Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I gruppi di sicurezza delle applicazioni nella rete virtuale di Azure consentono di configurare la sicurezza di rete come estensione naturale della struttura di un'applicazione, consentendo di raggruppare le macchine virtuali e definire criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. La piattaforma gestisce la complessità degli indirizzi IP espliciti e di più set di regole, consentendo all'utente di concentrarsi sulla logica di business. Per comprendere meglio i gruppi di sicurezza delle applicazioni, considerare l'esempio seguente:
Nell'immagine precedente, NIC1 e NIC2 sono membri del gruppo di sicurezza delle applicazioni AsgWeb. NIC3 fa parte del gruppo di sicurezza delle applicazioni AsgLogic. NIC4 fa parte del gruppo di sicurezza delle applicazioni AsgDb. Anche se ogni interfaccia di rete (NIC) in questo esempio è membro di un solo gruppo di sicurezza delle applicazioni, un'interfaccia di rete può essere membro di più gruppi di sicurezza delle applicazioni, fino ai limiti di Azure. A nessuna delle interfacce di rete è associato un gruppo di sicurezza di rete. NSG1 è associato a entrambe le subnet e contiene le regole seguenti:
Allow-HTTP-Inbound-Internet
Questa regola è necessaria per consentire il traffico da Internet verso i server Web. Dato che il traffico in ingresso da Internet viene negato dalla regola di sicurezza predefinita DenyAllInbound, non sono necessarie regole extra per i gruppi di sicurezza delle applicazioni AsgLogic o AsgDb.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Poiché la regola di sicurezza predefinita AllowVNetInBound consente tutte le comunicazioni tra le risorse nella stessa rete virtuale, è necessaria questa regola per negare il traffico da tutte le risorse.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
Questa regola consente il traffico dal gruppo di sicurezza delle applicazioni AsgLogic al gruppo di sicurezza delle applicazioni AsgDb. La priorità di questa regola è superiore a quella della regola Deny-Database-All. Di conseguenza, questa regola viene elaborata prima della regola Deny-Database-All, quindi il traffico dal gruppo di sicurezza delle applicazioni AsgLogic è consentito, mentre tutto il resto del traffico è bloccato.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Le interfacce di rete che sono membri del gruppo di sicurezza delle applicazioni applicano le regole del gruppo di sicurezza di rete che lo specificano come origine o destinazione. Le regole del gruppo di sicurezza di rete non influiscono su altre interfacce di rete. Se l'interfaccia di rete non è membro di un gruppo di sicurezza delle applicazioni, la regola non si applica all'interfaccia di rete, anche se il gruppo di sicurezza di rete è associato alla subnet.
Constraints
I gruppi di sicurezza delle applicazioni hanno i vincoli seguenti:
Sono previsti limiti per il numero di gruppi di sicurezza delle applicazioni presenti in una sottoscrizione, oltre ad altri limiti relativi ai gruppi di sicurezza delle applicazioni. Per informazioni dettagliate, vedere Limiti di Azure.
Tutte le interfacce di rete assegnate a un gruppo di sicurezza delle applicazioni devono esistere nella stessa rete virtuale in cui si trova la prima interfaccia di rete assegnata al gruppo di sicurezza delle applicazioni. Se ad esempio la prima interfaccia di rete assegnata a un gruppo di sicurezza delle applicazioni denominato AsgWeb si trova nella rete virtuale denominata VNet1, tutte le interfacce di rete successive assegnate a ASGWeb devono trovarsi in VNet1. Non è possibile aggiungere interfacce di rete da reti virtuali diverse allo stesso gruppo di sicurezza delle applicazioni.
Se si specifica un gruppo di sicurezza delle applicazioni come origine e destinazione in una regola del gruppo di sicurezza di rete, le interfacce di rete in entrambi i gruppi di sicurezza delle applicazioni devono esistere nella stessa rete virtuale.
- Ad esempio, AsgLogic contiene interfacce di rete da VNet1 e AsgDb contiene interfacce di rete da VNet2. In questo caso, sarebbe impossibile assegnare AsgLogic come origine e AsgDb come destinazione nella stessa regola del gruppo di sicurezza di rete. Tutte le interfacce di rete per i gruppi di sicurezza delle applicazioni di origine e di destinazione devono esistere nella stessa rete virtuale.
Tip
Per ridurre al minimo il numero di regole di sicurezza necessarie, pianificare i gruppi di sicurezza delle applicazioni necessari. Creare regole usando tag di servizio o gruppi di sicurezza delle applicazioni, anziché singoli indirizzi IP o intervalli di indirizzi IP, quando possibile.
Next steps
- Informazioni su come creare un gruppo di sicurezza di rete.