Esercitazione: Filtrare il traffico di rete con un gruppo di sicurezza di rete usando il portale di Azure

È possibile usare un gruppo di sicurezza di rete per filtrare il traffico di rete in ingresso e in uscita da e verso le risorse di Azure in una rete virtuale di Azure.

I gruppi di sicurezza di rete contengono regole di sicurezza per filtrare il traffico di rete in base a indirizzo IP, porta e protocollo. Quando un gruppo di sicurezza di rete è associato a una subnet, le regole di sicurezza vengono applicate alle risorse distribuite in tale subnet.

In questa esercitazione verranno illustrate le procedure per:

  • Creare un gruppo di sicurezza di rete e le regole di sicurezza
  • Creare gruppi di sicurezza dell'applicazione
  • Creare una rete virtuale e associare un gruppo di sicurezza di rete a una subnet
  • Distribuire macchine virtuali e associare le interfacce di rete ai gruppi di sicurezza delle applicazioni
  • Testare i filtri del traffico

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

  • Una sottoscrizione di Azure

Accedere ad Azure

Accedere al portale di Azure.

Crea rete virtuale

  1. Dal menu portale di Azure selezionare + Crea una risorsa>Rete>virtuale oppure cercare Rete virtuale nella casella di ricerca del portale.

  2. Selezionare Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare queste informazioni:

    Impostazione valore
    Dettagli del progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare Crea nuovo.
    Immettere myResourceGroup.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere myVNet.
    Region Selezionare Stati Uniti orientali.
  4. Selezionare la scheda Rivedi e crea oppure selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  5. Selezionare Crea.

Creare gruppi di sicurezza dell'applicazione

Un gruppo di sicurezza delle applicazioni consente di raggruppare i server con funzioni simili, ad esempio i server Web.

  1. Dal menu portale di Azure selezionare + Crea una risorsa>>Gruppo di sicurezza delle applicazioni di rete oppure cercare Gruppo di sicurezza delle applicazioni nella casella di ricerca del portale.

  2. Selezionare Crea.

  3. Nella scheda Informazioni di base di Creare un gruppo di sicurezza delle applicazioni immettere o selezionare queste informazioni:

    Impostazione valore
    Dettagli del progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare myResourceGroup.
    Dettagli istanza
    Nome Immettere myAsgWebServers.
    Region Selezionare (Stati Uniti) Stati Uniti orientali.
  4. Selezionare la scheda Rivedi e crea oppure selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  5. Selezionare Crea.

  6. Ripetere i passaggi precedenti, specificando i valori seguenti:

    Impostazione valore
    Dettagli del progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare myResourceGroup.
    Dettagli istanza
    Nome Immettere myAsgMgmtServers.
    Region Selezionare (Stati Uniti) Stati Uniti orientali.
  7. Selezionare la scheda Rivedi e crea oppure selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  8. Selezionare Crea.

Creare un gruppo di sicurezza di rete

Un gruppo di sicurezza di rete protegge il traffico di rete nella rete virtuale.

  1. Dal menu portale di Azure selezionare + Crea una risorsa> Gruppo di sicurezzadi>rete o cercare Gruppo di sicurezza di rete nella casella di ricerca del portale.

  2. Selezionare Crea.

  3. Nella scheda Informazioni di base di Crea gruppo di sicurezza di rete immettere o selezionare queste informazioni:

    Impostazione valore
    Dettagli del progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare myResourceGroup.
    Dettagli istanza
    Nome Immettere myNSG.
    Posizione Selezionare (Stati Uniti) Stati Uniti orientali.
  4. Selezionare la scheda Rivedi e crea oppure selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  5. Selezionare Crea.

Associare il gruppo di sicurezza di rete alla subnet

In questa sezione si assocerà il gruppo di sicurezza di rete alla subnet della rete virtuale creata in precedenza.

  1. Cercare myNsg nella casella di ricerca del portale.

  2. Selezionare Subnet nella sezione Impostazioni di myNSG.

  3. Nella pagina Subnet selezionare + Associa:

    Screenshot di Associare un gruppo di sicurezza di rete a una subnet.

  4. In Associa subnet selezionare myVNet per Rete virtuale.

  5. Selezionare il valore predefinito per Subnet e quindi selezionare OK.

Creare regole di sicurezza

  1. Selezionare Regole di sicurezza in ingresso nella sezione Impostazioni di myNSG.

  2. Nella pagina Regole di sicurezza in ingresso selezionare + Aggiungi:

    Screenshot delle regole di sicurezza in ingresso in un gruppo di sicurezza di rete.

  3. Creare una regola di sicurezza che consenta le porte 80 e 443 per il gruppo di sicurezza delle applicazioni myAsgWebServers. Nella pagina Aggiungi regola di sicurezza in ingresso immettere o selezionare queste informazioni:

    Impostazione Valore
    Source (Sorgente) Lasciare l'impostazione predefinita Qualsiasi.
    Intervalli di porte di origine Lasciare il valore predefinito (*).
    Destination Selezionare Gruppo di sicurezza dell'applicazione.
    Gruppi di sicurezza delle applicazioni di destinazione Selezionare myAsgWebServers.
    Servizio Lasciare l'impostazione predefinita Personalizzata.
    Intervalli di porte di destinazione Immettere 80.443.
    Protocollo selezionare TCP.
    Azione Lasciare l'impostazione predefinita Consenti.
    Priorità Lasciare il valore predefinito 100.
    Nome Immettere Allow-Web-All.

    Screenshot di Aggiungi regola di sicurezza in ingresso in un gruppo di sicurezza di rete.

  4. Selezionare Aggiungi.

  5. Completare di nuovo i passaggi da 3 a 4 usando queste informazioni:

    Impostazione Valore
    Source (Sorgente) Lasciare l'impostazione predefinita Qualsiasi.
    Intervalli di porte di origine Lasciare il valore predefinito (*).
    Destination Selezionare Gruppo di sicurezza dell'applicazione.
    Gruppo di sicurezza delle applicazioni di destinazione Selezionare myAsgMgmtServers.
    Servizio Lasciare l'impostazione predefinita Personalizzata.
    Intervalli di porte di destinazione Immettere 3389.
    Protocollo selezionare Any.
    Azione Lasciare l'impostazione predefinita Consenti.
    Priorità Lasciare il valore predefinito 110.
    Nome Immettere Allow-RDP-All.
  6. Selezionare Aggiungi.

    Attenzione

    In questo articolo RDP (porta 3389) viene esposto a Internet per la macchina virtuale assegnata al gruppo di sicurezza delle applicazioni myAsgMgmtServers .

    Per gli ambienti di produzione, invece di esporre la porta 3389 a Internet, è consigliabile connettersi alle risorse di Azure da gestire usando una connessione VPN, una connessione di rete privata o Azure Bastion.

    Per altre informazioni su Azure Bastion, vedere Informazioni su Azure Bastion.

Dopo aver completato i passaggi da 1 a 3, esaminare le regole create. L'elenco dovrebbe essere simile all'elenco nell'esempio seguente:

Screenshot delle regole di sicurezza di un gruppo di sicurezza di rete.

Creare macchine virtuali

Creare due macchine virtuali (VM) nella rete virtuale.

Creare la prima macchina virtuale

  1. Nel menu portale di Azure selezionare + Crea unamacchina virtualedi calcolo>della risorsa> oppure cercare Macchina virtuale nella casella di ricerca del portale.

  2. In Crea una macchina virtuale immettere o selezionare queste informazioni nella scheda Informazioni di base :

    Impostazione valore
    Dettagli del progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare myResourceGroup.
    Dettagli istanza
    Nome macchina virtuale Immettere myVMWeb.
    Region Selezionare (Stati Uniti) Stati Uniti orientali.
    Opzioni di disponibilità Lasciare l'impostazione predefinita Nessuna ridondanza dell'infrastruttura necessaria.
    Tipo di sicurezza Lasciare l'impostazione predefinita Standard.
    Immagine Selezionare Windows Server 2019 Datacenter - Gen2.
    Istanza Spot di Azure Lasciare deselezionata l'impostazione predefinita.
    Dimensione Selezionare Standard_D2s_V3.
    Account amministratore
    Username Immettere un nome utente.
    Password Immettere una password.
    Conferma password Reimmettere la password.
    Regole porta in ingresso
    Selezionare le porte in ingresso Selezionare Nessuno.
  3. Selezionare la scheda Rete.

  4. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare myVNET.
    Subnet Selezionare impostazione predefinita (10.0.0.0/24).
    IP pubblico Lasciare l'impostazione predefinita di un nuovo indirizzo IP pubblico.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno.
  5. Selezionare la scheda Rivedi e crea oppure selezionare il pulsante rivedi e crea blu nella parte inferiore della pagina.

  6. Selezionare Crea. La macchina virtuale può richiedere alcuni minuti per la distribuzione.

Creare la seconda macchina virtuale

Completare nuovamente i passaggi da 1 a 6, ma nel passaggio 2 immettere myVMMgmt per il nome della macchina virtuale.

Attendere il completamento della distribuzione delle macchine virtuali prima di passare alla sezione successiva.

Associare le interfacce di rete a un gruppo di sicurezza delle applicazioni

Quando sono state create le macchine virtuali, Azure ha creato un'interfaccia di rete per ogni macchina virtuale e l'ha collegata alla macchina virtuale.

Aggiungere l'interfaccia di rete di ogni macchina virtuale a uno dei gruppi di sicurezza delle applicazioni creati in precedenza:

  1. Cercare myVMWeb nella casella di ricerca del portale.

  2. Selezionare Rete nella sezione Impostazioni della macchina virtuale myVMWeb .

  3. Selezionare la scheda Gruppi di sicurezza dell'applicazione , quindi selezionare Configura i gruppi di sicurezza dell'applicazione.

    Screenshot di Configurare i gruppi di sicurezza delle applicazioni.

  4. In Configurare i gruppi di sicurezza dell'applicazione selezionaremyAsgWebServers. Selezionare Salva.

    Screenshot che mostra come associare i gruppi di sicurezza delle applicazioni a un'interfaccia di rete.

  5. Completare nuovamente i passaggi 1 e 2, cercare la macchina virtuale myVMMgmt e selezionare myAsgMgmtServers ASG.

Testare i filtri del traffico

  1. Cercare myVMMgmt nella casella di ricerca del portale.

  2. Nella pagina Panoramica selezionare il pulsante Connetti e quindi selezionare RDP.

  3. Selezionare Scarica file RDP.

  4. Aprire il file rdp scaricato e selezionare Connetti. Immettere il nome utente e la password specificati al momento della creazione della macchina virtuale.

  5. Selezionare OK.

  6. È possibile ricevere un avviso del certificato durante il processo di connessione. Se viene visualizzato l'avviso, selezionare o Continua per continuare con la connessione.

    La connessione ha esito positivo, perché il traffico in ingresso da Internet al gruppo di sicurezza dell'applicazione myAsgMgmtServers è consentito tramite la porta 3389.

    L'interfaccia di rete per myVMMgmt è associata al gruppo di sicurezza dell'applicazione myAsgMgmtServers e consente la connessione.

  7. Aprire una sessione di PowerShell in myVMMgmt. Connettersi a myVMWeb usando quanto segue:

    mstsc /v:myVmWeb
    

    La connessione RDP da myVMMgmt a myVMWeb ha esito positivo perché le macchine virtuali nella stessa rete possono comunicare tra loro tramite qualsiasi porta per impostazione predefinita.

    Non è possibile creare una connessione RDP alla macchina virtuale myVMWeb da Internet. La regola di sicurezza per myAsgWebServers impedisce le connessioni alla porta 3389 in ingresso da Internet. Il traffico in ingresso da Internet viene negato a tutte le risorse per impostazione predefinita.

  8. Per installare Microsoft IIS nella macchina virtuale myVMWeb , immettere il comando seguente da una sessione di PowerShell nella macchina virtuale myVMWeb :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  9. Al termine dell'installazione di IIS, disconnettersi dalla macchina virtuale myVMWeb , che lascia la connessione desktop remoto della macchina virtuale myVMMgmt .

  10. Disconnettersi dalla macchina virtuale myVMMgmt .

  11. Cercare myVMWeb nella casella di ricerca del portale.

  12. Nella pagina Panoramica di myVMWeb prendere nota dell'indirizzo IP pubblico per la macchina virtuale. L'indirizzo illustrato nell'esempio seguente è 23.96.39.113, ma l'indirizzo è diverso:

    Screenshot dell'indirizzo IP pubblico di una macchina virtuale nella pagina Panoramica.

  13. Per verificare che sia possibile accedere al server Web myVMWeb da Internet, aprire un browser Internet nel computer e passare a http://<public-ip-address-from-previous-step>.

Viene visualizzata la pagina predefinita iis, poiché il traffico in ingresso da Internet al gruppo di sicurezza dell'applicazione myAsgWebServers è consentito tramite la porta 80.

L'interfaccia di rete collegata per myVMWeb è associata al gruppo di sicurezza dell'applicazione myAsgWebServers e consente la connessione.

Pulire le risorse

Quando non sono più necessari, eliminare il gruppo di risorse e tutte le risorse in esso contenute:

  1. Immettere myResourceGroup nella casella di ricerca nella parte superiore del portale. Selezionare myResourceGroup quando viene visualizzato nei risultati della ricerca.
  2. Selezionare Elimina gruppo di risorse.
  3. Immettere myResourceGroup in DIGITARE IL NOME DEL GRUPPO DI RISORSE e selezionare Elimina.

Passaggi successivi

In questa esercitazione:

  • Creare un gruppo di sicurezza di rete e associarlo a una subnet di rete virtuale.
  • Creare gruppi di sicurezza delle applicazioni per il Web e la gestione.
  • Sono state create due macchine virtuali e associate alle interfacce di rete con i gruppi di sicurezza delle applicazioni.
  • È stato testato il filtro di rete del gruppo di sicurezza dell'applicazione.

Per altre informazioni sui gruppi di sicurezza di rete, vedere Panoramica dei gruppi di sicurezza di rete e Gestire un gruppo di sicurezza di rete.

Per impostazione predefinita, Azure instrada il traffico tra subnet. È anche possibile ad esempio scegliere di instradare il traffico tra subnet tramite una VM che funge da firewall.

Per informazioni su come creare una tabella di route, passare all'esercitazione successiva.