Configurare gruppi di sicurezza di rete con tag in Windows Admin Center

  • Articolo

Si applica a: Azure Stack HCI, versioni 23H2 e 22H2

Si applica a: Windows Server 2025

Questo articolo descrive come configurare i gruppi di sicurezza di rete con tag di sicurezza di rete in Windows Admin Center.

Con i tag di sicurezza di rete, è possibile creare tag personalizzati definiti dall'utente, collegare tali tag alle interfacce di rete della macchina virtuale (VM) e applicare i criteri di accesso alla rete (con i gruppi di sicurezza di rete) in base a questi tag.

Prerequisiti

Completare i prerequisiti seguenti per usare i gruppi di sicurezza di rete con tag:

  • Nel cluster è installato Azure Stack HCI 22H2 o versione successiva. Per altre informazioni, vedere Come installare il sistema operativo Azure Stack HCI versione 23H2.

  • Il controller di rete è installato. Il controller di rete applica i criteri di rete predefiniti. Per altre informazioni, vedere Come installare il controller di rete.

  • Si dispone di una rete logica o di una rete virtuale da usare. Per altre informazioni, vedere Creare una rete logica o Creare una rete virtuale.

  • È disponibile una macchina virtuale a cui applicare un gruppo di sicurezza di rete. Per altre informazioni, vedere Come gestire le macchine virtuali con Windows Admin Center.

  • Si dispone di autorizzazioni di amministratore o equivalenti ai nodi del cluster e al controller di rete.

Semplificare la sicurezza con i tag di sicurezza di rete

I gruppi di sicurezza di rete consentono di configurare i criteri di accesso in base a costrutti di rete come prefissi di rete e subnet. Ad esempio, se si vuole limitare la comunicazione tra le macchine virtuali del server Web e le macchine virtuali di database, è necessario identificare le subnet di rete corrispondenti e creare un criterio per negare la comunicazione tra tali subnet. Esistono tuttavia alcune limitazioni con questo approccio:

  • I criteri di sicurezza sono associati a costrutti di rete, il che significa che è necessario sapere quali applicazioni risiedono in segmenti di rete specifici. Comprendere l'infrastruttura di rete e l'architettura diventano cruciali.

  • Quando si creano criteri per le applicazioni, è possibile riutilizzarli in diversi scenari. Ad esempio, se l'app Web di produzione può essere raggiunta solo sulla porta 80 da Internet e non può essere raggiunta da altre app nell'ambiente di produzione o in altri ambienti, si avranno criteri simili per qualsiasi nuova app. Tuttavia, con la segmentazione di rete, la ricreazione dei criteri diventa necessaria a causa di elementi di rete univoci per ogni app.

  • Se si ritira una vecchia applicazione e si distribuisce una nuova all'interno dello stesso segmento di rete, sono necessarie modifiche ai criteri.

Con i tag di sicurezza di rete, non è più necessario tenere traccia dei segmenti di rete in cui sono ospitate le applicazioni. I tag di sicurezza di rete semplificano la gestione dei criteri ed evitano le complessità associate ai costrutti di rete. Si esaminerà ora l'esempio con server Web e macchine virtuali di database: contrassegnare le macchine virtuali corrispondenti con tag di sicurezza di rete "Web" e "Database", quindi creare una regola per limitare la comunicazione tra tag "Web" e "Database".

Creare gruppi di sicurezza di rete basati su tag di sicurezza di rete

Per creare gruppi di sicurezza di rete basati su tag di sicurezza di rete, seguire questa procedura:

  1. Creare uno o più tag di sicurezza di rete.

  2. Assegnare un tag di sicurezza di rete a una macchina virtuale.

  3. Creare un gruppo di sicurezza di rete.

  4. Creare una regola di sicurezza di rete per il gruppo di sicurezza di rete.

  5. Applicare il gruppo di sicurezza di rete a una macchina virtuale, una subnet di rete, un tag di sicurezza di rete.

Creare tag di sicurezza di rete

  1. Nella schermata iniziale di Windows Admin Center, in Tutte le connessioni selezionare il cluster in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete e quindi selezionare Nuovo.

  4. Nel riquadro Crea tag di sicurezza di rete immettere un nome per il tag di sicurezza di rete nel campo Nome.

    Screenshot del riquadro Crea tag di sicurezza di rete.

  5. (Facoltativo) Nel campo Tipo immettere un tipo per il tag. Questo campo è utile se si desidera classificare i tag per semplificare la gestione. Ad esempio, è possibile avere tag diversi con lo stesso tipo "Applicazione", ad esempio SQL, Web, IOT, Sensor e così via.

  6. Selezionare Invia.

Assegnare un tag di sicurezza di rete a una macchina virtuale

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale quando si crea una nuova macchina virtuale o successivamente quando si modificano le proprietà di una macchina virtuale esistente.

Assegnare tag di sicurezza di rete durante la creazione della macchina virtuale

Per istruzioni dettagliate su come creare una nuova macchina virtuale, vedere Creare una nuova macchina virtuale.

Per assegnare un tag di sicurezza di rete durante la creazione di una nuova macchina virtuale:

  1. Nella schermata iniziale di Windows Admin Center, in Tutte le connessioni selezionare il server o il cluster in cui si vuole creare la macchina virtuale.

