Magas kockázatú hálózati portok védelme biztonsági Rendszergazda szabályokkal az Azure Virtual Network Managerben

  • Cikk

Ebből a cikkből megtudhatja, hogyan tilthatja le a magas kockázatú hálózati portokat az Azure Virtual Network Manager és a Security Rendszergazda Szabályok használatával. Végigvezet egy Azure Virtual Network Manager-példány létrehozásán, a virtuális hálózatok (VNetek) hálózati csoportokkal való csoportosításán, valamint a szervezet biztonsági rendszergazdai konfigurációinak létrehozásán és üzembe helyezésén. Általános blokkszabályt helyez üzembe a magas kockázatú portokhoz. Ezután létrehoz egy kivételszabályt egy adott alkalmazás virtuális hálózatának hálózati biztonsági csoportok használatával történő kezeléséhez.

Bár ez a cikk egyetlen portra, az SSH-ra összpontosít, ugyanezekkel a lépésekkel megvédheti a környezetében található nagy kockázatú portokat. További információkért tekintse át a magas kockázatú portok listáját

Fontos

Az Azure Virtual Network Manager általánosan elérhető a Virtual Network Managerhez, a küllős kapcsolatok konfigurációihoz, valamint a biztonsági rendszergazdai szabályokkal rendelkező biztonsági konfigurációkhoz. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.

Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

  • Megtudhatja, hogyan hozhat létre Azure Virtual Network Managert
  • A biztonsági rendszergazdai szabály minden elemét megismerheti.
  • Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
  • Olyan virtuális hálózatok csoportja, amelyek hálózati csoportokra oszthatók részletes biztonsági rendszergazdai szabályok alkalmazásához.
  • A dinamikus hálózati csoportok módosításához csak Azure RBAC-szerepkör-hozzárendelésen keresztül kell hozzáférést biztosítani. A klasszikus Rendszergazda/örökölt engedélyezés nem támogatott

Virtuális hálózati környezet üzembe helyezése

Olyan virtuális hálózati környezetre van szüksége, amely olyan virtuális hálózatokat tartalmaz, amelyek elkülöníthetők az adott hálózati forgalom engedélyezéséhez és blokkolásához. A következő táblázatot vagy a virtuális hálózatok saját konfigurációját használhatja:

Név IPv4-címtér alhálózat
vnetA-gen 10.0.0.0/16 alapértelmezett – 10.0.0.0/24
vnetB-gen 10.1.0.0/16 alapértelmezett – 10.1.0.0/24
vnetC-gen 10.2.0.0/16 alapértelmezett – 10.2.0.0/24
vnetD-app 10.3.0.0/16 alapértelmezett – 10.3.0.0/24
vnetE-app 10.4.0.0/16 alapértelmezett – 10.4.0.0/24
  • Az összes virtuális hálózat elhelyezése ugyanabban az előfizetésben, régióban és erőforráscsoportban

Nem tudja, hogyan kell virtuális hálózatot létrehozni? További információ a rövid útmutatóban : Virtuális hálózat létrehozása az Azure Portal használatával.

Virtuális hálózatkezelő-példány létrehozása

Ebben a szakaszban egy Virtual Network Manager-példányt helyez üzembe a szervezet Biztonsági rendszergazda funkciójával.

  1. Válassza a + Erőforrás létrehozása lehetőséget, és keresse meg a Network Managert. Ezután válassza a Létrehozás lehetőséget az Azure Virtual Network Manager beállításának megkezdéséhez.

  2. Az Alapszintű beállítások lapon adja meg vagy válassza ki a szervezet adatait:

    Képernyőkép a Hálózatkezelő alapszintű beállításainak létrehozásáról.

    Beállítás Érték
    Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné az Azure Virtual Network Managert.
    Erőforráscsoport Válasszon vagy hozzon létre egy erőforráscsoportot az Azure Virtual Network Manager tárolásához. Ez a példa a korábban létrehozott myAVNMResourceGroup-t használja.
    Név Adja meg ennek az Azure Virtual Network Manager-példánynak a nevét. Ez a példa a myAVNM nevet használja.
    Régió Válassza ki az üzemelő példány régióját. Az Azure Virtual Network Manager bármilyen régióban kezelheti a virtuális hálózatokat. A kiválasztott régió az, ahol a Virtual Network Manager-példány üzembe lesz helyezve.
    Leírás (Nem kötelező) Adjon meg leírást erről a Virtual Network Manager-példányról és az általa kezelt feladatról.
    Hatókör Határozza meg az Azure Virtual Network Manager által kezelhető hatókört. Ez a példa egy előfizetési szintű hatókört használ.
    Szolgáltatások Válassza ki az Azure Virtual Network Managerhez engedélyezni kívánt funkciókat. Az elérhető funkciók a Csatlakozás ivity, a Security Rendszergazda vagy a Select All.
    Csatlakozás tivitás – Lehetővé teszi teljes hálós vagy küllős hálózati topológia létrehozását a hatókörön belüli virtuális hálózatok között.
    Biztonság Rendszergazda – Lehetővé teszi a globális hálózati biztonsági szabályok létrehozását.

