Determinare le regole effettive dei gruppi di sicurezza di rete
Ogni gruppo di sicurezza di rete e le relative regole di sicurezza definite vengono valutati in modo indipendente. Azure elabora le condizioni in ogni regola definita per ogni macchina virtuale nella configurazione.
- Per il traffico in ingresso, Azure elabora prima le regole di sicurezza del gruppo di sicurezza di rete per tutte le subnet associate e quindi le interfacce di rete associate.
- Per il traffico in uscita, il processo è l’opposto. Azure valuta prima le regole di sicurezza del gruppo di sicurezza di rete associate alle interfacce di rete, e successivamente quelle relative alle subnet associate.
- Per il processo di valutazione in ingresso e in uscita, Azure controlla anche come applicare le regole per il traffico intra-subnet.
Il modo in cui Azure applica le regole di sicurezza definite per una macchina virtuale determina l'efficacia complessiva delle regole.
Aspetti da conoscere sulle regole di sicurezza efficaci
Analizziamo come le regole dei gruppi di sicurezza di rete vengono definite ed elaborate all'interno di una rete virtuale per ottenere regole efficaci.
Prendiamo in considerazione la seguente configurazione di rete virtuale che mostra i gruppi di sicurezza di rete (NSG) responsabili del controllo del traffico verso le macchine virtuali. La configurazione richiede regole di sicurezza per gestire il traffico di rete da e verso Internet sulla porta TCP 80 tramite l'interfaccia di rete.
In questa configurazione di rete virtuale sono presenti tre subnet. La subnet 1 contiene due macchine virtuali: VM 1 e VM 2. La subnet 2 e la subnet 3 contengono rispettivamente una macchina virtuale: VM 3 e VM 4. Ogni macchina virtuale ha una scheda di interfaccia di rete (NIC).
Azure valuta ogni configurazione del gruppo di sicurezza di rete (NGS) per determinare le regole di sicurezza efficaci:
| Valutazione | Subnet NSG | NIC NSG | Regole in ingresso | Regole in uscita |
|---|---|---|---|---|
| VM 1 | Subnet 1 NSG 1 |
Scheda di interfaccia di rete NSG 2 |
Le regole della subnet di NSG 1 hanno la precedenza sulle regole della scheda di interfaccia di rete (NIC) di NSG 2 | Le regole della scheda dell’interfaccia di rete (NIC) di NSG 2 hanno la precedenza sulle regole della subnet di NSG 1 |
| VM 2 | Subnet 1 NSG 1 |
Scheda di interfaccia di rete none |
Le regole della subnet di NSG 1 si applicano sia alla subnet che all’interfaccia di rete | Le regole predefinite di Azure si applicano alla scheda di interfaccia di rete (NIC) e le regole della subnet NSG 1 si applicano solo alla subnet |
| VM 3 | Subnet 2 none |
Scheda di interfaccia di rete NSG 2 |
Le regole predefinite di Azure si applicano alla subnet e le regole di NSG 2 si applicano alla scheda di interfaccia di rete (NIC) |
Le regole della scheda di interfaccia di rete di NSG 2 si applicano alla scheda di interfaccia di rete (NIC) e alla subnet |
| VM 4 | Subnet 3 none |
Scheda di interfaccia di rete none |
Le regole predefinite di Azure si applicano sia alla subnet che alla scheda di interfaccia di rete (NIC) e tutto il traffico in ingresso è consentito |
Le regole predefinite di Azure si applicano sia alla subnet che alla scheda di interfaccia di rete (NIC) e tutto il traffico in uscita è consentito |
Regole effettive per il traffico in ingresso
Azure elabora le regole per il traffico in ingresso per tutte le macchine virtuali nella configurazione. Azure identifica se le macchine virtuali appartengono a un gruppo di sicurezza di rete (NGS) e se hanno una subnet o una scheda di interfaccia di rete (NIC) associata.
Quando viene creato un gruppo di sicurezza di rete (NGS), Azure crea la regola di sicurezza predefinita
DenyAllInboundper il gruppo. Il comportamento predefinito è di bloccare tutto il traffico in entrata proveniente da Internet. Se un gruppo di sicurezza di rete (NGS) ha una subnet o una scheda di interfaccia di rete (NIC), le regole per la subnet o la scheda di interfaccia di rete (NIC) possono eseguire l'override delle regole di sicurezza predefinite di Azure.Le regole in ingresso del gruppo di sicurezza di rete (NGS) per una subnet in una macchina virtuale hanno la precedenza sulle regole in ingresso del gruppo di sicurezza di rete (NGS) per una scheda di interfaccia di rete (NIC) nella stessa macchina virtuale.
Regole effettive per il traffico in uscita
Azure elabora le regole per il traffico in uscita esaminano prima le associazioni del gruppo di sicurezza di rete (NGS) per le schede di rete in tutte le macchine virtuali.
Quando viene creato un gruppo di sicurezza di rete (NGS), Azure crea la regola di sicurezza predefinita
AllowInternetOutboundper il gruppo. Il comportamento predefinito consiste nel consentire tutto il traffico in uscita verso Internet. Se un gruppo di sicurezza di rete (NGS) ha una subnet o una scheda di interfaccia di rete (NIC), le regole per la subnet o la scheda di interfaccia di rete (NIC) possono eseguire l'override delle regole di sicurezza predefinite di Azure.Le regole in uscita del gruppo di sicurezza di rete (NGS) per una scheda di interfaccia di rete (NIC) in una macchina virtuale hanno la precedenza sulle regole in uscita del gruppo di sicurezza di rete (NGS) per una subnet nella stessa macchina virtuale.
Aspetti da considerare quando si creano regole efficaci
Esaminare le seguenti considerazioni sulla creazione di regole di sicurezza efficaci per le macchine nella rete virtuale.
Valutare la possibilità di consentire tutto il traffico. Se si inserisce la macchina virtuale all'interno di una subnet o si usa un'interfaccia di rete, non è necessario associare la subnet o la scheda di interfaccia di rete (NIC) a un gruppo di sicurezza di rete. Questo approccio consente tutto il traffico di rete tramite la subnet o la scheda di interfaccia di rete (NIC) in base alle regole di sicurezza predefinite di Azure. Se non è necessario regolare il traffico verso una risorsa a un determinato livello, evitare di collegare tale risorsa a un gruppo di sicurezza di rete a quel livello.
Considerare l'importanza delle regole di autorizzazione. Quando si crea un gruppo di sicurezza di rete, è necessario definire una regola di autorizzazione per la subnet e l'interfaccia di rete nel gruppo, per garantire il passaggio del traffico. Se si dispone di una subnet o una scheda di interfaccia di rete (NIC) nel gruppo di sicurezza di rete, è necessario definire una regola di autorizzazione a ogni livello. In caso contrario, il traffico viene bloccato per qualsiasi livello che non fornisce una definizione di regola di autorizzazione.
Prendere in considerazione il traffico intra-subnet. Le regole di sicurezza per un gruppo di sicurezza di rete associato a una subnet possono influire sul traffico tra tutte le macchine virtuali nella subnet. Per impostazione predefinita, Azure consente alle macchine virtuali all'interno della stessa subnet di scambiarsi traffico (denominato traffico intra-subnet). È possibile impedire il traffico intra-subnet definendo una regola nel gruppo di sicurezza di rete per bloccare tutto il traffico in ingresso e in uscita. Questa regola impedisce a tutte le macchine virtuali nella subnet di comunicare tra loro.
Prendere in considerazione la priorità della regola. Le regole di sicurezza per un gruppo di sicurezza di rete vengono elaborate in ordine di priorità. Per assicurarsi che una determinata regola di sicurezza venga sempre elaborata, assegnare alla regola il valore con la più bassa priorità possibile. È consigliabile lasciare intervalli nella numerazione delle priorità, ad esempio 100, 200, 300 e così via. Gli intervalli nella numerazione consentono di aggiungere nuove regole senza dover modificare quelle esistenti.
Visualizzare le regole di sicurezza valide
Se si hanno diversi gruppi di sicurezza di rete e non si è certi delle regole di sicurezza applicate, è possibile usare il collegamento Regole di sicurezza valide nel portale di Azure. È possibile usare il collegamento per verificare quali regole di sicurezza vengono applicate ai computer, alle subnet e alle interfacce di rete.
