Zabezpečení a zobrazení provozu DNS

V tomto článku se dozvíte, jak zobrazit a filtrovat provoz DNS ve virtuální síti pomocí zásad zabezpečení DNS.

Požadavky

• Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.
• Vyžaduje se virtuální síť. Další informace najdete v tématu Vytvoření virtuální sítě.

Vytvoření zásad zabezpečení

Pokud chcete vytvořit zásady zabezpečení pomocí webu Azure Portal nebo PowerShellu, zvolte jednu z následujících metod:

Azure Portal

Vytvoření zásad zabezpečení DNS pomocí webu Azure Portal:

1. Na domovské stránce webu Azure Portal vyhledejte a vyberte zásady zabezpečení DNS. Také si můžete vybrat Zásady zabezpečení DNS z Azure Marketplace.

2. Pokud chcete začít vytvářet novou zásadu, vyberte + Vytvořit .

3. Na kartě Základy vyberte předplatné a skupinu prostředků nebo vytvořte novou skupinu prostředků.

4. Vedle názvu instance zadejte název zásady zabezpečení DNS a pak zvolte oblast, ve které se zásady zabezpečení vztahují.

   Poznámka:

   Zásady zabezpečení DNS se dají použít jenom na virtuální sítě ve stejné oblasti jako zásady zabezpečení.

   

5. Vyberte Další: Propojení virtuálních sítí a pak vyberte + Přidat.

6. Zobrazí se virtuální sítě ve stejné oblasti jako zásady zabezpečení. Vyberte jednu nebo více dostupných virtuálních sítí a pak vyberte Přidat. Nemůžete zvolit virtuální síť, která je už přidružená k jiným zásadám zabezpečení. V následujícím příkladu jsou dvě virtuální sítě přidružené k zásadám zabezpečení, přičemž dvě virtuální sítě jsou k dispozici k výběru.

   

7. Jsou zobrazeny vybrané virtuální sítě (VNets). V případě potřeby můžete VNets ze seznamu odebrat před vytvořením propojení virtuálních sítí.

   

   Poznámka:

   Propojení virtuální sítě se vytvoří pro všechny virtuální sítě zobrazené v seznamu bez ohledu na to, zda jsou vybrané. Použijte zaškrtávací políčka k výběru VNetů k odstranění ze seznamu.

8. Vyberte Zkontrolovat + vytvořit a potom Vytvořit. Volba Další: Pravidla provozu DNS se tady přeskočí, ale teď můžete také vytvořit pravidla provozu. V této příručce se pravidla provozu a seznamy domén DNS vytvoří a použijí na zásady zabezpečení DNS později.

Vytvoření pracovního prostoru služby Log Analytics

Tuto část přeskočte, pokud už máte pracovní prostor služby Log Analytics, který chcete použít.

Vytvoření pracovního prostoru služby Log Analytics pomocí webu Azure Portal:

1. Na domovské stránce webu Azure Portal vyhledejte a vyberte pracovní prostory služby Log Analytics. Pracovní prostor služby Log Analytics můžete také zvolit z Azure Marketplace.

2. Pokud chcete začít vytvářet nový pracovní prostor, vyberte + Vytvořit .

3. Na kartě Základy vyberte předplatné a skupinu prostředků nebo vytvořte novou skupinu prostředků.

4. Vedle názvu zadejte název pracovního prostoru a pak zvolte oblast pracovního prostoru.

   

5. Vyberte Zkontrolovat + vytvořit a potom Vytvořit.

Konfigurace nastavení diagnostiky

Teď, když máte pracovní prostor služby Log Analytics, nakonfigurujte nastavení diagnostiky v zásadách zabezpečení tak, aby používalo tento pracovní prostor.

Konfigurace nastavení diagnostiky:

1. Vyberte zásady zabezpečení DNS, které jste vytvořili (myeast-secpol v tomto příkladu).

2. V části Monitorování vyberte Nastavení diagnostiky.

3. Vyberte Přidat nastavení diagnostiky.

4. Vedle názvu nastavení diagnostiky zadejte název protokolů, které tady shromažďujete.

5. V části Protokoly a v části Metriky vyberte všechny protokoly a metriky.

6. V části Podrobnosti o cíli vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics a pak zvolte předplatné a pracovní prostor, které jste vytvořili.

