إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
في هذه المقالة، ستتعرف على قواعد مسؤول الأمان في Azure Virtual Network Manager. استخدم قواعد إدارة الأمان لتعريف قواعد أمان الشبكة العالمية التي تنطبق على جميع الشبكات الافتراضية داخل مجموعة الشبكة. يمكنك التعرف على قواعد مسؤول الأمان وكيفية عملها ومتى تستخدمها.
ما هي قاعدة مسؤول الأمان؟
قواعد مسؤول الأمان هي قواعد أمان الشبكة العمومية التي تفرض نهج الأمان المحددة في مجموعة القواعد على الشبكات الظاهرية. استخدم هذه القواعد للسماح، أو السماح دائما، أو رفض حركة المرور عبر الشبكات الافتراضية ضمن مجموعات الشبكة المستهدفة. يمكن أن تتكون مجموعات الشبكة هذه فقط من شبكات ظاهرية ضمن نطاق مثيل إدارة الشبكة الظاهرية. لا يمكن تطبيق قواعد مسؤول الأمان على الشبكات الظاهرية التي لا يديرها مدير شبكة ظاهرية.
إليك بعض السيناريوهات التي يمكنك من خلالها استخدام قواعد إدارة الأمن:
| السيناريو | الوصف |
|---|---|
| تقييد الوصول إلى منافذ الشبكة عالية المخاطر | استخدم قواعد إدارة الأمان لحجب حركة المرور على منافذ محددة غالبا ما يستهدفها المهاجمون، مثل المنفذ 3389 لبروتوكول سطح المكتب البعيد (RDP) أو المنفذ 22 لبروتوكول Secure Shell (SSH). |
| فرض متطلبات التوافق | استخدم قواعد إدارة الأمن لتطبيق متطلبات الامتثال. على سبيل المثال، حظر حركة المرور إلى أو من عناوين IP محددة أو كتل الشبكة. |
| حماية البيانات الحساسة | استخدم قواعد إدارة الأمان لتقييد الوصول إلى البيانات الحساسة عن طريق حجب حركة المرور إلى أو من عناوين IP أو شبكات فرعية محددة. |
| فرض تجزئة الشبكة | استخدم قواعد إدارة الأمان لفرض تقسيم الشبكة عن طريق حجب حركة المرور بين الشبكات الافتراضية أو الشبكات الفرعية. |
| فرض الأمان على مستوى التطبيق | استخدم قواعد إدارة الأمان لفرض أمان على مستوى التطبيق عن طريق حجب حركة المرور إلى أو إلى تطبيقات أو خدمات محددة. |
باستخدام Azure Virtual Network Manager، لديك موقع مركزي لإدارة قواعد إدارة الأمان. تتيح لك المركزية تحديد نهج الأمان على نطاق واسع وتطبيقها على شبكات ظاهرية متعددة في وقت واحد.
إشعار
حاليا، لا تنطبق قواعد مسؤول الأمان على نقاط النهاية الخاصة التي تقع ضمن نطاق شبكة ظاهرية مدارة.
كيف تعمل قواعد إدارة الأمان
تسمح قواعد إدارة الأمان أو تمنع حركة المرور على منافذ محددة، بروتوكولات، وبادئات IP المصدر أو الوجهة في اتجاه محدد. عند تعريف قاعدة مسؤول الأمان، حدد الشروط التالية:
- أولوية القاعدة
- الإجراء الذي يجب اتخاذه (السماح أو الإنكار أو السماح دائما)
- اتجاه حركة المرور (الواردة أو الصادرة)
- البروتوكول الذي يجب استخدامه
لتطبيق سياسات الأمان عبر شبكات افتراضية متعددة، قم بإنشاء ونشر تكوين مسؤول الأمان. يحتوي هذا التكوين على مجموعة من مجموعات القواعد، وتحتوي كل مجموعة قواعد على قاعدة واحدة أو أكثر من قواعد مسؤول الأمان. بمجرد الإنشاء، قم بربط مجموعة القواعد بمجموعات الشبكة التي تتطلب قواعد إدارة الأمان. تنطبق القواعد على جميع الشبكات الافتراضية الموجودة في مجموعات الشبكة عند نشر التكوين. يوفر التكوين الفردي فرضا مركزيا وقابلا للتطوير لنهج الأمان عبر شبكات ظاهرية متعددة.
