Distribuire gruppi di sicurezza di rete usando il portale di Azure
Un gruppo di sicurezza di rete in Azure consente di filtrare il traffico di rete da e verso le risorse di Azure all'interno di una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita rispettivamente verso o da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare origine e destinazione, porta e protocollo.
Regole di sicurezza dei gruppi di sicurezza di rete
Un gruppo di sicurezza di rete può contenere zero regole o il numero di regole desiderato, entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:
- Nome - Deve essere un nome univoco all'interno del gruppo di sicurezza di rete.
- Priorità - Può essere un numero qualsiasi compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità, con i numeri inferiori elaborati prima dei numeri più alti perché i numeri inferiori hanno una priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene arrestata. Di conseguenza, le regole esistenti con priorità inferiori (numeri più alti) che hanno gli stessi attributi delle regole con priorità più alte non vengono elaborate.
- Origine o destinazione - È possibile impostare qualsiasi indirizzo IP o un singolo indirizzo IP oppure un blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, un tag del servizio o un gruppo di sicurezza delle applicazioni.
- Protocollo - Può essere TCP, UDP, ICMP, ESP, AH o Qualsiasi.
- Direzione - Può essere configurata per l'applicazione al traffico in ingresso o in uscita.
- Intervallo di porte - È possibile specificare una singola porta o un intervallo di porte. Ad esempio, è possibile specificare 80 oppure 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza.
- Azione - È possibile scegliere tra Consenti o Nega.
Il firewall valuta le regole di sicurezza del gruppo di sicurezza di rete in base alla priorità, usando informazioni a 5 tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo) per consentire o negare il traffico.
Regole di sicurezza predefinite
Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:
| Direzione | Nome | Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|---|---|
| In entrata | AllowVNetInBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Qualsiasi | Consenti |
| In entrata | AllowAzureLoadBalancerInBound |
65001 | AzureLoadBalancer |
0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Consenti |
| In entrata | DenyAllInbound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
| In uscita | AllowVnetOutBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Qualsiasi | Consenti |
| In uscita | AllowInternetOutBound |
65001 | 0.0.0.0/0 | 0-65535 | Internet |
0-65535 | Qualsiasi | Consenti |
| In uscita | DenyAllOutBound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
Il diagramma e i punti elenco seguenti illustrano diversi scenari per l'implementazione dei gruppi di sicurezza di rete in modo da consentire il traffico di rete da e verso Internet tramite la porta TCP 80:
Per il traffico in ingresso, Azure elabora prima le regole in un gruppo di sicurezza di rete associato a una subnet, se presente, e quindi le regole in un gruppo di sicurezza di rete associato all'interfaccia di rete, se presente.
- VM1:
Subnet1è associato a NSG1, quindi le regole di sicurezza vengono elaborate e VM1 si trova inSubnet1. a meno che non sia stata creata una regola che consente l'ingresso alla porta 80, laDenyAllInboundregola di sicurezza predefinita nega il traffico e non viene mai valutato da NSG2, in quanto questo è associato all'interfaccia di rete. Se NSG1 ha una regola di sicurezza che consente la porta 80, NSG2 elabora il traffico. Per consentire la porta 80 alla macchina virtuale, sia NSG1 che NSG2 devono avere una regola che consenta la porta 80 da Internet. - VM2: le regole in NSG1 vengono elaborate dal momento che anche VM2 si trova in
Subnet1. Poiché VM2 non dispone di un gruppo di sicurezza di rete associato alla relativa interfaccia di rete, riceve tutto il traffico consentito attraverso NSG1 o le viene negato tutto il traffico negato da NSG1. Quando un gruppo di sicurezza di rete è associato a una subnet, il traffico è consentito o negato a tutte le risorse della stessa subnet. - VM3: dal momento che non è associato alcun gruppo di sicurezza di rete a
Subnet2, il traffico è consentito nella subnet ed elaborato da NSG2 poiché VM3 è associato all'interfaccia di rete collegata a VM3. - VM4: il traffico verso VM4 è consentito, perché a
Subnet3o all'interfaccia di rete nella macchina virtuale non è associato alcun gruppo di sicurezza di rete. È consentito tutto il traffico di rete attraverso una subnet e un'interfaccia di rete se questi componenti non hanno un gruppo di sicurezza di rete associato.