7. Zvolte Uložit. Viz následující příklad.

   

Vytvoření seznamu domén DNS

Vytvoření seznamu domén DNS pomocí webu Azure Portal:

1. Na domovské stránce webu Azure Portal vyhledejte a vyberte seznamy domén DNS.

2. Vyberte + Vytvořit a začněte vytvářet nový seznam domén.

3. Na kartě Základy vyberte předplatné a skupinu prostředků nebo vytvořte novou skupinu prostředků.

4. Vedle názvu seznamu domén zadejte název seznamu domén a pak zvolte oblast seznamu.

   Poznámka:

   Zásady zabezpečení vyžadují seznamy domén ve stejné oblasti.

5. Vyberte Další: DNS domény.

6. Na kartě Domény DNS zadejte názvy domén ručně po jednom nebo je naimportujte ze souboru CSV (čárkami odděleného).

   

7. Po dokončení zadávání názvů domén vyberte Zkontrolovat a vytvořit a pak vyberte Vytvořit.

V případě potřeby zopakujte tuto část a vytvořte další seznamy domén. Každý seznam domén může být přidružený k pravidlu provozu, které má jednu ze tří akcí:

• Povolit: Povolte dotaz DNS a protokolujte ho.
• Blok: Zablokujte dotaz DNS a zaznamenejte akci bloku.
• Upozornění: Povolte dotaz DNS a zahlašte upozornění.

Z jednoho pravidla provozu DNS je možné dynamicky přidávat nebo odebírat více seznamů domén.

Konfigurace pravidel provozu DNS

Teď, když máte seznam domén DNS, nakonfigurujte nastavení diagnostiky v zásadách zabezpečení tak, aby používalo tento pracovní prostor.

Poznámka:

Řetězy CNAME se prověřují ("pronásledují") a určují, jestli se mají použít pravidla provozu přidružená k doméně. Například pravidlo, které platí pro malicious.contoso.com platí také pro adatum.com , pokud adatum.com mapuje na malicious.contoso.com nebo pokud se malicious.contoso.com zobrazí kdekoli v řetězci CNAME pro adatum.com.

Konfigurace nastavení diagnostiky:

1. Vyberte zásady zabezpečení DNS, které jste vytvořili (myeast-secpol v tomto příkladu).

2. V části Nastavení vyberte Pravidla provozu DNS.

3. Vyberte + Přidat. Otevře se podokno Přidat pravidlo provozu DNS.

4. Vedle položky Priorita zadejte hodnotu v rozsahu 100–65000. Pravidla s nižším číslem mají vyšší prioritu.

5. Vedle názvu pravidla zadejte název pravidla.

6. Vedle seznamů domén DNS vyberte seznamy domén, které se mají v tomto pravidle použít.

7. Vedle akce provozu vyberte Povolit, Blokovat nebo Upozornit na základě typu akce, která by se měla použít u vybraných domén. V tomto příkladu je zvolena možnost Povolit .

8. Ponechte výchozí stav pravidla jako povolený a vyberte Uložit.

   

9. Aktualizujte zobrazení a ověřte, že pravidlo bylo úspěšně přidáno. Můžete upravit akce provozu, seznamy domén DNS, prioritu pravidla a stav pravidla.

   

Zobrazení a testování protokolů DNS

1. Přejděte k zásadám zabezpečení DNS a pak v části Monitorování vyberte Nastavení diagnostiky.
2. Vyberte pracovní prostor služby Log Analytics, který jste dříve přidružli k zásadám zabezpečení (v tomto příkladu secpol-loganalytics ).
3. Vlevo vyberte Protokoly .
4. Pokud chcete zobrazit dotazy DNS z virtuálního počítače s IP adresou 10.40.40.4 ve stejné oblasti, spusťte dotaz následujícím způsobem:

DNSQueryLogs
| where SourceIpAddress contains "10.40.40.4"
| limit 1000

Prohlédněte si následující příklad:

Vzpomeňte si, že pravidlo provozu obsahující contoso.com bylo nastaveno na Povolit dotazy. Výsledkem dotazu z virtuálního počítače je úspěšná odpověď:

C:\>dig db.sec.contoso.com +short
10.0.1.2

Rozbalením podrobností dotazu v Log Analytics se zobrazí například tato data:

• OperationName: RESPONSE_SUCCESS
• Oblast: eastus
• QueryName: db.sec.contoso.com
• Typ dotazu: A
• IP adresa zdroje: 10.40.40.4
• ResolutionPath: PrivateDnsResolution
• ResolverPolicyRuleAction: Povolit

Pokud je pravidlo provozu upraveno a nastaveno na Blokovat contoso.com dotazy, výsledkem dotazu z virtuálního počítače je neúspěšná odpověď. Při změně součástí pravidla nezapomeňte vybrat Uložit .