هام
يمكنك نشر تكوين مسؤول أمان واحد فقط إلى منطقة. ومع ذلك، يمكن أن توجد تكوينات اتصال متعددة في منطقة. لنشر عدة تكوينات مسؤول أمان في منطقة معينة، قم بإنشاء مجموعات قواعد متعددة في تكوين أمني بدلا من ذلك.
كيفية تقييم قواعد مسؤول الأمان ومجموعات أمان الشبكة (NSGs)
يمكنك استخدام قواعد إدارة الأمن ومجموعات أمن الشبكات (NSGs) لتطبيق سياسات أمن الشبكة في Azure. ومع ذلك، لكل منهما نطاقات وأولويات مختلفة.
يستخدم مسؤولو الشبكات في فريق الحوكمة المركزي قواعد إدارة الأمن. يمكن لفرق التطبيقات أو الخدمات الفردية تحديد الأمان حسب الحاجة باستخدام NSGs. قواعد مسؤول الأمان لها أولوية أعلى من NSGs ويتم تقييمها قبل قواعد NSG.
تستخدم فرق التطبيقات أو الخدمات الفردية NSG لتصفية حركة مرور الشبكة من وإلى الشبكات الفرعية الفردية أو واجهات الشبكة. NSGs لها أولوية أقل من قواعد مسؤول الأمان ويتم تقييمها بعد قواعد مسؤول الأمان.
حاليا، تطبق قواعد إدارة الأمان على مستوى الشبكة الافتراضية. يمكنك ربط مجموعات أمن الشبكة على مستوى الشبكة الفرعية وشبكة الشبكة. يوضح هذا الجدول هذه الاختلافات والتشابهات:
| نوع القاعدة | الجماعة المستهدفة | مطبق على | ترتيب التقييم | أنواع الإجراءات | البارامترات |
|---|---|---|---|---|---|
| قواعد مسؤول الأمان | مسؤولو الشبكة، فريق الحوكمة المركزية | الشبكات الظاهرية | أولوية أعلى | السماح، الرفض، السماح دائما | الأولوية، البروتوكول، الإجراء، المصدر، الوجهة |
| قواعد مجموعة أمان الشبكة | فرق فردية | الشبكات الفرعية وNIC | أولوية أقل، بعد قواعد مسؤول الأمان | السماح، الرفض | الأولوية، البروتوكول، الإجراء، المصدر، الوجهة |
يمكن لقواعد مسؤول الأمان تنفيذ ثلاثة إجراءات على حركة المرور: السماح والسماح دائما والرفض. عندما تنشئ قاعدة السماح (Permit rule)، يتم تقييمها أولا، ثم قواعد مجموعة أمن الشبكات. يسمح هذا الإجراء لقواعد مجموعة أمان الشبكة بمعالجة نسبة استخدام الشبكة بشكل مختلف إذا لزم الأمر.
إذا أنشأت قاعدة السماح أو الرفض دائما، ينتهي تقييم حركة المرور بعد تقييم قاعدة مسؤول الأمن. باستخدام قاعدة السماح دائما، تنتقل نسبة استخدام الشبكة مباشرة إلى المورد وتنهي المزيد من التقييم (وربما المتعارض) بواسطة قواعد NSG. يمكن أن يكون هذا الإجراء مفيدا لفرض حركة المرور ومنع الرفض بواسطة قواعد مجموعة أمان الشبكة. وفقا لقاعدة الرفض ، يتوقف المرور دون أن يتم تسليمه إلى الوجهة. قواعد إدارة الأمن لا تعتمد على NSG، لذا يمكنك استخدامها لإنشاء قواعد أمان افتراضية بمفردها.
باستخدام قواعد إدارة الأمن وقواعد NSG معا، يمكنك تطبيق سياسات أمن الشبكة على المستويين العالمي والفردية. يضمن هذا النهج أن تكون شبكاتك الافتراضية آمنة ومتوافقة مع سياسات الأمان الخاصة بمؤسستك.
