Magas kockázatú hálózati portok védelme biztonsági Rendszergazda szabályokkal az Azure Virtual Network Managerben
Ebből a cikkből megtudhatja, hogyan tilthatja le a magas kockázatú hálózati portokat az Azure Virtual Network Manager és a Security Rendszergazda Szabályok használatával. Végigvezet egy Azure Virtual Network Manager-példány létrehozásán, a virtuális hálózatok (VNetek) hálózati csoportokkal való csoportosításán, valamint a szervezet biztonsági rendszergazdai konfigurációinak létrehozásán és üzembe helyezésén. Általános blokkszabályt helyez üzembe a magas kockázatú portokhoz. Ezután létrehoz egy kivételszabályt egy adott alkalmazás virtuális hálózatának hálózati biztonsági csoportok használatával történő kezeléséhez.
Bár ez a cikk egyetlen portra, az SSH-ra összpontosít, ugyanezekkel a lépésekkel megvédheti a környezetében található nagy kockázatú portokat. További információkért tekintse át a magas kockázatú portok listáját
Fontos
Az Azure Virtual Network Manager általánosan elérhető a Virtual Network Managerhez, a küllős kapcsolatok konfigurációihoz, valamint a biztonsági rendszergazdai szabályokkal rendelkező biztonsági konfigurációkhoz. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.
Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Előfeltételek
- Megtudhatja, hogyan hozhat létre Azure Virtual Network Managert
- A biztonsági rendszergazdai szabály minden elemét megismerheti.
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- Olyan virtuális hálózatok csoportja, amelyek hálózati csoportokra oszthatók részletes biztonsági rendszergazdai szabályok alkalmazásához.
- A dinamikus hálózati csoportok módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott
Virtuális hálózati környezet üzembe helyezése
Olyan virtuális hálózati környezetre van szüksége, amely olyan virtuális hálózatokat tartalmaz, amelyek elkülöníthetők az adott hálózati forgalom engedélyezéséhez és blokkolásához. A következő táblázatot vagy a virtuális hálózatok saját konfigurációját használhatja:
Név | IPv4-címtér | alhálózat |
---|---|---|
vnetA-gen | 10.0.0.0/16 | alapértelmezett – 10.0.0.0/24 |
vnetB-gen | 10.1.0.0/16 | alapértelmezett – 10.1.0.0/24 |
vnetC-gen | 10.2.0.0/16 | alapértelmezett – 10.2.0.0/24 |
vnetD-app | 10.3.0.0/16 | alapértelmezett – 10.3.0.0/24 |
vnetE-app | 10.4.0.0/16 | alapértelmezett – 10.4.0.0/24 |
- Az összes virtuális hálózat elhelyezése ugyanabban az előfizetésben, régióban és erőforráscsoportban
Nem tudja, hogyan kell virtuális hálózatot létrehozni? További információ a rövid útmutatóban : Virtuális hálózat létrehozása az Azure Portal használatával.
Virtuális hálózatkezelő-példány létrehozása
Ebben a szakaszban egy Virtual Network Manager-példányt helyez üzembe a szervezet Biztonsági rendszergazda funkciójával.
Válassza a + Erőforrás létrehozása lehetőséget, és keresse meg a Network Managert. Ezután válassza a Létrehozás lehetőséget az Azure Virtual Network Manager beállításának megkezdéséhez.