Per il traffico in uscita, Azure elabora prima le regole in un gruppo di sicurezza di rete associato a un'interfaccia di rete, se presente, e quindi le regole in un gruppo di sicurezza di rete associato alla subnet, se presente.
- VM1: le regole di sicurezza in NSG2 vengono elaborate. A meno che non si crei una regola di sicurezza che nega la porta 80 in uscita verso Internet, la regola di sicurezza predefinita AllowInternetOutbound in NSG1 e NSG2 consente il traffico. Se NSG2 ha una regola di sicurezza che nega la porta 80, il traffico viene negato e NSG1 non lo valuta mai. Per negare la porta 80 dalla macchina virtuale, uno o entrambi i gruppi di sicurezza di rete devono avere una regola che nega la porta 80 verso Internet.
- VM2: tutto il traffico viene inviato tramite l'interfaccia di rete alla subnet dal momento che l'interfaccia di rete collegata a VM2 non dispone di un gruppo di sicurezza di rete associato. Le regole in NSG1 vengono elaborate.
- VM3: se NSG2 ha una regola di sicurezza che nega il traffico sulla porta 80, il traffico viene negato. Se NSG2 ha una regola di sicurezza che consente la porta 80, la porta 80 è consentita in uscita verso Internet, poiché un gruppo di sicurezza di rete non è associato a
Subnet2. - VM4: tutto il traffico di rete è consentito da VM4 dal momento che un gruppo di sicurezza di rete non è associato all'interfaccia di rete collegata alla macchina virtuale o a
Subnet3.
Gruppi di sicurezza delle applicazioni
Un gruppo di sicurezza dell'applicazione (ASG) consente di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. La piattaforma gestisce la complessità degli indirizzi IP espliciti e di più set di regole, consentendo all'utente di concentrarsi sulla logica di business.
Per ridurre al minimo il numero di regole di sicurezza e la necessità di modificarle, pianificare i gruppi di sicurezza delle applicazioni necessari e creare regole usando tag di servizio o gruppi di sicurezza delle applicazioni, anziché singoli indirizzi IP o intervalli di indirizzi IP, quando possibile.
Filtrare il traffico di rete con un gruppo di sicurezza di rete usando il portale di Azure
È possibile usare un gruppo di sicurezza di rete per filtrare il traffico di rete in ingresso e in uscita da una subnet di rete virtuale. I gruppi di sicurezza di rete contengono regole di sicurezza per filtrare il traffico di rete in base a indirizzo IP, porta e protocollo. Le regole di sicurezza vengono applicate alle risorse distribuite in una subnet.
Quando si filtra il traffico di rete con un gruppo di sicurezza di rete usando il portale di Azure, le fasi principali sono le seguenti:
- Creare un gruppo di risorse - Questa operazione può essere eseguita in anticipo o durante la creazione della rete virtuale nella fase successiva. Tutte le altre risorse create devono trovarsi nella stessa area specificata in questo passaggio.
- Creare una rete virtuale - La rete virtuale deve essere distribuita nello stesso gruppo di risorse creato in precedenza.
- Creare gruppi di sicurezza delle applicazioni: - I gruppi di sicurezza delle applicazioni creati in questo passaggio consentono di raggruppare i server con funzioni simili, ad esempio server Web o server di gestione. In questa fase vengono creati due gruppi di sicurezza delle applicazioni: uno per i server Web e uno per i server di gestione (ad esempio, MyAsgWebServers e MyAsgMgmtServers)
- Creare un gruppo di sicurezza di rete - Il gruppo di sicurezza di rete protegge il traffico di rete nella rete virtuale. Questo gruppo di sicurezza di rete sarà associato a una subnet nella fase successiva.