Výsledkem této změny je neúspěšný dotaz:

C:\>dig db.sec.contoso.com

; <<>> DiG 9.9.2-P1 <<>> db.sec.contoso.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 24053
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

Neúspěšný dotaz se zaznamená v Log Analytics:

Poznámka:

Zobrazení výsledků dotazů v Log Analytics může několik minut trvat.

PowerShell

Nastavte místní úložiště PowerShellu a nainstalujte modul Az.DnsResolver PowerShell. To je potřeba jenom v případě, že nepoužíváte Cloud Shell.

1. Vytvořte na disku novou složku, která bude fungovat jako místní úložiště PowerShellu. V tomto příkladu je použito C:\bin\PSRepo.

2. Stáhněte si Az.DnsResolver.0.2.6.nupkg do tohoto adresáře.

3. Spuštěním následujícího příkazu nastavte místní úložiště:

   # Register the repository
   Register-PSRepository -Name LocalPSRepo -SourceLocation 'C:\bin\PSRepo' -ScriptSourceLocation 'C:\bin\PSRepo' -InstallationPolicy Trusted
   
   # Install the Az.DnsResolver module
   Install-Module -Name Az.DnsResolver -RequiredVersion 0.2.6 -SkipPublisherCheck
   
   # If you already installed Az.DnsResolver, update your version to 0.2.6
   Update-Module -Name Az.DnsResolver
   
   # Confirm that the Az.DnsResolver module was installed properly
   Get-InstalledModule -Name Az.DnsResolver
   

4. Nastavení kontextu předplatného

   # Connect PowerShell to Azure cloud
   Connect-AzAccount -Environment AzureCloud
   
   # Set your default subscription
   Select-AzSubscription -SubscriptionObject (Get-AzSubscription -SubscriptionId <your-sub-id>)
   

5. Vytvořte zásady zabezpečení DNS pomocí PowerShellu.

   $ErrorActionPreference = "Stop"
   
   ################################################################
   # Configure resource names and locations
   ################################################################
   
   $resourceNumber = 1 # Customize this if needed
   $region = "centralus" # Change this region to your preference
   if ($env:username) {$name = "$($env:username)"} else {$name = "$($env:USER)"}  # The environment variable is different in Cloud Shell vs local PowerShell
   $nameSuffix = "test-$($region)-$($name)-resolverpolicytest$($resourceNumber)-test"
   $resourceGroupName = "rg-$($nameSuffix)"
   $virtualNetworkName = "vnet-$($nameSuffix)"
   $resolverPolicyName = "dnsresolverpolicy-$($nameSuffix)"
   $domainListName = "domainlist-$($nameSuffix)"
   $securityRuleName = "securityrule-$($nameSuffix)"
   $resolverPolicyLinkName = "dnsresolverpolicylink"
   $storageAccountName = "stor$($name.ToLower())"  # Customize this, taking care that the name is not too long
   $storageAccountName = $storageAccountName.Substring(0, [Math]::Min(24, $storageAccountName.Length)) # Storage account names must be 3-24 characters long
   $diagnosticSettingName = "diagnosticsetting-$($nameSuffix)"
   $vnetId = "/subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Network/virtualNetworks/$virtualNetworkName"
   
   ################################################################
   # Create resource group, virtual network, and storage account
   ################################################################
   
   Write-Host "Creating resource group"
   $rg = New-AzResourceGroup -Name $resourceGroupName -Location $region
   Write-Host ($rg | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating virtual network"
   $defaultSubnet = New-AzVirtualNetworkSubnetConfig -Name "default" -AddressPrefix "10.$resourceNumber.0.0/24"
   $vnet = New-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName -Location $region -AddressPrefix "10.$resourceNumber.0.0/16" -Subnet $defaultSubnet
   Write-Host ($vnet | ConvertTo-Json -Depth 64)
   
