Esporta (0) Stampa
Espandi tutto

Informazioni sugli elenchi di controllo di accesso di rete (ACL)

Aggiornamento: ottobre 2014

Un elenco di controllo di accesso (ACL) di rete è un miglioramento della sicurezza disponibile per la distribuzione di Azure. Tramite un ACL è possibile consentire o negare in modo selettivo il traffico per un endpoint della macchina virtuale. Questa funzionalità di filtro per i pacchetti garantisce un ulteriore livello di sicurezza. Attualmente, è possibile specificare ACL di rete solo per gli endpoint. Non è possibile specificare un ACL per una rete virtuale o per una subnet specifica in una rete virtuale. Gli ACL possono essere configurati tramite PowerShell o nel portale di gestione. Per configurare un ACL di rete tramite PowerShell, vedere Gestione degli elenchi di controllo di accesso (ACL) per gli endpoint tramite PowerShell. Per configurare un ACL di rete tramite il portale di gestione, vedere la pagina relativa alla modalità di configurazione degli endpoint in una macchina virtuale.

ImportantImportante
Se le macchine virtuali si trovano in una rete virtuale, è possibile configurare gruppi di sicurezza di rete anziché elenchi di controllo di accesso di rete. I gruppi di sicurezza di rete consentono un controllo più granulare e sono disponibili solo per le macchine virtuali distribuite in reti virtuali. Vedere Informazioni sui gruppi di sicurezza di rete.

Mediante gli ACL di rete, è possibile effettuare le operazioni seguenti:

  • Consentire o negare in modo selettivo il traffico in entrata in base all'intervallo di indirizzi IPv4 della subnet remota a un endpoint di input della macchina virtuale.

  • Inserire indirizzi IP nella blacklist

  • Creare più regole per ogni endpoint della macchina virtuale

  • Specificare fino a 50 regole ACL per endpoint della macchina virtuale

  • Utilizzare l'ordinamento delle regole per assicurarsi che venga applicato il set corretto di regole a un determinato endpoint della macchina virtuale (dalla regola con priorità più bassa a quella più elevata)

  • Specificare un ACL per un indirizzo IPv4 specifico della subnet remota.

Un ACL è un oggetto che contiene un elenco di regole. Quando si crea un ACL e lo si applica a un endpoint della macchina virtuale, il filtro per i pacchetti viene eseguito sul nodo host della VM. Ciò significa che il traffico da indirizzi IP remoti viene filtrato dal nodo host in base alle regole ACL e non sulla VM. Ciò impedisce alla VM di utilizzare i cicli della CPU per il filtro dei pacchetti.

Quando viene creata una macchina virtuale, viene impostato un ACL predefinito per bloccare tutto il traffico in entrata. Tuttavia, se viene creato un endpoint per (porta 3389), l'ACL predefinito viene modificato per consentire tutto il traffico in entrata per tale endpoint. Il traffico in entrata da qualsiasi subnet remota viene quindi consentito a quell'endpoint e non viene richiesto alcun provisioning del firewall. Tutte le altre porte vengono bloccate per il traffico in entrata, a meno che non vengano creati endpoint per quelle porte. Il traffico in uscita è consentito per impostazione predefinita.

Esempio: tabella ACL predefinita

 

N. regola Subnet remota Endpoint Consenti/Nega

100

0.0.0.0/0

3389

Consenti

È possibile consentire o negare il traffico di rete in modo selettivo per un endpoint di input della macchina virtuale creando regole "Consenti" o "Nega". È importante notare che per impostazione predefinita, quando viene creato un endpoint, tutto il traffico all'endpoint viene negato. Per questo motivo, è importante comprendere come creare regole "consenti/nega" e come collocarle nell'ordine di precedenza appropriato se si desidera esercitare un controllo granulare sul traffico di rete a cui viene concesso di raggiungere l'endpoint della macchina virtuale.

Punti da considerare:

  1. Nessun ACL: per impostazione predefinita quando viene creato un endpoint, tutto il traffico viene consentito.

  2. Consenti: quando si aggiunge uno o più intervalli "Consenti", per impostazione predefinita tutti gli altri intervalli vengono negati. Solo i pacchetti dall'intervallo IP consentito saranno in grado di comunicare con l'endpoint della macchina virtuale.

  3. Nega: quando si aggiunge uno o più intervalli "Nega", per impostazione predefinita tutti gli intervalli di traffico vengono consentiti.

  4. Combinazione di Consenti e Nega: è possibile utilizzare una combinazione di "Consenti" e "Nega" quando si crea un intervallo IP specifico da consentire o negare.

Gli ACL di rete possono essere configurati su endpoint della macchina virtuale specifici. È ad esempio possibile specificare un ACL di rete per un endpoint RDP creato in una macchina virtuale che blocca l'accesso a determinati indirizzi IP. Nella tabella seguente viene illustrato come concedere l'accesso a IP virtuali (VIP) pubblici di un determinato intervallo per consentire l'accesso per RDP. Tutti gli altri IP remoti vengono negati. L'ordine di precedenza adottato per le regole è la più bassa ha la precedenza.

Nell'esempio seguente, se si desidera consentire l'accesso all'endpoint RDP solo da due intervalli di indirizzi IPv4 pubblici (65.0.0.0/8 e 159.0.0.0/8), è possibile specificare due regole Consenti. In questo caso, poiché RDP viene creato per impostazione predefinita per una macchina virtuale, è possibile bloccare l'accesso alla porta RDP in base a una subnet remota. Nell'esempio seguente viene illustrato come concedere l'accesso a IP virtuali (VIP) pubblici di un determinato intervallo per consentire l'accesso per RDP. Tutti gli altri IP remoti vengono negati. Questo funziona perché gli ACL di rete possono essere configurati per un endpoint specifico della macchina virtuale e l'accesso viene negato per impostazione predefinita.

Esempio: più regole

 

N. regola Subnet remota Endpoint Consenti/Nega

100

65.0.0.0/8

3389

Consenti

200

159.0.0.0/8

3389

Consenti

Poiché è possibile specificare più regole per un endpoint, è necessario trovare un modo per organizzare le regole per determinare quale ha la precedenza. L'ordine delle regole specifica la precedenza. L'ordine di precedenza adottato per gli ACL di rete è il più basso ha la precedenza. Nell'esempio seguente, all'endpoint sulla porta 80 viene concesso l'accesso in modo selettivo a determinati intervalli di indirizzi IP. A tale scopo, è necessaria una regola Nega (n. regola 100) per gli indirizzi nello spazio 175.1.0.1/24. Una seconda regola viene quindi specificata con la precedenza 200 che consente l'accesso a tutti gli altri indirizzi in 175.0.0.0/8.

Esempio: precedenza delle regole

 

N. regola Subnet remota Endpoint Consenti/Nega

100

175.1.0.1/24

80

Nega

200

175.0.0.0/8

80

Consenti

È possibile specificare gli ACL di rete su un endpoint del set con carico bilanciato (Set LB). Se per un set LB viene specificato un ACL, l'ACL di rete viene applicato a tutte le macchine virtuali di quel set. Ad esempio, se un set LB viene creato con la "porta 80" e il set contiene 3 VM, l'ACL di rete creato sulla "porta 80" dell'endpoint di una VM viene applicato automaticamente alle altre VM.

Elenchi di controllo di accesso di rete e set con carico bilanciato

Vedere anche

Mostra:
© 2014 Microsoft