هام
عند نشر قواعد إدارة الأمان، يتم استخدام نموذج الاتساق النهائي. هذا النموذج يعني أن قواعد إدارة الأمان تطبق في النهاية على الموارد الموجودة في الشبكة الافتراضية بعد تأخير قصير. إذا أضفت موارد إلى شبكة افتراضية تحتوي على قواعد إدارة الأمان، فإن تلك الموارد تتلقى في النهاية نفس قواعد إدارة الأمان مع تأخير.
فوائد قواعد مسؤول الأمان
توفر قواعد مسؤول الأمان العديد من الفوائد لتأمين موارد مؤسستك. باستخدام قواعد مسؤول الأمان، يمكنك فرض نسبة استخدام الشبكة المسموح بها ومنع الرفض من خلال قواعد مجموعة أمان الشبكة المتعارضة. يمكنك أيضا إنشاء قواعد مسؤول الأمان الافتراضية التي لا تعتمد على مجموعات أمان الشبكة للوجود. يمكن أن تكون هذه القواعد الافتراضية مفيدة بشكل خاص عندما يخطئ مالكو التطبيقات في تكوين مجموعات أمان الشبكة أو نسيانها. بالإضافة إلى ذلك، توفر قواعد مسؤول الأمان طريقة لإدارة الأمان على نطاق واسع، ما يقلل من الحمل التشغيلي الذي يأتي مع عدد متزايد من موارد الشبكة.
حماية المنافذ عالية المخاطر
استنادا إلى دراسة الصناعة واقتراحات مايكروسوفت، قم بتقييد حركة المرور من الخارج باستخدام قواعد إدارة الأمان لهذه القائمة من المنافذ عالية الخطورة. غالبا ما تستخدم هذه المنافذ لإدارة الموارد أو نقل البيانات غير الآمن وغير المشفر ولا ينبغي تعريضها للإنترنت. ومع ذلك، تحتاج بعض الشبكات الافتراضية ومواردها إلى السماح بحركة المرور للإدارة أو العمليات الأخرى. يمكنك إنشاء استثناءات عند الحاجة. تعلم كيفية حجب المنافذ عالية الخطورة مع استثناءات في مثل هذه السيناريوهات.
| منفذ | البروتوكول | الوصف |
|---|---|---|
| 20 | TCP | حركة مرور FTP غير المشفرة |
| 21 | TCP | حركة مرور FTP غير المشفرة |
| 22 | TCP | ssh. هجمات القوة الغاشمة المحتملة |
| 23 | TCP | يسمح TFTP بحركة مرور غير مصدقة وغير مشفرة |
| 69 | بروتوكول مخطط بيانات المستخدم | يسمح TFTP بحركة مرور غير مصدقة وغير مشفرة |
| 111 | TCP/UDP | RPC. المصادقة غير المشفرة المسموح بها |
| 119 | TCP | NNTP للمصادقة غير المشفرة |
| 135 | TCP/UDP | End Point Mapper، خدمات إدارة متعددة عن بعد |
| 161 | TCP | SNMP للمصادقة غير الآمنة / بدون مصادقة |
| 162 | TCP/UDP | SNMP Trap - غير آمن / لا توجد مصادقة |
| 445 | TCP | SMB - متجه هجوم معروف |
| 512 | TCP | Rexec على Linux - الأوامر البعيدة دون مصادقة التشفير |
| 514 | TCP | Remote Shell - الأوامر البعيدة دون مصادقة أو تشفير |
| 593 | TCP/UDP | HTTP RPC EPMAP - استدعاء إجراء عن بعد غير مشفر |
| 873 | TCP | Rsync - نقل الملفات غير المشفرة |
| 2049 | TCP/UDP | نظام ملف الشبكة |
| 3389 | TCP | RDP - منفذ هجوم القوة الغاشمة الشائع |
| 5800 | TCP | المخزن المؤقت للإطار البعيد VNC عبر HTTP |
| 5900 | TCP | المخزن المؤقت للإطار البعيد VNC عبر HTTP |
| 11211 | بروتوكول مخطط بيانات المستخدم | Memcached |
الإدارة عند تغيير السعة
يوفر Azure Virtual Network Manager طريقة لإدارة سياسات الأمان على نطاق واسع باستخدام قواعد إدارة الأمان. عند تطبيق إعداد مسؤول أمني على مجموعة شبكة، تستقبل جميع الشبكات الافتراضية ومواردها الموجودة في نطاق مجموعة الشبكة قواعد إدارة الأمان في السياسة.