   Write-Host "Creating storage account"
   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName -Location $region -SkuName Standard_GRS
   Write-Host $storageAccount.ToString()
   
   ################################
   # Create DNS security policy
   ################################
   
   Write-Host "Creating DNS resolver policy"
   $resolverPolicy = New-AzDnsResolverPolicy -Location $region -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Creating DNS resolver policy virtual network link"
   $link = New-AzDnsResolverPolicyVirtualNetworkLink -Location $region -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -VirtualNetworkId $vnetId
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $true -Category DnsResponse
   
   Write-Host "Creating diagnostic setting"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Creating domain list"
   $domainList = New-AzDnsResolverDomainList -Location $region -ResourceGroupName $resourceGroupName -Name $domainListName -Domain @("contoso.com.", "adatum.com.")
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Creating DNS security policy rule"
   $rule = New-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsSecurityRuleState "Enabled" -ActionType "Block" -ActionBlockResponseCode "SERVFAIL" -Priority 100 -DnsResolverPolicyName $resolverPolicyName -Location $region
   Write-Host $rule.ToJsonString()
   

6. Volitelné: Aktualizujte zásady překladače DNS o nové hodnoty.

   ################################
   # Update DNS security policy
   ################################
   
   Write-Host "Updating DNS resolver policy"
   $resolverPolicy = Update-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName -Tag @{"key0" = "value0"} 
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Updating DNS resolver policy virtual network link"
   $link = Update-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName -Tag @{"key1" = "value1"} 
   Write-Host $link.ToJsonString()
   
   $log = New-AzDiagnosticSettingLogSettingsObject -Enabled $false -Category DnsResponse
   
   Write-Host "Updating diagnostic setting by disabling log category"
   $diagnosticSetting = New-AzDiagnosticSetting -Name $diagnosticSettingName -ResourceId  $resolverPolicy.id -Log $log -StorageAccountId $storageAccount.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Updating domain list"
   $domainList = Update-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName -Tag @{"key2" = "value2"} 
   Write-Host $domainList.ToJsonString()
   
   Write-Host "Updating DNS security policy rule"
   $rule = Update-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverDomainList @{id = $domainList.Id;} -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

7. Zkontrolujte konfiguraci zásad zabezpečení DNS.

   ################################
   # Get DNS security policy
   ################################
   
   Write-Host "Getting DNS resolver policy"
   $resolverPolicy = Get-AzDnsResolverPolicy -ResourceGroupName $resourceGroupName -Name $resolverPolicyName
   Write-Host $resolverPolicy.ToJsonString()
   
   Write-Host "Getting DNS resolver policy virtual network link"
   $link = Get-AzDnsResolverPolicyVirtualNetworkLink -ResourceGroupName $resourceGroupName -DnsResolverPolicyName $resolverPolicyName -Name $resolverPolicyLinkName
   Write-Host $link.ToJsonString()
   
   Write-Host "Getting diagnostic setting"
   $diagnosticSetting = Get-AzDiagnosticSetting -ResourceId $resolverPolicy.id
   Write-Host $diagnosticSetting.ToJsonString()
   
   Write-Host "Getting domain list"
   $domainList = Get-AzDnsResolverDomainList -ResourceGroupName $resourceGroupName -Name $domainListName
   Write-Host $rule.ToJsonString()
   
   Write-Host "Getting DNS security policy rule"
   $rule = Get-AzDnsResolverPolicyDnsSecurityRule -ResourceGroupName $resourceGroupName -Name $securityRuleName -DnsResolverPolicyName $resolverPolicyName
   Write-Host $rule.ToJsonString()
   

Testování zásad zabezpečení DNS

Pokud chcete otestovat nové zásady zabezpečení, připojte se k hostitelskému zařízení ve virtuální síti a zadejte dotaz na domény, které jste zablokovali. V tomto příkladu je seznam domén contoso.com a adatum.com.

Vstup:

Resolve-DnsName -Name contoso.com -Type NS

Výstup:

Resolve-DnsName : contoso.com : DNS server failure
At line:1 char:1
+ Resolve-DnsName -Name contoso.com -Type NS
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (contoso.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Související obsah

• Projděte si koncepty týkající se zásad zabezpečení DNS.
• Projděte si scénáře zón Azure Private DNS.
• Zkontrolujte rozlišení DNS ve virtuálních sítích.