Résolution des problèmes de groupes de sécurité réseau
Illustrer une compréhension des données de configuration de groupe de sécurité réseau (NSG), notamment les ports, les étiquettes de service et les numéros de priorité
Groupes de sécurité réseau
Un groupe de sécurité réseau Azure filtre le trafic réseau à destination et en provenance des ressources sur un réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant en direction/à partir des différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.
Dans cette unité, vous allez en savoir plus sur :
Les propriétés d’une règle de groupe de sécurité réseau et des règles de sécurité par défaut appliquées.
Les propriétés de règle que vous pouvez modifier pour créer une règle de sécurité augmentée.
Règles de sécurité
Un groupe de sécurité réseau peut contenir autant de règles que nécessaires, dans les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :
| Propriété | Explication |
|---|---|
| Nom | Nom unique au sein du groupe de sécurité réseau. |
| Priorité | Les règles sont traitées dans l’ordre croissant, car les nombres les plus faibles sont prioritaires. Un nombre doit être compris entre 100 et 4096. |
| Source ou destination | Si vous spécifiez une adresse pour une ressource Azure, vous devez spécifier l’adresse IP privée, une plage, une balise de service ou un groupe de sécurité d’application affecté à la ressource. |
| Protocole | TCP, UDP, ICMP, ESP, AH ou n’importe lequel. |
| Sens | Indique si la règle s’applique au trafic entrant ou sortant. |
| Plage de ports | La spécification de plages vous permet de créer moins de règles de sécurité. Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple, 80 ou 10000-10005. |
| Action | Autoriser ou refuser. |
Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité. Pour plus d’informations, consultez les limites d’Azure.
Règles de sécurité par défaut
Azure crée les règles par défaut suivantes dans chaque groupe de sécurité de votre réseau que vous créez :
Trafic entrant
AllowVNetInBound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Quelconque | Permettre |
AllowAzureLoadBalancerInBound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Permettre |
DenyAllInbound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Permettre |
Sortant
AllowVnetOutBound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Quelconque | Permettre |
AllowInternetOutBound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Quelconque | Permettre |
DenyAllOutBound
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 001 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Permettre |
Dans les colonnes Source et Destination , VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service, plutôt que des adresses IP. Dans la colonne de protocole, Any englobe TCP, UDP et ICMP. Lorsque vous créez une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any (N’importe lequel). 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses. Les clients comme le portail Azure, Azure CLI ou PowerShell peuvent utiliser ***** ou « Any » pour cette expression.
Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.
Règles de sécurité augmentée
Avec des règles de sécurité augmenté, vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité. En d’autres termes, les règles de sécurité augmentées simplifient la définition de sécurité pour les réseaux virtuels. Cela vous permet d’interrompre les stratégies de sécurité réseau plus volumineuses et complexes en moins de règles et de règles plus simples. Des règles de sécurité augmentée sont généralement utilisées dans les champs de la source, de la destination et du port d’une règle.
La combinaison de règles de sécurité augmentées avec des étiquettes de service ou des groupes de sécurité d’application permet de simplifier la définition de votre règle de sécurité. Cependant, le nombre d’adresses, les plages et les ports que vous pouvez spécifier dans une règle sont limités.
Balises de service : une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Elle permet de minimiser la complexité des mises à jour fréquentes des règles de sécurité réseau. Consultez les tags de service Azure.
Pour obtenir un exemple d’utilisation de la balise de service de stockage pour restreindre l’accès réseau, accédez à Restreindre l’accès réseau aux ressources PaaS avec des points de terminaison de service de réseau virtuel à l’aide du portail Azure.
Groupes de sécurité d’application : les groupes de sécurité d’application vous permettent de configurer la sécurité réseau en tant qu’extension naturelle de la structure d’une application. Cela vous permet de regrouper des machines virtuelles et de définir des stratégies de sécurité réseau basées sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites. Pour en savoir plus, consultez Groupes de sécurité d’application.
Résoudre les problèmes de configuration du groupe de sécurité réseau
Les groupes de sécurité réseau (NSG) vous permettent de contrôler le flux entrant et sortant du trafic d’une machine virtuelle. Vous pouvez associer un groupe de sécurité réseau à un sous-réseau dans un réseau virtuel Azure, une interface réseau attachée à une machine virtuelle, ou les deux. Les règles de sécurité appliquées à une interface réseau sont une combinaison des règles présentes dans le NSG associé une interface réseau et le sous-réseau où elle se trouve. Vous pouvez examiner le conflit entre les règles des différents groupes de sécurité réseau appliqués sur les interfaces réseau de votre machine virtuelle.
