Skupiny zabezpečení sítě

K filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure můžete použít skupinu zabezpečení sítě Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.

Tento článek popisuje vlastnosti pravidla skupiny zabezpečení sítě, výchozí pravidla zabezpečení, která se použijí, a vlastnosti pravidla, které můžete upravit a vytvořit rozšířené pravidlo zabezpečení.

Pravidla zabezpečení

Skupina zabezpečení sítě obsahuje tolik pravidel, kolik potřebujete, v rámci limitů předplatného Azure. Každé pravidlo určuje následující vlastnosti:

Vlastnost Vysvětlení
Název Jedinečný název v rámci skupiny zabezpečení sítě. Název může mít délku až 80 znaků. Musí začínat znakem slova a musí končit znakem slova nebo znakem _. Název může obsahovat znaky slova nebo ".", '-', '_'.
Priorita Číslo v rozsahu od 100 do 4096. Pravidla se zpracovávají v pořadí podle priority, přičemž nižší čísla, která mají vyšší prioritu, se zpracovávají před vyššími čísly. Jakmile provoz odpovídá pravidlu, zpracování se zastaví. V důsledku toho se nezpracují všechna pravidla s nižšími prioritami (vyššími čísly), která mají stejné atributy jako pravidla s vyššími prioritami.
Výchozí pravidla zabezpečení Azure mají nejvyšší číslo s nejnižší prioritou, aby se zajistilo, že vlastní pravidla budou vždy zpracována jako první.
Zdroj nebo cíl Všechny nebo určitá IP adresa, blok CIDR (například 10.0.0.0/24), značka služby nebo skupina zabezpečení aplikace Pokud zadáváte adresu prostředku Azure, zadejte privátní IP adresu přiřazenou k tomuto prostředku. Skupiny zabezpečení sítě se zpracovávají poté, co Azure přeloží veřejnou IP adresu na privátní IP adresu pro příchozí provoz, a před tím, než Azure přeloží privátní IP adresu na veřejnou IP adresu pro odchozí provoz. Při zadávání rozsahu, značky služby nebo skupiny zabezpečení aplikace je potřeba méně pravidel zabezpečení. Možnost zadat více jednotlivých IP adres a rozsahů (nemůžete zadat více značek služeb nebo skupin aplikací) v pravidle se označuje jako rozšířená pravidla zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více IP adres a rozsahů IP adres.
Protokol TCP, UDP, ICMP, ESP, AH nebo any. Protokoly ESP a AH nejsou v současné době dostupné prostřednictvím webu Azure Portal, ale je možné je použít prostřednictvím šablon ARM.
Směr Určuje, jestli se pravidlo vztahuje na příchozí nebo odchozí provoz.
Rozsah portů Můžete zadat určitý port nebo rozsah portů. Můžete zadat například 80 nebo 10000-10005. Zadání rozsahů umožňuje vytvářet méně pravidel zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více portů ani rozsahů portů ve stejných pravidlech zabezpečení.
Akce Povolit nebo odepřít

Pravidla zabezpečení se vyhodnocují a použijí na základě informací o pěti řazených kolekcích členů (zdroj, zdrojový port, cíl, cílový port a protokol). Nemůžete vytvořit dvě pravidla zabezpečení se stejnou prioritou a směrem. Pro stávající připojení se vytvoří záznam toku. Komunikace se povoluje nebo odepírá na základě stavu připojení v záznamu toku. Záznam toku umožňuje, aby skupina zabezpečení sítě byla stavová. Pokud zadáte odchozí pravidlo zabezpečení pro všechny adresy například přes port 80, není potřeba zadávat příchozí pravidlo zabezpečení pro reakci na odchozí provoz. Příchozí pravidlo zabezpečení je potřeba zadat pouze v případě, že se komunikace zahajuje externě. Opačně to platí také. Pokud je přes port povolený příchozí provoz, není potřeba zadávat odchozí pravidlo zabezpečení pro reakci na provoz přes tento port.

Existující připojení nemusí být přerušena, když odeberete pravidlo zabezpečení, které připojení povolilo. Úprava pravidel skupiny zabezpečení sítě ovlivní pouze nová připojení. Při vytvoření nového pravidla nebo aktualizaci existujícího pravidla ve skupině zabezpečení sítě se použije jenom na nová připojení. Stávající připojení se znovu nevyhodnotují s novými pravidly.

Počet pravidel zabezpečení, která můžete ve skupině zabezpečení sítě vytvořit, je omezený. Podrobnosti najdete v tématu věnovaném omezením Azure.

Výchozí pravidla zabezpečení

Azure v každé skupině zabezpečení sítě, kterou vytvoříte, vytvoří následující výchozí pravidla:

Příchozí

AllowVNetInBound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Všechny Povolit
AllowAzureLoadBalancerInBound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Všechny Povolit
DenyAllInbound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Všechny Odepřít

Odchozí

AllowVnetOutBound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Všechny Povolit
AllowVnetOutBound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65001 0.0.0.0/0 0-65535 Internet 0-65535 Všechny Povolit
DenyAllOutBound
Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Všechny Odepřít

Ve sloupcích Zdroj a Cíl jsou hodnoty VirtualNetwork, AzureLoadBalancer a Internetznačky služeb, a nikoli IP adresy. Ve sloupci protokolu zahrnuje všechny protokoly TCP, UDP a ICMP. Při vytváření pravidla můžete zadat PROTOKOL TCP, UDP, ICMP nebo Jakýkoli. Hodnota 0.0.0.0/0 ve sloupcích Zdroj a Cíl představuje všechny adresy. Klienti, jako je Azure Portal, Azure CLI nebo PowerShell, můžou pro tento výraz použít * nebo jakýkoli.

Výchozí pravidla nemůžete odebrat, ale můžete je přepsat vytvořením pravidel s vyššími prioritami.

Rozšířená pravidla zabezpečení

Rozšířená pravidla zabezpečení zjednodušují definici zabezpečení pro virtuální sítě tím, že umožňují definovat větší a složitější zásady zabezpečení sítě při použití menšího počtu pravidel. Můžete zkombinovat více portů a explicitních IP adres a rozsahů do jediného, snadno pochopitelného pravidla zabezpečení. Rozšířená pravidla používejte v polích pravidla pro zdroj, cíl a port. Pokud chcete zjednodušit údržbu definice pravidla zabezpečení, zkombinujte rozšířená pravidla zabezpečení se značkami služeb nebo skupinami zabezpečení aplikací. Počet adres, rozsahů a portů, které můžete zadat v pravidle, jsou omezené. Podrobnosti najdete v tématu věnovaném omezením Azure.

Značky služeb

Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomáhá minimalizovat složitost častých aktualizací pravidel zabezpečení sítě.

Další informace najdete v tématu Značky služeb Azure. Příklad použití značky služby Storage k omezení síťového přístupu najdete v tématu Omezení síťového přístupu k prostředkům PaaS.

Skupiny zabezpečení aplikace

Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres. Další informace najdete v tématu Skupiny zabezpečení aplikací.

Důležité informace o platformě Azure

  • Virtuální IP adresa hostitelského uzlu: Základní služby infrastruktury, jako je DHCP, DNS, IMDS a monitorování stavu, jsou poskytovány prostřednictvím virtualizovaných IP adres hostitele 168.63.129.16 a 169.254.169.254. Tyto IP adresy patří do Microsoftu a jsou to jediné virtualizované IP adresy používané ve všech oblastech pro tento účel. Ve výchozím nastavení se na tyto služby nevztahují nakonfigurované skupiny zabezpečení sítě, pokud nejsou cílem značek služeb specifických pro každou službu. Pokud chcete přepsat tuto základní komunikaci infrastruktury, můžete vytvořit pravidlo zabezpečení pro odepření provozu pomocí následujících značek služeb v pravidlech skupiny zabezpečení sítě: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Zjistěte, jak diagnostikovat filtrování síťového provozu a diagnostikovat směrování sítě.

  • Licencování (Služba správy klíčů): Image Windows spuštěné na virtuálních počítačích musí být licencované. Aby se zajistilo licencování, odesílají se žádosti o licenci na hostitelské servery Služby správy klíčů, které takové dotazy zpracovávají. Požadavek odchází přes port 1688. Pro nasazení využívající konfiguraci výchozí trasy 0.0.0.0/0 bude toto pravidlo platformy zakázané.

  • Virtuální počítače ve fondech s vyrovnáváním zatížení: Použitý zdrojový port a rozsah adres odpovídá zdrojovému počítači, a nikoli nástroji pro vyrovnávání zatížení. Cílový port a rozsah adres odpovídá cílovému počítači, a nikoli nástroji pro vyrovnávání zatížení.

  • Instance služeb Azure: V podsítích virtuální sítě jsou nasazené instance několika služeb Azure, například HDInsight, prostředí aplikačních služeb a škálovací sady virtuálních počítačů. Úplný seznam služeb, které můžete nasadit do virtuální sítě, najdete v tématu Virtuální síť pro služby Azure. Před použitím skupiny zabezpečení sítě pro podsíť se seznamte s požadavky na porty pro každou službu. Pokud odepřete porty vyžadované službou, služba nebude správně fungovat.

  • Odesílání odchozích e-mailů: Microsoft doporučuje k odesílání e-mailů ze služby Azure Virtual Machines využívat služby pro přenos přes ověřený protokol SMTP (obvykle připojené přes port TCP 587, ale často i jiný). Služby pro přenos přes protokol SMTP se specializují na reputaci odesílatele, aby se minimalizovala možnost odmítnutí zpráv poskytovateli e-mailu třetích stran. Mezi takové služby přenosu SMTP patří mimo jiné Exchange Online Protection a SendGrid. Používání služeb pro přenos přes protokol SMTP v Azure není nijak omezeno, a to bez ohledu na typ předplatného.

    Pokud jste své předplatné Azure vytvořili před 15. listopadem 2017, kromě možnosti používat služby pro přenos přes protokol SMTP můžete e-maily odesílat také přímo přes port TCP 25. Pokud jste své předplatné vytvořili po 15. listopadu 2017, možná nebudete moci odesílat e-maily přímo přes port 25. Chování odchozí komunikace přes port 25 závisí na typu vašeho předplatného, a to následujícím způsobem:

    • smlouva Enterprise: U virtuálních počítačů nasazených ve standardních smlouva Enterprise předplatných nebudou odchozí připojení SMTP na portu TCP 25 blokovaná. Není však zaručeno, že externí domény budou přijímat příchozí e-maily z virtuálních počítačů. Pokud jsou vaše e-maily odmítnuté nebo filtrované externími doménami, měli byste se obrátit na poskytovatele e-mailových služeb externích domén a vyřešit problémy. Tyto problémy nejsou pokryty podpora Azure.

      U předplatných Enterprise pro vývoj/testování je ve výchozím nastavení blokovaný port 25. Tento blok je možné odebrat. Pokud chcete požádat o odebrání bloku, přejděte do části Nejde odeslat e-mail (SMTP-Port 25) na stránce Nastavení diagnostiky a řešení pro prostředek služby Azure Virtual Network na webu Azure Portal a spusťte diagnostiku. Tím se automaticky vynětí kvalifikovaných předplatných pro vývoj/testování organizace.

      Po vyloučení předplatného z tohoto bloku a zastavení a restartování virtuálních počítačů budou všechny virtuální počítače v tomto předplatném vyloučené. Výjimka se vztahuje pouze na požadované předplatné a pouze na přenosy virtuálních počítačů směrované přímo na internet.

    • Průběžné platby: Odchozí komunikace přes port 25 ze všech prostředků je blokovaná. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.

    • MSDN, Azure Pass, Azure in Open, Education a Free trial: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.

    • Poskytovatel cloudových služeb: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.

Další kroky

  • Informace o tom, které prostředky Azure je možné nasadit do virtuální sítě a které mají přidružené skupiny zabezpečení sítě, najdete v tématu Integrace virtuální sítě pro služby Azure.
  • Informace o tom, jak se provoz vyhodnocuje pomocí skupin zabezpečení sítě, najdete v tématu Jak fungují skupiny zabezpečení sítě.
  • Pokud jste ještě nikdy skupinu zabezpečení sítě nevytvářeli, můžete si projít rychlý kurz, ve kterém se seznámíte s jejím vytvořením.
  • Pokud už skupiny zabezpečení sítě znáte a potřebujete je spravovat, přečtěte si téma Správa skupiny zabezpečení sítě.
  • Pokud máte problémy s komunikací a potřebujete řešit potíže se skupinami zabezpečení sítě, přečtěte si téma Diagnostika potíží s filtrováním síťového provozu virtuálních počítačů.
  • Zjistěte, jak povolit protokoly toku skupiny zabezpečení sítě k analýze síťového provozu do a z prostředků, které mají přidruženou skupinu zabezpečení sítě.