Criteri degli endpoint servizio di rete virtuale (anteprima)Virtual network service endpoint policies (Preview)

I criteri degli endpoint di servizio di rete virtuale permettono di filtrare il traffico di rete virtuale per i servizi di Azure, consentendo l'accesso solo a risorse specifiche dei servizi di Azure sugli endpoint di servizio.Virtual Network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources, over service endpoints. I criteri degli endpoint forniscono il controllo granulare dell'accesso per il traffico di rete virtuale per i servizi di Azure.Endpoint policies provide granular access control for virtual network traffic to Azure services.

Questa funzionalità è disponibile in anteprima per i servizi e le aree di Azure seguenti:This feature is available in preview for following Azure services and regions:

Archiviazione di Azure: WestCentralUS, WestUS2, NorthCentralUS, SouthCentralUS, CentralUS, EastUS2.Azure Storage: WestCentralUS, WestUS2, NorthCentralUS, SouthCentralUS, CentralUS, EastUS2.

Per le notifiche più aggiornate per l'anteprima, vedere la pagina Aggiornamenti di Azure.For most up-to-date notifications for preview, refer to Azure Virtual Network updates page.

Nota

Durante l'anteprima, i criteri degli endpoint servizio di rete virtuale potrebbero non offrire lo stesso livello di disponibilità e affidabilità delle funzionalità presenti nella versione con disponibilità generale.During preview, virtual network service endpoint policies may not have the same level of availability and reliability as features that are in general availability release. Per altre informazioni, vedere Condizioni Supplementari di Microsoft Azure le Anteprime di Microsoft Azure.For more information, see Microsoft Azure Supplemental Terms of Use for Microsoft Azure Previews.

Vantaggi principaliKey benefits

I criteri degli endpoint servizio di rete virtuale offrono i vantaggi seguenti:Virtual network service endpoint policies provide following benefits:

  • Maggiore sicurezza per il traffico di rete virtuale per i servizi di AzureImproved security for your Virtual Network traffic to Azure Services

    I tag dei servizi di Azure per i gruppi di sicurezza di rete consentono di limitare il traffico in uscita dalla rete virtuale a servizi di Azure specifici.Azure service tags for network security groups allow you to restrict virtual network outbound traffic to specific Azure services. Tuttavia, in questo modo si consente il traffico verso qualsiasi risorsa di tale servizio di Azure.However, this allows traffic to any resources of that Azure service.

    Con i criteri degli endpoint, è ora possibile limitare l'accesso in uscita dalla rete virtuale solo a risorse di Azure specifiche.With endpoint policies, you can now restrict virtual network outbound access to only specific Azure resources. Ciò offre un controllo della sicurezza molto più granulare, per la protezione dei dati a cui viene eseguito l'accesso in una rete virtuale.This gives much more granular security control for protecting data accessed in your virtual network.

  • Criteri scalabili a disponibilità elevata per filtrare il traffico dei servizi di AzureScalable, highly available policies to filter Azure service traffic

    I criteri degli endpoint forniscono una soluzione a disponibilità elevata e con scalabilità orizzontale per filtrare il traffico dei servizi di Azure dalle reti virtuali sugli endpoint di servizio.Endpoint policies provide horizontally scalable, highly available solution to filter Azure service traffic from virtual networks, over service endpoints. Non è richiesto alcun sovraccarico aggiuntivo per la gestione di appliance di rete centrali per il traffico nelle reti virtuali.No additional overhead is required to maintain central network appliances for this traffic in your virtual networks.

ConfigurazioneConfiguration

  • È possibile configurare i criteri degli endpoint per limitare il traffico di rete virtuale per risorse dei servizi di Azure specifiche.You can configure the endpoint policies to restrict virtual network traffic to specific Azure service resources. Per la versione di anteprima, sono supportati i criteri degli endpoint per Archiviazione di Azure.For preview, we support endpoint policies for Azure Storage.

  • I criteri degli endpoint sono configurati in una subnet di una rete virtuale.Endpoint policy is configured on a subnet in a virtual network. Per applicare i criteri, gli endpoint di servizio devono essere abilitati nella subnet, per tutti i servizi di Azure specificati nei criteri.Service endpoints should be enabled on the subnet to apply the policy, for all Azure services listed in the policy.

