Configurare i gruppi di sicurezza di rete con tag in Windows Admin Center

Si applica a: Azure Stack HCI, versione 22H2

Questo articolo descrive come configurare i gruppi di sicurezza di rete con tag di sicurezza di rete in Windows Admin Center.

Con i tag di sicurezza di rete è possibile creare tag personalizzati definiti dall'utente, collegare tali tag alle interfacce di rete della macchina virtuale (VM) e applicare i criteri di accesso alla rete (con i gruppi di sicurezza di rete) in base a questi tag.

Vantaggi principali

In Azure Stack HCI versione 21H2 è possibile creare gruppi di sicurezza di rete per configurare i criteri di accesso in base ai costrutti di rete (prefissi/subnet di rete). Pertanto, se si vuole impedire alle macchine virtuali del server Web di comunicare con le macchine virtuali del database, è necessario identificare le subnet di rete corrispondenti e creare criteri per negare la comunicazione tra tali subnet. Esistono alcune limitazioni con questo approccio:

  • I criteri di sicurezza sono associati ai costrutti di rete, quindi è necessario sapere quali app sono ospitate in quali segmenti di rete. Sarà necessario avere una conoscenza equa dell'infrastruttura e dell'architettura di rete.

  • I criteri vengono in genere compilati per un'applicazione e potrebbero voler riutilizzare tali criteri anche per altre applicazioni. Ad esempio, l'app Web nell'ambiente di produzione può essere raggiunta solo sulla porta 80 da Internet e non può essere raggiunta da altre app nell'ambiente di produzione o in altri ambienti. Ora, se si effettua il provisioning di un'altra app Web, avrà un criterio simile. Tuttavia, con la segmentazione di rete, i criteri devono essere ricreati perché i criteri hanno elementi di rete univoci per le app.

  • Se si disattiva l'applicazione precedente e si effettua il provisioning di una nuova applicazione nello stesso segmento di rete, sarà necessario modificare i criteri.

Con la funzionalità tag di sicurezza di rete, non è più necessario tenere traccia dei segmenti di rete in cui sono ospitate le applicazioni. Usando lo stesso esempio di server Web e macchine virtuali di database precedente, è possibile contrassegnare le macchine virtuali corrispondenti con tag di sicurezza di rete "Web" e "Database". È quindi possibile creare una regola del gruppo di sicurezza di rete per impedire che il tag di sicurezza di rete "Web" comunichi con il tag di sicurezza di rete "Database".

Creare gruppi di sicurezza di rete basati su tag di sicurezza di rete

Per creare gruppi di sicurezza di rete basati su tag di sicurezza di rete, seguire questa procedura:

  1. Creare uno o più tag di sicurezza di rete.

  2. Assegnare un tag di sicurezza di rete a una macchina virtuale.

  3. Creare un gruppo di sicurezza di rete.

  4. Creare una regola di sicurezza di rete per il gruppo di sicurezza di rete.

  5. Applicare il gruppo di sicurezza di rete a una macchina virtuale, a una subnet di rete, a un tag di sicurezza di rete.

Creare tag di sicurezza di rete

  1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete e quindi selezionare Nuovo.

  4. Nel riquadro Crea tag di sicurezza di rete immettere un nome per il tag di sicurezza di rete nel campo Nome .

    Screenshot del riquadro Crea tag di sicurezza di rete.

  5. (Facoltativo) Nel campo Tipo immettere un tipo per il tag. Questo campo è utile se si desidera classificare i tag per semplificare la gestione. Ad esempio, è possibile avere tag diversi con lo stesso tipo "Applicazione", ad esempio SQL, Web, IOT, Sensor e così via.

  6. Selezionare Submit (Invia).

Assegnare un tag di sicurezza di rete a una macchina virtuale

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale quando si crea una nuova macchina virtuale o successivamente quando si modificano le proprietà di una macchina virtuale esistente.

Assegnare un tag di sicurezza di rete durante la creazione della macchina virtuale

Per istruzioni dettagliate su come creare una nuova macchina virtuale, vedere Creare una nuova macchina virtuale.

Per assegnare un tag di sicurezza di rete durante la creazione di una nuova macchina virtuale:

  1. Nella schermata iniziale Windows Admin Center, in Tutte le connessioni selezionare il server o il cluster in cui si vuole creare la macchina virtuale.

  2. In Strumenti scorrere verso il basso e selezionare Macchine virtuali.

  3. In Macchine virtuali selezionare la scheda Inventario , selezionare Aggiungi e quindi selezionare Nuovo.

  4. In Nuova macchina virtuale immettere un nome per la macchina virtuale.

  5. Immettere altre proprietà per la macchina virtuale.

  6. In Rete selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

    Screenshot che mostra il passaggio per assegnare il tag di sicurezza di rete durante la creazione di una nuova macchina virtuale.

