Condividi tramite


Gruppi di sicurezza di rete

È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o rifiutano il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare origine e destinazione, porta e protocollo.

Questo articolo illustra le proprietà di una regola del gruppo di sicurezza di rete e le regole di sicurezza predefinite applicate da Azure. Descrive anche come modificare le proprietà delle regole per creare una regola di sicurezza aumentata.

Regole di sicurezza

Un gruppo di sicurezza di rete contiene il numero di regole desiderato, entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:

Proprietà Spiegazione
Nome Nome univoco all'interno del gruppo di sicurezza di rete. Il nome può contenere fino a 80 caratteri. Deve iniziare con un carattere di parola e deve terminare con un carattere di parola o con _. Il nome può contenere caratteri di parola o ., , -\_.
Priorità Numero compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità, con i numeri inferiori elaborati prima dei numeri più alti perché i numeri inferiori hanno una priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene arrestata. Di conseguenza, tutte le regole che esistono con priorità più bassa (numeri più alti) con gli stessi attributi delle regole con priorità più elevate non vengono elaborate.
Alle regole di sicurezza predefinite di Azure viene assegnato il numero più alto con la priorità più bassa per garantire che le regole personalizzate vengano sempre elaborate per prime.
Origine o destinazione È possibile specificare Qualsiasi, un singolo indirizzo IP, un blocco CIDR (ad esempio 10.0.0.0/24), un tag di servizio o un gruppo di sicurezza delle applicazioni. Per le risorse di Azure, usare l'indirizzo IP privato assegnato alla risorsa. I gruppi di sicurezza di rete elaborano il traffico dopo che Azure converte gli indirizzi IP pubblici in indirizzi IP privati per il traffico in ingresso. Elaborano il traffico prima di convertire indirizzi IP privati in indirizzi IP pubblici per il traffico in uscita. Immettere un intervallo, un tag di servizio o un gruppo di sicurezza delle applicazioni per ridurre il numero di regole di sicurezza necessarie. Le regole di sicurezza ottimizzate consentono di specificare più indirizzi IP singoli e intervalli in una singola regola. Tuttavia, non è possibile specificare più tag di servizio o gruppi di applicazioni in una singola regola. Le regole di sicurezza aumentata sono disponibili solo nei gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Nel modello di distribuzione classica non è possibile specificare più indirizzi IP e intervalli in una singola regola.
Se l'origine è subnet 10.0.1.0/24 (dove si trova VM1) e la destinazione è subnet 10.0.2.0/24 (dove si trova VM2), il gruppo di sicurezza di rete filtra il traffico per VM2. Questo comportamento si verifica perché il gruppo di sicurezza di rete è associato all'interfaccia di rete di VM2.
Protocollo TCP, UDP, ICMP, ESP, AH o qualsiasi. I protocolli ESP e AH non sono attualmente disponibili tramite il portale di Azure, ma possono essere usati tramite i modelli di ARM.
Direzione Definisce se la regola si applica al traffico in ingresso o in uscita.
Intervallo di porte È possibile specificare una singola porta o un intervallo di porte. Ad esempio, è possibile specificare 80 oppure 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.
Azione Consentire o negare

Le regole di sicurezza vengono valutate e applicate in base alle informazioni su cinque tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo). Non si possono creare due regole di sicurezza con la stessa priorità e direzione. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Il record di flusso consente al gruppo di sicurezza di avere uno stato. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno. Questa considerazione si applica anche al contrario. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.

Quando si rimuove una regola di sicurezza che ha consentito una connessione, le connessioni esistenti rimangono ininterrotte. Le regole del gruppo di sicurezza di rete influiscono solo sulle nuove connessioni. Le regole nuove o aggiornate in un gruppo di sicurezza di rete si applicano esclusivamente alle nuove connessioni, lasciando le connessioni esistenti non interessate dalle modifiche.

Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato. Per informazioni dettagliate, vedere Limiti di Azure.

Regole di sicurezza predefinite

Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:

In ingresso

AllowVNetInBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualsiasi Consenti
AllowAzureLoadBalancerInBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65001 AzureLoadBalancer (Bilanciatore di Carico Azure) 0-65535 0.0.0.0/0 0-65535 Qualsiasi Consenti
DenyAllInbound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualsiasi Nega

In uscita

AllowVnetOutBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualsiasi Consenti
ConsentiAccessoInternetEsterno
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65001 0.0.0.0/0 0-65535 Internet 0-65535 Qualsiasi Consenti
DenyAllOutBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualsiasi Nega

Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio, anziché indirizzi IP. Nella colonna del protocollo, Tutti comprende TCP, UDP e ICMP. Durante la creazione di una regola è possibile specificare TCP, UDP, ICMP o Qualsiasi. Nelle colonne Origine e Destinazione, 0.0.0.0/0 rappresenta tutti gli indirizzi. I client come il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o qualsiasi per questa espressione.

Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più alta.

Regole di sicurezza ottimizzate

Le regole di sicurezza ottimizzate semplificano la definizione della sicurezza per le reti virtuali, perché consentono di definire criteri di sicurezza di rete più estesi e complessi con un minor numero di regole. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola. Per semplificare la gestione della definizione delle regole di sicurezza, combinare le regole di sicurezza ottimizzate con tag di servizio o gruppi di sicurezza delle applicazioni. Il numero di indirizzi, intervalli e porte che è possibile specificare in una regola è limitato. Per informazioni dettagliate, vedere Limiti di Azure.

Tag di servizio

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Contribuisce a ridurre al minimo la complessità di aggiornamenti frequenti alle regole di sicurezza di rete.

Per altre informazioni, vedere Tag di servizio di Azure. Per un esempio su come usare il tag del servizio di archiviazione per limitare l'accesso alla rete, vedere Limitare l'accesso di rete alle risorse PaaS.

Gruppi di sicurezza delle applicazioni

I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. Per altre informazioni, vedere Gruppi di sicurezza delle applicazioni.

Timeout del flusso

Le impostazioni di timeout del flusso determinano per quanto tempo un record di flusso rimane attivo prima della scadenza. È possibile configurare questa impostazione usando il portale di Azure o tramite la riga di comando. Per ulteriori dettagli, vedere Panoramica dei log dei flussi NSG.

Considerazioni sulla piattaforma Azure

  • IP virtuale del nodo host: servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dell'integrità vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo. Per impostazione predefinita, questi servizi non sono soggetti ai gruppi di sicurezza di rete configurati, a meno che non siano destinati a tag di servizio specifici per ogni servizio. Per eseguire l'override di questa comunicazione di base dell'infrastruttura, è possibile creare una regola di sicurezza per negare il traffico usando i tag di servizio seguenti nelle regole del gruppo di sicurezza di rete: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Scopri come diagnosticare il filtro del traffico di rete e diagnosticare il routing di rete.

  • Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo. La richiesta viene inviata in uscita tramite la porta 1688. Per le distribuzioni che usano la configurazione predefinita della route 0.0.0.0/0 , questa regola della piattaforma è disabilitata.

  • Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il bilanciatore di carico.

  • Istanze di servizi di Azure: nelle subnet delle reti virtuali vengono distribuite istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio app e set di scalabilità di macchine virtuali. Per un elenco completo dei servizi che è possibile distribuire nelle reti virtuali, vedere l'articolo relativo alla rete virtuale per i servizi di Azure. Prima di applicare un gruppo di sicurezza di rete alla subnet, familiarizzarsi con i requisiti delle porte per ogni servizio. Se si negano le porte richieste dal servizio, il servizio non funziona correttamente.

  • Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre. I servizi di inoltro SMTP sono specializzati nella reputazione del mittente, per ridurre al minimo la possibilità che i provider di posta elettronica partner rifiutino i messaggi. Tali servizi di inoltro SMTP includono, ad esempio, Exchange Online Protection e SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.

    Se è stata creata la sottoscrizione di Azure prima del 15 novembre 2017, oltre a poter usare i servizi di inoltro SMTP, è possibile inviare messaggi di posta elettronica direttamente sulla porta TCP 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare messaggi di posta elettronica direttamente sulla porta 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.

    • Contratto Enterprise: per le macchine virtuali distribuite nelle sottoscrizioni standard con Contratto Enterprise, le connessioni SMTP in uscita sulla porta TCP 25 non vengono bloccate. Tuttavia, non esiste alcuna garanzia che i domini esterni accettino i messaggi di posta elettronica in arrivo dalle macchine virtuali. Se i domini esterni rifiutano o filtrano i messaggi di posta elettronica, contattare i provider di servizi di posta elettronica dei domini esterni per risolvere i problemi. Questi problemi non sono coperti dal supporto tecnico di Azure.

      Per impostazione predefinita, per le sottoscrizioni Sviluppo/test Enterprise viene bloccata la porta 25. È possibile rimuovere questo blocco. Per richiedere la rimozione del blocco, passare alla sezione Non è possibile inviare e-mail (SMTP-Port 25) della pagina delle impostazioniDiagnostica e risoluzione per la risorsa rete virtuale di Azure nel portale di Azure ed eseguire la diagnostica. Questa procedura esenta automaticamente le sottoscrizioni di sviluppo/test aziendali qualificate.

      Dopo che la sottoscrizione è esente da questo blocco e le macchine virtuali vengono arrestate e riavviate, tutte le macchine virtuali in tale sottoscrizione vengono escluse in futuro. L'esenzione si applica solo alla sottoscrizione richiesta e solo al traffico delle macchine virtuali instradato direttamente a Internet.

    • Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

    • MSDN, Azure Pass, Azure in Open, Education e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

    • Provider di servizi cloud: la comunicazione con la porta in uscita 25 è bloccata da tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

Passaggi successivi