Progettare soluzioni di filtro del traffico con i gruppi di sicurezza di rete
È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita rispettivamente verso o da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare origine e destinazione, porta e protocollo.
Questo articolo descrive le proprietà di una regola del gruppo di sicurezza di rete, le regole di sicurezza predefinite applicate e le proprietà delle regole che è possibile modificare per creare una regola di sicurezza ottimizzata.
Regole di sicurezza
Un gruppo di sicurezza di rete può contenere zero regole o il numero di regole desiderato, entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:
| Proprietà | Spiegazione |
|---|---|
| Name | Nome univoco all'interno del gruppo di sicurezza di rete. Il nome può contenere fino a 80 caratteri. |
| Priorità | Numero compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità, con i numeri inferiori elaborati prima dei numeri più alti perché i numeri inferiori hanno una priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene arrestata. Di conseguenza, le regole esistenti con priorità inferiori (numeri più alti) che hanno gli stessi attributi delle regole con priorità più alte non vengono elaborate. |
| Origine o destinazione | Qualsiasi indirizzo IP, blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, tag di servizio o gruppo di sicurezza delle applicazioni. Se si specifica un indirizzo per una risorsa di Azure, specificare l'indirizzo IP privato assegnato alla risorsa. I gruppi di sicurezza della rete vengono elaborati dopo che Azure ha convertito un indirizzo IP pubblico in un indirizzo IP privato per il traffico in ingresso e prima che Azure converta un indirizzo IP privato in un indirizzo IP pubblico per il traffico in uscita. Quando si specifica un intervallo, un tag di servizio o un gruppo di sicurezza dell'applicazione, sono necessarie meno regole di sicurezza. La possibilità di specificare più intervalli e indirizzi IP singoli in una regola è detta regola di sicurezza ottimizzata. Non si possono specificare più tag di servizio o gruppi di applicazioni. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più indirizzi IP e intervalli di indirizzi IP nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica. |
| Protocollo | TCP, UDP, ICMP, ESP, AH o Qualsiasi. I protocolli ESP e AH non sono attualmente disponibili tramite il portale di Azure, ma possono essere usati tramite i modelli di ARM. |
| Direzione | Definisce se la regola si applica al traffico in ingresso o in uscita. |
| Intervallo di porte | È possibile specificare una singola porta o un intervallo di porte. Ad esempio, è possibile specificare 80 oppure 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica. |
| Azione | Consentire o negare |
Le regole di sicurezza vengono valutate e applicate in base alle informazioni di cinque tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo). Non si possono creare due regole di sicurezza con la stessa priorità e direzione. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Il record di flusso consente al gruppo di sicurezza di avere uno stato. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno. Questa considerazione si applica anche al contrario. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.
Le connessioni esistenti non possono essere interrotte quando si rimuove una regola di sicurezza che abilita il flusso. I flussi di traffico vengono interrotti quando le connessioni vengono arrestate e non è presente alcun flusso di traffico in entrambe le direzioni almeno per alcuni minuti.
La modifica delle regole del gruppo di sicurezza di rete influirà solo sulle nuove connessioni create. Le nuove regole create o quelle esistenti aggiornate in un gruppo di sicurezza di rete verranno applicate solo ai nuovi flussi e alle nuove connessioni. Le connessioni del flusso di lavoro esistenti non vengono aggiornate con le nuove regole.
Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato.