Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ebben a cikkben megismerkedhet az Azure Virtual Network Manager biztonsági rendszergazdai szabályaival. A biztonsági rendszergazdai szabályok használatával globális hálózati biztonsági szabályokat határozhat meg, amelyek egy hálózati csoport összes virtuális hálózatára vonatkoznak. Megtudhatja, hogy mik a biztonsági rendszergazdai szabályok, hogyan működnek, és mikor érdemes használni őket.
Mi az a biztonsági rendszergazdai szabály?
A biztonsági rendszergazdai szabályok globális hálózati biztonsági szabályok, amelyek a szabálygyűjteményben meghatározott biztonsági szabályzatokat kényszerítik ki a virtuális hálózatokon. Ezekkel a szabályokkal engedélyezze, mindig engedélyezze vagy tagadja meg a forgalmat a megcélzott hálózati csoportok virtuális hálózatai között. Ezek a hálózati csoportok csak a virtual network manager-példány hatókörén belüli virtuális hálózatokból állhatnak. A biztonsági rendszergazdai szabályok nem alkalmazhatók a virtuális hálózatkezelő által nem felügyelt virtuális hálózatokra.
Az alábbiakban néhány olyan esetet láthat, ahol biztonsági rendszergazdai szabályokat használhat:
| Forgatókönyv | Leírás |
|---|---|
| A magas kockázatú hálózati portokhoz való hozzáférés korlátozása | Biztonsági rendszergazdai szabályok használatával tiltsa le a forgalmat a támadók által gyakran megcélzott bizonyos portokon, például a 3389-as porton a Távoli asztali protokollhoz (RDP) vagy a 22-as porthoz a Secure Shellhez (SSH). |
| Megfelelőségi követelmények érvényesítése | Biztonsági rendszergazdai szabályokkal kényszerítse ki a megfelelőségi követelményeket. Tiltsa le például az adott IP-címekre vagy hálózati blokkokra irányuló vagy onnan érkező forgalmat. |
| Bizalmas adatok védelme | Biztonsági rendszergazdai szabályokkal korlátozhatja a bizalmas adatokhoz való hozzáférést azáltal, hogy letiltja az adott IP-címekre vagy alhálózatokra irányuló vagy onnan érkező forgalmat. |
| Hálózati szegmentálás kényszerítése | A virtuális hálózatok vagy alhálózatok közötti forgalom blokkolásával biztonsági rendszergazdai szabályokkal kényszerítheti a hálózatszegmentálást. |
| Alkalmazásszintű biztonság kényszerítése | A biztonsági rendszergazdai szabályokkal alkalmazásszintű biztonságot kényszeríthet ki az adott alkalmazásokba vagy szolgáltatásokba irányuló vagy onnan érkező forgalom blokkolásával. |
Az Azure Virtual Network Managerrel központi helyen kezelheti a biztonsági rendszergazdai szabályokat. A központosítással nagy léptékű biztonsági szabályzatokat határozhat meg, és egyszerre több virtuális hálózatra is alkalmazhatja őket.
Feljegyzés
A biztonsági rendszergazdai szabályok jelenleg nem vonatkoznak a felügyelt virtuális hálózat hatókörébe tartozó privát végpontokra.
A biztonsági rendszergazdai szabályok működése
A biztonsági rendszergazdai szabályok adott portokon, protokollokon és forrás- vagy cél IP-előtagokon engedélyezik vagy tiltják le a forgalmat egy adott irányban. Biztonsági rendszergazdai szabály definiálásakor adja meg a következő feltételeket:
- A szabály prioritása
- A végrehajtandó művelet (engedélyezés, elutasítás vagy mindig engedélyezés)
- A forgalom iránya (bejövő vagy kimenő)
- A használni kívánt protokoll
Biztonsági szabályzatok több virtuális hálózaton való érvényesítéséhez hozzon létre és helyezzen üzembe egy biztonsági rendszergazdai konfigurációt. Ez a konfiguráció szabálygyűjteményeket tartalmaz, és minden szabálygyűjtemény egy vagy több biztonsági rendszergazdai szabályt tartalmaz. A létrehozás után társítsa a szabálygyűjteményt a biztonsági rendszergazdai szabályokat igénylő hálózati csoportokkal. A szabályok a hálózati csoportokban található összes virtuális hálózatra vonatkoznak a konfiguráció telepítésekor. Egyetlen konfiguráció központosított és skálázható biztonsági szabályzatokat biztosít több virtuális hálózaton.
Fontos
Csak egy biztonsági rendszergazdai konfigurációt helyezhet üzembe egy régióban. Egy régióban azonban több kapcsolati konfiguráció is létezhet. Ha több biztonsági rendszergazdai konfigurációt szeretne üzembe helyezni egy régióban, hozzon létre több szabálygyűjteményt egy biztonsági konfigurációban.
A biztonsági rendszergazdai szabályok és a hálózati biztonsági csoportok (NSG-k) kiértékelése
Biztonsági rendszergazdai szabályok és hálózati biztonsági csoportok (NSG-k) használatával kényszerítheti ki a hálózati biztonsági szabályzatokat az Azure-ban. Ezek azonban eltérő hatókörrel és prioritásokkal rendelkeznek.
A központi szabályozási csapat hálózati rendszergazdái biztonsági rendszergazdai szabályokat használnak. Az egyes alkalmazás- vagy szolgáltatáscsoportok az NSG-k használatával igény szerint további biztonságot adhatnak meg. A biztonsági rendszergazdai szabályok magasabb prioritással rendelkeznek, mint az NSG-k, és az NSG-szabályok előtt lesznek kiértékelve.
Az egyes alkalmazás- vagy szolgáltatáscsoportok NSG-k használatával szűrik az egyes alhálózatokra vagy hálózati adapterekre irányuló és onnan érkező hálózati forgalmat. Az NSG-k prioritása alacsonyabb, mint a biztonsági rendszergazdai szabályok, és a biztonsági rendszergazdai szabályok után lesznek kiértékelve.
Jelenleg biztonsági rendszergazdai szabályokat alkalmaz a virtuális hálózat szintjén. A hálózati biztonsági csoportokat az alhálózat és a hálózati adapter szintjén is társíthatja. Ez a táblázat az alábbi különbségeket és hasonlóságokat mutatja be:
| Szabály típusa | Célközönség | Alkalmazva | Kiértékelési sorrend | Művelettípusok | Paraméterek |
|---|---|---|---|---|---|
| Biztonsági rendszergazdai szabályok | Hálózati rendszergazdák, központi irányítási csapat | Virtuális hálózatok | Magasabb prioritás | Engedélyezés, megtagadás, mindig engedélyezés | Prioritás, protokoll, művelet, forrás, cél |
| Hálózati biztonsági csoport szabályai | Egyéni csapatok | Alhálózatok, hálózati adapterek | Alacsonyabb prioritás a biztonsági rendszergazdai szabályok után | Engedélyezés, megtagadás | Prioritás, protokoll, művelet, forrás, cél |
A biztonsági rendszergazdai szabályok három műveletet hajthatnak végre a forgalomon: Engedélyezés, Always Allow és Deny. Az Engedélyezési szabály létrehozásakor a rendszer először kiértékeli azt, majd a hálózati biztonsági csoport szabályait. Ez a művelet lehetővé teszi, hogy a hálózati biztonsági csoport szabályai szükség esetén eltérő módon kezeljék a forgalmat.
Ha Always Allow vagy Deny szabályt hoz létre, a forgalom kiértékelése a biztonsági rendszergazdai szabály kiértékelése után fejeződik be. Always Allow szabály esetén a forgalom közvetlenül az erőforráshoz kerül, és az NSG-szabályok további (és esetleg ütköző) kiértékelését leállítja. Ez a művelet hasznos lehet a forgalom kikényszerítéséhez és a hálózati biztonsági csoport szabályai általi megtagadás megelőzéséhez. Megtagadási szabálysal a forgalom a célhelyre való kézbesítés nélkül leáll. A biztonsági rendszergazdai szabályok nem függnek az NSG-ktől, így saját maguk hozhatnak létre alapértelmezett biztonsági szabályokat.
A biztonsági rendszergazdai szabályok és az NSG-k együttes használatával globális és egyéni szinten is kényszerítheti a hálózati biztonsági szabályzatokat. Ez a megközelítés biztosítja, hogy a virtuális hálózatok biztonságosak és megfeleljenek a szervezet biztonsági szabályzatainak.
Fontos
A biztonsági rendszergazdai szabályok üzembe helyezésekor a végleges konzisztenciamodell lesz használatban. Ez a modell azt jelenti, hogy a biztonsági rendszergazdai szabályokat a rendszer rövid késleltetés után alkalmazza a virtuális hálózatban található erőforrásokra. Ha olyan virtuális hálózathoz ad hozzá erőforrásokat, amelyekre biztonsági rendszergazdai szabályok vonatkoznak, ezek az erőforrások idővel megkapják ugyanazokat a biztonsági rendszergazdai szabályokat.
A biztonsági rendszergazdai szabályok előnyei
A biztonsági rendszergazdai szabályok számos előnnyel járnak a szervezet erőforrásainak biztonságossá tételéhez. A biztonsági rendszergazdai szabályok használatával kényszerítheti az engedélyezett forgalmat, és megakadályozhatja a megtagadást a hálózati biztonsági csoport szabályainak ütközésével. Létrehozhat olyan alapértelmezett biztonsági rendszergazdai szabályokat is, amelyek nem függnek az NSG-k létezésétől. Ezek az alapértelmezett szabályok különösen hasznosak lehetnek, ha az alkalmazástulajdonosok helytelenül konfigurálják vagy elfelejtik létrehozni az NSG-ket. Emellett a biztonsági rendszergazdai szabályok lehetővé teszik a biztonság nagy léptékű kezelését, ami csökkenti a növekvő számú hálózati erőforrással járó működési többletterhelést.
Magas kockázatú portok védelme
A Microsoft iparági tanulmánya és javaslatai alapján korlátozza a külső forgalmat a magas kockázatú portok listájára vonatkozó biztonsági rendszergazdai szabályok használatával. Ezeket a portokat gyakran használják az erőforrások kezelésére, illetve a nem biztonságos és titkosítatlan adatátvitelre, és nem szabad az internethez hozzáférni. Bizonyos virtuális hálózatoknak és erőforrásaiknak azonban engedélyezniük kell a forgalom felügyeletét vagy más folyamatokat. Szükség esetén létrehozhat kivételeket. Megtudhatja, hogyan tilthatja le a magas kockázatú portokat az ilyen típusú forgatókönyvek kivételeivel.
| Port | Protokoll | Leírás |
|---|---|---|
| 20 | TCP | Titkosítatlan FTP-forgalom |
| 21 | TCP | Titkosítatlan FTP-forgalom |
| 22 | TCP | SSH. Lehetséges találgatásos támadások |
| 23 | TCP | A TFTP nem hitelesített és titkosítatlan forgalmat tesz lehetővé |
| 69 | UDP | A TFTP nem hitelesített és titkosítatlan forgalmat tesz lehetővé |
| 111 | TCP/UDP | RPC. Titkosítatlan hitelesítés engedélyezett |
| 119 | TCP | NNTP titkosítás nélküli hitelesítéshez |
| 135 | TCP/UDP | Végpont-leképező, több távfelügyeleti szolgáltatás |
| 161 | TCP | SNMP a nem biztonságos / nincs hitelesítéshez |
| 162 | TCP/UDP | SNMP-trap – nem biztonságos / nincs hitelesítés |
| 445 | TCP | SMB – jól ismert támadási vektor |
| 512 | TCP | Rexec Linux rendszeren – távoli parancsok titkosítás nélküli hitelesítés nélkül |
| 514 | TCP | Remote Shell – távoli parancsok hitelesítés vagy titkosítás nélkül |
| 593 | TCP/UDP | HTTP RPC EPMAP – titkosítatlan távoli eljáráshívás |
| 873 | TCP | Rsync – titkosítatlan fájlátvitel |
| 2049 | TCP/UDP | Hálózati fájlrendszer |
| 3389 | TCP | RDP – Gyakori találgatásos támadási port |
| 5800 | TCP | VNC távoli keretpuffer HTTP-en keresztül |
| 5900 | TCP | VNC távoli keretpuffer HTTP-en keresztül |
| 11211 | UDP | Memcached |
Nagy léptékű felügyelet
Az Azure Virtual Network Manager biztonsági rendszergazdai szabályokkal biztosít módot a biztonsági szabályzatok nagy léptékű kezelésére. Ha biztonsági rendszergazdai konfigurációt alkalmaz egy hálózati csoportra, a hálózati csoport hatókörében lévő összes virtuális hálózat és azok tartalmazott erőforrásai megkapják a házirend biztonsági rendszergazdai szabályait.
