Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure nelle reti virtuali di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o rifiutano il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure.
Questo articolo illustra le proprietà di una regola del gruppo di sicurezza di rete e le regole di sicurezza predefinite applicate da Azure. Descrive anche come modificare le proprietà delle regole per creare una regola di sicurezza aumentata.
Regole di sicurezza
Un gruppo di sicurezza di rete contiene le regole di sicurezza di rete in modo desiderato, entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:
| Proprietà | Spiegazione |
|---|---|
| Nome | Nome univoco all'interno del gruppo di sicurezza di rete. Il nome può contenere fino a 80 caratteri. Deve iniziare con un carattere di parola e deve terminare con un carattere di parola o con _. Il nome può contenere caratteri di parola, ., -o \_. |
| Priorità | Numero compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità, con numeri inferiori elaborati prima di numeri più elevati perché i numeri inferiori hanno priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene arrestata. Di conseguenza, tutte le regole che esistono con priorità più bassa (numeri più alti) con gli stessi attributi delle regole con priorità più elevate non vengono elaborate. Alle regole di sicurezza predefinite di Azure viene assegnata la priorità più bassa (numero più alto) per assicurarsi che le regole personalizzate vengano sempre elaborate per prime. |
| Origine o destinazione | È possibile specificare Qualsiasi, un singolo indirizzo IP, un blocco CIDR (ad esempio 10.0.0.0/24), un tag di servizio o un gruppo di sicurezza delle applicazioni. Per specificare una determinata risorsa di Azure, usare l'indirizzo IP privato assegnato alla risorsa. Per il traffico in ingresso, i gruppi di sicurezza di rete elaborano il traffico dopo che Azure converte gli indirizzi IP pubblici in indirizzi IP privati. Per il traffico in uscita, i gruppi di sicurezza di rete elaborano il traffico prima di convertire gli indirizzi IP privati in indirizzi IP pubblici.
Immettere un intervallo, un tag di servizio o un gruppo di sicurezza delle applicazioni per ridurre il numero di regole di sicurezza necessarie. Le regole di sicurezza ottimizzate consentono di specificare più indirizzi IP singoli e intervalli in una singola regola. Tuttavia, non è possibile specificare più tag di servizio o gruppi di applicazioni in una singola regola. Le regole di sicurezza aumentata sono disponibili solo nei gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Nel modello di distribuzione classica non è possibile specificare più indirizzi IP e intervalli in una singola regola. Ad esempio, se l'origine è subnet 10.0.1.0/24 (dove si trova VM1) e la destinazione è subnet 10.0.2.0/24 (dove si trova VM2), il gruppo di sicurezza di rete filtra il traffico per VM2. Questo comportamento si verifica perché il gruppo di sicurezza di rete è associato all'interfaccia di rete di VM2. |
| Protocollo | TCP, UDP, ICMP, ESP, AH o qualsiasi. I protocolli ESP e AH non sono attualmente disponibili tramite il portale di Azure, ma possono essere usati tramite i modelli di ARM. |
| Direzione | Indica se la regola si applica al traffico in ingresso o in uscita. |
| Intervallo di porte | È possibile specificare una singola porta o intervalli di porte. Ad esempio, è possibile specificare 80 o 10000-10005; o per una combinazione di singole porte e intervalli, è possibile separarli con virgole, ad esempio 80, 10000-10005. La specifica degli intervalli e della separazione tra virgole consente di creare un minor numero di regole di sicurezza. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica. |
| Azione | Consentire o negare il traffico specificato. |
Le regole di sicurezza vengono valutate e applicate in base alle informazioni su cinque tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo). Non si possono creare due regole di sicurezza con la stessa priorità e direzione. Due regole di sicurezza con la stessa priorità e direzione possono introdurre un conflitto nel modo in cui il sistema elabora il traffico. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Il record di flusso consente al gruppo di sicurezza di avere uno stato. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno. È esattamente il contrario. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.
Quando si rimuove una regola di sicurezza che ha consentito una connessione, le connessioni esistenti rimangono ininterrotte. Le regole del gruppo di sicurezza di rete influiscono solo sulle nuove connessioni. Le regole nuove o aggiornate in un gruppo di sicurezza di rete si applicano esclusivamente alle nuove connessioni, lasciando le connessioni esistenti non interessate dalle modifiche. Ad esempio, se si dispone di una sessione SSH attiva in una macchina virtuale e quindi si rimuove la regola di sicurezza che consente il traffico SSH, la sessione SSH corrente rimane connessa e funzionale. Tuttavia, se si tenta di stabilire una nuova connessione SSH dopo la rimozione della regola di sicurezza, il nuovo tentativo di connessione verrà bloccato.
Esistono limiti al numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete e in altre proprietà del gruppo di sicurezza di rete. Per informazioni dettagliate, vedere Limiti di Azure.
