Sdílet prostřednictvím

Ochrana vysoce rizikových síťových portů pomocí pravidel správy zabezpečení ve službě Azure Virtual Network Manager

  • Článek

V tomto článku se naučíte blokovat vysoce rizikové síťové porty pomocí Azure Virtual Network Manageru a pravidel správy zabezpečení. Projdete vytvořením instance Azure Virtual Network Manageru, seskupíte virtuální sítě pomocí skupin sítí a vytvoříte a nasadíte konfigurace správců zabezpečení pro vaši organizaci. Nasadíte obecné pravidlo bloku pro porty s vysokým rizikem. Pak vytvoříte pravidlo výjimky pro správu virtuální sítě konkrétní aplikace pomocí skupin zabezpečení sítě.

I když se tento článek zaměřuje na jeden port SSH, můžete pomocí stejných kroků chránit všechny vysoce rizikové porty ve vašem prostředí. Další informace najdete v tomto seznamu vysoce rizikových portů.

Požadavky

Nasazení prostředí virtuální sítě

Potřebujete prostředí virtuální sítě, které zahrnuje virtuální sítě, které se dají oddělit, aby umožňovaly a blokovaly konkrétní síťový provoz. Můžete použít následující tabulku nebo vlastní konfiguraci virtuálních sítí:

Název Adresní prostor IPv4 podsíť
vnetA-Gen 10.0.0.0/16 výchozí – 10.0.0.0/24
vnetB-Gen 10.1.0.0/16 výchozí – 10.1.0.0/24
vnetC-Gen 10.2.0.0/16 výchozí – 10.2.0.0/24
vnetD-app 10.3.0.0/16 výchozí – 10.3.0.0/24
vnetE-app 10.4.0.0/16 výchozí – 10.4.0.0/24
  • Umístěte všechny virtuální sítě do stejného předplatného, oblasti a skupiny prostředků.

Nevíte, jak vytvořit virtuální síť? Další informace najdete v rychlém startu: Vytvoření virtuální sítě pomocí webu Azure Portal.

Vytvoření instance správce virtuální sítě

V této části nasadíte instanci Virtual Network Manageru s funkcí Správce zabezpečení ve vaší organizaci.

  1. Vyberte + Vytvořit prostředek a vyhledejte Správce sítě. Pak vyberte Vytvořit a začněte nastavovat Azure Virtual Network Manager.

  2. Na kartě Základy zadejte nebo vyberte informace pro vaši organizaci:

    Nastavení Hodnota
    Předplatné Vyberte předplatné, do kterého chcete nasadit Azure Virtual Network Manager.
    Skupina prostředků Vyberte nebo vytvořte skupinu prostředků pro uložení Azure Virtual Network Manageru. V tomto příkladu se používá dříve vytvořená skupina myAVNMResourceGroup .
    Název Zadejte název této instance Azure Virtual Network Manageru. V tomto příkladu se používá název myAVNM.
    Oblast Vyberte oblast pro toto nasazení. Azure Virtual Network Manager může spravovat virtuální sítě v libovolné oblasti. Vybraná oblast je určená pro nasazení instance Virtual Network Manageru.
    Popis (Volitelné) Zadejte popis této instance nástroje Virtual Network Manager a úlohu, kterou spravuje.
    Scope Definujte obor, pro který může Azure Virtual Network Manager spravovat. Tento příklad používá obor na úrovni předplatného.
    Funkce Vyberte funkce, které chcete povolit pro Azure Virtual Network Manager. Dostupné funkce jsou Připojení, SecurityAdmin nebo Vybrat vše.
    Připojení – Umožňuje vytvořit úplnou síťovou topologii hvězdicové sítě mezi virtuálními sítěmi v rámci oboru.
    SecurityAdmin – Umožňuje vytvářet globální pravidla zabezpečení sítě.

  3. Vyberte Zkontrolovat a vytvořit a potom po ověření vyberte Vytvořit .

  4. Po dokončení nasazení vyberte Přejít k prostředku a zkontrolujte konfiguraci nástroje Virtual Network Manager.

Vytvoření skupiny sítě pro všechny virtuální sítě

Po vytvoření správce virtuální sítě teď vytvoříte skupinu sítě obsahující všechny virtuální sítě v organizaci a ručně přidáte všechny virtuální sítě.

