Gestire i gruppi di sicurezza di rete mediante il portale di Azure

È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale, le istanze del ruolo, le schede di rete (NIC) o i subnet in una rete virtuale. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione. Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate.

Per ulteriori informazioni su NSGs, visitare Informazioni su NSG.

Importante

Prima di iniziare a usare le risorse di Azure, è importante comprendere che Azure al momento offre due modelli di distribuzione, la distribuzione classica e Azure Resource Manager. È importante comprendere i modelli e strumenti di distribuzione prima di lavorare con le risorse di Azure. È possibile visualizzare la documentazione relativa a diversi strumenti facendo clic sulle schede nella parte superiore di questo articolo.

Questo articolo illustra il modello di distribuzione Gestione risorse. È anche possibile creare gruppi di sicurezza di rete con il modello di distribuzione classica.

Scenario

Per illustrare meglio come creare un NSG, in questo documento verrà utilizzato lo scenario seguente.

Scenario di una rete virtuale

In questo scenario si creerà un NSG per ogni subnet nella rete virtuale TestVNet , come illustrato di seguito:

  • NSG-FrontEnd. Il front-end NSG verrà applicato per il subnet front-end , e contiene due regole:
    • regola-rdp. Questa regola consente il traffico RDP verso il subnet front-end .
    • regola-web. Questa regola consente il traffico HTTP verso il subnet front-end .
  • Back-end di NSG. Il back-end NSG verrà applicato per il subnet back-end , e contiene due regole:
    • regola sql. Questa regola consente il traffico SQL solo dal subnet front-end .
    • regola-web. Questa regola nega tutto il traffico associato ad internet proveniente dal subnet back-end .

La combinazione di queste regole crea uno scenario simile alla rete perimetrale, dove la subnet di back-end può solo ricevere traffico in ingresso per SQL dalla subnet front-end e non dispone dell'accesso a Internet, mentre la subnet front-end può comunicare con Internet e ricevere solo le richieste HTTP in ingresso.

I comandi di esempio PowerShell riportati di seguito prevedono un ambiente semplice già creato in base allo scenario precedente. Se si desidera eseguire i comandi così come sono visualizzati in questo documento, creare innanzitutto l'ambiente di test distribuendo questo modello, fare clic su Distribuisci in Azure, sostituire i valori di parametro predefiniti, se necessario e seguire le istruzioni nel portale. La procedura seguente usa RG-NSG come nome del gruppo di risorse in cui è stato distribuito il modello.

Creare il gruppo di sicurezza di rete NSG-FrontEnd

Per creare il gruppo di sicurezza di rete (NSG, Network Security Group) NSG-FrontEnd come illustrato nello scenario precedente, seguire questa procedura.

  1. In un browser passare a http://portal.azure.com e, se necessario, accedere con l'account Azure.
  2. Fare clic su Sfoglia> > Gruppi di sicurezza di rete.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Nel pannello Gruppi di sicurezza di rete fare clic su Aggiungi.

    Portale di Azure - Gruppi di sicurezza di rete

  4. Nel pannello Crea gruppo di sicurezza di rete creare un gruppo denominato NSG-FrontEnd nel gruppo di risorse RG-NSG, quindi fare clic su Crea.

    Portale di Azure - Gruppi di sicurezza di rete

Creare regole in un gruppo di sicurezza di rete esistente

Per creare regole in un gruppo di sicurezza di rete esistente dal portale di Azure, seguire questa procedura.

  1. Fare clic su Sfoglia> > Gruppi di sicurezza di rete.
  2. Nell'elenco dei gruppi di sicurezza di rete, fare clic su NSG-FrontEnd > Regole di sicurezza in ingresso

    Portale di Azure - NSG-FrontEnd

  3. Nell'elenco delle Regole di sicurezza in ingresso, fare clic su Aggiungi.

    Portale di Azure - Aggiungi regola

  4. Nel pannello Aggiungi regola di sicurezza in ingresso creare una regola denominata web-rule con priorità 200 che consente l'accesso tramite TCP alla porta 80 a qualsiasi VM da qualsiasi origine, quindi fare clic su OK. Notare che la maggior parte di queste impostazioni ha già i valori predefiniti.

    Portale di Azure - Impostazioni delle regole

  5. La nuova regola del gruppo di sicurezza di rete verrà visualizzata dopo pochi secondi.

    Portale di Azure - Nuova regola

  6. Ripetere i passaggi fino al 6 per creare una regola in entrata denominata rdp-rule con priorità 250, che consente l'accesso tramite TCP alla porta 3389 per qualsiasi VM da qualsiasi origine.

Associare il gruppo di sicurezza di rete alla subnet FrontEnd

  1. Fare clic su Sfoglia > > Gruppi di risorse > RG-NSG.
  2. Nel pannello RG-NSG fare clic su ... > TestVNet.

    Portale di Azure - TestVNet

  3. Nel pannello Impostazioni fare clic su Subnet > FrontEnd > Gruppo di sicurezza di rete > NSG-FrontEnd.

    Portale di Azure - Impostazioni della subnet

  4. Nel pannello FrontEnd fare clic su Salva.

    Portale di Azure - Impostazioni della subnet

Creare il gruppo di sicurezza di rete NSG-BackEnd

Per creare il gruppo di sicurezza di rete NSG-BackEnd e associarlo alla subnet BackEnd, seguire la procedura seguente.

  1. Ripetere la procedura illustrata in Creare il gruppo di sicurezza di rete NSG-FrontEnd per creare un NSG denominato NSG-BackEnd
  2. Ripetere la procedura illustrata Creare regole in un gruppo di sicurezza di rete esistente per creare le regole in entrata nella tabella seguente.

    Regola in entrata Regola in uscita
    Portale di Azure - Regola in entrata Portale di Azure - Regola in uscita
  3. Ripetere la procedura illustrata in Associare il gruppo di sicurezza di rete alla subnet FrontEnd per associare il gruppo di sicurezza di rete NSG-Backend alla subnet BackEnd.

Passaggi successivi