- Associare un gruppo di sicurezza di rete a una subnet - In questo passaggio si associa il gruppo di sicurezza di rete creato in precedenza alla subnet della rete virtuale creata nella fase 2 precedente.
- Creare regole di sicurezza - In questo passaggio è possibile creare le regole di sicurezza in ingresso. In questa fase si crea una regola di sicurezza per consentire le porte 80 e 443 al gruppo di sicurezza delle applicazioni per i server Web, ad esempio MyAsgWebServers. Si crea quindi un'altra regola di sicurezza per consentire il traffico RDP sulla porta 3389 al gruppo di sicurezza delle applicazioni per i server di gestione, ad esempio MyAsgMgmtServers. Queste regole controllano da dove è possibile accedere alla macchina virtuale in remoto e al server Web IIS.
- Creare macchine virtuali - In questo passaggio si creano le macchine virtuali del server Web (ad esempio, MyVMWeb) e del server di gestione (ad esempio, MyVMMgmt) che verranno associate al rispettivo gruppo di sicurezza delle applicazioni nella fase successiva.
- Associare le schede di interfaccia di rete a un gruppo di sicurezza delle applicazioni - In questo passaggio si associa la scheda di interfaccia di rete (NIC) collegata a ogni macchina virtuale al gruppo di sicurezza delle applicazioni pertinente creato nella fase 3 precedente.
- Testare i filtri del traffico - La fase finale consiste nel testare che il filtro del traffico funzioni come previsto.
- A tale scopo, provare a connettersi alla macchina virtuale del server di gestione (ad esempio, MyVMMgmt) usando una connessione RDP e verificare che sia possibile connettersi perché la porta 3389 consente le connessioni in ingresso da Internet al gruppo di sicurezza delle applicazioni dei server di gestione (ad esempio, MyAsgMgmtServers).
- Mentre si è connessi alla sessione RDP nel server di gestione (ad esempio, MyVMMgmt), testare una connessione RDP dalla macchina virtuale del server di gestione (ad esempio, MyVMMgmt) alla macchina virtuale del server Web (ad esempio, MyVMWeb), che anche in questo caso avrà esito positivo in quanto le macchine virtuali nella stessa rete possono comunicare tra loro su ogni porta per impostazione predefinita.
- Non sarà tuttavia possibile creare una connessione RDP alla macchina virtuale del server Web (ad esempio, MyVMWeb) da Internet, perché la regola di sicurezza per il gruppo di sicurezza delle applicazioni dei server Web (ad esempio, MyAsgWebServers) impedisce le connessioni alla porta 3389 in ingresso da Internet. Il traffico in ingresso da Internet viene negato a tutte le risorse per impostazione predefinita.
- Mentre si è connessi alla sessione RDP nel server Web (ad esempio, MyVMWeb), è possibile installare IIS nel server Web, disconnettersi dalla sessione RDP della macchina virtuale del server Web e disconnettersi dalla sessione RDP della macchina virtuale del server di gestione. Nel portale di Azure è possibile determinare quindi l'indirizzo IP pubblico della macchina virtuale del server Web, ad esempio MyVMWeb, e verificare di poter accedere alla macchina virtuale del server Web da Internet aprendo un Web browser nel computer e passando a http:// (ad esempio, http://23.96.39.113) . Verrà visualizzata la schermata di benvenuto standard di IIS, perché la porta 80 è consentita per l'accesso in ingresso da Internet al gruppo di sicurezza delle applicazioni dei server Web, ad esempio MyAsgWebServers. L'interfaccia di rete collegata alla macchina virtuale del server Web (ad esempio, MyVMWeb) è associata al gruppo di sicurezza delle applicazioni dei server Web (ad esempio, MyAsgWebServers) e consente quindi la connessione.
Per visualizzare i passaggi dettagliati per tutte queste attività, vedere Esercitazione: filtrare il traffico di rete con un gruppo di sicurezza di rete usando il portale di Azure.