Az új erőforrások a meglévő erőforrásokkal együtt védettek. Ha például egy biztonsági rendszergazdai szabály hatókörében új virtuális gépeket ad hozzá egy virtuális hálózathoz, a virtuális gépek is automatikusan védettek lesznek. Röviddel a virtuális gépek üzembe helyezése után a biztonsági rendszergazdai szabályok védik őket.
Az új biztonsági kockázatok azonosításakor nagy léptékben helyezhet üzembe védelmet egy biztonsági rendszergazdai szabály létrehozásával, amely védelmet nyújt az új kockázattal szemben, és alkalmazza azt a hálózati csoportokra. Az új szabály üzembe helyezése után az a hálózati csoportok hatókörében lévő összes erőforrást védi most és a jövőben.
Biztonsági rendszergazdai szabályok nemnapplicációja
A legtöbb esetben a biztonsági rendszergazdai szabályok az összes virtuális hálózatra és alhálózatra vonatkoznak a hálózati csoport alkalmazott biztonsági konfigurációjának hatókörén belül. Egyes szolgáltatások azonban nem alkalmaznak biztonsági rendszergazdai szabályokat a szolgáltatás hálózati követelményei miatt. A szolgáltatás hálózati szándékszabályzata kikényszeríti ezeket a követelményeket.
A biztonsági rendszergazdai szabályok nem engedélyezettek virtuális hálózati szinten
Alapértelmezés szerint a rendszer nem alkalmazza a biztonsági rendszergazdai szabályokat a következő szolgáltatásokat tartalmazó virtuális hálózatokra:
- Felügyelt Azure SQL-példányok
- Azure Databricks
Ha egy virtuális hálózat tartalmazza ezeket a szolgáltatásokat, a biztonsági rendszergazdai szabályok kihagyják ezt a virtuális hálózatot. Ha engedélyezni szeretné a virtuális hálózatra vonatkozó szabályok alkalmazását, a biztonsági konfigurációt a AllowRulesOnly securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET osztályban megadott mezővel hozza létre. Ha be van állítva, a rendszer csak a biztonsági konfiguráció engedélyezési szabályait alkalmazza erre a virtuális hálózatra.
A rendszer nem alkalmazza a megtagadási szabályokat erre a virtuális hálózatra. A szolgáltatások nélküli virtuális hálózatok továbbra is használhatják az Engedélyezés és a Megtagadás szabályokat.
Biztonsági konfigurációt csak Engedélyezési szabályokkal hozhat létre, és üzembe helyezheti a virtuális hálózatokon az Azure PowerShell és az Azure CLI használatával.
Feljegyzés
Ha több Azure Virtual Network Manager-példány eltérő beállításokat alkalmaz az securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices osztályban ugyanarra a virtuális hálózatra, a rendszer a legmagasabb hatókörű Network Manager-példány beállítását használja.
Tegyük fel, hogy két virtuális hálózatkezelője van. Az első hálózatkezelő hatóköre a gyökérszintű felügyeleti csoportra terjed ki, és az osztályban az AllowRulesOnlysecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices biztonsági konfiguráció van beállítva. A második virtuális hálózatkezelő hatóköre egy előfizetésre vonatkozik a gyökérszintű felügyeleti csoport alatt, és a Biztonsági konfigurációban a Nincs alapértelmezett mezőjét használja. Ha mindkét konfiguráció biztonsági rendszergazdai szabályokat alkalmaz ugyanarra a virtuális hálózatra, a rendszer az AllowRulesOnly beállítást alkalmazza a virtuális hálózatra.