  • I criteri degli endpoint consentono di autorizzare risorse dei servizi di Azure specifiche, usando il formato resourceID.Endpoint policy allows you to whitelist specific Azure service resources, using the resourceID format. È possibile limitare l'accesso a tutte le risorse di una sottoscrizione o a un gruppo di risorse.You can restrict access to all resources in a subscription or resource group. È anche possibile limitare l'accesso a risorse specifiche.You can also restrict access to specific resources.

  • Per impostazione predefinita, se a una subnet non solo collegati criteri con gli endpoint, è possibile accedere a tutte le risorse nel servizio.By default, if no policies are attached to a subnet with endpoints, you can access all resources in the service. Dopo la configurazione dei criteri in tale subnet, dalle istanze di calcolo in tale subnet è possibile accedere solo alle risorse specificate nei criteri.Once a policy is configured on that subnet, only the resources specified in the policy can be accessed from compute instances in that subnet. L'accesso a tutte le altre risorse, per il servizio specifico, viene negato.Access to all other resources, for the specific service, will be denied.

  • È possibile filtrare il traffico per le risorse dei servizi di Azure nelle aree in cui è configurato l'endpoint di servizio.You can filter traffic to Azure service resources in the regions where service endpoint is configured. L'accesso alle risorse dei servizi nelle altre aree viene consentito per impostazione predefinita.Access to service resources in other regions will be allowed, by default.

    Nota

    Per bloccare completamente l'accesso in uscita dalla rete virtuale alle risorse di Azure nelle aree degli endpoint di servizio, è anche necessario configurare regole dei gruppi di sicurezza di rete per consentire il traffico solo per le aree degli endpoint di servizio, tramite tag del servizio.To fully lock down virtual network outbound access to Azure resources in service endpoint regions, you also need network security group rules configured to allow traffic only to the service endpoint regions, using service tags.

  • È possibile applicare più criteri a una subnet.You can apply multiple policies to a subnet. Quando alla subnet sono associati più criteri per lo stesso servizio, viene consentito il traffico di rete virtuale per le risorse specificate in ognuno dei criteri.When multiple policies are associated to the subnet, for the same service, virtual network traffic to resources specified across any of these policies will be allowed. L'accesso a tutte le altre risorse dei servizi, non specificate in alcuno dei criteri, viene negato.Access to all other service resources, not specified in any of the policies, will be denied.

    Nota

    I criteri consentono l'accesso solo alle risorse dei servizi specificate da una rete virtuale.Policy only allows access to listed service resources from a virtual network. Tutto il restante traffico verso il servizio viene negato automaticamente, quando si aggiungono risorse specifiche ai criteri.All other traffic to the service is denied automatically, when you add specific resources to the policy. Assicurarsi che tutte le dipendenze delle risorse dei servizi per le applicazioni possano essere identificate e specificate nei criteri.Ensure that all service resource dependencies for your applications can be identified and listed in the policy.

    Avviso

    I servizi di Azure distribuiti nella rete virtuale, ad esempio Azure HDInsight, accedono ad altri servizi di Azure, ad esempio Archiviazione di Azure, per i requisiti di infrastruttura.Azure services deployed into your virtual network, such as Azure HDInsight, access other Azure services, such as Azure Storage, for infrastructure requirements. Limitando i criteri degli endpoint a risorse specifiche si potrebbe interrompere l'accesso a queste risorse di infrastruttura per i servizi distribuiti nella rete virtuale.Restricting endpoint policy to specific resources could break access to these infrastructure resources for services deployed in your virtual network. Per i servizi specifici, vedere Limitazioni. Durante l'anteprima, i criteri degli endpoint di servizio non sono supportati per i servizi di Azure gestiti distribuiti nella rete virtuale.For specific services, refer to Limitations During preview, service endpoint policies are not supported for any managed Azure services that are deployed into your virtual network.

  • Per Archiviazione di Azure:For Azure Storage:

    • È possibile limitare l'accesso specificando i valori resourceId di Azure Resource Manager dell'account di archiviazione.You can restrict access by listing the Azure Resource Manager resourceId of the storage account. Ciò riguarda il traffico verso BLOB, tabelle, code, file e Azure Data Lake Storage Gen2.This covers traffic to blobs, tables, queues, files and Azure Data Lake Storage Gen2.

      Gli account di archiviazione di Azure possono ad esempio essere specificati nella definizione dei criteri degli endpoint come illustrato di seguito:Example, Azure storage accounts could be listed in the endpoint policy definition as below :

      Per consentire un account di archiviazione specifico:To allow specific storage account:
      subscriptions/subscriptionId/resourceGroups/resourceGroup/providers/Microsoft.Storage/storageAccounts/storageAccountName

      Per consentire tutti gli account in una sottoscrizione e un gruppo di risorse: /subscriptions/subscriptionId/resourceGroups/resourceGroupTo allow all accounts in a subscription and resource group: /subscriptions/subscriptionId/resourceGroups/resourceGroup

      Per consentire tutti gli account in una sottoscrizione: /subscriptions/subscriptionIdTo allow all accounts in a subscription: /subscriptions/subscriptionId

  • Nei criteri degli endpoint è possibile specificare solo gli account di archiviazione che usano il modello Azure Resource Manager.Only storage accounts using the Azure Resource Model can be specified in the endpoint policy.

    Nota

    L'accesso agli account di archiviazione della versione classica è bloccato con i criteri degli endpoint.Access to classic storage accounts is blocked with endpoint policies.

  • La località primaria per l'account specificato deve essere nelle aree geografiche associate dell'endpoint di servizio per la subnet.The primary location for the account listed should be in the geo-pair regions of the service endpoint, for the subnet.

    Nota

    I criteri consentono di specificare risorse dei servizi di altre aree.Policies allow service resources from other regions to be specified. L'accesso di rete virtuale per i servizi di Azure viene filtrato solo per le aree geografiche associate.Virtual network access to the Azure services is only filtered for the geo-pair regions. Se i gruppi di sicurezza di rete non sono limitati alle aree geografiche associate per Archiviazione di Azure, la rete virtuale può accedere a tutti gli account di archiviazione all'esterno delle aree geografiche associate.If network security groups are not restricted to the geo-pair regions for Azure Storage, the virtual network can access all storage accounts outside the geo-pair regions.

  • L'accesso secondario RA-GRS (con ridondanza geografica e accesso in lettura) viene consentito automaticamente se è specificato l'account principale.RA-GRS secondary access will be automatically allowed if the primary account is listed.

  • Gli account di archiviazione possono trovarsi in uno stesso o in un diverso tenant di Azure Active Directory o sottoscrizione rispetto alla rete virtuale.Storage accounts can be in the same or a different subscription or Azure Active Directory tenant as the virtual network.

LimitazioniLimitations

  • È possibile distribuire criteri degli endpoint di servizio solo nelle reti virtuali distribuite con il modello di distribuzione Azure Resource Manager.You can only deploy service endpoint policies on virtual networks deployed through the Azure Resource Manager deployment model.

  • Le reti virtuali devono trovarsi nella stessa area dei criteri degli endpoint di servizio.Virtual networks must be in the same region as the service endpoint policy.

  • È possibile applicare criteri degli endpoint di servizio in una subnet solo se gli endpoint di servizio sono configurati per i servizi di Azure specificati nei criteri.You can only apply service endpoint policy on a subnet if service endpoints are configured for the Azure services listed in the policy.

  • Non è possibile usare i criteri degli endpoint di servizio per il traffico dalla rete locale ai servizi di Azure.You can't use service endpoint policies for traffic from your on-premises network to Azure services.

  • I criteri degli endpoint non devono essere applicati alle subnet con servizi di Azure gestiti, che dipendono da altri servizi di Azure per i requisiti di infrastruttura.Endpoint policies should not be applied to subnets with managed Azure services, with dependency on Azure services for infrastructure requirements.

