Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete da e verso le risorse di Azure in una rete virtuale di Azure. I gruppi di sicurezza di rete offrono funzionalità di filtro del traffico essenziali che consentono di proteggere l'infrastruttura cloud controllando il traffico che può fluire tra le risorse. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita rispettivamente verso o da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare i dettagli di origine e di destinazione, la porta e il protocollo.
È possibile distribuire le risorse di diversi servizi di Azure in una rete virtuale di Azure. Per un elenco completo, vedere Servizi distribuibili in una rete virtuale. Se necessario, è possibile associare un gruppo di sicurezza di rete a ogni subnet di rete virtuale e all'interfaccia di rete in una macchina virtuale. Lo stesso gruppo di sicurezza di rete può essere associato a tutte le subnet e le interfacce di rete scelte.
Il diagramma seguente illustra diversi scenari per la distribuzione dei gruppi di sicurezza di rete per consentire il traffico di rete da e verso Internet tramite la porta TCP 80:
Fare riferimento al diagramma precedente per comprendere in che modo Azure elabora le regole in ingresso e in uscita. Il diagramma illustra come i gruppi di sicurezza di rete gestiscono il filtro del traffico.
Inbound traffic
Per il traffico in ingresso, Azure elabora innanzitutto le regole in un gruppo di sicurezza di rete associato a una subnet, se presente. Azure elabora quindi le regole in un gruppo di sicurezza di rete associato all'interfaccia di rete, se presente. Questo stesso ordine di valutazione si applica al traffico all'interno della subnet.
VM1: le regole di sicurezza in NSG1 vengono elaborate perché NSG1 è associato a Subnet1 e VM1 si trova in Subnet1. La regola di sicurezza predefinita DenyAllInbound blocca il traffico a meno che non si crei una regola personalizzata che consenta in modo esplicito la porta 80 in ingresso. NSG2, associato all'interfaccia di rete NIC1, non valuta il traffico bloccato. Tuttavia, se NSG1 consente la porta 80 nella regola di sicurezza, NSG2 valuta il traffico. Per consentire la porta 80 alla macchina virtuale, sia NSG1 che NSG2 devono includere una regola che consenta la porta 80 da Internet.
VM2: le regole di sicurezza in NSG1 vengono elaborate perché VM2 si trova anche in Subnet1. Poiché VM2 non ha un gruppo di sicurezza di rete associato all'interfaccia di rete, riceve tutto il traffico consentito tramite NSG1 e nega tutto il traffico bloccato da NSG1. Quando un gruppo di sicurezza di rete è associato a una subnet, il traffico è consentito o negato a tutte le risorse della stessa subnet.
VM3: poiché non è associato alcun gruppo di sicurezza di rete a Subnet2, il traffico è consentito nella subnet ed elaborato da NSG2 perché NSG2 è associato all'interfaccia di rete NIC1 collegata a VM3.
VM4: il traffico viene bloccato verso VM4 perché un gruppo di sicurezza di rete non è associato a Subnet3 né all'interfaccia di rete nella macchina virtuale. Tutto il traffico di rete viene bloccato attraverso una subnet e un'interfaccia di rete se non hanno un gruppo di sicurezza di rete associato a loro. La macchina virtuale con un indirizzo IP pubblico standard è protetta per impostazione predefinita. Per consentire il flusso del traffico da Internet, un gruppo di sicurezza di rete deve essere associato alla subnet o all'interfaccia di rete della macchina virtuale. Per altre informazioni, vedere Versione dell'indirizzo IP.
Outbound traffic
Per il traffico in uscita, Azure elabora le regole del gruppo di sicurezza di rete in un ordine specifico. Azure valuta le regole in qualsiasi gruppo di sicurezza di rete associato a un'interfaccia di rete. Azure elabora quindi le regole in qualsiasi gruppo di sicurezza di rete associato alla subnet. Questo stesso ordine di elaborazione si applica al traffico all'interno della subnet.
