Gruppi di sicurezza di rete
È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso verso o il traffico di rete in uscita da diversi tipi di risorse di Azure. Per ogni regola è possibile specificare l'origine e la destinazione, la porta e il protocollo.
Questo articolo descrive le proprietà di una regola del gruppo di sicurezza di rete, le regole di sicurezza predefinite applicate e le proprietà delle regole che è possibile modificare per creare una regola di sicurezza aumentata.
Regole di sicurezza
Un gruppo di sicurezza di rete contiene zero o tutte le regole desiderate entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:
| Proprietà | Spiegazione |
|---|---|
| Nome | Nome univoco all'interno del gruppo di sicurezza di rete. |
| Priorità | Numero compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità. I numeri più bassi vengono elaborati prima di quelli più elevati perché hanno priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene interrotta. Di conseguenza, tutte le regole esistenti con priorità più bassa (numeri più alti) con gli stessi attributi delle regole con priorità più elevate non vengono elaborate. |
| Origine o destinazione | Qualsiasi indirizzo IP, blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, tag di servizio o gruppo di sicurezza delle applicazioni. Se si specifica un indirizzo per una risorsa di Azure, specificare l'indirizzo IP privato assegnato alla risorsa. I gruppi di sicurezza della rete vengono elaborati dopo che Azure ha convertito un indirizzo IP pubblico in un indirizzo IP privato per il traffico in ingresso e prima che Azure converta un indirizzo IP privato in un indirizzo IP pubblico per il traffico in uscita. Quando si specifica un intervallo, un tag di servizio o un gruppo di sicurezza delle applicazioni, sono necessarie meno regole di sicurezza. La possibilità di specificare più singoli indirizzi IP e intervalli (non è possibile specificare più tag di servizio o gruppi di applicazioni) in una regola viene definita regole di sicurezza aumentata. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non è possibile specificare più indirizzi IP e intervalli di indirizzi IP nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica. |
| Protocollo | TCP, UDP, ICMP, ESP, AH o Qualsiasi. I protocolli ESP e AH non sono attualmente disponibili tramite il portale di Azure, ma possono essere usati tramite i modelli arm. |
| Direzione | Definisce se la regola si applica al traffico in ingresso o in uscita. |
| Intervallo di porte | È possibile specificare una singola porta o un intervallo di porte. Ad esempio, è possibile specificare 80 oppure 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non è possibile specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica. |
| Azione | Consentire o impedire. |
Le regole di sicurezza vengono valutate e applicate in base alle informazioni di cinque tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo). Non è possibile creare due regole di sicurezza con la stessa priorità e direzione. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Il record di flusso consente al gruppo di sicurezza di avere uno stato. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno. Questa considerazione si applica anche al contrario. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.
Le connessioni esistenti non possono essere interrotte quando si rimuove una regola di sicurezza che abilita il flusso. I flussi di traffico vengono interrotti quando le connessioni vengono arrestate e non è presente alcun flusso di traffico in entrambe le direzioni almeno per alcuni minuti.
La modifica delle regole del gruppo di sicurezza di rete influirà solo sulle nuove connessioni create. Quando viene creata una nuova regola o una regola esistente viene aggiornata in un gruppo di sicurezza di rete, verrà applicata solo ai nuovi flussi e alle nuove connessioni. Le connessioni del flusso di lavoro esistenti non vengono aggiornate con le nuove regole.
Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato. Per informazioni dettagliate, vedere Limiti di Azure.
Regole di sicurezza predefinite
Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:
In ingresso
AllowVNetInBound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualsiasi | Allow |
AllowAzureLoadBalancerInBound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Allow |
DenyAllInbound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
In uscita
AllowVnetOutBound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualsiasi | Allow |
AllowInternetOutBound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualsiasi | Allow |
DenyAllOutBound
| Priorità | Source (Sorgente) | Porte di origine | Destination | Porte di destinazione | Protocollo | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio, anziché indirizzi IP. Nella colonna del protocollo, Qualsiasi include TCP, UDP e ICMP. Durante la creazione di una regola è possibile specificare TCP, UDP, ICMP o Qualsiasi. 0.0.0.0/0 nelle colonne Origine e Destinazione rappresenta tutti gli indirizzi. I client come portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o qualsiasi per questa espressione.
Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più elevate.
Regole di sicurezza ottimizzate
Le regole di sicurezza ottimizzate semplificano la definizione della sicurezza per le reti virtuali, perché consentono di definire criteri di sicurezza di rete più estesi e complessi con un minor numero di regole. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola. Per semplificare la manutenzione della definizione della regola di sicurezza, combinare regole di sicurezza aumentata con tag di servizio o gruppi di sicurezza delle applicazioni. Il numero di indirizzi, intervalli e porte che è possibile specificare in una regola è limitato. Per informazioni dettagliate, vedere Limiti di Azure.
Tag di servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Contribuisce a ridurre al minimo la complessità di aggiornamenti frequenti alle regole di sicurezza di rete.
Per altre informazioni, vedere Tag del servizio di Azure. Per un esempio su come usare il tag del servizio di archiviazione per limitare l'accesso alla rete, vedere Limitare l'accesso di rete alle risorse PaaS.