    Avviso

    I servizi di Azure distribuiti nella rete virtuale, ad esempio Azure HDInsight, accedono ad altri servizi di Azure, ad esempio Archiviazione di Azure, per i requisiti di infrastruttura.Azure services deployed into your virtual network, such as Azure HDInsight, access other Azure services, such as Azure Storage, for infrastructure requirements. Limitando i criteri degli endpoint a risorse specifiche si potrebbe interrompere l'accesso a queste risorse di infrastruttura per i servizi di Azure distribuiti nella rete virtuale.Restricting endpoint policy to specific resources could break access to these infrastructure resources for the Azure services deployed in your virtual network.

    • Alcuni servizi di Azure possono essere distribuiti in subnet con altre istanze di calcolo.Some Azure services can be deployed into subnets with other compute instances. Assicurarsi che i criteri degli endpoint non vengano applicati alla subnet se nella subnet sono distribuiti i servizi gestiti elencati di seguito.Please ensure endpoint policies are not applied to the subnet, if managed services listed below are deployed into the subnet.

      • HDInsight di AzureAzure HDInsight
      • Azure Batch (Azure Resource Manager)Azure Batch (Azure Resource Manager)
      • Azure Active Directory Domain Services (Azure Resource Manager)Azure Active Directory Domain Services (Azure Resource Manager)
      • Gateway applicazione di Azure (Azure Resource Manager)Azure Application Gateway (Azure Resource Manager)
      • Gateway VPN di Azure (Azure Resource Manager)Azure VPN Gateway (Azure Resource Manager)
      • Firewall di AzureAzure Firewall
    • Alcuni servizi di Azure vengono distribuiti in subnet dedicate.Some Azure services are deployed into dedicated subnets. I criteri degli endpoint sono bloccati in tutti i servizi di questo tipo, elencati di seguito, durante la fase di anteprima.Endpoint policies are blocked on all such services, listed below, during preview.

      • Ambiente del servizio app di AzureAzure App Service Environment
      • Cache Redis di AzureAzure Rediscache
      • Gestione API di AzureAzure API Management
      • Istanza gestita di SQL di AzureAzure SQL Managed Instance
      • Servizi di dominio Azure Active DirectoryAzure Active Directory Domain Services
      • Gateway applicazione di Azure (versione classica)Azure Application Gateway (Classic)
      • Gateway VPN di Azure (versione classica)Azure VPN Gateway (Classic)
  • Archiviazione di Azure. Gli account di archiviazione della versione classica non sono supportati nei criteri degli endpoint.Azure Storage: Classic storage accounts are not supported in endpoint policies. Per impostazione predefinita, i criteri negano l'accesso a tutti gli account di archiviazione della versione classica.Policies will deny access to all classic storage accounts, by default. Se l'applicazione deve accedere ad Azure Resource Manager e agli account di archiviazione della versione classica, i criteri degli endpoint non devono essere usati per il traffico.If your application needs access to Azure Resource Manager and classic storage accounts, endpoint policies should not be used for this traffic.

Gruppi di sicurezza di rete con criteri degli endpoint di servizioNSGs with Service Endpoint Policies

  • Per impostazione predefinita, i gruppi di sicurezza di rete consentono il traffico Internet in uscita, incluso il traffico di rete virtuale per i servizi di Azure.By default, NSGs allow outbound Internet traffic, including virtual network traffic to Azure services.

  • Per negare tutto il traffico Internet in uscita e consentire solo il traffico per risorse dei servizi di Azure specifiche:If you want to deny all outbound Internet traffic and allow only traffic to specific Azure service resources:

    Passaggio 1: configurare i gruppi di sicurezza di rete per consentire il traffico in uscita solo per i servizi di Azure nelle aree degli endpoint, usando tag dei servizi di Azure.Step 1: Configure NSGs to allow outbound traffic only to Azure services in endpoint regions, using Azure service tags. Per altre informazioni, vedere Tag dei servizi per i gruppi di sicurezza di reteFor more information, see service tags for NSGs

    Le regole del gruppo di sicurezza di rete che limitano l'accesso solo alle aree degli endpoint hanno ad esempio un aspetto simile al seguente:For example, network security group rules that restrict access to only endpoint regions look like the following example:

    Allow AzureStorage.WestUS2,
    Allow AzureStorage.WestCentralUS,
    Deny all
    

    Passaggio 2: applicare i criteri degli endpoint di servizio con accesso solo a risorse dei servizi di Azure specifiche.Step 2: Apply the service endpoint policy with access to only specific Azure service resources.