Les articles suivants vous aident à comprendre les éléments suivants :
Dans cet leçon, vous allez apprendre à diagnostiquer un problème de filtre de trafic réseau en consultant les règles de sécurité du NSG qui entrent en vigueur pour une machine virtuelle.
Diagnostiquer à l’aide du portail Azure
Scénario
Lorsque vous essayez de vous connecter à une machine virtuelle via le port 80 à partir d’internet, mais la connexion échoue. Pour comprendre pourquoi cela se produit, vous pouvez examiner les règles de sécurité efficaces pour une interface réseau à l’aide des Portail Azure, PowerShell ou Azure CLI.
Si vous n’avez pas de machine virtuelle existante pour afficher les règles de sécurité efficaces, vous devez d’abord déployer une machine virtuelle Linux ou Windows pour terminer la tâche.
Dans la tâche suivante, les exemples concernent une machine virtuelle nommée myVM avec une interface réseau nommée myVMVMNic. La machine virtuelle et l’interface réseau se trouvent dans un groupe de ressources nommé myResourceGroup et se trouvent dans la région USA Est. Pour analyser le problème, modifiez les valeurs dans les étapes, selon le cas, pour la machine virtuelle.
Connectez-vous au portail Azure.
En haut du portail Azure, entrez le nom de la machine virtuelle dans la zone de recherche. Quand le nom de cette machine virtuelle apparaît dans les résultats de la recherche, sélectionnez-le.
Sous PARAMÈTRES, sélectionnez Mise en réseau.
Les règles répertoriées dans l’image suivante concernent une interface réseau nommée myVMVMNic. Il existe des règles de port entrant pour l’interface réseau à partir de deux groupes de sécurité réseau différents :
mySubnetNSG : associé au sous-réseau dans lequel se trouve l’interface réseau.
myVMNSG : associé à l’interface réseau de la machine virtuelle nommée myVMVMNic.
Comme vous pouvez le voir dans l’image précédente, la règle nommée DenyAllInBound empêche la communication entrante d’Internet vers la machine virtuelle sur le port 80. La règle liste 0.0.0.0/0 pour SOURCE, ce qui inclut l’internet. Aucune autre règle avec une priorité plus élevée (numéro inférieur) ne permet de trafic entrant par le port 80. Pour autoriser le port 80 entrant vers la machine virtuelle à partir d’Internet, consultez Résoudre un problème.
Sous règles de port sortant, en bas, il existe des règles de port sortant pour l’interface réseau. VirtualNetwork et AzureLoadBalancer sont des balises de service. Les balises de service représentent un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité.
Vérifiez que la machine virtuelle est en cours d’exécution, puis sélectionnez Règles de sécurité effectives, comme illustré dans l’image suivante :
Vous pouvez voir qu’il existe différents onglets pour le groupe de sécurité réseau associé à l’interface réseau et au sous-réseau. Les règles répertoriées sont identiques à celles de l’étape 3 , même si, comme indiqué dans l’image, seules les 50 premières règles sont affichées. Pour télécharger un fichier .csv qui contient toutes les règles, sélectionnez Télécharger.
Pour voir quels préfixes chaque balise de service représente, sélectionnez une règle, telle que AllowAzureLoadBalancerInbound. L’image ci-dessous montre les préfixes de la balise de service AzureLoadBalancer :
La machine virtuelle de cet exemple comporte deux interfaces réseau, myVMVMNic et myVMVMNic2 qui lui sont attachées. Les règles de sécurité effectives peuvent être différentes pour chaque interface réseau. Sélectionnez myVMVMNic2 pour afficher les règles de cette interface réseau.
L’interface réseau myVMVMNic2 n’a pas de groupe de sécurité réseau qui lui est associé, car l’interface réseau myVMVMNic le fait. Chaque interface réseau et sous-réseau peuvent avoir aucun ou un groupe de sécurité réseau associé. Le groupe de sécurité réseau associé à chaque interface réseau ou sous-réseau peut être le même ou ils peuvent être différents. Vous pouvez associer le même groupe de sécurité réseau à toutes les interfaces réseau individuelles et à tous les sous-réseaux que vous souhaitez.
Notes
Bien que les règles de sécurité effectives aient été affichées au moyen de la machine virtuelle, vous pouvez aussi les consulter avec les éléments individuels suivants :
- Interface réseau : Découvrez comment afficher une interface réseau.
