrambe le subnet e contiene le regole seguenti:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Questa regola è necessaria per consentire il traffico da Internet verso i server Web.This rule is needed to allow traffic from the internet to the web servers. Dato che il traffico in ingresso da Internet viene negato dalla regola di sicurezza predefinita DenyAllInbound, non sono necessarie regole aggiuntive per i gruppi di sicurezza delle applicazioni AsgLogic o AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP ConsentiAllow

Deny-Database-AllDeny-Database-All

Dato che la regola di sicurezza predefinita AllowVNetInBound consente tutte le comunicazioni tra le risorse nella stessa rete virtuale, questa regola è necessaria per negare il traffico da tutte le risorse.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
120120 * * AsgDbAsgDb 14331433 QualsiasiAny NEGADeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Questa regola consente il traffico dal gruppo di sicurezza delle applicazioni AsgLogic al gruppo di sicurezza delle applicazioni AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. La priorità di questa regola è superiore a quella della regola Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Di conseguenza, questa regola viene elaborata prima della regola Deny-Database-All, quindi il traffico dal gruppo di sicurezza delle applicazioni AsgLogic è consentito, mentre tutto il resto del traffico è bloccato.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioritàPriority SourceSource Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessoAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP ConsentiAllow

Le regole che specificano un gruppo di sicurezza delle applicazioni come origine o destinazione vengono applicate solo alle interfacce di rete che sono membri del gruppo di sicurezza delle applicazioni.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Se l'interfaccia di rete non è membro di un gruppo di sicurezza delle applicazioni, la regola non viene applicata all'interfaccia di rete, anche se il gruppo di sicurezza di rete è associato alla subnet.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

I gruppi di sicurezza delle applicazioni hanno i vincoli seguenti:Application security groups have the following constraints:

  • Esistono limiti al numero di gruppi di sicurezza delle applicazioni in una sottoscrizione, oltre ad altri limiti correlati ai gruppi di sicurezza delle applicazioni.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.
  • Si può specificare un unico gruppo di sicurezza delle applicazioni come origine e destinazione in una regola di sicurezza.You can specify one application security group as the source and destination in a security rule. Non è possibile specificare più gruppi di sicurezza delle applicazioni nell'origine o nella destinazione.You cannot specify multiple application security groups in the source or destination.
  • Tutte le interfacce di rete assegnate a un gruppo di sicurezza delle applicazioni devono esistere nella stessa rete virtuale in cui si trova la prima interfaccia di rete assegnata al gruppo di sicurezza delle applicazioni.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Se ad esempio la prima interfaccia di rete assegnata a un gruppo di sicurezza delle applicazioni denominato AsgWeb si trova nella rete virtuale denominata VNet1, tutte le interfacce di rete successive assegnate a ASGWeb devono trovarsi in VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Non è possibile aggiungere interfacce di rete da reti virtuali diverse allo stesso gruppo di sicurezza delle applicazioni.You cannot add network interfaces from different virtual networks to the same application security group.
  • Se si specifica un gruppo di sicurezza delle applicazioni come origine e destinazione in una regola di sicurezza, le interfacce di rete in entrambi i gruppi di sicurezza delle applicazioni devono trovarsi nella stessa rete virtuale.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Se ad esempio AsgLogic contenesse interfacce di rete di VNet1 e AsgDb contenesse interfacce di rete di VNet2, non sarebbe possibile assegnare AsgLogic come origine e AsgDb come destinazione in una regola.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Tutte le interfacce di rete per i gruppi di sicurezza delle applicazioni di origine e di destinazione devono esistere nella stessa rete virtuale.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Suggerimento

Per ridurre al minimo il numero di regole di sicurezza e la necessità di modificarle, pianificare i gruppi di sicurezza delle applicazioni necessari e creare regole usando tag di servizio o gruppi di sicurezza delle applicazioni, anziché singoli indirizzi IP o intervalli di indirizzi IP, quando possibile.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Modalità di valutazione del trafficoHow traffic is evaluated

È possibile distribuire le risorse di diversi servizi di Azure in una rete virtuale di Azure.You can deploy resources from several Azure services into an Azure virtual network. Per un elenco completo, vedere Servizi distribuibili in una rete virtuale.For a complete list, see Services that can be deployed into a virtual network. È possibile associare zero o un gruppo di sicurezza di rete a ogni subnet e interfaccia di rete della rete virtuale in una macchina virtuale.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Lo stesso gruppo di sicurezza di rete può essere associato a un numero qualsiasi di subnet e interfacce di rete.The same network security group can be associated to as many subnets and network interfaces as you choose.

L'immagine seguente illustra diversi scenari per l'implementazione dei gruppi di sicurezza di rete per consentire il traffico di rete da e verso Internet tramite la porta TCP 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Elaborazione dei gruppi di sicurezza di rete

Vedere l'immagine precedente e il testo seguente per comprendere come Azure elabora le regole in ingresso e in uscita per i gruppi di sicurezza di rete:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Traffico in ingressoInbound traffic

Per il traffico in ingresso, Azure elabora prima le regole di un gruppo di sicurezza di rete associato a una subnet, se presente, quindi le regole di un gruppo di sicurezza di rete associato all'interfaccia di rete, se presente.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: le regole di sicurezza in NSG1 vengono elaborate perché associate a Subnet1 e VM1 si trova in Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. A meno che non sia stata creata una regola che consenta l'ingresso alla porta 80, il traffico viene negato dalla regola di sicurezza predefinita DenyAllInbound e non viene mai valutato da NSG2, perché NSG2 è associato all'interfaccia di rete.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Se NSG1 ha una regola di sicurezza che consente la porta 80, il traffico verrà quindi elaborato da NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Per consentire la porta 80 per la macchina virtuale, sia NSG1 che NSG2 devono avere una regola che consenta la porta 80 da Internet.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: le regole in NSG1 vengono elaborate perché VM2 si trova anche in Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Poiché VM2 non ha un gruppo di sicurezza di rete associato alla propria interfaccia di rete, riceve tutto il traffico consentito attraverso NSG1 oppure tutto il traffico viene negato da NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Quando un gruppo di sicurezza di rete è associato a una subnet, il traffico è consentito o negato a tutte le risorse della stessa subnet.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: poiché a Subnet2 non è associato alcun gruppo di sicurezza di rete, il traffico è consentito nella subnet ed elaborato da NSG2, perché NSG2 è associato all'interfaccia di rete collegata a VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: il traffico è consentito in VM4, perché a Subnet3o all'interfaccia di rete della macchina virtuale non è associato un gruppo di sicurezza di rete.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. È consentito tutto il traffico di rete attraverso una subnet e un'interfaccia di rete se questi componenti non hanno un gruppo di sicurezza di rete associato.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Traffico in uscitaOutbound traffic

Per il traffico in uscita, Azure elabora prima le regole di un gruppo di sicurezza di rete associato a un'interfaccia di rete, se presente, quindi le regole di un gruppo di sicurezza di rete associato alla subnet, se presente.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: vengono elaborate le regole di sicurezza presenti in NSG2.VM1: The security rules in NSG2 are processed. A meno che non si crei una regola di sicurezza che nega la porta 80 in uscita verso Internet, il traffico è consentito dalla regola di sicurezza predefinita AlllowInternetOutbound in NSG1 e NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Se NSG2 ha una regola di sicurezza che nega la porta 80, il traffico viene negato e mai valutato da NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Per negare la porta 80 dalla macchina virtuale, uno o entrambi i gruppi di sicurezza di rete devono avere una regola che nega la porta 80 verso Internet.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: tutto il traffico viene inviato attraverso l'interfaccia di rete alla subnet perché l'interfaccia di rete collegata a VM2 non ha un gruppo di sicurezza di rete associato.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Vengono elaborate le regole in NSG1.The rules in NSG1 are processed.
  • VM3: se NSG2 ha una regola di sicurezza che nega la porta 80, il traffico viene negato.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Se NSG2 ha una regola di sicurezza che consente la porta 80, la porta 80 è consentita in uscita verso Internet perché a Subnet2 non è associato un gruppo di sicurezza di rete.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: tutto il traffico di rete è consentito da VM4 perché a Subnet3 o all'interfaccia di rete collegata alla macchina virtuale non è associato un gruppo di sicurezza di rete.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Traffico all'interno della subnetIntra-Subnet traffic

È importante notare che le regole di sicurezza in un NSG associato a una subnet possono influire sulla connettività tra le macchine virtuali.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Se, ad esempio, viene aggiunta una regola a NSG1 che nega tutto il traffico in ingresso e in uscita, VM1 e VM2 non saranno più in grado di comunicare tra loro.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. È necessario aggiungere un'altra regola in modo specifico per consentire questa operazione.Another rule would have to be added specifically to allow this.

Le regole di aggregazione applicate a un'interfaccia di rete possono essere verificate facilmente visualizzando le regole di sicurezza effettive per un'interfaccia di rete.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. È anche possibile usare la funzionalità di verifica del flusso IP in Azure Network Watcher per determinare se è consentita la comunicazione da o verso un'interfaccia di rete.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. La verifica del flusso IP indica se la comunicazione è consentita o negata e quale regola di sicurezza di rete consente o nega il traffico.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Nota

I gruppi di sicurezza di rete sono associati a subnet o a macchine virtuali e servizi cloud distribuiti nel modello di distribuzione classica e a subnet o interfacce di rete nel modello di distribuzione Gestione risorse.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Per altre informazioni in proposito, vedere le informazioni sui modelli di distribuzione di Azure.To learn more about Azure deployment models, see Understand Azure deployment models.

Suggerimento

A meno che non ci siano motivi specifici, è consigliabile associare un gruppo di sicurezza di rete a una subnet o a un'interfaccia di rete, ma non a entrambe.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Dato che le regole di un gruppo di sicurezza di rete associato a una subnet possono entrare in conflitto con quelle di un gruppo di sicurezza di rete associato a un'interfaccia di rete, è possibile che si verifichino problemi di comunicazione imprevisti che devono essere risolti.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Considerazioni sulla piattaforma AzureAzure platform considerations

  • IP virtuale del nodo host: i servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dello stato vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La richiesta viene inviata in uscita tramite la porta 1688.The request is made outbound through port 1688. Per le distribuzioni tramite la configurazione di route predefinita 0.0.0.0/0, questa regola di piattaforma sarà disabilitata.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il servizio di bilanciamento del carico.The destination port and address range are for the destination computer, not the load balancer.

  • Istanze di servizi di Azure: nelle subnet delle reti virtuali vengono distribuite istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio app e set di scalabilità di macchine virtuali.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Per un elenco completo dei servizi che è possibile distribuire nelle reti virtuali, vedere l'articolo relativo alla rete virtuale per i servizi di Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Assicurarsi di acquisire familiarità con i requisiti relativi alle porte per ogni servizio prima di applicare un gruppo di sicurezza di rete alla subnet in cui è distribuita la risorsa.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Se si bloccano le porte richieste dal servizio, il servizio non funzionerà correttamente.If you deny ports required by the service, the service doesn't function properly.

  • Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Sono disponibili servizi di inoltro SMTP specializzati per la reputazione del mittente, per ridurre al minimo la possibilità che provider di posta elettronica di terze parti rifiutino i messaggi.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Tali servizi di inoltro SMTP includono, ad esempio, Exchange Online Protection e SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Se la sottoscrizione di Azure è stata creata prima del 15 novembre 2017, oltre a poter usare servizi di inoltro SMTP è possibile inviare posta elettronica direttamente sulla porta TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare posta elettronica direttamente sulla porta 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Enterprise Agreement: la comunicazione in uscita sulla porta 25 è consentita.Enterprise Agreement: Outbound port 25 communication is allowed. È possibile inviare messaggi di posta elettronica in uscita direttamente dalle macchine virtuali a provider di posta elettronica esterni, senza restrizioni dalla piattaforma Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Se è necessario inviare posta elettronica direttamente da un macchina virtuale a provider di posta elettronica esterni, senza un inoltro SMTP autenticato, è necessario richiedere la rimozione della restrizione.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Le richieste vengono esaminate e approvate a discrezione di Microsoft e vengono soddisfatte solo in seguito a controlli anti-frode.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Per effettuare una richiesta, aprire un caso di supporto con il tipo di problema Tecnico, Virtual Network Connectivity (Connettività di rete virtuale), Cannot send e-mail (SMTP/Port 25) (Impossibile inviare posta elettronica - SMTP/porta 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Nel caso di supporto includere informazioni dettagliate sui motivi per cui è necessario inviare posta elettronica dalla sottoscrizione a provider di posta direttamente anziché tramite un inoltro SMTP autenticato.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Se la sottoscrizione viene esentata, potranno comunicare in uscita sulla porta 25 solo le macchine virtuali create dopo la data di esenzione.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte.No requests to remove the restriction can be made, because requests are not granted. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Provider di servizi cloud: i clienti che utilizzano le risorse di Azure tramite un provider di servizi cloud possono creare un caso di supporto presso tale provider e richiedergli di creare un caso di sblocco per loro conto, se non può essere usato un inoltro SMTP sicuro.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Se Azure consente di inviare posta elettronica sulla porta 25, Microsoft non può garantire che i provider di posta elettronica accetteranno i messaggi in ingresso provenienti dalla macchina virtuale.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Se un provider specifico rifiuta la posta dalla macchina virtuale, collaborare direttamente con il provider per risolvere eventuali problemi di invio dei messaggi o di filtro antispam oppure usare un servizio di inoltro SMTP autenticato.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Passaggi successiviNext steps