تتم حماية الموارد الجديدة جنبا إلى جنب مع الموارد الموجودة. على سبيل المثال، إذا أضفت أجهزة ظاهرية جديدة إلى شبكة ظاهرية في نطاق قاعدة مسؤول الأمان، يتم تأمين الأجهزة الظاهرية تلقائيا أيضا. بعد فترة وجيزة من نشر هذه الأجهزة الافتراضية، تحميها قواعد إدارة الأمان.
عندما تحدد مخاطر أمنية جديدة، يمكنك نشر الحماية على نطاق واسع من خلال إنشاء قاعدة إدارة أمان للحماية من المخاطر الجديدة وتطبيقها على مجموعات الشبكة الخاصة بك. بمجرد نشر هذه القاعدة الجديدة، تحمي جميع الموارد ضمن نطاق مجموعات الشبكة الآن وفي المستقبل.
عدم تطبيق قواعد مسؤول الأمان
في معظم الحالات، تنطبق قواعد مسؤول الأمان على جميع الشبكات الظاهرية والشبكات الفرعية ضمن نطاق تكوين الأمان المطبق لمجموعة الشبكة. ومع ذلك، بعض الخدمات لا تطبق قواعد إدارة الأمان بسبب متطلبات الشبكة الخاصة بالخدمة. سياسة نية الشبكة في الخدمة تفرض هذه المتطلبات.
عدم تطبيق قواعد مسؤول الأمان على مستوى الشبكة الظاهرية
بشكل افتراضي، لا يتم تطبيق قواعد مسؤول الأمان على شبكة ظاهرية تحتوي على الخدمات التالية:
- مثيلات Azure SQL المدارة
- Azure Databricks
يمكنك طلب تمكين Azure Virtual Network Manager لتطبيق قواعد مسؤول الأمان على الشبكات الظاهرية باستخدام هذه الخدمات عن طريق إرسال طلب باستخدام هذا النموذج.
عندما تحتوي شبكة ظاهرية على هذه الخدمات، تتخطى قواعد مسؤول الأمان هذه الشبكة الظاهرية. إذا كنت تريد تطبيق السماح بالقواعد على هذه الشبكة الظاهرية، يمكنك إنشاء تكوين الأمان الخاص بك باستخدام AllowRulesOnly الحقل المعين في فئة securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices.NET. عند التعيين، يتم تطبيق السماح بالقواعد في تكوين الأمان فقط على هذه الشبكة الظاهرية.
لا يتم تطبيق قواعد الرفض على هذه الشبكة الظاهرية. يمكن أن تستمر الشبكات الظاهرية بدون هذه الخدمات في استخدام قواعد السماح والرفض.
يمكنك إنشاء تكوين أمني باستخدام قواعد السماح فقط ونشره على شبكاتك الافتراضية باستخدام Azure PowerShell و Azure CLI.
إشعار
عندما تطبق مثيلات Azure Virtual Network Manager المتعددة إعدادات مختلفة في securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices الفئة على نفس الشبكة الظاهرية، يتم استخدام إعداد مثيل إدارة الشبكة ذي النطاق الأعلى.
لنفترض أن لديك مديرين للشبكة الظاهرية. مدير الشبكة الأول مخصص لمجموعة إدارة الجذر ويحتوي على تكوين أمني مضبوط على AllowRulesOnly في الفئة securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices . يتم تحديد نطاق مدير الشبكة الظاهرية الثاني إلى اشتراك ضمن مجموعة إدارة الجذر ويستخدم الحقل الافتراضي None في تكوين الأمان الخاص به. عندما يطبق كلا التكوينين قواعد مسؤول الأمان على نفس الشبكة الظاهرية، يتم تطبيق إعداد AllowRulesOnly على الشبكة الظاهرية.