    Avviso

    Se il gruppo di sicurezza di rete non è configurato per limitare l'accesso della rete virtuale ai servizi di Azure solo alle aree degli endpoint, è possibile accedere alle risorse dei servizi in altre aree, anche se vengono applicati i criteri degli endpoint di servizio.If network security group is not configured to limit a virtual network's Azure service access to endpoint regions, you can access service resources in other regions, even if the service endpoint policy is applied.

ScenariScenarios

  • Reti virtuali multiple, connesse o con peering: per filtrare il traffico nelle reti virtuali con peering, i criteri degli endpoint devono essere applicati individualmente a tali reti virtuali.Peered, connected or multiple virtual networks: To filter traffic in peered virtual networks, endpoint policies should be applied individually to these virtual networks.
  • Filtro del traffico Internet con appliance di rete o Firewall di Azure: filtrare il traffico dei servizi di Azure con i criteri sugli endpoint e filtrare il resto del traffico Internet o di Azure tramite appliance o Firewall di Azure.Filtering Internet traffic with Network Appliances or Azure Firewall: Filter Azure service traffic with policies, over endpoints, and filter rest of the Internet or Azure traffic via appliances or Azure Firewall.
  • Filtro del traffico nei servizi di Azure distribuiti nelle reti virtuali: durante l'anteprima, i criteri degli endpoint di servizio non sono supportati per i servizi di Azure gestiti distribuiti nella rete virtuale.Filtering traffic on Azure services deployed into Virtual Networks: During preview, service endpoint policies are not supported for any managed Azure services that are deployed into your virtual network. Per i servizi specifici, vedere Limitazioni.For specific services, see limitations.
  • Filtro del traffico dall'ambiente locale ai servizi di Azure: i criteri degli endpoint di servizio si applicano solo al traffico dalle subnet associate ai criteri.Filtering traffic to Azure services from on-premises: Service endpoint policies only apply to the traffic from subnets associated to the policies. Per consentire l'accesso a risorse dei servizi di Azure specifiche dall'ambiente locale, il traffico deve essere filtrato tramite firewall o appliance virtuali di rete.To allow access to specific Azure service resources from on-premises, traffic should be filtered using network virtual appliances or firewalls.

Registrazione e risoluzione dei problemiLogging and troubleshooting

Non sono disponibili funzionalità di registrazione centralizzata per i criteri degli endpoint di servizio.No centralized logging is available for service endpoint policies. Per i log di diagnostica del servizio, vedere Registrazione degli endpoint di servizio.For service diagnostic logs, see Service endpoints logging.

Scenari di risoluzione dei problemiTroubleshooting scenarios

  • Accesso consentito agli account di archiviazione non specificati nei criteri degli endpointAccess allowed to storage accounts not listed in the endpoint policies
    • I gruppi di sicurezza di rete potrebbero consentire l'accesso a Internet o agli account di archiviazione di Azure in altre aree.Network security groups may be allowing access to the Internet or Azure Storage accounts in other regions.
    • I gruppi di sicurezza di rete devono essere configurati per negare tutto il traffico Internet in uscita e consentire solo il traffico per aree di Archiviazione di Azure specifiche.Network security groups should be configured to deny all outbound Internet traffic and allow only traffic to specific Azure Storage regions. Per informazioni dettagliate, vedere la sezione relativa ai gruppi di sicurezza di rete.For details, see Network security groups.
  • Accesso negato per gli account specificati nei criteri degli endpointAccess is denied for accounts listed in the endpoint policies
    • L'accesso potrebbe essere bloccato da gruppi di sicurezza di rete o filtro del firewallNetwork security groups or firewall filtering could be blocking access
    • Se la rimozione e la nuova applicazione dei criteri comporta la perdita di connettività:If removing/re-applying the policy results in connectivity loss:
      • Verificare se il servizio di Azure è configurato per consentire l'accesso dalla rete virtuale, tramite gli endpoint, o verificare che i criteri predefiniti per la risorsa siano impostati su Consenti tutto.Validate whether the Azure service is configured to allow access from the virtual network, over endpoints, or that the default policy for the resource is set to Allow All.

        Nota

        Non è necessario che le risorse dei servizi siano associate alle reti virtuali per ottenere l'accesso tramite i criteri degli endpoint.Service resources need not be secured to virtual networks to get access over endpoint policies. Tuttavia, come procedura consigliata per la sicurezza, è consigliabile che le risorse dei servizi siano associate alle reti attendibili, ad esempio le reti virtuali di Azure, tramite gli endpoint di servizio e in locale tramite un firewall IP.However, as a security best practice, we recommend that the service resources are secured to your trusted networks, such as your Azure virtual networks, via service endpoints, and on-premises, via an IP firewall.

      • Verificare che la diagnostica del servizio mostri il traffico sugli endpoint.Validate that the service diagnostics show the traffic over endpoints.

      • Controllare se i log di flusso del gruppo di sicurezza di rete mostrano l'accesso e controllare che i log di archiviazione mostrino l'accesso, come previsto, sugli endpoint di servizio.Check whether network security group flow logs show the access and that storage logs show the access, as expected, over service endpoints.

      • Contattare il supporto tecnico di Azure.Contact Azure support.

  • Accesso negato per gli account non specificati nei criteri degli endpoint di servizioAccess is denied for accounts not listed in the service endpoint policies
    • L'accesso potrebbe essere bloccato da gruppi di sicurezza di rete o filtro del firewall.Network security groups or firewall filtering could be blocking access. Verificare che il tag del servizio Archiviazione di Azure sia consentito per le aree degli endpoint.Ensure that the Azure Storage service tag is allowed for the endpoint regions. Per le restrizioni dei criteri, vedere Limitazioni.For policy restrictions, see limitations. Ad esempio, agli account di archiviazione della versione classica viene negato l'accesso se vengono applicati i criteri.For example, classic storage accounts are denied access if a policy is applied.
    • Verificare se il servizio di Azure è configurato per consentire l'accesso dalla rete virtuale, tramite gli endpoint, o verificare se i criteri predefiniti per la risorsa sono impostati su Consenti tutto.Validate whether the Azure service is configured to allow access from the virtual network, over endpoints, or whether the default policy for the resource is set to Allow All.

ProvisioningProvisioning

I criteri degli endpoint di servizio possono essere configurati nelle subnet da un utente con accesso in scrittura a una rete virtuale.Service endpoint policies can be configured on subnets by a user with write access to a virtual network. Leggere altre informazioni sui ruoli predefiniti di Azure e sull'assegnazione di autorizzazioni specifiche ai ruoli personalizzati.Learn more about Azure built-in roles and assigning specific permissions to custom roles.

Le reti virtuali e le risorse dei servizi di Azure possono trovarsi in uno stesso o in un diverso tenant di Azure Active Directory o sottoscrizione.Virtual networks and Azure service resources can be in the same or different subscriptions, or Azure Active Directory tenants.

Prezzi e limitiPricing and limits

Non sono previsti costi aggiuntivi per l'uso dei criteri degli endpoint di servizio.There is no additional charge for using service endpoint policies. Viene applicato il modello di determinazione dei prezzi corrente per i servizi di Azure, ad esempio Archiviazione di Azure, per gli endpoint di servizio.The current pricing model for Azure services (such as, Azure Storage) applies as is today, over service endpoints.

Per i criteri degli endpoint di servizio vengono applicati i limiti seguenti:Following limits are enforced on service endpoint policies:

RisorsaResource Limite predefinitoDefault limit
ServiceEndpointPoliciesPerSubscriptionServiceEndpointPoliciesPerSubscription 500500
ServiceEndpintPoliciesPerSubnetServiceEndpintPoliciesPerSubnet 100100
ServiceResourcesPerServiceEndpointPolicyDefinitionServiceResourcesPerServiceEndpointPolicyDefinition 200200

Fasi successiveNext Steps