  2. In Strumenti scorrere verso il basso e selezionare Macchine virtuali.

  3. In Macchine virtuali selezionare la scheda Inventario , selezionare Aggiungi e quindi selezionare Nuovo.

  4. In Nuova macchina virtuale immettere un nome per la macchina virtuale.

  5. Immettere altre proprietà per la macchina virtuale.

  6. In Rete selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

    Screenshot che mostra il passaggio per assegnare tag di sicurezza di rete durante la creazione di una nuova macchina virtuale.

  7. Seleziona Crea.

Assegnare un tag di sicurezza di rete a una macchina virtuale esistente

È possibile assegnare un tag di sicurezza di rete a una macchina virtuale esistente modificandone le impostazioni. Per istruzioni dettagliate su come modificare le impostazioni della macchina virtuale, vedere Modificare le impostazioni della macchina virtuale.

  1. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Macchine virtuali.

  2. Selezionare la scheda Inventario , selezionare una macchina virtuale e quindi selezionare Impostazioni.

  3. Nella pagina Impostazioni selezionare Reti.

  4. Nella sezione Tag di sicurezza di rete selezionare Aggiungi tag di sicurezza di rete, selezionare il tag di sicurezza di rete creato in precedenza, in Crea tag di sicurezza di rete.

  5. Selezionare Salva impostazioni di rete.

Creare un gruppo di sicurezza di rete

  1. Nella schermata iniziale di Windows Admin Center, in Tutte le connessioni selezionare il cluster in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare Nuovo.

  4. Nel riquadro Gruppi di sicurezza di rete digitare un nome per il gruppo di sicurezza di rete e quindi selezionare Invia.

    Screenshot che mostra il riquadro Gruppo di sicurezza di rete.

  5. In Gruppi di sicurezza di rete verificare che lo stato provisioning del nuovo gruppo di sicurezza di rete sia Completato.

Creare una regola del gruppo di sicurezza di rete

Dopo aver creato un gruppo di sicurezza di rete, è possibile creare regole del gruppo di sicurezza di rete. Se si vogliono applicare regole del gruppo di sicurezza di rete sia al traffico in ingresso che in uscita, è necessario creare due regole.

  1. Nella schermata iniziale di Windows Admin Center, in Tutte le connessioni selezionare il cluster in cui si vuole creare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Inventario e quindi selezionare il gruppo di sicurezza di rete creato in precedenza, in Creare un gruppo di sicurezza di rete.

  4. In Regola di sicurezza di rete selezionare Nuovo.

  5. Nel riquadro Regola di sicurezza di rete a destra specificare le informazioni seguenti:

    Campo Descrizione
    Nome Nome della regola.
    Priorità Priorità della regola. I valori accettabili sono compresi tra 101 e 65000. Un valore inferiore indica una priorità più alta.
    Tipi Tipo di regola. Questo tipo di regola può essere In ingresso o In uscita.
    Protocollo Protocollo che corrisponde a un pacchetto in ingresso o in uscita. I valori accettabili sono All, TCP e UDP.
    Origine Selezionare Tag di sicurezza di rete.

    Nota: è possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi.
    Tipo di tag di sicurezza di origine (Facoltativo) Selezionare un tipo per il tag.
    Tag di sicurezza di origine Selezionare un tag di sicurezza di rete creato in precedenza, in Creare un tag di sicurezza di rete.
    Intervallo di porte di origine Specificare l'intervallo di porte di origine in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di origine.
    Destinazione Selezionare Tag di sicurezza di rete.

    Nota: è possibile selezionare un prefisso di indirizzo o un tag di sicurezza di rete, ma non entrambi. L'origine e la destinazione possono essere diverse.
    Tipo di tag di sicurezza di destinazione (Facoltativo) Selezionare un tipo per il tag.
    Tag di sicurezza di destinazione Selezionare un tag di sicurezza di rete creato in precedenza, in Creare un tag di sicurezza di rete.
    Intervallo di porte di destinazione Specificare l'intervallo di porte di destinazione in modo che corrisponda a un pacchetto in ingresso o in uscita. È possibile immettere * per specificare tutte le porte di destinazione.
    Azioni Se le condizioni precedenti corrispondono, specificare per consentire o bloccare il pacchetto. I valori accettabili sono Allow e Deny.
    Registrazione Specificare per abilitare o disabilitare la registrazione per la regola. Se la registrazione è abilitata, tutto il traffico corrispondente a questa regola viene registrato nei computer host.

  6. Selezionare Invia.

Applicare un gruppo di sicurezza di rete

È possibile applicare un gruppo di sicurezza di rete a:

Applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete

Quando si applica un gruppo di sicurezza di rete a un tag di sicurezza di rete, le regole del gruppo di sicurezza di rete si applicano a tutte le interfacce di rete vm associate a tale tag di sicurezza di rete.

Per applicare un gruppo di sicurezza di rete a un tag di sicurezza di rete tramite Windows Admin Center, seguire questa procedura:

  1. Nella schermata iniziale di Windows Admin Center, in Tutte le connessioni, selezionare il cluster in cui si vuole applicare il gruppo di sicurezza di rete.

  2. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Gruppi di sicurezza di rete.

  3. In Gruppi di sicurezza di rete selezionare la scheda Tag di sicurezza di rete.

  4. Selezionare il tag di sicurezza di rete da modificare e quindi selezionare Impostazioni.

  5. Nel riquadro Modifica tag di sicurezza di rete per il tag selezionato selezionare il gruppo di sicurezza di rete da applicare al tag di sicurezza di rete.

    Screenshot che mostra come applicare un gruppo di sicurezza di rete esistente a un tag di sicurezza di rete.

  6. Selezionare Invia.

Passaggi successivi

Per ulteriori informazioni, vedere anche: