Gruppi di sicurezza di rete

È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o rifiutano il traffico di rete in ingresso o in uscita da diversi tipi di risorse di Azure. Per ogni regola, è possibile specificare origine e destinazione, porta e protocollo.

Questo articolo descrive le proprietà di una regola del gruppo di sicurezza di rete, le regole di sicurezza predefinite applicate e le proprietà delle regole che è possibile modificare per creare una regola di sicurezza ottimizzata.

Regole di sicurezza

Un gruppo di sicurezza di rete contiene il numero di regole desiderato, entro i limiti della sottoscrizione di Azure. Ogni regola specifica le proprietà seguenti:

Proprietà Spiegazione
Nome Nome univoco all'interno del gruppo di sicurezza di rete. Il nome può contenere fino a 80 caratteri. Deve iniziare con un carattere alfanumerico e deve terminare con un carattere alfanumerico o con '_'. Il nome può contenere caratteri alfanumerici o '.', '-', '_'.
Priorità Numero compreso tra 100 e 4096. Le regole vengono elaborate in ordine di priorità, con i numeri inferiori elaborati prima dei numeri più alti perché i numeri inferiori hanno una priorità più alta. Quando il traffico corrisponde a una regola, l'elaborazione viene arrestata. Di conseguenza, le regole esistenti con priorità inferiori (numeri più alti) che hanno gli stessi attributi delle regole con priorità più alte non vengono elaborate.
Alle regole di sicurezza predefinite di Azure viene assegnato il numero più alto con la priorità più bassa, per garantire che le regole personalizzate vengano sempre elaborate per prime.
Origine o destinazione Qualsiasi indirizzo IP, blocco CIDR (Classless Inter-Domain Routing), ad esempio 10.0.0.0/24, tag di servizio o gruppo di sicurezza delle applicazioni. Se si specifica un indirizzo per una risorsa di Azure, specificare l'indirizzo IP privato assegnato alla risorsa. I gruppi di sicurezza della rete vengono elaborati dopo che Azure ha convertito un indirizzo IP pubblico in un indirizzo IP privato per il traffico in ingresso e prima che Azure converta un indirizzo IP privato in un indirizzo IP pubblico per il traffico in uscita. Quando si specifica un intervallo, un tag di servizio o un gruppo di sicurezza dell'applicazione, sono necessarie meno regole di sicurezza. La possibilità di specificare più intervalli e indirizzi IP singoli in una regola è detta regola di sicurezza ottimizzata. Non si possono specificare più tag di servizio o gruppi di applicazioni. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più indirizzi IP e intervalli di indirizzi IP nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.
Se l'origine punta alla subnet 10.0.1.0/24 (dove si trova VM1) e la destinazione punta alla subnet 10.0.2.0/24 (dove si trova VM2), questo indica che lo scopo del gruppo di sicurezza di rete è filtrare il traffico di rete per VM2 e il gruppo di sicurezza di rete è associato all'interfaccia di rete di VM2.
Protocollo TCP, UDP, ICMP, ESP, AH o Qualsiasi. I protocolli ESP e AH non sono attualmente disponibili tramite il portale di Azure, ma possono essere usati tramite i modelli di ARM.
Direzione Definisce se la regola si applica al traffico in ingresso o in uscita.
Intervallo di porte È possibile specificare una singola porta o un intervallo di porte. Ad esempio, è possibile specificare 80 oppure 10000-10005. Specificando intervalli è possibile creare un minor numero di regole di sicurezza. È possibile creare regole di sicurezza ottimizzate solo in gruppi di sicurezza di rete creati tramite il modello di distribuzione Resource Manager. Non si possono specificare più porte o intervalli di porte nella stessa regola di sicurezza nei gruppi di sicurezza di rete creati tramite il modello di distribuzione classica.
Azione Consentire o negare

Le regole di sicurezza vengono valutate e applicate in base alle informazioni di cinque tuple (origine, porta di origine, destinazione, porta di destinazione e protocollo). Non si possono creare due regole di sicurezza con la stessa priorità e direzione. Viene creato un record di flusso per le connessioni esistenti. La comunicazione è consentita o negata in base allo stato di connessione del record di flusso. Il record di flusso consente al gruppo di sicurezza di avere uno stato. Se si specifica una regola di sicurezza in uscita per qualsiasi indirizzo sulla porta 80, ad esempio, non è necessario specificare una regola di sicurezza in ingresso per la risposta al traffico in uscita. È necessario specificare una regola di sicurezza in ingresso solo se la comunicazione viene avviata all'esterno. Questa considerazione si applica anche al contrario. Se il traffico in ingresso è consentito su una porta, non è necessario specificare una regola di sicurezza in uscita per rispondere al traffico sulla porta.

Potrebbe non essere possibile interrompere le connessioni esistenti quando si rimuove una regola di sicurezza che ha consentito la connessione. La modifica delle regole del gruppo di sicurezza di rete influirà solo sulle nuove connessioni. Quando viene creata una nuova regola o una regola esistente viene aggiornata in un gruppo di sicurezza di rete, questa verrà applicata solo alle nuove connessioni. Le connessioni esistenti non vengono rivalutate con le nuove regole.

Il numero di regole di sicurezza che è possibile creare in un gruppo di sicurezza di rete è limitato. Per informazioni dettagliate, vedere Limiti di Azure.

Regole di sicurezza predefinite

Azure crea le regole predefinite seguenti in ogni gruppo di sicurezza di rete creato:

In entrata

AllowVNetInBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualsiasi Consenti
AllowAzureLoadBalancerInBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Qualsiasi Consenti
DenyAllInbound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualsiasi Nega

In uscita

AllowVnetOutBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualsiasi Consenti
AllowInternetOutBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65001 0.0.0.0/0 0-65535 Internet 0-65535 Qualsiasi Consenti
DenyAllOutBound
Priorità Origine Porte di origine Destinazione Porte di destinazione Protocollo Accesso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualsiasi Nega

Nelle colonne Origine e Destinazione, VirtualNetwork, AzureLoadBalancer e Internet sono tag di servizio, anziché indirizzi IP. Nella colonna del protocollo, Qualsiasi include TCP, UDP e ICMP. Durante la creazione di una regola è possibile specificare TCP, UDP, ICMP o Qualsiasi. Nelle colonne Origine e Destinazione, 0.0.0.0/0 rappresenta tutti gli indirizzi. I client come il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell possono usare * o qualsiasi per questa espressione.

Non è possibile rimuovere le regole predefinite, ma è possibile eseguirne l'override creando regole con priorità più alta.

Regole di sicurezza ottimizzate

Le regole di sicurezza ottimizzate semplificano la definizione della sicurezza per le reti virtuali, perché consentono di definire criteri di sicurezza di rete più estesi e complessi con un minor numero di regole. È possibile combinare più porte e più indirizzi e intervalli IP espliciti in un'unica regola di sicurezza facilmente comprensibile. Usare regole ottimizzate nei campi relativi a origine, destinazione e porte di una regola. Per semplificare la gestione della definizione delle regole di sicurezza, combinare le regole di sicurezza ottimizzate con tag di servizio o gruppi di sicurezza delle applicazioni. Il numero di indirizzi, intervalli e porte che è possibile specificare in una regola è limitato. Per informazioni dettagliate, vedere Limiti di Azure.

Tag di servizio

Un tag del servizio rappresenta un gruppo di prefissi di indirizzi IP di un determinato servizio di Azure. Contribuisce a ridurre al minimo la complessità di aggiornamenti frequenti alle regole di sicurezza di rete.

Per altre informazioni, vedere Tag di servizio di Azure. Per un esempio su come usare il tag del servizio di archiviazione per limitare l'accesso alla rete, vedere Limitare l'accesso di rete alle risorse PaaS.

Gruppi di sicurezza delle applicazioni

I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. Per altre informazioni, vedere Gruppi di sicurezza delle applicazioni.

Considerazioni sulla piattaforma Azure

  • IP virtuale del nodo host: servizi di infrastruttura di base come DHCP, DNS, IMDS e il monitoraggio dell'integrità vengono forniti tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254. Questi indirizzi IP appartengono a Microsoft e sono gli unici indirizzi IP virtualizzati usati in tutte le aree a questo scopo. Per impostazione predefinita, questi servizi non sono soggetti ai gruppi di sicurezza di rete configurati, a meno che non siano destinati a tag di servizio specifici per ogni servizio. Per eseguire l'override di questa comunicazione di base dell'infrastruttura, è possibile creare una regola di sicurezza per negare il traffico usando i tag di servizio seguenti nelle regole del gruppo di sicurezza di rete: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Informazioni su come diagnosticare il xfiltro del traffico di rete e diagnosticare il routing di rete.

  • Licenze (servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle macchine virtuali devono essere concesse in licenza. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo. La richiesta viene inviata in uscita tramite la porta 1688. Per le distribuzioni tramite la configurazione di route predefinita 0.0.0.0/0, questa regola di piattaforma sarà disabilitata.

  • Macchine virtuali in pool con carico bilanciato: l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico. L'intervallo di porte e indirizzi di destinazione riguarda il computer di destinazione e non il servizio di bilanciamento del carico.

  • Istanze di servizi di Azure: nelle subnet delle reti virtuali vengono distribuite istanze di diversi servizi di Azure, ad esempio HDInsight, ambienti del servizio app e set di scalabilità di macchine virtuali. Per un elenco completo dei servizi che è possibile distribuire nelle reti virtuali, vedere l'articolo relativo alla rete virtuale per i servizi di Azure. Prima di applicare un gruppo di sicurezza di rete alla subnet, acquisire familiarità con i requisiti delle porte per ogni servizio. Se si bloccano le porte richieste dal servizio, il servizio non funzionerà correttamente.

  • Invio di messaggi di posta elettronica in uscita: per inviare posta elettronica da macchine virtuali di Azure è consigliabile usare servizi di inoltro SMTP autenticato, in genere connessi tramite la porta TCP 587 ma spesso anche con altre. Sono disponibili servizi di inoltro SMTP specializzati per la reputazione del mittente, per ridurre al minimo la possibilità che provider di posta elettronica di terze parti rifiutino i messaggi. Tali servizi di inoltro SMTP includono, ad esempio, Exchange Online Protection e SendGrid. L'uso di servizi di inoltro SMTP non è soggetto ad alcuna restrizione in Azure, indipendentemente dal tipo di sottoscrizione.

    Se la sottoscrizione di Azure è stata creata prima del 15 novembre 2017, oltre a poter usare servizi di inoltro SMTP è possibile inviare posta elettronica direttamente sulla porta TCP 25. Se la sottoscrizione è stata creata dopo il 15 novembre 2017, potrebbe non essere possibile inviare posta elettronica direttamente sulla porta 25. Il comportamento della comunicazione in uscita sulla porta 25 dipende dal tipo di sottoscrizione, come illustrato di seguito.

    • Contratto Enterprise: per le macchine virtuali distribuite nelle sottoscrizioni standard del Contratto Enterprise, le connessioni SMTP in uscita sulla porta TCP 25 non verranno bloccate. Tuttavia, non esiste alcuna garanzia che i domini esterni accetteranno i messaggi di posta elettronica in arrivo dalle macchine virtuali. Se i messaggi di posta elettronica vengono rifiutati o filtrati in base ai domini esterni, è necessario contattare i provider di servizi di posta elettronica dei domini esterni per risolvere i problemi. Questi problemi non sono coperti dal supporto tecnico di Azure.

      Per impostazione predefinita, per le sottoscrizioni Sviluppo/test Enterprise viene bloccata la porta 25. È possibile rimuovere questo blocco. Per richiedere la rimozione del blocco, passare alla sezione Non è possibile inviare e-mail (SMTP-Port 25) della pagina delle impostazioniDiagnostica e risoluzione per la risorsa rete virtuale di Azure nel portale di Azure ed eseguire la diagnostica. In questo modo verranno esentate automaticamente le sottoscrizioni di sviluppo/test aziendali qualificate.

      Dopo che la sottoscrizione è esente da questo blocco e le macchine virtuali vengono arrestate e riavviate, tutte le macchine virtuali in tale sottoscrizione vengono escluse in futuro. L'esenzione si applica solo alla sottoscrizione richiesta e solo al traffico delle macchine virtuali instradato direttamente a Internet.

    • Pagamento in base al consumo: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

    • MSDN, Azure Pass, Azure in Open, Education e versione di prova gratuita: la comunicazione in uscita sulla porta 25 è bloccata per tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

    • Provider di servizi cloud: la comunicazione con la porta in uscita 25 è bloccata da tutte le risorse. Non è possibile richiedere la rimozione della restrizione, perché le richieste non verranno soddisfatte. Se è necessario inviare e-mail dalla macchina virtuale, è necessario usare un servizio di inoltro SMTP.

Passaggi successivi