Описание групп безопасности сети Azure

  • 6 мин

Группы безопасности сети (NSG) позволяют фильтровать сетевой трафик в ресурсы Azure (например, ВM) и из них в виртуальной сети Azure. NSG состоит из правил, определяющих фильтрацию трафика. Вы можете связать не более одной группы безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине. При этом одна и та же группа безопасности сети может быть связана с любым количеством различных подсетей и сетевых интерфейсов.

На следующей схеме можно увидеть виртуальную сеть Azure с двумя подсетями, подключенными к Интернету, и каждая подсеть имеет виртуальную машину. Подсети 1 назначена NSG, фильтрующей входящий и исходящий доступ к VM1, которым требуется более высокий уровень доступа. В отличие от этого, VM2 может представлять собой общедоступный компьютер, который не требует NSG.

Diagram showing a simplified virtual network with two subnets each with a dedicated virtual machine resource, the first subnet has a network security group and the second subnet doesn't.

Правила безопасности для входящего и исходящего трафика

Группа NSG содержит правила безопасности для входящего и исходящего трафика. Правила безопасности групп безопасности сети оцениваются по приоритету на основе пяти элементов (источник, порт источника, назначение, порт назначения и протокол), чтобы разрешить или запретить трафик. По умолчанию Azure создает ряд правил с тремя правилами входящего и тремя правилами исходящего трафика для обеспечения базового уровня безопасности. Правила по умолчанию нельзя удалить, но можно переопределить, создав новые правила с более высоким приоритетом.

Каждое правило указывает одно или несколько из следующих свойств:

  • Имя: каждое правило NSG должно иметь уникальное имя, описывающее его назначение. Например, AdminAccessOnlyFilter.
  • Приоритет. Правила обрабатываются в порядке приоритета, при этом правила с более низким приоритетом обрабатываются перед правилами с более высоким приоритетом. Когда трафик соответствует правилу, обработка останавливается. Это означает, что любые другие правила с более низким приоритетом (большее число) не будут обработаны.
  • Источник или назначение: укажите либо отдельный IP-адрес, либо диапазон IP-адресов, тег службы (группу префиксов IP-адресов из данной службы Azure) или группу безопасности приложений. Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности.
  • Протокол: какой сетевой протокол будет проверять правило? Это может быть любой из следующих протоколов: TCP, UDP, ICMP или Any.
  • Направление: следует ли применять правило к входящему или исходящему трафику.
  • Диапазон портов: можно указать отдельный порт или диапазон портов. Указание диапазона обеспечивает большую эффективность при создании правил безопасности.
  • Действие: наконец, необходимо решить, что произойдет при активации этого правила.

Снимок экрана, на котором показаны правила входящего трафика по умолчанию и исходящий трафик, которые включены во все группы безопасности сети.

Screenshot showing the default inbound and outbound rules for an Azure network security group.

Описания правил входящего трафика по умолчанию приведены следующим образом:

  • AllowVNetInBound — правило AllowVNetInBound обрабатывается сначала, так как оно имеет наименьшее значение приоритета. Не забывайте, что сначала обрабатываются правила с наименьшим приоритетом. Это правило позволяет трафику из источника с тегом службы VirtualNetwork в место назначения с тегом службы VirtualNetwork на любом порту, используя любой протокол. Если для этого правила найдено совпадение, другие правила не обрабатываются. Если совпадение не найдено, то будет обработано следующее правило.

  • AllowAzureLoadBalancerInBound — правило AllowAzureLoadBalancerInBound обрабатывается вторым, так как его значение приоритета выше правила AllowVNetInBound. Это правило позволяет трафику из источника с тегом службы AzureLoadBalancer в место назначения с тегом службы AzureLoadBalancer на любом порту на любой IP-адрес любого порта, используя любой протокол. Если для этого правила найдено совпадение, другие правила не обрабатываются. Если совпадение не найдено, то будет обработано следующее правило.

  • DenyAllInBound — последнее правило в этом NSG — это правило DenyAllInBound. Это правило запрещает весь трафик из любого порта любого исходного IP-адреса на любой порт любого другого IP-адреса, используя любой протокол.

В итоге любая подсеть виртуальной сети или сетевой интерфейс карта, которой назначена эта группа безопасности сети, разрешает только входящий трафик из azure виртуальная сеть или подсистемы балансировки нагрузки Azure (как определено соответствующими тегами службы). Весь остальной входящий трафик запрещен. Правила по умолчанию нельзя удалить, но можно переопределить, создав новые правила с более высоким приоритетом (значение приоритета ниже).

Какова разница между группами безопасности сети (NSG) и службой "Брандмауэр Azure"?

Теперь, узнав о группах безопасности сети и Брандмауэре Azure, вы, вероятно, задались вопросом, чем они отличаются, — ведь обе службы защищают ресурсы виртуальной сети. Служба "Брандмауэр Azure" дополняет функции группы безопасности сети. Вместе эти два компонента обеспечивают эшелонированную защиту сети. Группы безопасности сети обеспечивают фильтрацию распределенного трафика на уровне сети для ограничения трафика между ресурсами внутри виртуальных сетей в каждой подписке. Брандмауэр Azure — это централизованный сетевой брандмауэр с полным отслеживанием состояния, который предоставляется как услуга и обеспечивает защиту на уровне сети и приложений для множества различных подписок и виртуальных сетей.