Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Load Balancer offre funzionalità di bilanciamento del carico di livello 4 per distribuire il traffico in ingresso tra istanze back-end integre. Quando si distribuisce questo servizio, è importante seguire le procedure consigliate per la sicurezza per proteggere dati, configurazioni e infrastruttura.
Questo articolo fornisce indicazioni su come proteggere al meglio la distribuzione di Azure Load Balancer.
Sicurezza della rete
La sicurezza di rete è fondamentale per Azure Load Balancer perché controlla il flusso del traffico e l'accesso alle risorse back-end. Load Balancer Standard segue un approccio sicuro per impostazione predefinita con connessioni in ingresso chiuse.
Usare lo SKU Load Balancer Standard: distribuire Load Balancer Standard invece dello SKU Basic per una sicurezza avanzata con connessioni in ingresso chiuse per impostazione predefinita e modello di sicurezza di rete senza attendibilità. Consultare Panoramica di Azure Load Balancer.
Implementare gruppi di sicurezza di rete nelle subnet: applicare gruppi di sicurezza di rete alle subnet back-end e alle interfacce di rete per consentire in modo esplicito il traffico consentito e limitare l'accesso a porte attendibili e intervalli di indirizzi IP. Vedere Baseline di sicurezza di Azure per Azure Load Balancer.
Consenti il traffico dei probe di integrità di Azure Load Balancer: assicurarsi che i gruppi di sicurezza di rete e i criteri firewall locali consentano il traffico dall'indirizzo IP 168.63.129.16 per permettere ai probe di integrità di raggiungere le istanze back-end. Vedere Probe di integrità di Azure Load Balancer.
Usare il servizio di bilanciamento del carico interno per carichi di lavoro privati: distribuire il servizio di bilanciamento del carico interno con indirizzi IP front-end privati per isolare le risorse back-end dall'esposizione diretta a Internet e consentire il traffico solo dall'interno di reti virtuali o reti con peering. Vedere Configurazione IP front-end del bilanciamento del carico interno.
Proteggere i bilanciatori di carico pubblici con Protezione DDoS Standard di Azure: abilitare la Protezione DDoS Standard di Azure per i bilanciatori di carico pubblici per offrire una protezione avanzata con capacità di rilevamento che monitorano gli endpoint per minacce e segni di abuso. Vedere Proteggere il servizio di bilanciamento del carico pubblico con Protezione DDoS di Azure.
Gestione delle identità e degli accessi
Il controllo di accesso per Azure Load Balancer è incentrato sulla gestione di chi può configurare e modificare le risorse e le impostazioni del servizio di bilanciamento del carico tramite il sistema di controllo degli accessi in base al ruolo di Azure.
Implementare il controllo degli accessi in base al ruolo di Azure: assegnare ruoli di Azure appropriati a utenti e gruppi per la gestione del servizio di bilanciamento del carico usando ruoli predefiniti come Collaboratore rete o creazione di ruoli personalizzati con autorizzazioni specifiche. Vedere Ruoli di SAzure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.
Usare l'accesso con privilegi minimi: concedere agli utenti le autorizzazioni minime necessarie per eseguire le proprie attività, evitando ruoli amministrativi generali quando sono sufficienti operazioni di bilanciamento del carico specifiche. Vedere Che cos'è il controllo degli accessi in base al ruolo di Azure.
Protezione dei dati
Azure Load Balancer opera al livello 4 e non archivia i dati dei clienti, ma l'implementazione di misure di protezione dei dati appropriate per il traffico e le configurazioni è essenziale per la sicurezza completa.
Implementare la crittografia end-to-end: configurare la terminazione TLS/SSL nelle istanze back-end anziché il servizio di bilanciamento del carico, perché Load Balancer opera al livello 4 e non offre funzionalità di terminazione SSL.
Usare il gateway applicazione per carichi di lavoro HTTP/HTTPS: distribuire il gateway applicazione di Azure invece di Load Balancer per applicazioni HTTP/HTTPS che richiedono la terminazione SSL/TLS e le funzionalità web application firewall. Vedere Procedure consigliate per l'architettura per Azure Load Balancer.
Registrazione e monitoraggio
Le funzionalità complete di monitoraggio e registrazione consentono di rilevare minacce alla sicurezza, problemi di prestazioni e offrire visibilità sulle operazioni di bilanciamento del carico e sui modelli di traffico.
Abilitare le impostazioni di diagnostica: configurare le impostazioni di diagnostica per inviare metriche e log del servizio di bilanciamento del carico ai log di Monitoraggio di Azure, all'account di archiviazione o all'hub eventi per l'analisi e l'invio di avvisi. Consulta Monitor Azure Load Balancer.
