Basic IP or Standard IP… Questo è il dilemma!

September 24, 2025 3 minuto/i di lettura

spazio ultima frontiera — spazio, ultima frontiera. Questi sono i viaggi della nave stellare Enterprise. La sua missione continua è quella di esplorare strani, nuovi mondi, alla ricerca di nuove forme di vita e di nuove civiltà, per arrivare là dove nessun uomo è mai giunto prima (cit.)

data astrale 30 settembre 2025, registro dell’architetto.. qualcosa di nuovo viene captato dalla lontana galassia di Azure. Il ritiro dei Basic IP è solo l’inizio del complicato viaggio verso l’ignoto che ci aspetta col ritiro dei servizi legacy. In questo articolo vi racconteremo come sopravvivere ad un cambio epocale.

-incipit-

L’annuncio ufficiale è stato pubblicato nel lontano 2022 e fin da allora è stato arduo stare dietro al conitnuo susseguirsi di ripainificazioni, cancellazioni, dietro front che hanno lasciato tutti col fiato sospeso fino a qualche mese fa… si parte! Ma di cosa stiamo parlando? Il ritiro dei Basic IP dalla faccia della terra di Azure (Upgrade Basic Public IP Address to Standard SKU in Azure - Azure Updates)

Il ritiro di questo servizio avrà un impatto su un numero piuttosto ampio di servizi azure alcuni dei quali costituiscono il cuore delle nostre architetture (escluse quelle dei Cloud Services extended support ma davvero qualcuno ha ancora questi reperti nell'armadio??):

Virtual Machine
Azure Load Balancer
Virtual Network Gateway

DON’T PANIC

In questi scenari, una corretta pianificazione è fondamentale. Microsoft ha predisposto nel tempo un suite completa di tool e guide per poter svolgere la transizione in maniera sicura, seppur con qualche downtime. Alcune risorse, come i virtual network gateway, hanno avuto necessità di una timeline specifica, anche perchè il retirement dei Basic IP ha “intrecciato i flussi” (cit.) con l’ammodernamento degli Sku da non AZ ad AZ previsto tra settembre ed ottobre. In particolare Microsoft continua a rimandare la data di ritiro dei Basic VPN Gateway (tutt’ora prevista per gennaio 2026) per cui si è ancora in attesa di un tool per la migrazione.

Basic IP vs Standard IP

Arriviamo al cuore dell’articolo (finalmente!) per cui voglio parlarvi dei rischi legati alla transizione da Basic IP a Standard.

Non vi tedierò con quelle che sono le differenze tra i due Sku per cui esistono decine di articoli a disposizione (articolo ufficiale), ma mi concentrerò su un aspetto in particolare con un caso pratico.

Basic vs Standard — https://learn.microsoft.com/en-us/azure/virtual-network/ip-services/public-ip-basic-upgrade-guidance#basic-sku-vs-standard-sku

Fantastico! Se uso lo Standard sono più “sicuro”!! Ma che significa “più sicuro” e perchè mi deve interessare? Vediamolo con un esempio pratico

Creazione di una macchina virtuale con Basic IP

Utilizziamo l’approccio “click-ops” ( avanti-avanti da portale ) per creare una virtual machine. Selezioniamo la creazione di un IP di tipo Basic, confermiamo tutto e… BOOM!! La nostra VM è pronta per essere bucata :) perchè non abbiamo scelto un Network Security Group (NSG).

open by default = L’IP è raggiungibile su ogni porta non appena viene creato!! Senza un NSG non abbiamo alcuna difesa

Rifacciamo la stessa operazione, ma stavolta selezionando un IP di tipo Standard e… la nostra VM non è per nulla raggiungibile.

secure by default = L’IP non è raggiungibile fintanto che non ho delle regole esplicite per consentire l’accesso, tramite NSG

Questo è il vero significato. Ma ora, che c’entra questo con la transizione epocale tra Basic IP e Standard IP? Vediamolo nel prossimo (ed ultimo!) paragrafo.

PAY ATTENTION !!

Ora che abbiamo approfondito il significato intrinseco di secure by default legato allo Standard IP, vediamo cosa può succedere se non ragioniamo per bene alla migrazione da Basic a Standard.

Scenario 1: Virtual Machine con Basic IP e Network Security Group

Quando andiamo a migrare sullo Sku Standard, in questo scenario, possiamo aspettarci che non succeda nulla ossia, la virtual machine, a seguito di un ridotto downtime, avrà lo stesso IP ma di tipo Standard (attento, ricordati di verificare che il Basic sia static, prima di disassociarlo per l’upgrade).

Scenario 2: Virtual Machine con Basic IP senza Network Security Group

Quando andiamo a migrare sullo Sku Standard, in questo scenario, possiamo aspettarci un completo disastro!! perchè la virtual machine che prima era raggiungibile su ogni porta (ricordi open by default?) ora non lo è più. Dobbiamo partire dall’associazione di un Network Security Group. Ma, questo non basta per l’accesso dalla rete pubblica!!! disastro .. Non sarà piacevole andare ad aprire le porte una ad una con le regole di least priviledge (non ci avete neanche pensato vero a fare ANY ANY allow vero???)

CHIUSA

Da un grande potere derivano grandi responsabilità (cit.). Il public IP ha un grande potere di consentire alla nostra vm di essere raggiunta.. quindi attenzione a prendere una migrazione sottogamba e.. considerate che Microsoft ci da uno script che, indovina, verifica che ci sia la presenza di un NSG full guide.

A si biri

X Facebook LinkedIn

Antonio Buonaiuto

Basic IP or Standard IP… Questo è il dilemma!

-incipit-

DON’T PANIC

Basic IP vs Standard IP

PAY ATTENTION !!

CHIUSA

Condividi

Scrivi un commento

Potrebbe Piacerti Anche

Azure Meetup Casteddu - Antonio Buonaiuto e Fabio Cannas - Strategie E Compromessi Dietro Un’Architettura Reale Su Azure

[VIDEO] Azure Meetup Veneto - Webinar - Antonio Buonaiuto - Architetture di rete su Azure: dalle fondamenta all’implementazione… Senza intoppi

[Live Streaming] Azure Day Torino 2025 - Antonio Buonaiuto - Come Configurare In Maniera Sicura Un’Architettura Utilizzando Le Risorse Di Rete Di Azure

#RoadToWPC: Community Day - Antonio Buonaiuto - AKS, Container Apps, Container Instance, App Service For Containers: Scegliere la soluzione migliore per i tuoi container