VM1: vengono elaborate le regole di sicurezza presenti in NSG2. La regola di sicurezza predefinita AllowInternetOutbound in NSG1 e NSG2 consente il traffico a meno che non si crei una regola di sicurezza che nega esplicitamente la porta 80 in uscita verso Internet. Se NSG2 nega la porta 80 nella regola di sicurezza, nega il traffico e NSG1 non riceve mai il traffico e non può valutarlo. Per negare la porta 80 dalla macchina virtuale, uno o entrambi i gruppi di sicurezza di rete deve avere una regola che nega la porta 80 a Internet.
VM2: tutto il traffico viene inviato tramite l'interfaccia di rete alla subnet, poiché l'interfaccia di rete collegata a VM2 non ha un gruppo di sicurezza di rete associato. Vengono elaborate le regole in NSG1.
VM3: se NSG2 nega la porta 80 nella regola di sicurezza, blocca il traffico. Se NSG2 non nega la porta 80, la regola di sicurezza predefinita AllowInternetOutbound in NSG2 consente il traffico perché non esiste alcun gruppo di sicurezza di rete associato a Subnet2.
VM4: il traffico passa liberamente da VM4 perché nessun gruppo di sicurezza di rete è associato all'interfaccia di rete della macchina virtuale o a Subnet3.
Intra-subnet traffic
È importante notare che le regole di sicurezza in un gruppo di sicurezza di rete associato a una subnet possono influire sulla connettività tra le macchine virtuali al suo interno. Per impostazione predefinita, le macchine virtuali nella stessa subnet possono comunicare in base a una regola predefinita del gruppo di sicurezza di rete che consente il traffico all'interno della subnet. Se si aggiunge una regola a NSG1 che nega tutto il traffico in ingresso e in uscita, VM1 e VM2 non possono comunicare tra loro.
È possibile visualizzare facilmente le regole di aggregazione applicate a un'interfaccia di rete visualizzando le regole di sicurezza effettive per un'interfaccia di rete. La funzionalità di verifica del flusso IP in Azure Network Watcher consente di determinare se la comunicazione è consentita o da un'interfaccia di rete. La verifica del flusso IP determina se una comunicazione è consentita o negata. Identifica anche la regola di sicurezza di rete responsabile dell'autorizzazione o del rifiuto del traffico.
Il verificatore di rete di Azure Virtual Network Manager consente anche di risolvere i problemi di raggiungibilità tra macchine virtuali e Internet o altre risorse di Azure. Il verificatore di rete fornisce informazioni dettagliate sulle regole del gruppo di sicurezza di rete e su altre regole e criteri di Azure che potrebbero influire sulla connettività.
Tip
Per una configurazione di sicurezza ottimale, evitare di associare gruppi di sicurezza di rete a una subnet e alle relative interfacce di rete contemporaneamente. Scegliere di associare il gruppo di sicurezza di rete alla subnet o all'interfaccia di rete, ma non a entrambi. Quando si applicano gruppi di sicurezza di rete a più livelli, le regole possono entrare in conflitto tra loro. Questa sovrapposizione nelle regole di sicurezza spesso comporta problemi imprevisti di filtro del traffico che sono difficili da risolvere.
Next steps
Informazioni sulle risorse di Azure che è possibile distribuire in una rete virtuale. Vedere Integrazione della rete virtuale per i servizi di Azure per trovare risorse che supportano i gruppi di sicurezza di rete.
Completare un'esercitazione rapida per acquisire esperienza nella creazione di un gruppo di sicurezza di rete.
Se si ha familiarità con i gruppi di sicurezza di rete e si ha la necessità di gestirli, vedere Gestire un gruppo di sicurezza di rete.
Se si verificano problemi di comunicazione ed è necessario risolvere i problemi dei gruppi di sicurezza di rete, vedere Diagnosticare problemi di filtro del traffico di rete di una macchina virtuale.
Informazioni su come abilitare i log dei flussi di rete virtuale per analizzare il traffico da e verso la rete virtuale che potrebbe passare attraverso i gruppi di sicurezza di rete associati.