Ochrona portów sieciowych wysokiego ryzyka za pomocą reguł administratora zabezpieczeń w usłudze Azure Virtual Network Manager

Z tego artykułu dowiesz się, jak blokować porty sieciowe o wysokim ryzyku przy użyciu menedżera sieci wirtualnej platformy Azure i reguł administratora zabezpieczeń. Omówimy tworzenie wystąpienia usługi Azure Virtual Network Manager, grupowanie sieci wirtualnych za pomocą grup sieciowych oraz tworzenie i wdrażanie konfiguracji administratorów zabezpieczeń dla organizacji. Wdrażasz ogólną regułę blokowania dla portów o wysokim ryzyku. Następnie utworzysz regułę wyjątku do zarządzania siecią wirtualną określonej aplikacji przy użyciu sieciowych grup zabezpieczeń.

Chociaż ten artykuł koncentruje się na jednym porcie, SSH, można chronić wszystkie porty wysokiego ryzyka w środowisku przy użyciu tych samych kroków. Aby dowiedzieć się więcej, zapoznaj się z tą listą portów wysokiego ryzyka

Wymagania wstępne

• Rozumiesz, jak utworzyć menedżera usługi Azure Virtual Network Manager
• Rozumiesz każdy element w regule administratora zabezpieczeń.
• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Grupa sieci wirtualnych, które można podzielić na grupy sieciowe do stosowania szczegółowych reguł administratora zabezpieczeń.
• Aby zmodyfikować dynamiczne grupy sieciowe, należy udzielić dostępu tylko za pośrednictwem przypisania roli RBAC platformy Azure. Administrator klasyczny/starsza wersja autoryzacji nie jest obsługiwana

Wdrażanie środowiska sieci wirtualnej

Potrzebujesz środowiska sieci wirtualnej, które zawiera sieci wirtualne, które mogą być segregowane w celu zezwolenia i blokowania określonego ruchu sieciowego. Możesz użyć poniższej tabeli lub własnej konfiguracji sieci wirtualnych:

Nazwisko	Przestrzeń adresowa IPv4	podsieć
vnetA-gen	10.0.0.0/16	ustawienie domyślne — 10.0.0.0/24
vnetB-gen	10.1.0.0/16	wartość domyślna — 10.1.0.0/24
vnetC-gen	10.2.0.0/16	ustawienie domyślne — 10.2.0.0/24
vnetD-app	10.3.0.0/16	wartość domyślna — 10.3.0.0/24
vnetE-app	10.4.0.0/16	ustawienie domyślne — 10.4.0.0/24

• Umieść wszystkie sieci wirtualne w tej samej subskrypcji, regionie i grupie zasobów

Nie wiesz, jak utworzyć sieć wirtualną? Dowiedz się więcej w przewodniku Szybki start: tworzenie sieci wirtualnej przy użyciu witryny Azure Portal.

Tworzenie wystąpienia menedżera sieci wirtualnej

W tej sekcji wdrożysz wystąpienie menedżera sieci wirtualnej z funkcją Administratora zabezpieczeń w organizacji.

1. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Menedżer sieci. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie usługi Azure Virtual Network Manager.

