Bereitstellen von Netzwerksicherheitsgruppen mithilfe des Azure-Portals

Abgeschlossen

Mit einer Netzwerksicherheitsgruppe (NSG) in Azure können Sie Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Azure-Netzwerk filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.

NSG-Sicherheitsregeln

Eine Netzwerksicherheitsgruppe kann – innerhalb der Grenzwerte des Azure-Abonnements – null oder mehr Regeln enthalten. Für jede Regel werden die folgenden Eigenschaften angegeben:

• Name: Muss ein eindeutiger Name in der Netzwerksicherheitsgruppe sein.
• Priorität: Kann eine beliebige Zahl zwischen 100 und 4.096 sein. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Regeln mit niedrigeren Zahlen werden vor Regeln mit höheren Zahlen verarbeitet, weil die Priorität für niedrigere Zahlen höher ist. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten. Daher werden alle Regeln mit niedrigerer Priorität (höherer Zahl), die über die gleichen Attribute wie Regeln mit höheren Prioritäten verfügen, nicht verarbeitet.
• Quelle oder Ziel: Kann auf „Any“ (Beliebig) oder eine einzelne IP-Adresse, einen CIDR-Block (klassenloses domänenübergreifendes Routing, z. B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe festgelegt werden.
• Protokoll: Kann TCP, UDP, ICMP, ESP, AH oder Any (Beliebig) sein.
• Richtung: Kann so konfiguriert werden, dass sie für eingehenden oder ausgehenden Datenverkehr gilt.
• Portbereich: Kann entweder als einzelner Port oder als Portbereich angegeben werden. Mögliche Angaben sind beispielsweise „80“ oder „10.000 - 10.005“. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln.
• Aktion: Kann auf „Zulassen“ oder „Verweigern“ festgelegt werden.

Sicherheitsregeln von Netzwerksicherheitsgruppen werden von der Firewall nach Priorität ausgewertet, um den Datenverkehr zuzulassen oder zu verweigern. Dazu werden die 5-Tupel-Informationen verwendet (Quelle, Quellport, Ziel, Zielport und Protokoll).

Standardsicherheitsregeln

Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:

Richtung	Name	Priority	Quelle	Quellports	Ziel	Zielports	Protokoll	zugreifen
Eingehend	AllowVNetInBound	65000	VirtualNetwork	0 - 65535	VirtualNetwork	0 - 65535	Any	Allow
Eingehend	AllowAzureLoadBalancerInBound	65001	AzureLoadBalancer	0 - 65535	0.0.0.0/0	0 - 65535	Any	Allow
Eingehend	DenyAllInbound	65500	0.0.0.0/0	0 - 65535	0.0.0.0/0	0 - 65535	Any	Verweigern
Ausgehend	AllowVnetOutBound	65000	VirtualNetwork	0 - 65535	VirtualNetwork	0 - 65535	Any	Allow
Ausgehend	AllowInternetOutBound	65001	0.0.0.0/0	0 - 65535	Internet	0 - 65535	Any	Allow
Ausgehend	DenyAllOutBound	65500	0.0.0.0/0	0 - 65535	0.0.0.0/0	0 - 65535	Any	Verweigern

Die folgende Abbildung und die Aufzählungspunkte veranschaulichen verschiedene Szenarien, wie Netzwerksicherheitsgruppen bereitgestellt werden können, um Netzwerkdatenverkehr zum und aus dem Internet über TCP-Port 80 zuzulassen:

Für eingehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz (sofern vorhanden) zugeordnet ist, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die der Netzwerkschnittstelle (sofern vorhanden) zugeordnet ist.

• VM1: Subnet1 ist NSG1 zugeordnet, deshalb werden die Sicherheitsregeln verarbeitet und VM1 ist in Subnet1. Sofern Sie keine Regel erstellt haben, die Port 80 als eingehenden Port zulässt, wird der Datenverkehr von der DenyAllInbound-Standardsicherheitsregel abgelehnt und von NSG2 nicht ausgewertet, da NSG2 der Netzwerkschnittstelle zugeordnet ist. Wenn NSG1 über eine Sicherheitsregel verfügt, die Port 80 zulässt, wird der Datenverkehr von NSG2 verarbeitet. Damit Port 80 für den virtuellen Computer zulässig ist, müssen sowohl NSG1 als auch NSG2 über eine Regel verfügen, die Port 80 aus dem Internet zulässt.
• VM2: Die Regeln in NSG1 werden verarbeitet, da sich VM2 auch in Subnet1 befindet. Da der Netzwerkschnittstelle von VM2 keine Netzwerksicherheitsgruppe zugeordnet ist, empfängt sie den gesamten zulässigen Datenverkehr über NSG1, oder der gesamte Datenverkehr wird durch NSG1 verweigert. Datenverkehr wird für alle Ressourcen im selben Subnetz entweder zugelassen oder verweigert, wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist.
• VM3: Da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist, ist Datenverkehr in das Subnetz zulässig. Dieser wird von NSG2 verarbeitet, da NSG2 der Netzwerkschnittstelle zugeordnet ist, die zu VM3 gehört.
• VM4: Datenverkehr für VM4 ist zulässig, da Subnet3 oder der Netzwerkschnittstelle in der VM keine Netzwerksicherheitsgruppe zugeordnet ist. Der gesamte Netzwerkdatenverkehr ist über ein Subnetz und eine Netzwerkschnittstelle zulässig, wenn diesen keine Netzwerksicherheitsgruppe zugeordnet ist.

Für ausgehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle (sofern vorhanden) zugeordnet ist, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die dem Subnetz (sofern vorhanden) zugeordnet ist.

• VM1: Die Sicherheitsregeln in NSG2 werden verarbeitet. Sofern Sie keine Sicherheitsregel erstellen, die Port 80 als ausgehenden Port zum Internet verbietet, wird der Datenverkehr von der Standardsicherheitsregel „AllowInternetOutbound“ in NSG1 sowie NSG2 zugelassen. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 verbietet, wird der Datenverkehr abgelehnt und nicht von NSG1 ausgewertet. Zum Verweigern von Port 80 vom virtuellen Computer oder beiden Netzwerksicherheitsgruppen ist eine Regel erforderlich, die Port 80 für das Internet verweigert.
• VM2: Der gesamte Datenverkehr wird über die Netzwerkschnittstelle an das Subnetz gesendet, da der Netzwerkschnittstelle, die zu VM2 gehört, keine Netzwerksicherheitsgruppe zugeordnet ist. Die Regeln in NSG1 werden verarbeitet.
• VM3: Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 ablehnt, wird der Datenverkehr abgelehnt. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 zulässt, dann ist Port 80 als ausgehender Port für das Internet zulässig, da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist.
• VM4: Der gesamte Netzwerkdatenverkehr von VM4 ist zulässig, da der Netzwerkschnittstelle, die zur VM gehört, oder Subnet3 keine Netzwerksicherheitsgruppe zugeordnet ist.

Anwendungssicherheitsgruppen

Mit einer Anwendungssicherheitsgruppe (Application Security Group, ASG) können Sie Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können.

Planen Sie die erforderlichen Anwendungssicherheitsgruppen, und erstellen Sie Regeln nach Möglichkeit mithilfe von Diensttags oder Anwendungssicherheitsgruppen anstelle von individuellen IP-Adresse oder IP-Adressbereichen, um die Anzahl der erforderlichen Sicherheitsregeln und die Notwendigkeit von Regeländerungen zu minimieren.

Filtern von Netzwerkdatenverkehr mit einer NSG mithilfe des Azure-Portals

Sie können eine Netzwerksicherheitsgruppe verwenden, um eingehenden und ausgehenden Netzwerkdatenverkehr im Subnetz eines virtuellen Netzwerks zu filtern. Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern. Sicherheitsregeln werden auf Ressourcen angewendet, die in einem Subnetz bereitgestellt sind.

Die wichtigen Phasen beim Filtern von Netzwerkdatenverkehr mit einer NSG mithilfe des Azure-Portals sind:

1. Erstellen einer Ressourcengruppe: Dies kann entweder vorab oder während der Erstellung des virtuellen Netzwerks in der nächsten Phase erfolgen. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden, die hier angegeben wird.
2. Erstellen eines virtuellen Netzwerks: Dieses muss in derselben Ressourcengruppe bereitgestellt werden, die Sie zuvor erstellt haben.
3. Erstellen von Anwendungssicherheitsgruppen: Mit den hier erstellten Anwendungssicherheitsgruppen können Sie Server mit ähnlichen Funktionen (z. B. Webserver oder Verwaltungsserver) gruppieren. Sie würden hier zwei Anwendungssicherheitsgruppen erstellen: eine für Webserver und eine für Verwaltungsserver (z. B. MyAsgWebServers und MyAsgMgmtServers)
4. Erstellen einer Netzwerksicherheitsgruppe: Die Netzwerksicherheitsgruppe schützt Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk. Diese NSG wird in der nächsten Phase einem Subnetz zugeordnet.
5. Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz: Hier ordnen Sie die zuvor erstellte Netzwerksicherheitsgruppe dem Subnetz des virtuellen Netzwerks zu, das Sie oben in Phase 2 erstellt haben.
6. Erstellen von Sicherheitsregeln: Hier erstellen Sie Ihre Eingangssicherheitsregeln. Hier erstellen Sie eine Sicherheitsregel, um die Ports 80 und 443 für die Anwendungssicherheitsgruppe für Ihre Webserver zuzulassen (z. B. MyAsgWebServers). Anschließend erstellen Sie eine weitere Sicherheitsregel, um den RDP-Verkehr an Port 3389 für die Anwendungssicherheitsgruppe für Ihre Verwaltungsserver zuzulassen (z. B. MyAsgMgmtServers). Diese Regeln steuern, von wo aus Sie remote auf Ihre VM und Ihren IIS-Webserver zugreifen können.
7. Erstellen von VMs: Hier erstellen Sie die Webserver-VM (z. B. MyVMWeb) und die Verwaltungsserver-VM (z. B. MyVMMgmt), die in der nächsten Phase der jeweiligen Anwendungssicherheitsgruppe zugeordnet werden.
8. Zuordnen von NICs zu einer ASG: Hier ordnen Sie die Netzwerkschnittstellenkarte (Network Interface Card, NIC), die an jeden virtuellen Computer angefügt ist, der relevanten Anwendungssicherheitsgruppe zu, die Sie oben in Phase 3 erstellt haben.
9. Testen von Datenverkehrsfiltern: In der letzten Phase testen Sie, ob die Datenverkehrsfilterung wie erwartet funktioniert.
   • Um dies zu testen, versuchen Sie, mithilfe einer RDP-Verbindung eine Verbindung mit dem virtuellen Verwaltungsserver (z. B. MyVMMgmt) herzustellen. Dadurch wird überprüft, ob Sie eine Verbindung herstellen können, da Port  3389 eingehende Verbindungen aus dem Internet mit der Anwendungssicherheitsgruppe der Verwaltungsserver zulässt (z. B. MyAsgMgmtServers).
   • Während der Verbindung mit der RDP-Sitzung auf dem Verwaltungsserver (z. B. MyVMMgmt) würden Sie dann eine RDP-Verbindung vom virtuellen Verwaltungsserver (z. B. MyVMMgmt) mit dem virtuellen Webserver (z. B. MyVMWeb) testen. Dies sollte erfolgreich sein, da virtuelle Computer im selben Netzwerk standardmäßig mit jedem Port kommunizieren können.
   • Sie können jedoch keine RDP-Verbindung mit dem virtuellen Webserver (z. B. MyVMWeb) aus dem Internet herstellen, da die Sicherheitsregel für die Webserver-Anwendungssicherheitsgruppe (z. B. MyAsgWebServers) Verbindungen mit Port 3389 verhindert, die aus dem Internet eingehen. Eingehender Datenverkehr aus dem Internet wird standardmäßig für alle Ressourcen verweigert.
   • Während sie mit der RDP-Sitzung auf dem Webserver (z. B. MyVMWeb) verbunden sind, können Sie IIS auf dem Webserver installieren, dann die Verbindung mit der RDP-Sitzung des virtuellen Webservers trennen und die Verbindung mit der RDP-Sitzung des virtuellen Verwaltungsservers trennen. Im Azure-Portal bestimmen Sie dann die öffentliche IP-Adresse des virtuellen Webservers (z. B. MyVMWeb) und bestätigen, dass Sie über das Internet auf den virtuellen Webserverzugreifen können, indem Sie einen Webbrowser auf Ihrem Computer öffnen und zu „http://“ navigieren (z. B. http://23.96.39.113) . Der Standardwillkommensbildschirm von IIS sollte angezeigt werden, da Port 80 eingehenden Zugriff aus dem Internet auf die Anwendungssicherheitsgruppe für Webserver (z. B. MyAsgWebServers) zulässt. Die Netzwerkschnittstelle, die an den virtuellen Webservercomputer (z. B. MyVMWeb) angefügt ist, ist der Webserver-Anwendungssicherheitsgruppe (z. B. MyAsgWebServers) zugeordnet und lässt die Verbindung daher zu.

Die ausführlichen Schritte für alle diese Aufgaben finden Sie unter Tutorial: Filtern von Netzwerkdatenverkehr mit einer Netzwerksicherheitsgruppe mithilfe des Azure-Portals.

Überprüfen Sie Ihr Wissen

1.

Welches Prinzip sollte beim Entwerfen von Sicherheitskonfigurationen angewendet werden?

Zugriff standardmäßig verweigern, gemäß Ausnahme zulassen.

Spezifischen Zugriff verweigern, übrigen Zugriff uneingeschränkt zulassen.

Zugriff uneingeschränkt zulassen, Zugriff überwachen und bei Bedarf Zugriff verweigern.

2.

Welche dieser Regeln ist eine Standard-Netzwerksicherheitsregel in einer Netzwerksicherheitsgruppe (NSG)?

AllowAllInbound.

DenyVnetOutBound.

AllowInternetOutBound.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.