  1. V části Nastavení vyberte Skupiny sítě.
  2. Vyberte + Vytvořit, zadejte název skupiny sítě a vyberte Přidat.
  3. Na stránce Skupiny sítě vyberte skupinu sítě, kterou jste vytvořili.
  4. Pokud chcete ručně přidat všechny virtuální sítě, vyberte Přidat v části Statické členství .
  5. Na stránce Přidat statické členy vyberte všechny virtuální sítě, které chcete zahrnout, a vyberte Přidat.

Vytvoření konfigurace správce zabezpečení pro všechny virtuální sítě

Je čas vytvořit pravidla správce zabezpečení v rámci konfigurace, aby se tato pravidla použila na všechny virtuální sítě ve vaší skupině sítě najednou. V této části vytvoříte konfiguraci správce zabezpečení. Pak vytvoříte kolekci pravidel a přidáte pravidla pro porty s vysokým rizikem, jako je SSH nebo RDP. Tato konfigurace zakazuje síťový provoz do všech virtuálních sítí ve skupině sítí.

  1. Vraťte se k prostředku správce virtuální sítě.
  2. V části Nastavení vyberte Konfigurace a pak vyberte + Vytvořit.
  3. V rozevírací nabídce vyberte Konfiguraci zabezpečení.
  4. Na kartě Základy zadejte název, který identifikuje tuto konfiguraci zabezpečení, a vyberte Další: Kolekce pravidel.
  5. Na stránce Přidat konfiguraci zabezpečení vyberte + Přidat.
  6. Zadejte název pro identifikaci této kolekce pravidel a pak vyberte cílové skupiny sítě, na které chcete použít sadu pravidel. Cílová skupina je skupina sítí obsahující všechny vaše virtuální sítě.

Přidání pravidla zabezpečení pro odepření vysoce rizikového síťového provozu

V této části definujete pravidlo zabezpečení, které bude blokovat vysoce rizikový síťový provoz do všech virtuálních sítí. Při přiřazování priority mějte na paměti budoucí pravidla výjimek. Nastavte prioritu tak, aby se na toto pravidlo použila pravidla výjimek.

  1. V části Pravidla správce zabezpečení vyberte + Přidat.

  2. Zadejte informace potřebné k definování pravidla zabezpečení a pak vyberte Přidat a přidejte pravidlo do kolekce pravidel.

    Nastavení Hodnota
    Name Zadejte název pravidla.
    Popis Zadejte popis pravidla.
    Priorita* Zadejte hodnotu mezi 1 a 4096 a určete prioritu pravidla. Čím nižší je hodnota, tím vyšší je priorita.
    Akce* Výběrem možnosti Odepřít zablokujte provoz. Další informace najdete v tématu Akce
    Směr* Vyberte Příchozí , protože chcete zakázat příchozí provoz pomocí tohoto pravidla.
    Protokol* Vyberte síťový protokol pro port.
    Source
    Source type Vyberte zdrojový typ IP adresy nebo značky služby.
    Zdrojové IP adresy Toto pole se zobrazí, když vyberete zdrojový typ IP adresy. Zadejte adresu IPv4 nebo IPv6 nebo rozsah pomocí zápisu CIDR. Při definování více adres nebo bloků adres oddělených čárkou. Pro tento příklad ponechte prázdné.
    Značka zdrojové služby Toto pole se zobrazí, když vyberete zdrojový typ značky Služby. Vyberte značky služeb pro služby, které chcete zadat jako zdroj. Seznam podporovaných značek najdete v části Dostupné značky služeb.
    Zdrojový port Zadejte jedno číslo portu nebo rozsah portů, například (1024–65535). Při definování více než jednoho portu nebo rozsahu portů je oddělte čárkou. Pokud chcete zadat libovolný port, zadejte *. Pro tento příklad ponechte prázdné.
    Cíl
    Typ cíle Vyberte cílový typ IP adresy nebo značky služby.
    Cílové IP adresy Toto pole se zobrazí, když vyberete cílový typ IP adresy. Zadejte adresu IPv4 nebo IPv6 nebo rozsah pomocí zápisu CIDR. Při definování více adres nebo bloků adres oddělených čárkou.
    Značka cílové služby Toto pole se zobrazí, když vyberete cílový typ značky Služby. Vyberte značky služeb pro služby, které chcete zadat jako cíl. Seznam podporovaných značek najdete v části Dostupné značky služeb.
    Cílový port Zadejte jedno číslo portu nebo rozsah portů, například (1024–65535). Při definování více než jednoho portu nebo rozsahu portů je oddělte čárkou. Pokud chcete zadat libovolný port, zadejte *. V tomto příkladu zadejte 3389 .

  3. Opakujte kroky 1 až 3, pokud chcete do kolekce pravidel přidat další pravidla.

  4. Jakmile budete spokojeni se všemi pravidly, která jste chtěli vytvořit, vyberte Přidat a přidejte kolekci pravidel do konfigurace správce zabezpečení.

  5. Potom vyberte Zkontrolovat a vytvořit a dokončit konfiguraci zabezpečení.

Nasazení konfigurace správce zabezpečení pro blokování síťového provozu

V této části se pravidla vytvořená po nasazení konfigurace správce zabezpečení projeví.

  1. V části Nastavení vyberte Nasazení a pak vyberte Nasadit konfiguraci.
  2. Zaškrtněte políčko Zahrnout správce zabezpečení do stavu cíle a v rozevírací nabídce zvolte konfiguraci zabezpečení, kterou jste vytvořili v poslední části. Pak zvolte oblasti, do které chcete tuto konfiguraci nasadit.
  3. Vyberte Další a Nasadit a nasaďte konfiguraci správce zabezpečení.

Vytvoření skupiny sítě pro pravidlo výjimky provozu

Pokud je provoz blokovaný napříč všemi vašimi virtuálními sítěmi, potřebujete výjimku, která povoluje provoz do konkrétních virtuálních sítí. Vytvoříte skupinu sítě speciálně pro virtuální sítě, které potřebují vyloučení z druhého pravidla správce zabezpečení.

  1. Ve správci virtuální sítě vyberte v části Nastavení skupiny sítě.
  2. Vyberte + Vytvořit, zadejte název skupiny sítě aplikace a vyberte Přidat.
  3. V části Definovat dynamické členství vyberte Definovat.
  4. Zadejte nebo vyberte hodnoty, které povolí provoz do virtuální sítě vaší aplikace. Snímek obrazovky se stránkou Definovat skupinu sítě s podmínkou pro výběr virtuálních sítí pro členství ve skupině
  5. Vyberte Prostředky verze Preview, abyste zkontrolovali zahrnuté efektivní virtuální sítě , a pak vyberte Zavřít. Snímek obrazovky se stránkou Efektivní virtuální sítě zobrazující dynamicky zahrnuté virtuální sítě ve skupině sítí
  6. Zvolte Uložit.

Vytvoření pravidla a kolekce pro správu výjimek provozu

V této části vytvoříte novou kolekci pravidel a pravidlo správce zabezpečení, které umožňuje vysoce rizikový provoz do podmnožina virtuálních sítí, které jste definovali jako výjimky. Dále ho přidáte do stávající konfigurace správce zabezpečení.

Důležité

Aby pravidlo správce zabezpečení umožnilo provoz do virtuálních sítí vaší aplikace, musí být priorita nastavená na nižší počet než existující pravidla blokující provoz.

Například všechna pravidla sítě blokující SSH mají prioritu 10, takže pravidlo povolení by mělo mít prioritu od 1 do 9.

  1. Ve Správci virtuální sítě vyberte Konfigurace a vyberte konfiguraci zabezpečení.
  2. V části Nastavení vyberte Kolekce pravidel a pak vyberte + Vytvořit a vytvořte novou kolekci pravidel.
  3. Na stránce Přidat kolekci pravidel zadejte název kolekce pravidel aplikace a zvolte skupinu sítě aplikací, kterou jste vytvořili.
  4. V pravidlech správce zabezpečení vyberte + Přidat.
  5. Zadejte nebo vyberte hodnoty, které povolí konkrétní síťový provoz do vaší skupiny sítě aplikace, a po dokončení vyberte přidat .
  6. Opakujte proces přidání pravidla pro veškerý provoz, který potřebuje výjimku.
  7. Až budete hotovi, zvolte tlačítko Uložit.

Opětovné nasazení konfigurace správce zabezpečení s pravidlem výjimky

Pokud chcete novou kolekci pravidel použít, znovu nasadíte konfiguraci správce zabezpečení, protože byla změněna přidáním kolekce pravidel.

  1. Ve Správci virtuální sítě vyberte Konfigurace.
  2. Vyberte konfiguraci správce zabezpečení a vyberte Nasadit.
  3. Na stránce Nasadit konfiguraci vyberte všechny cílové oblasti, které nasazení přijímají, a
  4. Vyberte Další a Nasadit.

Další kroky