Verwenden von Netzwerksicherheitsgruppen zum Steuern des Netzwerkzugriffs

Abgeschlossen

Im Rahmen der Migration Ihres ERP-Systems zu Azure müssen Sie sicherstellen, dass die Server über die entsprechende Isolation verfügen, damit nur zulässige Systeme Netzwerkverbindungen herstellen können. Angenommen, Sie verfügen über Datenbankserver, die Daten für Ihre ERP-App enthalten. Sie möchten verhindern, dass unzulässige Systeme über das Netzwerk mit den Servern kommunizieren können, während die Kommunikation von App-Servern mit den Datenbankservern erlaubt ist.

Netzwerksicherheitsgruppen

Netzwerksicherheitsgruppen filtern den Netzwerkdatenverkehr zwischen Azure-Ressourcen. Sie enthalten auch Sicherheitsregeln, die Sie konfigurieren können, um eingehenden und ausgehenden Datenverkehr zuzulassen oder zu verweigern. Sie können Netzwerksicherheitsgruppen zum Filtern des Datenverkehrs zwischen VMs oder Subnetzen sowohl innerhalb eines virtuellen Netzwerks als auch über das Internet verwenden.

Zuweisen und Auswerten von Netzwerksicherheitsgruppen

Netzwerksicherheitsgruppen werden einer Netzwerkschnittstelle oder einem Subnetz zugewiesen. Wenn Sie eine Netzwerksicherheitsgruppe zu einem Subnetz zuweisen, gelten die Regeln für alle Netzwerkschnittstellen, die sich in diesem Subnetz befinden. Sie können den Datenverkehr weiter einschränken, indem Sie eine Netzwerksicherheitsgruppe zur Netzwerkschnittstelle einer VM zuordnen.

Wenn Sie Netzwerksicherheitsgruppen auf ein Subnetz und eine Netzwerkschnittstelle anwenden, werden die Netzwerksicherheitsgruppen unabhängig voneinander ausgewertet. Der eingehende Datenverkehr wird zuerst von der Netzwerksicherheitsgruppe ausgewertet, die auf das Subnetz angewendet wurde, und anschließend von der Netzwerksicherheitsgruppe, die auf die Netzwerkschnittstelle angewendet wurde. Im Gegensatz dazu wird ausgehender Datenverkehr von einer VM zuerst von der Netzwerksicherheitsgruppe ausgewertet, die auf die Netzwerkschnittstelle angewendet wurde, und dann von der Netzwerksicherheitsgruppe, die auf das Subnetz angewendet wurde.

Diagramm der Netzwerksicherheitsgruppen

Das Anwenden einer Netzwerksicherheitsgruppe auf ein Subnetz anstelle einzelner Netzwerkschnittstellen kann den Verwaltungsaufwand reduzieren. Mit diesem Ansatz wird sichergestellt, dass alle VMs innerhalb des festgelegten Subnetzes mit den gleichen Regeln gesichert sind.

Auf jedes Subnetz und jede Netzwerkschnittstelle kann eine Netzwerksicherheitsgruppe angewendet werden. Netzwerksicherheitsgruppen unterstützen TCP, UDP und ICMP und werden auf der Schicht 4 des OSI-Modells ausgeführt (Transportschicht).

In diesem Szenario des Fertigungsunternehmen können Netzwerksicherheitsgruppen Ihnen helfen, das Netzwerk zu schützen. Sie können steuern, welche Computer eine Verbindung mit Ihren App-Servern herstellen können. Sie können die Netzwerksicherheitsgruppe so konfigurieren, dass nur ein bestimmter IP-Adressraum eine Verbindung mit den Servern herstellen kann. Sie können dies weiter einschränken, indem Sie nur den Zugriff auf bzw. über spezifische Ports oder individuelle IP-Adressen zulassen. Diese Regeln können auf Geräte angewendet werden, die eine Remoteverbindung über lokale Netzwerke oder eine Verbindung zwischen Ressourcen innerhalb von Azure herstellen.

Sicherheitsregeln

Eine Netzwerksicherheitsgruppe enthält mindestens eine Sicherheitsregel. Konfigurieren Sie Sicherheitsregeln zum Zulassen oder Verweigern des Datenverkehrs.

Regeln verfügen über verschiedene Eigenschaften:

Eigenschaft Erklärung
Name Ein eindeutiger Name in der Netzwerksicherheitsgruppe.
Priority Eine Zahl zwischen 100 und 4.096.
Quelle und Ziel „Any“ (Beliebig) oder eine einzelne IP-Adresse, ein CIDR-Block (klassenloses domänenübergreifendes Routing, z. B. 10.0.0.0/24), ein Diensttag oder eine App-Sicherheitsgruppe
Protokoll TCP, UDP oder Any (Beliebig)
Richtung Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt
Portbereich Ein individueller Port oder ein Portbereich
Aktion Datenverkehr zulassen oder verweigern

Sicherheitsregeln von Netzwerksicherheitsgruppen werden nach Priorität anhand der 5-Tupel-Informationen (Quelle, Quellport, Ziel, Zielport und Protokoll) ausgewertet, um den Datenverkehr zuzulassen oder zu verweigern. Wenn die Bedingungen für eine Regel mit der Gerätekonfiguration übereinstimmen, wird die Verarbeitung der Regeln beendet.