  7. Selezionare Crea.

Assegnare un tag di sicurezza di rete a una macchina virtuale esistente

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale esistente modificandone le impostazioni. Per istruzioni dettagliate su come modificare le impostazioni della macchina virtuale, vedere Modificare le impostazioni della macchina virtuale.

  1. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Macchine virtuali.

  2. Selezionare la scheda Inventario , selezionare una macchina virtuale e quindi selezionare Impostazioni.

  3. Nella pagina Impostazioni selezionare Reti.

  4. Nella sezione Tag di sicurezza di rete selezionare Aggiungi tag di sicurezza di rete, selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

  5. Selezionare Salva impostazioni di rete.

Creare un gruppo di sicurezza di rete

  1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare Nuovo.

  4. Nel riquadro Gruppi di sicurezza di rete digitare un nome per il gruppo di sicurezza di rete e quindi selezionare Invia.

    Screenshot che mostra il riquadro Gruppo di sicurezza di rete.

  5. In Gruppi di sicurezza di rete verificare che lo stato provisioning del nuovo gruppo di sicurezza di rete sia Riuscito.

Creare una regola del gruppo di sicurezza di rete

Dopo aver creato un gruppo di sicurezza di rete, si è pronti per creare regole del gruppo di sicurezza di rete. Se si desidera applicare regole del gruppo di sicurezza di rete sia al traffico in ingresso che in uscita, è necessario creare due regole.

  1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare il gruppo di sicurezza di rete creato in precedenza in Creare un gruppo di sicurezza di rete.

  4. In Regola di sicurezza di rete selezionare Nuovo.

  5. Nel riquadro Regola di sicurezza di rete a destra specificare le informazioni seguenti:

    Campo Descrizione
    Nome Nome della regola.
    Priorità Priorità della regola. I valori accettabili sono da 101 a 65000. Un valore inferiore indica una priorità più alta.
    Tipi Tipo di regola. Può trattarsi di in ingresso o in uscita.
    Protocollo Protocollo che corrisponde a un pacchetto in ingresso o in uscita. I valori accettabili sono All, TCP e UDP.
    Origine Selezionare Tag di sicurezza di rete.

    Nota: È possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi.
    Tipo di tag di sicurezza di origine (Facoltativo) Selezionare un tipo per il tag.
    Tag di sicurezza di origine Selezionare un tag di sicurezza di rete creato in precedenza in Creare un tag di sicurezza di rete.
    Intervallo di porte di origine Specificare l'intervallo di porte di origine in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di origine.
    Destinazione Selezionare Tag di sicurezza di rete.

    Nota: È possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi. L'origine e la destinazione possono essere diverse.
    Tipo di tag di sicurezza di destinazione (Facoltativo) Selezionare un tipo per il tag.
    Tag di sicurezza di destinazione Selezionare un tag di sicurezza di rete creato in precedenza in Creare un tag di sicurezza di rete.
    Intervallo di porte di destinazione Specificare l'intervallo di porte di destinazione in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di destinazione.
    Actions Se le condizioni precedenti corrispondono, specificare per consentire o bloccare il pacchetto. I valori accettabili sono Allow e Deny.
    Logging Specificare per abilitare o disabilitare la registrazione per la regola. Se la registrazione è abilitata, tutto il traffico corrispondente a questa regola viene registrato nei computer host.
  6. Selezionare Submit (Invia).

Applicare un gruppo di sicurezza di rete

È possibile applicare un gruppo di sicurezza di rete a:

Applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete

Quando si applica un gruppo di sicurezza di rete a un tag di sicurezza di rete, le regole del gruppo di sicurezza di rete si applicano a tutte le interfacce di rete vm associate a tale tag di sicurezza di rete.

Per applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete tramite Windows Admin Center, seguire questa procedura:

  1. Nella schermata iniziale Windows Admin Center selezionare il cluster su cui si vuole applicare il gruppo di sicurezza di rete in Tutte le connessioni.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete .

  4. Selezionare il tag di sicurezza di rete da modificare e quindi selezionare Impostazioni.

  5. Nel riquadro Modifica tag di sicurezza di rete per il tag selezionato selezionare il gruppo di sicurezza di rete da applicare al tag di sicurezza di rete.

    Screenshot che mostra come applicare un gruppo di sicurezza di rete esistente a un tag di sicurezza di rete.

  6. Selezionare Submit (Invia).

Passaggi successivi

Per informazioni correlate, vedere anche: