Esercitazione: Filtrare il traffico di rete con un gruppo di sicurezza di rete

È possibile usare un gruppo di sicurezza di rete per filtrare il traffico di rete in ingresso e in uscita da e verso le risorse di Azure in una rete virtuale di Azure.

I gruppi di sicurezza di rete contengono regole di sicurezza per filtrare il traffico di rete in base a indirizzo IP, porta e protocollo. Quando un gruppo di sicurezza di rete è associato a una subnet, le regole di sicurezza vengono applicate alle risorse distribuite in tale subnet.

Diagramma delle risorse create durante l'esercitazione.

In questa esercitazione apprenderai a:

  • Creare un gruppo di sicurezza di rete e le regole di sicurezza
  • Creare gruppi di sicurezza delle applicazioni
  • Creare una rete virtuale e associare un gruppo di sicurezza di rete a una subnet
  • Distribuire macchine virtuali e associare le interfacce di rete ai gruppi di sicurezza delle applicazioni

Prerequisiti

La procedura seguente crea una rete virtuale con una subnet della risorsa.

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere test-rg in Nome.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare Stati Uniti orientali 2.

    Screenshot che mostra la scheda Informazioni di base di Creare una rete virtuale nel portale di Azure.

  4. Selezionare Avanti per passare alla scheda Sicurezza.

  5. Selezionare Avanti per passare alla scheda Indirizzi IP.

  6. Nella casella spazio indirizzi in Subnet selezionare la subnet predefinita.

  7. Nel riquadro Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli subnet
    Modello di subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-1.
    Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0.
    Dimensioni della subnet Lasciare l'impostazione predefinita /24(256 indirizzi).

    Screenshot che mostra la ridenominazione e la configurazione della subnet predefinita.

  8. Seleziona Salva.

  9. Selezionare Rivedi e crea nella parte inferiore della schermata. Al termine della convalida selezionare Crea.

Creare gruppi di sicurezza delle applicazioni

Un gruppo di sicurezza delle applicazioni (ASGs) consente di raggruppare i server con funzioni simili, ad esempio i server Web.

  1. Nella casella di ricerca nella parte superiore del portale immettere Gruppo di sicurezza dell'applicazione. Selezionare Gruppi di sicurezza delle applicazioni nei risultati della ricerca.

  2. Seleziona + Crea.

  3. Nella scheda Informazioni di base di Creare un gruppo di sicurezza delle applicazioni immettere o selezionare queste informazioni:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Nome Immettere asg-web.
    Paese Selezionare Stati Uniti orientali 2.
  4. Selezionare Rivedi e crea.

  5. Seleziona + Crea.

  6. Ripetere i passaggi precedenti specificando i seguenti valori:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Nome Immettere asg-mgmt.
    Paese Selezionare Stati Uniti orientali 2.
  7. Selezionare Rivedi e crea.

  8. Seleziona Crea.

Creare un gruppo di sicurezza di rete

Un gruppo di sicurezza di rete (NSG) protegge il traffico di rete nella rete virtuale.

  1. Nella casella di ricerca nella parte superiore del portale immettere Gruppi di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.

    Nota

    Nei risultati della ricerca per i gruppi di sicurezza di rete è possibile che vengano visualizzati gruppi di sicurezza di rete (versione classica). Selezionare Gruppi di sicurezza di rete.

  2. Seleziona + Crea.

  3. Nella scheda Informazioni di base della pagina Crea gruppo di sicurezza di rete immettere o selezionare queste informazioni:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Nome Immettere nsg-1.
    Ufficio Selezionare Stati Uniti orientali 2.
  4. Selezionare Rivedi e crea.

  5. Seleziona Crea.

Associare il gruppo di sicurezza di rete alla subnet

In questa sezione si associa il gruppo di sicurezza di rete alla subnet della rete virtuale creata in precedenza.

  1. Nella casella di ricerca nella parte superiore del portale immettere Gruppi di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.

  2. Selezionare nsg-1.

  3. Selezionare Subnet nella sezione Impostazioni di nsg-1.

  4. Nella pagina Subnet selezionare + Associa:

    Screenshot di Associare un gruppo di sicurezza di rete a una subnet.

  5. In Associa subnet, selezionare vnet-1 (test-rg) per Rete virtuale.

  6. Selezionare subnet-1 per Subnet, e quindi selezionare OK.

Creare regole di sicurezza

  1. Selezionare Regole di sicurezza in ingresso nella sezione Impostazioni di nsg-1.

  2. Nella pagina Regole di sicurezza in ingresso selezionare + Aggiungi.

  3. Creare una regola di sicurezza che consenta le porte 80 e 443 per il gruppo di sicurezza delle applicazioni asg-web. Nella pagina Aggiungi regola di sicurezza in ingresso immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Origine Lasciare l'impostazione predefinita Qualsiasi.
    Intervalli porte di origine Lasciare l'impostazione predefinita di (*).
    Destinazione Selezionare gruppo di sicurezza dell'applicazione.
    Gruppi di sicurezza delle applicazioni di destinazione Selezionare asg-web.
    Service Lasciare l'impostazione predefinita Personalizzato.
    Intervalli porte di destinazione Immetti 80,443.
    Protocollo Selezionare TCP.
    Azione Lasciare l'impostazione predefinita Consenti.
    Priorità Lasciare l'impostazione predefinita 100.
    Nome Immettere allow-web-all.
  4. Selezionare Aggiungi.

  5. Completare i passaggi precedenti con le informazioni seguenti:

    Impostazione Valore
    Origine Lasciare l'impostazione predefinita Qualsiasi.
    Intervalli porte di origine Lasciare l'impostazione predefinita di (*).
    Destinazione Selezionare gruppo di sicurezza dell'applicazione.
    Gruppo di sicurezza delle applicazioni di destinazione Selezionare asg-mgmt.
    Service Selezionare RDP.
    Azione Lasciare l'impostazione predefinita Consenti.
    Priorità Lasciare l'impostazione predefinita 110.
    Nome Immettere allow-rdp-all.
  6. Selezionare Aggiungi.

Attenzione

In questo articolo RDP (porta 3389) è esposto a Internet per la macchina virtuale assegnata al gruppo di sicurezza dell'applicazione asg-mgmt.

Per gli ambienti di produzione, anziché esporre la porta 3389 a Internet, è consigliabile connettersi alle risorse di Azure da gestire utilizzando una VPN, una connessione di rete privata o Azure Bastion.

Per altre informazioni su Azure Bastion, vedere Informazioni su Azure Bastion.

Creare macchine virtuali

Creare due macchine virtuali (VM) nella rete virtuale.

  1. Nel portale, cercare e selezionare Macchine virtuali.

  2. In Macchine virtuali, selezionare + Crea, quindi Macchina virtuale di Azure.

  3. In Crea macchina virtuale immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-web.
    Paese Selezionare (Stati Uniti) Stati Uniti orientali 2.
    Opzioni di disponibilità Lasciare l'impostazione predefinita Nessuna ridondanza dell'infrastruttura necessaria.
    Tipo di sicurezza Selezionare Standard.
    Image Selezionare Windows Server 2022 Datacenter - x64 Gen2.
    Istanza Spot di Azure Lascia deselezionata l'impostazione predefinita.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Username Immettere un nome utente.
    Password Immettere una password.
    Conferma password Reimmettere la password.
    Regole porta in ingresso
    Selezionare le porte in ingresso Selezionare Nessuno.
  4. Selezionare Avanti: Dischi e quindi Avanti: Rete.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1 (10.0.0.0/24).
    IP pubblico Lascia l'impostazione predefinita di un nuovo indirizzo IP pubblico.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno.
  6. Selezionare la scheda Rivedi e crea o selezionare il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  7. Seleziona Crea. La distribuzione della macchina virtuale potrebbe richiedere alcuni minuti.

  8. Ripetere i passaggi precedenti per creare una seconda macchina virtuale denominata vm-mgmt.

Associare le interfacce di rete a un gruppo di sicurezza delle applicazioni

Quando hai creato le macchine virtuali, Azure ha creato un'interfaccia di rete per ogni macchina virtuale e l'ha collegata alla macchina stessa.

Aggiungi l'interfaccia di rete per ogni VM a uno dei gruppi di sicurezza delle applicazioni creati in precedenza:

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca e quindi vm-web.

  2. Selezionare gruppi di sicurezza delle applicazioni nella sezione rete di vm-web.

  3. Selezionare Aggiungi gruppi di sicurezza delle applicazioni, quindi nella scheda Aggiungi gruppi di sicurezza delle applicazioni selezionare asg-web. Infine, selezionare Aggiungi.

    Screenshot di Configurare i gruppi di sicurezza delle applicazioni.

  4. Ripetere i passaggi precedenti per vm-mgmt, selezionando asg-mgmt nella scheda Aggiungi gruppi di sicurezza delle applicazioni.

Testare i filtri del traffico

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare vm-mgmt.

  3. Nella pagina Panoramica selezionare il pulsante Connetti e quindi selezionare RDP nativo.

  4. Selezionare Scarica file RDP.

  5. Aprire il file con estensione rdp scaricato e selezionare Connetti. Immettere il nome utente e la password specificati al momento della creazione della macchina virtuale.

  6. Seleziona OK.

  7. Durante il processo di connessione potrebbe essere visualizzato un avviso relativo al certificato. Se viene visualizzato l'avviso, selezionare o Continua per continuare con la connessione.

    La connessione ha esito positivo perché il traffico in ingresso da Internet al gruppo di sicurezza delle applicazioni asg-mgmt è consentito attraverso la porta 3389.

    L'interfaccia di rete per vm-mgmt è associata al gruppo di sicurezza dell'applicazione asg-mgmt e consente la connessione.

  8. Aprire una sessione di PowerShell in vm-mgmt. Connettersi a vm-web usando quanto segue:

    mstsc /v:vm-web
    

    La connessione RDP da vm-mgmt a vm-web ha esito positivo perché le macchine virtuali nella stessa rete possono comunicare tra loro su qualsiasi porta per impostazione predefinita.

    Non è possibile creare una connessione RDP alla macchina virtuale vm-web da Internet. La regola di sicurezza per asg-web impedisce le connessioni alla porta 3389 in ingresso da Internet. Il traffico in ingresso da Internet viene negato a tutte le risorse per impostazione predefinita.

  9. Per installare Microsoft IIS nella macchina virtuale vm-web, immettere il comando seguente da una sessione di PowerShell nella macchina virtuale vm-web:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Al termine dell'installazione di IIS, disconnettersi dalla macchina virtuale vm-web, che lascia la connessione desktop remoto alla macchina virtuale vm-mgmt.

  11. Disconnettersi dalla macchina virtuale vm-mgmt.

  12. Cercare vm-web nella casella di ricerca del portale.

  13. Nella pagina Panoramica di vm-webprendere nota dell'indirizzo IP pubblico per la macchina virtuale. L'indirizzo illustrato nell'esempio seguente è 203.0.113.103. L'indirizzo è diverso:

    Screenshot dell'indirizzo IP pubblico di una macchina virtuale nella pagina Panoramica.

  14. Per verificare che sia possibile accedere al server Web vm-web da Internet, aprire un browser Internet nel computer e passare a http://<public-ip-address-from-previous-step>.

Viene visualizzata la pagina predefinita di IIS, perché il traffico in ingresso da Internet al gruppo di sicurezza delle applicazioni asg-web è consentito tramite la porta 80.

L'interfaccia di rete collegata per vm-web è associata al gruppo di sicurezza delle applicazioni asg-web e consente la connessione.

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.

  2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

  3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

  4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione:

  • È stato creato un gruppo di sicurezza di rete e associato a una subnet di rete virtuale.
  • Gruppi di sicurezza delle applicazioni creati per il Web e la gestione.
  • Creare due macchine virtuali e associare le interfacce di rete ai gruppi di sicurezza delle applicazioni.
  • È stato testato il filtro di rete del gruppo di sicurezza delle applicazioni.

Per altre informazioni sui gruppi di sicurezza di rete, vedere Panoramica dei gruppi di sicurezza di rete e Gestire un gruppo di sicurezza di rete.

Per impostazione predefinita, Azure instrada il traffico tra subnet. In alternativa, si potrebbe ad esempio scegliere di instradare il traffico tra subnet tramite una VM che funge da firewall.

Per informazioni su come creare una tabella di route, passare all'esercitazione successiva.