Развертывание групп безопасности сети с помощью портала Azure

Завершено

Группа безопасности сети (NSG) позволяет фильтровать входящий и исходящий сетевой трафик ресурсов Azure в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий сетевой трафик нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.

Правила безопасности NSG

Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure. Каждое правило имеет эти свойства.

• Имя. Должно быть уникальным именем в группе безопасности сети.
• Приоритет. Может быть любое число от 100 до 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет. Если показатель трафика соответствует установленному в правиле, обработка останавливается. а
• Источник или назначение. Можно задать значение Any или отдельный IP-адрес или блок маршрутизации между доменами (CIDR) (10.0.0.0.0/24, например), тег службы или группу безопасности приложений.
• Протокол. Может быть TCP, UDP, ICMP, ESP, AH или Any.
• Направление. Можно настроить применение для входящего или исходящего трафика.
• Диапазон портов. Можно указать как отдельный порт, так и диапазон портов. Например, вы можете указать 80 или 10000–10005. Если указать диапазон, можно создавать меньше правил безопасности.
• Действие. Можно настроить разрешение или запретить.

Брандмауэр оценивает правила с помощью исходного, исходного порта, назначения, порта назначения и протокола.

Правила безопасности по умолчанию

Azure создает эти правила по умолчанию.

Направление	Имя	Приоритет	Источник	Исходные порты	Назначение	Порты назначения	Протокол	Открыть
Входящий трафик	AllowVNetInBound	65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	Любое	Разрешить
Входящий трафик	AllowAzureLoadBalancerInBound	65001	AzureLoadBalancer	0-65535	0.0.0.0/0	0-65535	Любое	Разрешить
Входящий трафик	DenyAllInbound	65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	Любой	Запрет
Исходящие	AllowVnetOutBound	65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	Любое	Разрешить
Исходящие	AllowInternetOutBound	65001	0.0.0.0/0	0-65535	Internet	0-65535	Любое	Разрешить
Исходящие	DenyAllOutBound	65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	Любой	Запрет

На этой схеме и точках маркеров показаны различные сценарии развертывания групп безопасности сети.

Для входящего трафика Azure обрабатывает правила в группе безопасности сети, связанной с подсетью, сначала, если есть одна, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если есть один.

• VM1: Subnet1 связан с NSG1, поэтому правила безопасности обрабатываются, а vm1 — в Subnet1. Если вы не создали правило, разрешающее входящий порт 80, DenyAllInbound правило безопасности по умолчанию запрещает трафик и никогда не оценивается NSG2, так как NSG2 связана с сетевым интерфейсом. Если NSG1 имеет правило безопасности, разрешающее порт 80, NSG2 обрабатывает трафик. Чтобы разрешить трафик к виртуальной машине через порт 80, в NSG1 и NSG2 должно быть правило, разрешающее трафик из Интернета через порт 80.
• VM2: правила в NSG1 обрабатываются, так как vm2 также находится в Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1. Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.
• VM3: так как нет группы Subnet2безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, так как NSG2 связан с сетевым интерфейсом, подключенным к VM3.
• VM4: трафик разрешен виртуальной машине 4, так как группа безопасности сети не связана Subnet3или сетевой интерфейс в виртуальной машине. Весь трафик пропускается через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.

Для исходящего трафика Azure обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, сначала, если есть один, а затем правила в группе безопасности сети, связанной с подсетью, если есть.

• VM1 — обрабатываются правила безопасности в NSG2. Если вы не создадите правило безопасности, которое запрещает исходящий порт 80 в Интернет, правило безопасности AllowInternetOutbound по умолчанию разрешает трафик в NSG1 и NSG2. Если NSG2 имеет правило безопасности, которое запрещает порт 80, трафик отклоняется, а NSG1 никогда не оценивает его. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.
• VM2: весь трафик отправляется через сетевой интерфейс в подсеть, так как сетевой интерфейс, подключенный к VM2, не связан с ней группа безопасности сети. Обрабатываются правила в NSG1.
• VM3 — если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещается. Если NSG2 имеет правило безопасности, разрешающее порт 80, порт 80 разрешен исходящий трафик в Интернет, так как группа безопасности сети не связана Subnet2.
• VM4: весь сетевой трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине, или к Subnet3.

Группы безопасности приложений

С помощью группы безопасности приложений (ASG) можно настроить безопасность сети как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную. Платформа сама обрабатывает явные IP-адреса и множество наборов правил, позволяя вам сосредоточиться на бизнес-логике.

Чтобы свести к минимуму количество необходимых правил безопасности, создайте правила с помощью тегов служб или групп безопасности приложений. Избегайте правил с отдельными IP-адресами или диапазонами IP-адресов.

Фильтрация сетевого трафика с помощью группы безопасности сети с использованием портала Azure

Вы можете отфильтровать входящий и исходящий трафик в подсети виртуальной сети с помощью группы безопасности сети. Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Правила безопасности применяются к ресурсам, развернутым в подсети.

Основные этапы фильтрации сетевого трафика с помощью группы безопасности сети:

1. Создать группу ресурсов.
2. Создайте виртуальную сеть.
3. Создайте группы безопасности приложений.
4. Создайте группу безопасности сети.
5. Свяжите группу безопасности сети с подсетью.
6. Создайте правила безопасности.
7. Связывание сетевых адаптеров с ASG.
8. Тестирование фильтров трафика.

Подробные инструкции по выполнению всех этих задач см. в статье Учебник. Фильтрация сетевого трафика с помощью групп безопасности сети на портале Azure.

Проверьте свои знания

1.

Каков принцип создания конфигураций безопасности?

Запретить по умолчанию, разрешать по исключению.

Запретить определенные, разрешить все.

Разрешение всех, мониторинг и запрет по мере необходимости.

2.

Что такое правило безопасности NSG по умолчанию?

AllowAllInbound.

DenyVnetOutBound.

AllowInternetOutBound.

Вы должны ответить на все вопросы перед проверкой.