- Groupe de sécurité réseau (NSG) : Découvrez comment afficher un groupe de sécurité réseau (NSG).
Pour exécuter les commandes à l’aide de PowerShell, reportez-vous à Diagnostiquer à l’aide de PowerShell.
Pour exécuter les commandes à l’aide d’Azure CLI, reportez-vous à Diagnostiquer à l’aide d’Azure CLI.
Pour résoudre les problèmes de connectivité :
Pour autoriser le trafic entrant à partir d’internet, ajoutez des règles de sécurité avec une priorité plus élevée que les règles par défaut.
Pour résoudre des problèmes liés au peering de réseau virtuel, vous pouvez consulter les préfixes dans la liste ExpandedAddressPrefix.
Vérifiez qu’un groupe de sécurité réseau est associé à l’interface réseau de la machine virtuelle et/ou au sous-réseau. Vérifiez également que la machine virtuelle est dans l’état en cours d’exécution.
Si la machine virtuelle possède une adresse IP publique, nous vous recommandons d’appliquer un groupe de sécurité réseau au sous-réseau de l’interface réseau.
Diagnostic supplémentaire
Utilisez la fonctionnalité de vérification du flux IP d’Azure Network Watcher pour déterminer si le trafic est autorisé vers ou depuis une machine virtuelle.
Si aucune règle de sécurité n’est à l’origine d’un échec de connectivité réseau d’une machine virtuelle, les causes du problème peuvent être les suivantes :
Logiciel de pare-feu s’exécutant à l’intérieur du système d’exploitation de la machine virtuelle.
Itinéraires configurés pour les appliances virtuelles ou le trafic local, reportez-vous au tunneling forcé. En outre, pour savoir comment diagnostiquer les problèmes de routage susceptibles d’entraver le flux de trafic sortant de la machine virtuelle, consultez Diagnostiquer un problème de routage du trafic réseau d’une machine virtuelle.
Examiner et interpréter les journaux de flux NSG
Présentation
La fonctionnalité des journaux de flux NSG dans Azure Network Watcher vous permet de journaliser des informations sur le trafic IP circulant à travers un NSG. Les données du flux sont envoyées aux comptes de stockage Azure à partir desquels vous pouvez les exporter vers les outils de visualisation, SIEM ou IDS.
Pourquoi utiliser des journaux de flux ?
Les journaux de flux sont essentiels en matière de gestion et de surveillance de toutes les activités réseau dans votre environnement cloud. Ils vous permettent d’optimiser les flux réseau, de surveiller les données, de vérifier la conformité, de détecter les intrusions et bien plus encore.
Voici quelques cas d’utilisation courants :
Surveillance du réseau :
identifiez le trafic inconnu ou indésirable.
Surveillez les niveaux de trafic et l’utilisation de la bande passante.
Filtrer les journaux de flux par adresse IP et par port pour comprendre le comportement de l’application.
Exportez les journaux de flux vers les outils d’analyse et de visualisation que vous choisissez pour configurer des tableaux de bord de supervision.
Surveillance et optimisation de l’utilisation :
Identifiez les meilleurs acteurs de votre réseau.
Exploitez les données de géolocalisation des adresses IP (GeoIP) pour identifier le trafic entre les régions.
Acquérez une compréhension de la croissance du trafic pour la prévision de capacité.
Utilisez les données pour supprimer les règles de trafic visiblement restrictives.
Conformité :
- utilisez les données de flux pour vérifier l’isolement réseau et la conformité aux règles d’accès d’entreprise.
Analyse de la sécurité et de la criminalistique des réseaux :
analysez les flux réseau en provenance d’adresses IP et d’interfaces réseau compromises.
Exportez les journaux de flux vers les outils de SIEM ou IDS de votre choix.
Fonctionnement de la journalisation
Les journaux de flux fonctionnent au niveau de la couche 4 (couche de transport). Il enregistre tous les flux IP entrant et sortant d'un NSG.
Les journaux sont collectés à intervalles d’une minute via la plateforme Azure sans affecter les ressources client ou les performances réseau.
Les journaux sont écrits au format JSON. Cela montre les flux entrants et sortants, règle par règle NSG.
Chaque enregistrement de journal contient l’interface réseau (NIC). Le flux s’applique aux informations à cinq tuples, à la décision du trafic et (version 2 uniquement) aux informations de débit. Reportez-vous au format journal.
Les journaux de flux suppriment les journaux jusqu’à un an après la création.
Pour activer les journaux de flux, reportez-vous à l’activation des journaux de flux NSG.
Vérification des flux IP
La vérification des flux IP vérifie si un paquet est autorisé ou refusé en direction ou en provenance d’une machine virtuelle. Vous pouvez utiliser la vérification des flux IP pour diagnostiquer rapidement les problèmes de connectivité depuis ou vers Internet, et depuis ou vers l’environnement local. Elle fournit des informations concernant la direction, le protocole, l’adresse IP locale, l’adresse IP distante, le port local et le port distant. Si un groupe de sécurité refuse le paquet, le nom de la règle utilisée est retourné.
La vérification des flux IP examine les règles pour tous les NSG appliquées à l’interface réseau, par exemple un sous-réseau ou une carte réseau de machine virtuelle. Le flux de trafic est ensuite vérifié en fonction des paramètres configurés vers ou à partir de cette interface réseau.
La vérification des flux IP vérifie si une règle dans un NSG bloque le trafic entrant ou sortant vers ou depuis une machine virtuelle. Il évalue également les règles Azure Virtual Network Manager et les règles de NSG.
Pour en savoir plus sur la résolution des problèmes liés aux journaux de flux NSG, consultez Résolution des problèmes courants.
Déterminer si une machine virtuelle ou un groupe de machines virtuelles est associé à un groupe de sécurité d’application (ASG)
Les groupes de sécurité d’application vous permettent de regrouper des machines virtuelles dans un réseau virtuel Azure et de définir des stratégies de sécurité réseau basées sur ces groupes. Cela permet de réduire l’effort de maintenance des adresses IP explicites. Considérez l’image suivante pour mieux comprendre les ASG :
| Groupes de sécurité d’application |
|---|
|
Dans l’image précédente, NIC1 et NIC2 sont membres du ASG AsgWeb. NIC3 est membre de l’ASG AsgLogic et NIC4 membre de l’ASG AsgDb. Dans cet exemple, chaque interface réseau est membre d’un seul groupe de sécurité réseau. Cependant, une interface réseau peut être membre de plusieurs ASG, dans les limites d'Azure.
Aucune de ces interfaces réseau ne dispose d’un groupe de sécurité réseau associé. NSG1 est associé aux deux sous-réseaux et contient les règles suivantes :
Allow-HTTP-Inbound-Internet
Cette règle est nécessaire pour autoriser le trafic internet vers les serveurs web. Étant donné que le trafic entrant à partir d’internet est refusé par la règle de sécurité par défaut DenyAllInbound, aucune règle supplémentaire n’est nécessaire pour les groupes de sécurité d’application AsgLogic ou AsgDb.
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Permettre |
Deny-Database-All
Étant donné que la règle de sécurité Par défaut AllowVNetInBound autorise toutes les communications entre les ressources du même réseau virtuel, cette règle est nécessaire pour refuser le trafic de toutes les ressources.
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgWeb | 1433 | Quelconque | Refuser |
Allow-Database-BusinessLogic
Cette règle autorise le trafic de l’ASG AsgLogic vers l’ASG AsgDb. Cette règle est prioritaire par rapport à la règle Deny-Database-All. Par conséquent, cette règle est traitée avant la règle Deny-Database-All, c’est pourquoi le trafic en provenance du groupe de sécurité d’application AsgLogic est autorisé, tandis que tout autre trafic est bloqué.
| Priorité | Source | Ports source | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Permettre |
Les règles qui spécifient un ASG comme source ou destination sont appliquées uniquement aux interfaces réseau qui sont membres de l’ASG. Si l’interface réseau n’est pas membre d’un ASG, la règle n’est pas appliquée à l’interface réseau même si le groupe de sécurité réseau est associé au sous-réseau.
Les groupes de sécurité d’application ont les contraintes suivantes :
Il existe plusieurs limites liées aux ASG. L’un d’eux est le nombre d’ASG que vous pouvez avoir dans un abonnement.
Vous ne pouvez pas ajouter d’interfaces réseau de différents réseaux virtuels à la même ASG. Par exemple, si la première interface réseau assignée à un ASG nommé AsgWeb se trouve dans le réseau virtuel nommé VNet1, toutes les interfaces réseau suivantes affectées à ASGWeb doivent exister dans VNet1.
Toutes les interfaces réseau pour les groupes source et de destination doivent exister dans le même réseau virtuel. Par exemple, si AsgLogic contient des interfaces réseau de VNet1, et si AsgDb contient des interfaces réseau de VNet2, vous ne pouvez pas assigner AsgLogic en tant que source et AsgDb en tant que destination dans une règle.