2. Na karcie Podstawy wprowadź lub wybierz informacje dotyczące organizacji:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję, do której chcesz wdrożyć usługę Azure Virtual Network Manager.
   Grupa zasobów	Wybierz lub utwórz grupę zasobów do przechowywania usługi Azure Virtual Network Manager. W tym przykładzie użyto wcześniej utworzonej grupy myAVNMResourceGroup .
   Nazwisko	Wprowadź nazwę tego wystąpienia usługi Azure Virtual Network Manager. W tym przykładzie użyto nazwy myAVNM.
   Region (Region)	Wybierz region dla tego wdrożenia. Usługa Azure Virtual Network Manager może zarządzać sieciami wirtualnymi w dowolnym regionie. Wybrany region dotyczy miejsca, w którym zostanie wdrożone wystąpienie menedżera sieci wirtualnej.
   opis	(Opcjonalnie) Podaj opis tego wystąpienia programu Virtual Network Manager i zadania, które zarządza.
   Scope	Zdefiniuj zakres, dla którego program Azure Virtual Network Manager może zarządzać. W tym przykładzie jest używany zakres na poziomie subskrypcji.
   Funkcje	Wybierz funkcje, które chcesz włączyć dla usługi Azure Virtual Network Manager. Dostępne funkcje to Łączność, SecurityAdmin lub Wybierz wszystko. Łączność — umożliwia tworzenie pełnej siatki lub topologii sieci będącej szprychą między sieciami wirtualnymi w zakresie. SecurityAdmin — umożliwia tworzenie globalnych reguł zabezpieczeń sieci.

3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji.

4. Wybierz pozycję Przejdź do zasobu po zakończeniu wdrażania i przejrzyj konfigurację menedżera sieci wirtualnej

Tworzenie grupy sieciowej dla wszystkich sieci wirtualnych

Po utworzeniu menedżera sieci wirtualnej utworzysz grupę sieci zawierającą wszystkie sieci wirtualne w organizacji i ręcznie dodasz wszystkie sieci wirtualne.

1. Wybierz pozycję Grupy sieciowe w obszarze Ustawienia.
2. Wybierz pozycję + Utwórz, wprowadź nazwę grupy sieciowej, a następnie wybierz pozycję Dodaj.
3. Na stronie Grupy sieciowe wybierz utworzoną grupę sieciową.
4. Wybierz pozycję Dodaj, w obszarze Członkostwo statyczne, aby ręcznie dodać wszystkie sieci wirtualne.
5. Na stronie Dodawanie statycznych elementów członkowskich wybierz wszystkie sieci wirtualne, które chcesz uwzględnić, a następnie wybierz pozycję Dodaj.

Tworzenie konfiguracji administratora zabezpieczeń dla wszystkich sieci wirtualnych

Nadszedł czas, aby utworzyć reguły administratora zabezpieczeń w ramach konfiguracji, aby zastosować te reguły do wszystkich sieci wirtualnych w grupie sieciowej jednocześnie. W tej sekcji utworzysz konfigurację administratora zabezpieczeń. Następnie utworzysz kolekcję reguł i dodasz reguły dla portów o wysokim ryzyku, takich jak SSH lub RDP. Ta konfiguracja blokuje ruch sieciowy do wszystkich sieci wirtualnych w grupie sieci.

1. Wróć do zasobu menedżera sieci wirtualnej.
2. Wybierz pozycję Konfiguracje w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz.
3. Wybierz pozycję Konfiguracja zabezpieczeń z menu rozwijanego.
4. Na karcie Podstawy wprowadź nazwę, aby zidentyfikować tę konfigurację zabezpieczeń, a następnie wybierz pozycję Dalej: kolekcje reguł.
5. Wybierz pozycję + Dodaj na stronie Dodawanie konfiguracji zabezpieczeń.
6. Wprowadź nazwę, aby zidentyfikować tę kolekcję reguł, a następnie wybierz grupy sieci docelowej, do których chcesz zastosować zestaw reguł. Grupa docelowa to grupa sieci zawierająca wszystkie sieci wirtualne.

Dodawanie reguły zabezpieczeń do odmowy ruchu sieciowego wysokiego ryzyka

W tej sekcji zdefiniujesz regułę zabezpieczeń, aby zablokować ruch sieciowy wysokiego ryzyka do wszystkich sieci wirtualnych. Podczas przypisywania priorytetu należy pamiętać o przyszłych regułach wyjątków. Ustaw priorytet tak, aby reguły wyjątków były stosowane względem tej reguły.

1. Wybierz pozycję + Dodaj w obszarze Reguły administratora zabezpieczeń.

2. Wprowadź informacje potrzebne do zdefiniowania reguły zabezpieczeń, a następnie wybierz pozycję Dodaj , aby dodać regułę do kolekcji reguł.

   Ustawienie	Wartość
   Nazwisko	Wprowadź nazwę reguły.
   opis	Wprowadź opis reguły.
   Priorytet*	Wprowadź wartość z zakresu od 1 do 4096, aby określić priorytet reguły. Im niższa wartość, tym wyższy priorytet.
   Akcja*	Wybierz pozycję Odmów , aby zablokować ruch. Aby uzyskać więcej informacji, zobacz Akcja
   Kierunek*	Wybierz pozycję Ruch przychodzący , ponieważ chcesz odmówić ruchu przychodzącego za pomocą tej reguły.
   Protokół*	Wybierz protokół sieciowy dla portu.
   Source
   Source type	Wybierz typ źródłowy adresu IP lub tagów usługi.
   Źródłowe adresy IP	To pole jest wyświetlane po wybraniu typu źródłowego adresu IP. Wprowadź adres IPv4 lub IPv6 lub zakres przy użyciu notacji CIDR. Podczas definiowania więcej niż jednego adresu lub bloków adresów oddzielnie przy użyciu przecinka. Pozostaw wartość pustą dla tego przykładu.
   Tag usługi źródłowej	To pole jest wyświetlane po wybraniu typu źródłowego tagu Usługi. Wybierz tagi usługi dla usług, które chcesz określić jako źródło. Aby uzyskać listę obsługiwanych tagów, zobacz Dostępne tagi usługi.
   Port źródłowy	Wprowadź numer pojedynczego portu lub zakres portów, taki jak (1024-65535). Podczas definiowania więcej niż jednego portu lub zakresów portów rozdziel je przecinkami. Aby określić dowolny port, wprowadź *. Pozostaw wartość pustą dla tego przykładu.
   Lokalizacja docelowa
   Typ docelowy	Wybierz typ docelowy adresu IP lub tagów usługi.
   Docelowe adresy IP	To pole jest wyświetlane po wybraniu docelowego typu adresu IP. Wprowadź adres IPv4 lub IPv6 lub zakres przy użyciu notacji CIDR. Podczas definiowania więcej niż jednego adresu lub bloków adresów oddzielnie przy użyciu przecinka.
   Docelowy tag usługi	To pole jest wyświetlane po wybraniu typu docelowego tagu usługi. Wybierz tagi usług dla usług, które chcesz określić jako miejsce docelowe. Aby uzyskać listę obsługiwanych tagów, zobacz Dostępne tagi usługi.
   Port docelowy	Wprowadź numer pojedynczego portu lub zakres portów, taki jak (1024-65535). Podczas definiowania więcej niż jednego portu lub zakresów portów rozdziel je przecinkami. Aby określić dowolny port, wprowadź *. W tym przykładzie wprowadź wartość 3389 .

3. Powtórz ponownie kroki od 1 do 3, jeśli chcesz dodać więcej reguł do kolekcji reguł.

4. Po spełnieniu wszystkich reguł, które chcesz utworzyć, wybierz pozycję Dodaj , aby dodać kolekcję reguł do konfiguracji administratora zabezpieczeń.

5. Następnie wybierz pozycję Przejrzyj i utwórz, aby ukończyć konfigurację zabezpieczeń.

Wdrażanie konfiguracji administratora zabezpieczeń na potrzeby blokowania ruchu sieciowego

W tej sekcji reguły utworzone zostaną zastosowane podczas wdrażania konfiguracji administratora zabezpieczeń.

1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfigurację.
2. Zaznacz pole wyboru Dołącz administratora zabezpieczeń do stanu celu i wybierz konfigurację zabezpieczeń utworzoną w ostatniej sekcji z menu rozwijanego. Następnie wybierz regiony, do których chcesz wdrożyć tę konfigurację.
3. Wybierz pozycję Dalej i Wdróż , aby wdrożyć konfigurację administratora zabezpieczeń.

Tworzenie grupy sieciowej dla reguły wyjątku ruchu

W przypadku zablokowania ruchu we wszystkich sieciach wirtualnych potrzebny jest wyjątek umożliwiający ruch do określonych sieci wirtualnych. Należy utworzyć grupę sieciową specjalnie dla sieci wirtualnych wymagających wykluczenia z innej reguły administratora zabezpieczeń.

1. W menedżerze sieci wirtualnej wybierz pozycję Grupy sieciowe w obszarze Ustawienia.
2. Wybierz pozycję + Utwórz, wprowadź nazwę grupy sieci aplikacji, a następnie wybierz pozycję Dodaj.
3. W obszarze Zdefiniuj członkostwo dynamiczne wybierz pozycję Zdefiniuj.
4. Wprowadź lub wybierz wartości, aby zezwolić na ruch do sieci wirtualnej aplikacji.
5. Wybierz pozycję Zasoby w wersji zapoznawczej , aby przejrzeć uwzględnione obowiązujące sieci wirtualne, a następnie wybierz pozycję Zamknij.
6. Wybierz pozycję Zapisz.

Tworzenie reguły i kolekcji administratora zabezpieczeń wyjątku ruchu

W tej sekcji utworzysz nową kolekcję reguł i regułę administratora zabezpieczeń, która zezwala na ruch o wysokim ryzyku do podzbioru sieci wirtualnych zdefiniowanych jako wyjątki. Następnie należy dodać go do istniejącej konfiguracji administratora zabezpieczeń.

Ważne

Aby reguła administratora zabezpieczeń zezwalała na ruch do sieci wirtualnych aplikacji, priorytet musi być ustawiony na niższą liczbę niż istniejące reguły blokujące ruch.

Na przykład cała reguła sieci blokująca protokół SSH ma priorytet 10 , więc reguła zezwalania powinna mieć priorytet od 1 do 9.

1. W menedżerze sieci wirtualnej wybierz pozycję Konfiguracje i wybierz konfigurację zabezpieczeń.
2. Wybierz pozycję Kolekcje reguł w obszarze Ustawienia, a następnie wybierz pozycję + Utwórz , aby utworzyć nową kolekcję reguł.
3. Na stronie Dodawanie kolekcji reguł wprowadź nazwę kolekcji reguł aplikacji i wybierz utworzoną grupę sieci aplikacji.
4. W obszarze Reguły administratora zabezpieczeń wybierz pozycję + Dodaj.
5. Wprowadź lub wybierz wartości, aby zezwolić na określony ruch sieciowy do grupy sieci aplikacji, a następnie wybierz pozycję Dodaj po zakończeniu.
6. Powtórz proces dodawania reguły dla całego ruchu wymagającego wyjątku.
7. Wybierz Zapisz, gdy skończysz.

Ponowne wdrażanie konfiguracji administratora zabezpieczeń z regułą wyjątku

Aby zastosować nową kolekcję reguł, należy ponownie wdrożyć konfigurację administratora zabezpieczeń, ponieważ została ona zmodyfikowana przez dodanie kolekcji reguł.

1. W menedżerze sieci wirtualnej wybierz pozycję Konfiguracje.
2. Wybierz konfigurację administratora zabezpieczeń i wybierz pozycję Wdróż
3. Na stronie Wdrażanie konfiguracji wybierz wszystkie regiony docelowe odbierające wdrożenie i
4. Wybierz pozycję Dalej i Wdróż.

Następne kroki

• Dowiedz się, jak utworzyć topologię sieci siatki za pomocą usługi Azure Virtual Network Manager przy użyciu witryny Azure Portal

• Zapoznaj się z często zadawanymi pytaniami w usłudze Azure Virtual Network Manager