A biztonsági rendszergazdai szabályok nemnapplicációja alhálózati szinten
Hasonlóképpen, egyes szolgáltatások nem alkalmaznak biztonsági rendszergazdai szabályokat az alhálózat szintjén, ha az alhálózatok virtuális hálózatai egy biztonsági rendszergazdai konfiguráció hatókörébe tartoznak. Ezek a szolgáltatások a következők:
- Azure Application Gateway
- Azure Bastion
- Azure Firewall
- Azure Route Server
- Azure VPN Gateway
- Azure Virtual WAN
- Azure ExpressRoute-átjáró
Ebben az esetben a biztonsági rendszergazdai szabályok nem befolyásolják az alhálózat erőforrásait ezekkel a szolgáltatásokkal. Az ugyanazon virtuális hálózaton belüli többi alhálózatra azonban biztonsági rendszergazdai szabályok vonatkoznak.
Feljegyzés
Ha biztonsági rendszergazdai szabályokat szeretne alkalmazni az Azure-alkalmazás-átjárót tartalmazó alhálózatokra, győződjön meg arról, hogy minden alhálózat csak olyan átjárókat tartalmaz, amelyek engedélyezve vannak a hálózati elkülönítéssel. Ha egy alhálózat hálózati elkülönítés nélküli Azure-alkalmazás-átjárót tartalmaz, a rendszer nem alkalmaz biztonsági rendszergazdai szabályokat erre az alhálózatra.
Biztonsági rendszergazdai mezők
Biztonsági rendszergazdai szabály definiálásakor kötelező és nem kötelező mezőket kell megadnia.
Kötelező mezők
Prioritás
A biztonsági rendszergazdai szabály prioritása egy 1 és 4096 közötti egész szám. Minél alacsonyabb az érték, annál magasabb a szabály prioritása. Egy 10 prioritású megtagadási szabály például felülbírál egy 20-ás prioritású engedélyezési szabályt.
Akció
Egy biztonsági szabály három műveletének egyikét definiálhatja:
| Művelet | Leírás |
|---|---|
| Engedélyezés | Engedélyezi a forgalmat az adott porton, protokollon és forrás/cél IP-előtagon a megadott irányban. |
| Deny | Letiltja a forgalmat a megadott porton, protokollon és forrás/cél IP-előtagokon a megadott irányban. |
| Mindig engedélyezve | Az alacsonyabb prioritású vagy felhasználó által definiált hálózati biztonsági csoportokkal rendelkező egyéb szabályoktól függetlenül engedélyezi a megadott port, protokoll és forrás/cél IP-előtagok forgalmát a megadott irányban. |
Irány
Adja meg annak a forgalomnak az irányát, amelyre a szabály vonatkozik. Megadhatja a bejövő vagy a kimenő forgalmat.
Protokoll
A biztonsági rendszergazdai szabályokkal jelenleg támogatott protokollok a következők:
- TCP
- UDP
- ICMP
- ESP
- AH
- Bármilyen protokoll
Választható mezők
Forrás- és céltípusok
- IP-címek: IPv4- vagy IPv6-címeket vagy címblokkokat adhat meg a CIDR-jelölésben. Több IP-cím listázásához minden IP-címet vesszővel kell elválasztani.
- Szolgáltatáscímke: Adott szolgáltatáscímkéket régiók vagy egy teljes szolgáltatás alapján definiálhat. A támogatott címkék listájához tekintse meg az elérhető szolgáltatáscímkék nyilvános dokumentációját. Ezen a listán a biztonsági rendszergazdai szabályok jelenleg nem támogatják az AzurePlatformDNS, az AzurePlatformIMDS és az AzurePlatformLKM szolgáltatáscímkéket.
Forrás- és célportok
Meghatározhat meghatározott közös portokat a forrástól vagy a céltól való blokkoláshoz. Íme a gyakori TCP-portok listája:
| Portok | Szolgáltatás neve |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Következő lépések
Megtudhatja, hogyan tilthatja le a hálózati forgalmat egy biztonsági rendszergazdai konfigurációval.