Az Alapszintű beállítások lapon adja meg vagy válassza ki a szervezet adatait:
Beállítás Érték Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné az Azure Virtual Network Managert. Erőforráscsoport Válasszon vagy hozzon létre egy erőforráscsoportot az Azure Virtual Network Manager tárolásához. Ez a példa a korábban létrehozott myAVNMResourceGroup-t használja. Név Adja meg ennek az Azure Virtual Network Manager-példánynak a nevét. Ez a példa a myAVNM nevet használja. Régió Válassza ki az üzemelő példány régióját. Az Azure Virtual Network Manager bármilyen régióban kezelheti a virtuális hálózatokat. A kiválasztott régió az, ahol a Virtual Network Manager-példány üzembe lesz helyezve. Leírás (Nem kötelező) Adjon meg leírást erről a Virtual Network Manager-példányról és az általa kezelt feladatról. Hatókör Határozza meg az Azure Virtual Network Manager által kezelhető hatókört. Ez a példa egy előfizetési szintű hatókört használ. Szolgáltatások Válassza ki az Azure Virtual Network Managerhez engedélyezni kívánt funkciókat. Az elérhető funkciók a Csatlakozás ivity, a Security Rendszergazda vagy a Select All.
Csatlakozás tivitás – Lehetővé teszi teljes hálós vagy küllős hálózati topológia létrehozását a hatókörön belüli virtuális hálózatok között.
Biztonság Rendszergazda – Lehetővé teszi a globális hálózati biztonsági szabályok létrehozását.Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget .
Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget, és tekintse át a Virtual Network Manager konfigurációját
Hálózati csoport létrehozása az összes virtuális hálózathoz
A virtuális hálózatkezelő létrehozásával most létrehoz egy hálózati csoportot, amely a szervezet összes virtuális hálózatát tartalmazza, és manuálisan adja hozzá az összes virtuális hálózatot.
- Válassza a Hálózati csoportok lehetőséget a Gépház alatt.
- Válassza a +Létrehozás lehetőséget, adja meg a hálózati csoport nevét, majd válassza a Hozzáadás lehetőséget.
- A Hálózatcsoportok lapon válassza ki a létrehozott hálózati csoportot.
- Válassza a Hozzáadás lehetőséget a Statikus tagság területen az összes virtuális hálózat manuális hozzáadásához.
- A Statikus tagok hozzáadása lapon válassza ki az összes felvenni kívánt virtuális hálózatot, és válassza a Hozzáadás lehetőséget.
Biztonsági rendszergazdai konfiguráció létrehozása az összes virtuális hálózathoz
Itt az ideje, hogy a biztonsági rendszergazdai szabályokat egy konfiguráción belül hozzuk létre, hogy ezeket a szabályokat egyszerre alkalmazzuk a hálózati csoport összes virtuális hálózatára. Ebben a szakaszban biztonsági rendszergazdai konfigurációt hoz létre. Ezután létrehoz egy szabálygyűjteményt, és szabályokat ad hozzá a magas kockázatú portokhoz, például az SSH-hoz vagy az RDP-hez. Ez a konfiguráció letiltja a hálózati csoport összes virtuális hálózatának hálózati forgalmát.
Térjen vissza a virtuális hálózatkezelő erőforrásához.
Válassza a Konfigurációk lehetőséget a Gépház alatt, majd válassza a + Létrehozás lehetőséget.
Válassza a Biztonsági konfiguráció lehetőséget a legördülő menüben.
Az Alapszintű beállítások lapon adjon meg egy nevet a biztonsági konfiguráció azonosításához, és válassza a Tovább: Szabálygyűjtemények lehetőséget.
Válassza a + Hozzáadás lehetőséget a Biztonsági konfiguráció hozzáadása lapon.
Adjon meg egy nevet a szabálygyűjtemény azonosításához, majd válassza ki azokat a célhálózati csoportokat , amelyekre alkalmazni szeretné a szabálykészletet. A célcsoport az a hálózati csoport, amely az összes virtuális hálózatot tartalmazza.
Biztonsági szabály hozzáadása a magas kockázatú hálózati forgalom letiltására
Ebben a szakaszban azt a biztonsági szabályt határozza meg, amely blokkolja az összes virtuális hálózat magas kockázatú hálózati forgalmát. A prioritás hozzárendelésekor tartsa szem előtt a jövőbeli kivételszabályokat. Állítsa be a prioritást, hogy kivételszabályok legyenek alkalmazva ezen a szabályon.
Válassza a + Hozzáadás lehetőséget a Biztonsági rendszergazdai szabályok területen.
Adja meg a biztonsági szabály meghatározásához szükséges adatokat, majd válassza a Hozzáadás lehetőséget a szabály szabálygyűjteményhez való hozzáadásához.
Beállítás Érték Név Adjon meg egy szabálynevet. Leírás Adja meg a szabály leírását. Prioritás* Adjon meg egy 1 és 4096 közötti értéket a szabály prioritásának meghatározásához. Minél alacsonyabb az érték, annál magasabb a prioritás. Akció* A forgalom letiltásához válassza a Megtagadás lehetőséget. További információ: Művelet Irányba* Válassza a Bejövő elemet, ha ezzel a szabállyal szeretné megtagadni a bejövő forgalmat. Protokoll* Válassza ki a porthoz tartozó hálózati protokollt. Forrás Forrás típusa Válassza ki az IP-cím vagy szolgáltatáscímkék forrástípusát. Forrás IP-címek Ez a mező akkor jelenik meg, ha kiválasztja az IP-cím forrástípusát. Adjon meg egy IPv4- vagy IPv6-címet vagy tartományt CIDR-jelöléssel. Ha egynél több címet vagy címblokkot határoz meg vesszővel elválasztva. Hagyja üresen ezt a példát. Forrás szolgáltatáscímke Ez a mező akkor jelenik meg, ha kiválasztja a szolgáltatáscímke forrástípusát. Válassza ki a forrásként megadni kívánt szolgáltatások szolgáltatáscímkéjét. A támogatott címkék listáját az Elérhető szolgáltatáscímkék című témakörben találja. Forrásport Adjon meg egyetlen portszámot vagy porttartományt, például (1024-65535). Ha több portot vagy porttartományt határoz meg, vesszővel válassza el őket. Bármely port megadásához írja be a *értéket. Hagyja üresen ezt a példát. Cél Céltípus Válassza ki az IP-cím vagy szolgáltatáscímkék céltípusát. Cél IP-címek Ez a mező akkor jelenik meg, ha kiválasztja az IP-cím céltípusát. Adjon meg egy IPv4- vagy IPv6-címet vagy tartományt CIDR-jelöléssel. Ha egynél több címet vagy címblokkot határoz meg vesszővel elválasztva. Cél szolgáltatáscímkéje Ez a mező akkor jelenik meg, amikor kiválasztja a szolgáltatáscímke céltípusát. Válassza ki a szolgáltatáscímkét a célként megadni kívánt szolgáltatásokhoz. A támogatott címkék listáját az Elérhető szolgáltatáscímkék című témakörben találja. Célport Adjon meg egyetlen portszámot vagy porttartományt, például (1024-65535). Ha több portot vagy porttartományt határoz meg, vesszővel válassza el őket. Bármely port megadásához írja be a *értéket. A példához írja be a 3389-et . Ismételje meg ismét az 1–3. lépést, ha további szabályokat szeretne hozzáadni a szabálygyűjteményhez.
Ha elégedett az összes létrehozni kívánt szabálysal, válassza a Hozzáadás lehetőséget a szabálygyűjtemény biztonsági rendszergazdai konfigurációhoz való hozzáadásához.
Ezután válassza a Véleményezés + Létrehozás és létrehozás lehetőséget a biztonsági konfiguráció befejezéséhez.
Biztonsági rendszergazdai konfiguráció üzembe helyezése a hálózati forgalom blokkolásához
Ebben a szakaszban a biztonsági rendszergazdai konfiguráció telepítésekor létrehozott szabályok lépnek érvénybe.
Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfiguráció üzembe helyezése lehetőséget.
Jelölje be a Biztonsági rendszergazda felvétele a célállapotba jelölőnégyzetet, és válassza ki a legördülő menü utolsó szakaszában létrehozott biztonsági konfigurációt. Ezután válassza ki a régió(ka)t, amelyben üzembe szeretné helyezni ezt a konfigurációt.