Gruppi di sicurezza delle applicazioni
I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. Per altre informazioni, vedere Gruppi di sicurezza delle applicazioni.
Considerazioni sulla piattaforma Azure
IP virtuale del nodo host: i servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dell'integrità vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo. Per impostazione predefinita, questi servizi non sono soggetti ai gruppi di sicurezza di rete configurati, a meno che non siano destinati a tag di servizio specifici per ogni servizio. Per eseguire l'override di questa comunicazione di base dell'infrastruttura, è possibile creare una regola di sicurezza per negare il traffico usando i tag di servizio seguenti nelle regole del gruppo di sicurezza di rete: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Informazioni su come diagnosticare il filtro del traffico di rete e diagnosticare il routing di rete.
Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo. La richiesta viene inviata in uscita tramite la porta 1688. Per le distribuzioni tramite la configurazione di route predefinita 0.0.0.0/0, questa regola di piattaforma sarà disabilitata.
Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il servizio di bilanciamento del carico.
Istanze di servizi di Azure: nelle subnet delle reti virtuali vengono distribuite istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio app e set di scalabilità di macchine virtuali. Per un elenco completo dei servizi che è possibile distribuire nelle reti virtuali, vedere l'articolo relativo alla rete virtuale per i servizi di Azure. Prima di applicare un gruppo di sicurezza di rete alla subnet, acquisire familiarità con i requisiti delle porte per ogni servizio. Se si negano le porte richieste dal servizio, il servizio non funzionerà correttamente.
Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre. Sono disponibili servizi di inoltro SMTP specializzati per la reputazione del mittente, per ridurre al minimo la possibilità che provider di posta elettronica di terze parti rifiutino i messaggi. Tali servizi di inoltro SMTP includono, ma non sono limitati a, Exchange Online Protection e SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.
Se la sottoscrizione di Azure è stata creata prima del 15 novembre 2017, oltre a poter usare servizi di inoltro SMTP è possibile inviare posta elettronica direttamente sulla porta TCP 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare posta elettronica direttamente sulla porta 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.
Enterprise Agreement: per le macchine virtuali distribuite nelle sottoscrizioni standard Enterprise Agreement, le connessioni SMTP in uscita sulla porta TCP 25 non verranno bloccate. Tuttavia, non esiste alcuna garanzia che i domini esterni accettino i messaggi di posta elettronica in arrivo dalle macchine virtuali. Se i messaggi di posta elettronica vengono rifiutati o filtrati in base ai domini esterni, è necessario contattare i provider di servizi di posta elettronica dei domini esterni per risolvere i problemi. Questi problemi non sono coperti da supporto tecnico di Azure.
Per le sottoscrizioni di sviluppo/test enterprise, la porta 25 è bloccata per impostazione predefinita. È possibile rimuovere questo blocco. Per richiedere la rimozione del blocco, passare alla sezione Non è possibile inviare messaggi di posta elettronica (SMTP-Port 25) della pagina Diagnostica e risolvi impostazioni per la risorsa azure Rete virtuale nel portale di Azure ed eseguire la diagnostica. In questo modo verranno esentate automaticamente le sottoscrizioni di sviluppo/test aziendali qualificate.
Dopo che la sottoscrizione è stata esentata da questo blocco e le macchine virtuali vengono arrestate e riavviate, tutte le macchine virtuali in tale sottoscrizione vengono esentate in futuro. L'esenzione si applica solo alla sottoscrizione richiesta e solo al traffico di macchine virtuali instradato direttamente a Internet.
Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile eseguire richieste di rimozione della restrizione, perché le richieste non vengono concesse. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
MSDN, Azure Pass, Azure in Open, Education, BizSpark e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile eseguire richieste di rimozione della restrizione, perché le richieste non vengono concesse. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
Provider di servizi cloud: la comunicazione della porta in uscita 25 è bloccata da tutte le risorse. Non è possibile eseguire richieste di rimozione della restrizione, perché le richieste non vengono concesse. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
Passaggi successivi
- Per informazioni sulle risorse di Azure che possono essere distribuite in una rete virtuale e sui gruppi di sicurezza di rete associati, vedere Integrazione della rete virtuale per i servizi di Azure
- Per informazioni sulla valutazione del traffico con i gruppi di sicurezza di rete, vedere Funzionamento dei gruppi di sicurezza di rete.
- Se non è mai stato creato un gruppo di sicurezza di rete, è possibile completare una breve esercitazione per acquisire esperienza nella creazione di tale gruppo.
- Se si ha familiarità con i gruppi di sicurezza di rete e si ha la necessità di gestirli, vedere Gestire un gruppo di sicurezza di rete.
- Se si verificano problemi di comunicazione ed è necessario risolvere i problemi dei gruppi di sicurezza di rete, vedere Diagnosticare problemi di filtro del traffico di rete di una macchina virtuale.
- Informazioni su come abilitare i log dei flussi del gruppo di sicurezza di rete per analizzare il traffico di rete da e verso le risorse con un gruppo di sicurezza di rete associato.