عدم تطبيق قواعد مسؤول الأمان على مستوى الشبكة الفرعية
وبالمثل، بعض الخدمات لا تطبق قواعد إدارة الأمان على مستوى الشبكة الفرعية عندما تكون الشبكات الافتراضية ضمن نطاق تكوين مسؤول الأمن. وتشمل هذه الخدمات ما يلي:
- Azure Application Gateway
- Azure Bastion
- Azure Firewall
- Azure Route Server
- بوابة Azure VPN
- WAN ظاهرية
- بوابة Azure ExpressRoute
في هذه الحالة، لا تؤثر قواعد مسؤول الأمان على الموارد الموجودة في الشبكة الفرعية مع هذه الخدمات. ومع ذلك، الشبكات الفرعية الأخرى داخل نفس الشبكة الظاهرية لديها قواعد مسؤول الأمان المطبقة عليها.
إشعار
إذا كنت ترغب في تطبيق قواعد مسؤول الأمان على الشبكات الفرعية التي تحتوي على بوابة تطبيق Azure، فتأكد من أن كل شبكة فرعية تحتوي فقط على بوابات تم توفيرها مع تمكين عزل الشبكة. إذا كانت الشبكة الفرعية تحتوي على بوابة تطبيق Azure دون عزل الشبكة، فلا يتم تطبيق قواعد مسؤول الأمان على هذه الشبكة الفرعية.
حقول مسؤول الأمان
عند تعريف قاعدة مسؤول الأمان، هناك حقول مطلوبة واختيارية.
الحقول المطلوبة
أولوية
أولوية قاعدة مسؤول الأمان هي عدد صحيح بين 1 و4,096. كلما كانت القيمة أقل، زادت أولوية القاعدة. على سبيل المثال، تتجاوز قاعدة الرفض ذات الأولوية 10 قاعدة السماح ذات الأولوية 20.
فعل
يمكنك تحديد أحد الإجراءات الثلاثة لقاعدة أمان:
| الإجراء | الوصف |
|---|---|
| السماح | يسمح بحركة المرور على المنفذ والبروتوكول وبادئات IP المصدر/الوجهة المحددة في الاتجاه المحدد. |
| Deny | يمنع حركة المرور على المنفذ المحدد، والبروتوكول، وبادئات IP المصدر/الوجهة في الاتجاه المحدد. |
| السماح دائما | بغض النظر عن القواعد الأخرى التي تحتوي على مجموعات أمان شبكة ذات أولوية أقل أو معرفة من قبل المستخدم، يسمح بحركة المرور على المنفذ المحدد، والبروتوكول، وبادئات IP المصدر/الوجهة في الاتجاه المحدد. |
الاتجاه
حدد اتجاه حركة المرور الذي تنطبق عليه القاعدة. يمكنك تحديد إما الواردة أو الصادرة.
البروتوكول
البروتوكولات المدعومة حاليا مع قواعد مسؤول الأمان هي:
- TCP
- بروتوكول مخطط بيانات المستخدم
- ICMP
- ESP
- AH
- أي بروتوكولات
الحقول الاختيارية
أنواع المصدر والوجهة
- عناوين IP: يمكنك توفير عناوين IPv4 أو IPv6 أو كتل العنوان في رمز CIDR. لإدراج عدة عناوين IP، افصل كل عنوان IP بفاصلة.
- علامة الخدمة: يمكنك تحديد علامات خدمة معينة استنادا إلى المناطق أو الخدمة بأكملها. راجع الوثائق العامة حول علامات الخدمة المتوفرة للحصول على قائمة العلامات المدعومة. من هذه القائمة، لا تدعم قواعد مسؤول الأمان حاليا علامات خدمة AzurePlatformDNS وAzurePlatformIMDS وAzurePlatformLKM.
منافذ المصدر والوجهة
يمكنك تعريف منافذ شائعة معينة لحظرها من المصدر أو إلى الوجهة. فيما يلي قائمة بمنافذ TCP الشائعة:
| منافذ | اسم الخدمة |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
الخطوات التالية
تعلم كيفية حجب حركة مرور الشبكة باستخدام تكوين مسؤول الأمان.