Válassza a Tovább és az Üzembe helyezés lehetőséget a biztonsági rendszergazdai konfiguráció üzembe helyezéséhez.
Hálózati csoport létrehozása a forgalomkivételi szabályhoz
Ha a forgalom az összes virtuális hálózaton blokkolva van, kivételre van szükség az adott virtuális hálózatok felé történő forgalom engedélyezéséhez. Kifejezetten azon virtuális hálózatokhoz hoz létre hálózati csoportot, amelyekre ki kell zárni a többi biztonsági rendszergazdai szabályt.
- A virtuális hálózatkezelőben válassza a Hálózati csoportok lehetőséget a Gépház alatt.
- Válassza a +Létrehozás lehetőséget, adja meg az alkalmazás hálózati csoportjának nevét, majd válassza a Hozzáadás lehetőséget.
- A Dinamikus tagság definiálása csoportban válassza a Definiálás lehetőséget.
- Adja meg vagy válassza ki azokat az értékeket, amelyek lehetővé teszik az alkalmazás virtuális hálózatára irányuló forgalmat.
- Válassza az Előzetes verziójú erőforrások lehetőséget a benne foglalt tényleges virtuális hálózatok áttekintéséhez, és válassza a Bezárás lehetőséget.
- Válassza a Mentés lehetőséget.
Forgalomkivétel biztonsági rendszergazdai szabályának és gyűjteményének létrehozása
Ebben a szakaszban egy új szabálygyűjteményt és biztonsági rendszergazdai szabályt hoz létre, amely lehetővé teszi a kivételként definiált virtuális hálózatok részhalmazának magas kockázatú forgalmát. Ezután hozzáadja a meglévő biztonsági rendszergazdai konfigurációhoz.
Fontos
Ahhoz, hogy a biztonsági rendszergazdai szabály engedélyezze az alkalmazás virtuális hálózatai felé irányuló forgalmat, a prioritást alacsonyabb számra kell állítani, mint a forgalmat blokkoló meglévő szabályok.
Például az SSH-t blokkoló összes hálózati szabály prioritása 10, ezért az engedélyezési szabálynak 1 és 9 közötti prioritással kell rendelkeznie.
- A virtuális hálózatkezelőben válassza a Konfigurációk lehetőséget, és válassza ki a biztonsági konfigurációt.
- Válassza a szabálygyűjteményeket a Gépház területen, majd a + Létrehozás lehetőséget választva hozzon létre egy új szabálygyűjteményt.
- A Szabálygyűjtemény hozzáadása lapon adja meg az alkalmazásszabály-gyűjtemény nevét, és válassza ki a létrehozott alkalmazáshálózati csoportot.
- A Biztonsági rendszergazdai szabályok területen válassza a + Hozzáadás lehetőséget.
- Adja meg vagy jelölje ki azokat az értékeket, amelyek lehetővé teszik az alkalmazás hálózati csoportjának adott hálózati forgalmát, és ha elkészült, válassza a Hozzáadás lehetőséget.
- Ismételje meg a szabály hozzáadása folyamatot minden kivételt igénylő forgalom esetében.
- Ha végzett, válassza a Mentés lehetőséget.
A biztonsági rendszergazda konfigurációjának ismételt üzembe helyezése kivételszabálysal
Az új szabálygyűjtemény alkalmazásához újból üzembe kell helyeznie a biztonsági rendszergazdai konfigurációt, mivel módosították egy szabálygyűjtemény hozzáadásával.
- A virtuális hálózatkezelőben válassza a Konfigurációk lehetőséget.
- Válassza ki a biztonsági rendszergazda konfigurációját, és válassza az Üzembe helyezés lehetőséget
- A Konfiguráció üzembe helyezése lapon válassza ki az üzembe helyezést fogadó összes célrégió és
- Válassza a Tovább és az Üzembe helyezés lehetőséget.