Usa Insights di Monitoraggio di Azure: distribuire Load Balancer Insights per accedere ai dashboard preconfigurati, alle visualizzazioni delle dipendenze funzionali e alle visualizzazioni metriche per il monitoraggio proattivo. Vedere Uso di Insights per monitorare e configurare Azure Load Balancer.
Configurare il monitoraggio delle sonde di integrità: implementare sonde di integrità complete per monitorare la salute delle istanze back-end e configurare intervalli e soglie appropriati per un rilevamento accurato dell'integrità. Vedi Gestione delle sonde di integrità per Azure Load Balancer.
Monitorare le metriche di connessione: tenere traccia delle metriche chiave, tra cui disponibilità del percorso dati, stato probe di integrità e conteggio SYN per identificare potenziali minacce alla sicurezza e problemi di prestazioni. Vedere Diagnostica del servizio di bilanciamento del carico Standard con metriche, avvisi e integrità delle risorse.
Abilitare i log dei flussi di rete virtuale: configurare i log dei flussi di rete virtuale per analizzare i modelli di traffico che passano attraverso il servizio di bilanciamento del carico e identificare potenziali minacce alla sicurezza o comportamenti anomali. Vedere Monitorare Azure Load Balancer.
Configurare gli avvisi di sicurezza: creare avvisi di Monitoraggio di Azure per eventi rilevanti per la sicurezza, ad esempio probe di integrità non riusciti, modelli di traffico insoliti o modifiche alla configurazione. Consultare Monitor Azure Load Balancer.
Conformità e governance
I controlli di governance garantiscono una configurazione della sicurezza coerente e la conformità ai criteri dell'organizzazione e ai requisiti normativi nelle distribuzioni del servizio di bilanciamento del carico.
Implementare i controlli di Criteri di Azure: distribuire le definizioni di Criteri di Azure per controllare e applicare le configurazioni di sicurezza del servizio di bilanciamento del carico, inclusi i requisiti sku e le associazioni dei gruppi di sicurezza di rete. Vedere Baseline di sicurezza di Azure per Azure Load Balancer.
Usare l'assegnazione di tag alle risorse: applicare tag coerenti alle risorse del servizio di bilanciamento del carico per la governance, la gestione dei costi e il rilevamento della conformità della sicurezza. Vedere Procedure consigliate per l'architettura per Azure Load Balancer.
Sicurezza specifica del servizio
Azure Load Balancer ha considerazioni di sicurezza univoche relative agli algoritmi di distribuzione del traffico, alla persistenza delle sessioni e all'integrazione con altri servizi di rete di Azure.
Configurare la modalità di distribuzione appropriata: selezionare la modalità di distribuzione ottimale (5 tuple, 2 tuple o hash a 3 tuple) in base ai requisiti di sicurezza, considerando che la persistenza della sessione può creare una distribuzione di carico non uniforme. Vedere Modalità di distribuzione di Azure Load Balancer.
Abilitare la reimpostazione TCP per una maggiore sicurezza: configurare la reimpostazione TCP sulle regole di bilanciamento del carico per inviare pacchetti di reimpostazione TCP bidirezionali in caso di timeout di inattività, fornendo informazioni più chiare sullo stato di connessione alle applicazioni. Vedere Procedure consigliate per Azure Load Balancer.
Configurazioni IP mobili sicure: quando si usa l'INDIRIZZO IP mobile per scenari a disponibilità elevata, assicurarsi di configurare correttamente le interfacce di loopback nei sistemi operativi guest e implementare i controlli di sicurezza appropriati. Vedere Procedure consigliate per Azure Load Balancer.
Implementare la sicurezza di Gateway Load Balancer: per le appliance virtuali di rete, separare il traffico attendibile e non attendibile in interfacce tunnel diverse e aumentare i limiti di MTU per prevenire la perdita di pacchetti a causa degli header VXLAN. Vedere Procedure consigliate per Azure Load Balancer.
Integrazione con Firewall di Azure: instradare il traffico attraverso Firewall di Azure quando si usano servizi di bilanciamento del carico interni per funzionalità aggiuntive di ispezione della sicurezza e protezione dalle minacce. Vedere Procedure consigliate per l'architettura per Azure Load Balancer.
Usare il gateway NAT per la connettività in uscita: distribuire il gateway NAT di Azure per indirizzi IP in uscita prevedibili e sicurezza avanzata rispetto ai meccanismi IP di accesso in uscita predefiniti. Consultare Esercitazione: Proteggere il servizio di bilanciamento del carico pubblico con Protezione DDoS di Azure.