Angenommen, Ihr Unternehmen hat eine Sicherheitsregel erstellt, die den eingehenden Datenverkehr über den Port 3389 (RDP) an Ihre Webserver mit einer Priorität von 200 zulässt. Anschließend hat ein anderer Administrator eine Regel erstellt, die den eingehenden Datenverkehr über Port 3389 mit einer Priorität von 150 verweigert. Dann hat die Verweigerungsregel Vorrang, weil sie zuerst verarbeitet wird. Die Regel mit der Priorität 150 wird vor der Regel mit der Priorität 200 verarbeitet.

Bei Netzwerksicherheitsgruppen sind Verbindungen zustandsbehaftet. Für die gleiche TCP-/UDP-Sitzung wird zurückgehender Datenverkehr automatisch zugelassen. Eine Eingangsregel, die beispielsweise den Datenverkehr über den Port 80 zulässt, erlaubt der VM auch, auf die Anforderung zu antworten (in der Regel über einen temporären Port). Hierfür ist keine entsprechende Ausgangsregel erforderlich.

Im ERP-System des Beispielszenarios stellen die Webserver für die ERP-App eine Verbindung mit den Datenbankservern her, die sich in ihren eigenen Subnetzen befinden. Sie können Sicherheitsregeln anwenden, um festzulegen, dass die SQL Server-Datenbankkommunikation von Webservern an die Datenbankserver nur über Port 1433 zugelassen wird. Jeglicher anderer Datenverkehr an Datenbankserver wird verweigert.

Standardsicherheitsregeln

Wenn Sie eine Netzwerksicherheitsgruppe erstellen, erstellt Azure mehrere Standardregeln. Diese Standardregeln können nicht geändert werden, Sie können sie jedoch mit Ihren eigenen Regeln überschreiben. Diese Standardregeln erlauben die Konnektivität innerhalt eines virtuellen Netzwerks und von Azure-Lastenausgleichen. Sie lassen auch die ausgehende Kommunikation an das Internet zu und verweigern eingehenden Datenverkehr aus dem Internet.

Die Standardregeln für eingehenden Datenverkehr lauten wie folgt:

Priorität Regelname Beschreibung
65000 AllowVnetInbound Eingehenden Datenverkehr von allen VMs an alle VMs innerhalb des Subnetzes zulassen
65001 AllowAzureLoadBalancerInbound Datenverkehr vom Standardlastenausgleich an alle VMs im Subnetz zulassen
65500 DenyAllInBound Datenverkehr aus beliebigen externen Quellen an alle VMs verweigern

Die Standardregeln für ausgehenden Datenverkehr lauten wie folgt:

Priorität Regelname Beschreibung
65000 AllowVnetOutbound Ausgehenden Datenverkehr von allen VMs an alle VMs innerhalb des Subnetzes zulassen
65001 AllowInternetOutbound Ausgehenden Datenverkehr an das Internet aus allen VMs zulassen
65500 DenyAllOutBound Datenverkehr aus allen internen VMs an ein System außerhalb des virtuellen Netzwerks verweigern

Ergänzte Sicherheitsregeln

Sie können ergänzte Sicherheitsregeln für Netzwerksicherheitsgruppen verwenden, um die Verwaltung einer großen Anzahl von Regeln zu vereinfachen. Ergänzte Sicherheitsregeln sind auch hilfreich, wenn Sie komplexere Netzwerkregeln implementieren müssen. Mit ergänzten Regeln können Sie die folgenden Optionen zu einer einzelnen Sicherheitsregel hinzufügen:

  • Mehrere IP-Adressen
  • Mehrere Ports
  • Diensttags
  • App-Sicherheitsgruppen

Angenommen, Ihr Unternehmen möchte den Zugriff auf Ressourcen in Ihrem Rechenzentrum über mehrere Netzwerkadressbereiche verteilt beschränken. Mit ergänzten Regeln können Sie diese Adressbereiche zu einer einzelnen Regel hinzufügen, wodurch der Verwaltungsmehraufwand und die Komplexität Ihrer Netzwerksicherheitsgruppen reduziert wird.

Diensttags

Mit Diensttags können Sie die Sicherheit von Netzwerksicherheitsgruppen noch weiter vereinfachen. Sie können den Datenverkehr an einen spezifischen Azure-Dienst entweder global oder pro Region zulassen oder verweigern.

Diensttags vereinfachen die Sicherheit für VMs und virtuelle Azure-Netzwerke, indem sie Ihnen das Einschränken des Zugriffs von Ressourcen oder Diensten ermöglichen. Diensttags stellen eine Gruppe von IP-Adressen dar und vereinfachen die Konfiguration Ihrer Sicherheitsregeln. Für Ressourcen, die Sie mithilfe eines Tags festlegen können, müssen Sie die IP-Adressen oder Portdetails nicht kennen.

Sie können den Zugriff auf viele Dienste einschränken. Diensttags werden von Microsoft verwaltet, was bedeutet, dass Sie keine eigenen Diensttags erstellen können. Es folgen einige Beispiele für Tags:

  • VirtualNetwork: Dieses Tag stellt alle IP-Adressen von virtuellen Netzwerken in Azure und Ihrem lokalen Netzwerk dar (wenn Sie die Hybridkonnektivität verwenden).
  • AzureLoadBalancer: Dieses Tag steht für den Lastenausgleich der Azure-Infrastruktur. Das Tag wird in die virtuelle IP-Adresse des Hosts (168.63.129.16) umgewandelt, die als Ausgangspunkt für die Integritätstests von Azure fungiert.
  • Internet: Dieses Tag stellt alles außerhalb der VNET-Adresse dar, das öffentlich zugänglich ist, einschließlich Ressourcen, die über öffentliche IP-Adressen verfügen. Eine solche Ressource ist das Web-Apps-Feature von Azure App Service.
  • AzureTrafficManager: Dieses Tag stellt die IP-Adresse für den Azure Traffic Manager dar.
  • Storage: Dieses Tag gibt den IP-Adressraum für Azure Storage an. Sie können festlegen, ob Datenverkehr zugelassen oder verweigert wird. Sie können ebenfalls festlegen, ob der Zugriff nur für eine spezifische Region gewährt wird. Sie können jedoch keine einzelnen Speicherkonten auswählen.
  • SQL: Dieses Tag stellt die Adresse für die Dienste Azure SQL-Datenbank, Azure Database for MySQL, Azure Database for PostgreSQL und Azure Synapse Analytics dar. Sie können festlegen, ob Datenverkehr zugelassen oder verweigert wird, und ihn auf eine bestimmte Region beschränken.
  • AppService: Dieses Tag stellt die Adresspräfixe für Azure App Service dar.

App-Sicherheitsgruppen

Mit App-Sicherheitsgruppen können Sie die Netzwerksicherheit für Ressourcen konfigurieren, die von bestimmten Apps genutzt werden. Sie können VMs unabhängig von den zugewiesenen IP-Adressen oder Subnetzen logisch gruppieren.

Verwenden Sie App-Sicherheitsgruppen innerhalb einer Netzwerksicherheitsgruppe, um eine Sicherheitsregel auf Ressourcengruppen anzuwenden. Es ist einfacher, spezifische Apps-Workloads bereitzustellen und zentral hochzuskalieren. Sie fügen lediglich eine neue VM-Bereitstellung zu mindestens einer App-Sicherheitsgruppe hinzu. Diese VM übernimmt automatisch Ihre Sicherheitsregeln für diese Workload.

Mit einer App-Sicherheitsgruppe können Sie Netzwerkschnittstellen gruppieren. Sie können diese App-Sicherheitsgruppe dann innerhalb einer Netzwerksicherheitsgruppe als Quell- oder Zielregel verwenden.

Angenommen, Ihr Unternehmen verfügt über mehrere Front-End-Server in einem virtuellen Netzwerk. Die Webserver müssen über die Ports 80 und 8080 zugänglich sein. Die Datenbankserver müssen über Port 1433 zugänglich sein. Sie weisen die Netzwerkschnittstellen für die Webserver einer App-Sicherheitsgruppe und die Netzwerkschnittstellen für die Datenbankserver einer anderen App-Sicherheitsgruppe zu. Anschließend erstellen Sie zwei Eingangsregeln in Ihrer Netzwerksicherheitsgruppe. Eine Regel lässt den gesamten HTTP-Datenverkehr zu allen Servern in der App-Sicherheitsgruppe für Webserver zu. Die andere Regel lässt den gesamten SQL-Datenverkehr zu allen Servern in der App-Sicherheitsgruppe für Datenbankserver zu.

Diagramm von App-Sicherheitsgruppen

Ohne App-Sicherheitsgruppen müssten Sie eine separate Regel für jeden virtuellen Computer erstellen oder einem Subnetz eine Netzwerksicherheitsgruppe hinzufügen und dann alle VMs diesem Subnetz hinzufügen.

Der Hauptvorteil von App-Sicherheitsgruppen liegt in der Vereinfachung der Verwaltung. Sie können Netzwerkschnittstellen mühelos zu einer App-Sicherheitsgruppe hinzufügen oder entfernen, wenn Sie App-Server bereitstellen bzw. noch mal bereitstellen. Sie können neue Regeln auch dynamisch auf eine App-Sicherheitsgruppe anwenden, die dann automatisch auf alle VMs in dieser App-Sicherheitsgruppe angewendet werden.

Anwendungsfälle von Netzwerksicherheitsgruppen

Die Verwendung von Netzwerksicherheitsgruppen hat sich für den Schutz vor unerwünschten Datenverkehr für vernetzte Ressourcen als bewährte Methode erwiesen. Mit Netzwerksicherheitsgruppen verfügen Sie über präzise Zugriffssteuerung für die Netzwerkschicht, ohne dass Sie sich mit der potenziellen Komplexität der Einstellung von Sicherheitsregeln für jede VM oder jedes virtuelle Netzwerk beschäftigen müssen.