Regole di sicurezza predefinite
Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:
In ingresso
AllowVNetInBound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualsiasi | Consenti |
AllowAzureLoadBalancerInBound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (Bilanciatore di Carico Azure) | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Consenti |
DenyAllInbound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
In uscita
AllowVnetOutBound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualsiasi | Consenti |
AllowInternetOutBound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualsiasi | Consenti |
DenyAllOutBound
| Priorità | Origine | Porte di origine | Destinazione | Porte di destinazione | Protocollo | Accesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualsiasi | Nega |
Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio anziché indirizzi IP. Nella colonna Protocollo, qualsiasi protocollo include TCP, UDP e ICMP. Quando si crea una regola, è possibile specificare TCP, UDP, ICMP o Any. 0.0.0.0/0 nelle colonne Origine e Destinazione rappresenta tutti gli indirizzi IP. I client come il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o Qualsiasi per questa espressione.
Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più alta.
Regole di sicurezza ottimizzate
Le regole di sicurezza aumentata semplificano la definizione di sicurezza per le reti virtuali, consentendo di definire criteri di sicurezza di rete più grandi e complessi con un minor numero di regole. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola. Per semplificare la gestione della definizione delle regole di sicurezza, combinare le regole di sicurezza ottimizzate con tag di servizio o gruppi di sicurezza delle applicazioni. Esistono limiti al numero di indirizzi, intervalli e porte che è possibile specificare in una regola di sicurezza. Per informazioni dettagliate, vedere Limiti di Azure.
Tag di servizio
Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Consente di ridurre al minimo la complessità degli aggiornamenti frequenti sulle regole di sicurezza di rete.
Per altre informazioni, vedere Tag di servizio di Azure. Per un esempio su come usare il tag del servizio di archiviazione per limitare l'accesso alla rete, vedere Limitare l'accesso di rete alle risorse PaaS.
Gruppi di sicurezza delle applicazioni
I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. Per altre informazioni, vedere Gruppi di sicurezza delle applicazioni.
Regole di amministrazione della sicurezza
Le regole di amministrazione della sicurezza sono regole di sicurezza di rete globali che applicano criteri di sicurezza alle reti virtuali. Le regole di amministrazione della sicurezza provengono da Gestione rete virtuale di Azure, un servizio di gestione che consente agli amministratori di rete di raggruppare, configurare, distribuire e gestire reti virtuali a livello globale tra sottoscrizioni.
Le regole di amministrazione della sicurezza hanno sempre una priorità più alta rispetto alle regole del gruppo di sicurezza di rete e quindi vengono valutate per prime. Le regole di amministrazione della sicurezza "Consenti" continuano per la valutazione associando le regole del gruppo di sicurezza di rete. Le regole di amministrazione della sicurezza "Consenti sempre" e "Nega" terminano tuttavia la valutazione del traffico dopo l'elaborazione della regola di amministrazione della sicurezza. Le regole di amministrazione della sicurezza denominate "Consenti sempre" inviano il traffico direttamente alla risorsa, bypassando le regole del gruppo di sicurezza di rete potenzialmente in conflitto. Le regole di amministrazione della sicurezza "Nega" bloccano il traffico senza recapitarlo alla destinazione. Queste regole applicano criteri di sicurezza di base senza rischi di conflitto del gruppo di sicurezza di rete, configurazione errata o introduzione di gap di sicurezza. Questi tipi di azione delle regole di amministrazione della sicurezza possono essere utili per garantire la consegna del traffico e prevenire comportamenti in conflitto o imprevisti dalle regole del gruppo di sicurezza di rete downstream.
Questo comportamento è importante da comprendere, poiché le regole di amministrazione della sicurezza corrispondenti al traffico dei tipi di azione "Consenti sempre" o "Nega" non raggiungono le regole del gruppo di sicurezza di rete per un'ulteriore valutazione. Per altre informazioni, vedere Regole di amministrazione della sicurezza.
Timeout flusso
Importante
I log dei flussi del gruppo di sicurezza di rete (NSG) verranno ritirati il 30 settembre 2027. Dopo il 30 giugno 2025, non sarà più possibile creare nuovi registri dei flussi NSG. È consigliabile migrare ai log dei flussi della rete virtuale, che affrontano le limitazioni dei log dei flussi del gruppo di sicurezza di rete. Dopo la data di ritiro, l'analisi del traffico abilitata per i log dei flussi del gruppo di sicurezza di rete non sarà più supportata e le risorse del log dei flussi del gruppo di sicurezza di rete esistenti negli abbonamenti saranno eliminate. Tuttavia, i record di log dei flussi NSG esistenti non verranno eliminati dall'Azure Storage e continueranno a seguire i criteri di conservazione configurati. Per altre informazioni, consultare l'annuncio ufficiale.
Le impostazioni di timeout del flusso determinano per quanto tempo un record di flusso rimane attivo prima della scadenza. È possibile configurare questa impostazione usando il portale di Azure o tramite la riga di comando. Per altre informazioni, vedere panoramica Log dei flussi dei gruppo di sicurezza di rete.
Considerazioni sulla piattaforma Azure
IP virtuale del nodo host: servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dell'integrità vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo. Per impostazione predefinita, questi servizi non sono soggetti ai gruppi di sicurezza di rete configurati, a meno che non siano destinati a tag di servizio specifici per ogni servizio. Per eseguire l'override di questa comunicazione di base dell'infrastruttura, è possibile creare una regola di sicurezza per negare il traffico usando i tag di servizio seguenti nelle regole del gruppo di sicurezza di rete: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Scopri come diagnosticare il filtro del traffico di rete e diagnosticare il routing di rete.
Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza. Per garantire la gestione delle licenze, il sistema invia una richiesta ai server host del servizio di gestione delle chiavi che gestiscono tali query. La richiesta viene inviata in uscita tramite la porta 1688. Per le distribuzioni che usano la configurazione predefinita della route 0.0.0.0/0 , questa regola della piattaforma è disabilitata.
Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il bilanciatore di carico.
Istanze del servizio di Azure: le istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio applicazione e set di scalabilità di macchine virtuali, vengono distribuite nelle subnet di rete virtuale. Vedere un elenco completo dei servizi che è possibile distribuire nelle reti virtuali. Prima di applicare un gruppo di sicurezza di rete alla subnet, familiarizzarsi con i requisiti delle porte per ogni servizio. Se si negano le porte richieste dal servizio, il servizio non funziona correttamente.
Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre. I servizi di inoltro SMTP sono specializzati nella reputazione del mittente, per ridurre al minimo la possibilità che i provider di posta elettronica partner rifiutino i messaggi. Tali servizi di inoltro SMTP includono, ad esempio, Exchange Online Protection e SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.
Se è stata creata la sottoscrizione di Azure prima del 15 novembre 2017, oltre a poter usare i servizi di inoltro SMTP, è possibile inviare messaggi di posta elettronica direttamente sulla porta TCP 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare messaggi di posta elettronica direttamente sulla porta 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.
Contratto Enterprise: per le macchine virtuali distribuite nelle sottoscrizioni standard con Contratto Enterprise, le connessioni SMTP in uscita sulla porta TCP 25 non vengono bloccate. Tuttavia, non esiste alcuna garanzia che i domini esterni accettino i messaggi di posta elettronica in arrivo dalle macchine virtuali. Se i domini esterni rifiutano o filtrano i messaggi di posta elettronica, contattare i provider di servizi di posta elettronica dei domini esterni per risolvere i problemi. Questi problemi non sono coperti dal supporto tecnico di Azure.
Per impostazione predefinita, per le sottoscrizioni Sviluppo/test Enterprise viene bloccata la porta 25. È possibile rimuovere questo blocco. Per richiedere la rimozione del blocco, passare alla sezione Non è possibile inviare e-mail (SMTP-Port 25) della pagina delle impostazioniDiagnostica e risoluzione per la risorsa rete virtuale di Azure nel portale di Azure ed eseguire la diagnostica. Questa procedura esenta automaticamente le sottoscrizioni di sviluppo/test aziendali qualificate.
Dopo che la sottoscrizione è esente da questo blocco e le macchine virtuali vengono arrestate e riavviate, tutte le macchine virtuali in tale sottoscrizione vengono escluse in futuro. L'esenzione si applica solo alla sottoscrizione richiesta e solo al traffico della macchina virtuale che instrada direttamente a Internet.
Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
MSDN, Azure Pass, Azure in Open, Education e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
Provider di servizi cloud: la comunicazione con la porta in uscita 25 è bloccata da tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.
Passaggi successivi
Informazioni sulle risorse di Azure che è possibile distribuire in una rete virtuale. Vedi Integrazione della rete virtuale per i servizi Azure per comprendere come i gruppi di sicurezza di rete possono essere associati a questi.
Per informazioni su come i gruppi di sicurezza di rete valutano il traffico, vedere Funzionamento dei gruppi di sicurezza di rete.
Creare un gruppo di sicurezza di rete seguendo questa esercitazione rapida.
Se si ha familiarità con i gruppi di sicurezza di rete e si ha la necessità di gestirli, vedere Gestire un gruppo di sicurezza di rete.
Se si verificano problemi di comunicazione ed è necessario risolvere i problemi dei gruppi di sicurezza di rete, vedere Diagnosticare problemi di filtro del traffico di rete di una macchina virtuale.
Informazioni su come abilitare i log dei flussi di rete virtuale per analizzare il traffico di rete che scorre attraverso una rete virtuale che potrebbe corrispondere a un gruppo di sicurezza di rete associato.