Configurare i gruppi di sicurezza di rete con tag in Windows Admin Center

Si applica a: Azure Stack HCI, versioni 23H2 e 22H2

Questo articolo descrive come configurare i gruppi di sicurezza di rete con tag di sicurezza di rete in Windows Admin Center.

Con i tag di sicurezza di rete è possibile creare tag personalizzati definiti dall'utente, collegare tali tag alle interfacce di rete della macchina virtuale (VM) e applicare i criteri di accesso alla rete (con i gruppi di sicurezza di rete) in base a questi tag.

Semplificare la sicurezza con i tag di sicurezza di rete

I gruppi di sicurezza di rete consentono di configurare i criteri di accesso in base a costrutti di rete come prefissi di rete e subnet. Ad esempio, se si vuole limitare la comunicazione tra le macchine virtuali del server Web e le macchine virtuali di database, è necessario identificare le subnet di rete corrispondenti e creare un criterio per negare la comunicazione tra tali subnet. Esistono tuttavia alcune limitazioni con questo approccio:

• I criteri di sicurezza sono associati ai costrutti di rete, il che significa che è necessario sapere quali applicazioni risiedono in segmenti di rete specifici. Comprendere l'infrastruttura di rete e l'architettura diventano cruciali.

• Quando si creano criteri per le applicazioni, è possibile riutilizzarli in scenari diversi. Ad esempio, se l'app Web di produzione può essere raggiunta solo sulla porta 80 da Internet e non può essere raggiunta da altre app nell'ambiente di produzione o in altri ambienti, si avranno criteri simili per qualsiasi nuova app. Tuttavia, con la segmentazione di rete, la ricreazione dei criteri diventa necessaria a causa di elementi di rete univoci per ogni app.

• Se si disattiva un'applicazione precedente ed è stato effettuato il provisioning di uno nuovo all'interno dello stesso segmento di rete, sono necessarie modifiche ai criteri.

Con la funzionalità tag di sicurezza di rete, non è più necessario tenere traccia dei segmenti di rete in cui sono ospitate le applicazioni. Ciò semplifica la gestione dei criteri ed evita le complessità associate ai costrutti di rete. Si esamini ora l'esempio con le macchine virtuali del server Web e del database: contrassegnare le macchine virtuali corrispondenti con tag di sicurezza di rete "Web" e "Database", quindi creare una regola per limitare la comunicazione tra tag "Web" e "Database".

Creare gruppi di sicurezza di rete basati su tag di sicurezza di rete

Per creare gruppi di sicurezza di rete basati su tag di sicurezza di rete, seguire questa procedura:

1. Creare uno o più tag di sicurezza di rete.

2. Assegnare un tag di sicurezza di rete a una macchina virtuale.

3. Creare un gruppo di sicurezza di rete.

4. Creare una regola di sicurezza di rete per il gruppo di sicurezza di rete.

5. Applicare il gruppo di sicurezza di rete a una macchina virtuale, a una subnet di rete, a un tag di sicurezza di rete.

Creare tag di sicurezza di rete

1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete e quindi selezionare Nuovo.

4. Nel riquadro Crea tag di sicurezza di rete immettere un nome per il tag di sicurezza di rete nel campo Nome .

   

5. (Facoltativo) Nel campo Tipo immettere un tipo per il tag. Questo campo è utile se si desidera classificare i tag per semplificare la gestione. Ad esempio, è possibile avere tag diversi con lo stesso tipo "Applicazione", ad esempio SQL, Web, IOT, Sensor e così via.

6. Selezionare Submit (Invia).

Assegnare un tag di sicurezza di rete a una macchina virtuale

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale quando si crea una nuova macchina virtuale o successivamente quando si modificano le proprietà di una macchina virtuale esistente.

Assegnare un tag di sicurezza di rete durante la creazione della macchina virtuale

Per istruzioni dettagliate su come creare una nuova macchina virtuale, vedere Creare una nuova macchina virtuale.

Per assegnare un tag di sicurezza di rete durante la creazione di una nuova macchina virtuale:

1. Nella schermata iniziale Windows Admin Center, in Tutte le connessioni selezionare il server o il cluster in cui si vuole creare la macchina virtuale.

2. In Strumenti scorrere verso il basso e selezionare Macchine virtuali.

3. In Macchine virtuali selezionare la scheda Inventario , selezionare Aggiungi e quindi selezionare Nuovo.

4. In Nuova macchina virtuale immettere un nome per la macchina virtuale.

5. Immettere altre proprietà per la macchina virtuale.

6. In Rete selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

   

7. Selezionare Crea.

Assegnare un tag di sicurezza di rete a una macchina virtuale esistente

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale esistente modificandone le impostazioni. Per istruzioni dettagliate su come modificare le impostazioni della macchina virtuale, vedere Modificare le impostazioni della macchina virtuale.

1. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Macchine virtuali.

2. Selezionare la scheda Inventario , selezionare una macchina virtuale e quindi selezionare Impostazioni.

3. Nella pagina Impostazioni selezionare Reti.

4. Nella sezione Tag di sicurezza di rete selezionare Aggiungi tag di sicurezza di rete, selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

5. Selezionare Salva impostazioni di rete.

Creare un gruppo di sicurezza di rete

1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare Nuovo.

4. Nel riquadro Gruppi di sicurezza di rete digitare un nome per il gruppo di sicurezza di rete e quindi selezionare Invia.

   

5. In Gruppi di sicurezza di rete verificare che lo stato provisioning del nuovo gruppo di sicurezza di rete sia Riuscito.

Creare una regola del gruppo di sicurezza di rete

Dopo aver creato un gruppo di sicurezza di rete, si è pronti per creare regole del gruppo di sicurezza di rete. Se si desidera applicare regole del gruppo di sicurezza di rete sia al traffico in ingresso che in uscita, è necessario creare due regole.

1. Nella schermata iniziale Windows Admin Center selezionare il cluster in Tutte le connessioni in cui si vuole creare il gruppo di sicurezza di rete.

2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare il gruppo di sicurezza di rete creato in precedenza in Creare un gruppo di sicurezza di rete.

4. In Regola di sicurezza di rete selezionare Nuovo.

5. Nel riquadro Regola di sicurezza di rete a destra specificare le informazioni seguenti:

   Campo	Descrizione
   Nome	Nome della regola.
   Priorità	Priorità della regola. I valori accettabili sono da 101 a 65000. Un valore inferiore indica una priorità più alta.
   Tipi	Tipo di regola. Può trattarsi di in ingresso o in uscita.
   Protocollo	Protocollo che corrisponde a un pacchetto in ingresso o in uscita. I valori accettabili sono All, TCP e UDP.
   Origine	Selezionare Tag di sicurezza di rete. Nota: È possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi.
   Tipo di tag di sicurezza di origine	(Facoltativo) Selezionare un tipo per il tag.
   Tag di sicurezza di origine	Selezionare un tag di sicurezza di rete creato in precedenza in Creare un tag di sicurezza di rete.
   Intervallo di porte di origine	Specificare l'intervallo di porte di origine in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di origine.
   Destinazione	Selezionare Tag di sicurezza di rete. Nota: È possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi. L'origine e la destinazione possono essere diverse.
   Tipo di tag di sicurezza di destinazione	(Facoltativo) Selezionare un tipo per il tag.
   Tag di sicurezza di destinazione	Selezionare un tag di sicurezza di rete creato in precedenza in Creare un tag di sicurezza di rete.
   Intervallo di porte di destinazione	Specificare l'intervallo di porte di destinazione in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di destinazione.
   Actions	Se le condizioni precedenti corrispondono, specificare per consentire o bloccare il pacchetto. I valori accettabili sono Allow e Deny.
   Logging	Specificare per abilitare o disabilitare la registrazione per la regola. Se la registrazione è abilitata, tutto il traffico corrispondente a questa regola viene registrato nei computer host.

6. Selezionare Submit (Invia).

Applicare un gruppo di sicurezza di rete

È possibile applicare un gruppo di sicurezza di rete a:

• Subnet rete virtuale
• Subnet di rete logica
• Interfaccia di rete specifica
• Tag di sicurezza di rete

Applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete

Quando si applica un gruppo di sicurezza di rete a un tag di sicurezza di rete, le regole del gruppo di sicurezza di rete si applicano a tutte le interfacce di rete vm associate a tale tag di sicurezza di rete.

Per applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete tramite Windows Admin Center, seguire questa procedura:

1. Nella schermata iniziale Windows Admin Center selezionare il cluster su cui si vuole applicare il gruppo di sicurezza di rete in Tutte le connessioni.

2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete .

4. Selezionare il tag di sicurezza di rete da modificare e quindi selezionare Impostazioni.

5. Nel riquadro Modifica tag di sicurezza di rete per il tag selezionato selezionare il gruppo di sicurezza di rete da applicare al tag di sicurezza di rete.

   

6. Selezionare Submit (Invia).

Passaggi successivi

Per informazioni correlate, vedere anche:

• Che cos'è il firewall del data center?
• Configurare i gruppi di sicurezza di rete con Windows Admin Center
• Configurare i gruppi di sicurezza di rete con PowerShell