  3. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget .

  4. Ha az üzembe helyezés befejeződött, válassza az Erőforrás megnyitása lehetőséget, és tekintse át a Virtual Network Manager konfigurációját

Hálózati csoport létrehozása az összes virtuális hálózathoz

A virtuális hálózatkezelő létrehozásával most létrehoz egy hálózati csoportot, amely a szervezet összes virtuális hálózatát tartalmazza, és manuálisan adja hozzá az összes virtuális hálózatot.

  1. Válassza a Hálózati csoportok lehetőséget a Gépház alatt.
  2. Válassza a +Létrehozás lehetőséget, adja meg a hálózati csoport nevét, majd válassza a Hozzáadás lehetőséget.
  3. A Hálózatcsoportok lapon válassza ki a létrehozott hálózati csoportot.
  4. Válassza a Hozzáadás lehetőséget a Statikus tagság területen az összes virtuális hálózat manuális hozzáadásához.
  5. A Statikus tagok hozzáadása lapon válassza ki az összes felvenni kívánt virtuális hálózatot, és válassza a Hozzáadás lehetőséget. Képernyőkép a Statikus tagok hozzáadása lapról, amelyen a virtuális hálózatok manuális kiválasztása látható.

Biztonsági rendszergazdai konfiguráció létrehozása az összes virtuális hálózathoz

Itt az ideje, hogy a biztonsági rendszergazdai szabályokat egy konfiguráción belül hozzuk létre, hogy ezeket a szabályokat egyszerre alkalmazzuk a hálózati csoport összes virtuális hálózatára. Ebben a szakaszban biztonsági rendszergazdai konfigurációt hoz létre. Ezután létrehoz egy szabálygyűjteményt, és szabályokat ad hozzá a magas kockázatú portokhoz, például az SSH-hoz vagy az RDP-hez. Ez a konfiguráció letiltja a hálózati csoport összes virtuális hálózatának hálózati forgalmát.

  1. Térjen vissza a virtuális hálózatkezelő erőforrásához.

  2. Válassza a Konfigurációk lehetőséget a Gépház alatt, majd válassza a + Létrehozás lehetőséget.

    Biztonsági rendszergazdai konfiguráció hozzáadásának képernyőképe.

  3. Válassza a Biztonsági konfiguráció lehetőséget a legördülő menüben.

    Képernyőkép egy konfigurációs legördülő lista hozzáadásáról.

  4. Az Alapszintű beállítások lapon adjon meg egy nevet a biztonsági konfiguráció azonosításához, és válassza a Tovább: Szabálygyűjtemények lehetőséget.

    Képernyőkép a biztonsági konfiguráció neve mezőről.

  5. Válassza a + Hozzáadás lehetőséget a Biztonsági konfiguráció hozzáadása lapon.

  6. Adjon meg egy nevet a szabálygyűjtemény azonosításához, majd válassza ki azokat a célhálózati csoportokat , amelyekre alkalmazni szeretné a szabálykészletet. A célcsoport az a hálózati csoport, amely az összes virtuális hálózatot tartalmazza.

    Képernyőkép a szabálygyűjtemény nevéről és a célhálózati csoportokról.

Biztonsági szabály hozzáadása a magas kockázatú hálózati forgalom letiltására

Ebben a szakaszban azt a biztonsági szabályt határozza meg, amely blokkolja az összes virtuális hálózat magas kockázatú hálózati forgalmát. A prioritás hozzárendelésekor tartsa szem előtt a jövőbeli kivételszabályokat. Állítsa be a prioritást, hogy kivételszabályok legyenek alkalmazva ezen a szabályon.

  1. Válassza a + Hozzáadás lehetőséget a Biztonsági rendszergazdai szabályok területen.

    Szabály hozzáadása gomb képernyőképe.

  2. Adja meg a biztonsági szabály meghatározásához szükséges adatokat, majd válassza a Hozzáadás lehetőséget a szabály szabálygyűjteményhez való hozzáadásához.

    Képernyőkép egy szabálylap hozzáadásáról.

    Beállítás Érték
    Név Adjon meg egy szabálynevet.
    Leírás Adja meg a szabály leírását.
    Prioritás* Adjon meg egy 1 és 4096 közötti értéket a szabály prioritásának meghatározásához. Minél alacsonyabb az érték, annál magasabb a prioritás.
    Akció* A forgalom letiltásához válassza a Megtagadás lehetőséget. További információ: Művelet
    Irányba* Válassza a Bejövő elemet, ha ezzel a szabállyal szeretné megtagadni a bejövő forgalmat.
    Protokoll* Válassza ki a porthoz tartozó hálózati protokollt.
    Forrás
    Forrás típusa Válassza ki az IP-cím vagy szolgáltatáscímkék forrástípusát.
    Forrás IP-címek Ez a mező akkor jelenik meg, ha kiválasztja az IP-cím forrástípusát. Adjon meg egy IPv4- vagy IPv6-címet vagy tartományt CIDR-jelöléssel. Ha egynél több címet vagy címblokkot határoz meg vesszővel elválasztva. Hagyja üresen ezt a példát.
    Forrás szolgáltatáscímke Ez a mező akkor jelenik meg, ha kiválasztja a szolgáltatáscímke forrástípusát. Válassza ki a forrásként megadni kívánt szolgáltatások szolgáltatáscímkéjét. A támogatott címkék listáját az Elérhető szolgáltatáscímkék című témakörben találja.
    Forrásport Adjon meg egyetlen portszámot vagy porttartományt, például (1024-65535). Ha több portot vagy porttartományt határoz meg, vesszővel válassza el őket. Bármely port megadásához írja be a *értéket. Hagyja üresen ezt a példát.
    Cél
    Céltípus Válassza ki az IP-cím vagy szolgáltatáscímkék céltípusát.
    Cél IP-címek Ez a mező akkor jelenik meg, ha kiválasztja az IP-cím céltípusát. Adjon meg egy IPv4- vagy IPv6-címet vagy tartományt CIDR-jelöléssel. Ha egynél több címet vagy címblokkot határoz meg vesszővel elválasztva.
    Cél szolgáltatáscímkéje Ez a mező akkor jelenik meg, amikor kiválasztja a szolgáltatáscímke céltípusát. Válassza ki a szolgáltatáscímkét a célként megadni kívánt szolgáltatásokhoz. A támogatott címkék listáját az Elérhető szolgáltatáscímkék című témakörben találja.
    Célport Adjon meg egyetlen portszámot vagy porttartományt, például (1024-65535). Ha több portot vagy porttartományt határoz meg, vesszővel válassza el őket. Bármely port megadásához írja be a *értéket. A példához írja be a 3389-et .

  3. Ismételje meg ismét az 1–3. lépést, ha további szabályokat szeretne hozzáadni a szabálygyűjteményhez.

  4. Ha elégedett az összes létrehozni kívánt szabálysal, válassza a Hozzáadás lehetőséget a szabálygyűjtemény biztonsági rendszergazdai konfigurációhoz való hozzáadásához.

    Képernyőkép egy szabálygyűjteményről.

  5. Ezután válassza a Véleményezés + Létrehozás és létrehozás lehetőséget a biztonsági konfiguráció befejezéséhez.

Biztonsági rendszergazdai konfiguráció üzembe helyezése a hálózati forgalom blokkolásához

Ebben a szakaszban a biztonsági rendszergazdai konfiguráció telepítésekor létrehozott szabályok lépnek érvénybe.

  1. Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfiguráció üzembe helyezése lehetőséget.

    A konfigurációs gomb üzembe helyezésének képernyőképe.

  2. Jelölje be a Biztonsági rendszergazda felvétele a célállapotba jelölőnégyzetet, és válassza ki a legördülő menü utolsó szakaszában létrehozott biztonsági konfigurációt. Ezután válassza ki a régió(ka)t, amelyben üzembe szeretné helyezni ezt a konfigurációt.

    Biztonsági konfigurációs oldal üzembe helyezésének képernyőképe.

  3. Válassza a Tovább és az Üzembe helyezés lehetőséget a biztonsági rendszergazdai konfiguráció üzembe helyezéséhez.

Hálózati csoport létrehozása a forgalomkivételi szabályhoz

Ha a forgalom az összes virtuális hálózaton blokkolva van, kivételre van szükség az adott virtuális hálózatok felé történő forgalom engedélyezéséhez. Kifejezetten azon virtuális hálózatokhoz hoz létre hálózati csoportot, amelyekre ki kell zárni a többi biztonsági rendszergazdai szabályt.

  1. A virtuális hálózatkezelőben válassza a Hálózati csoportok lehetőséget a Gépház alatt.
  2. Válassza a +Létrehozás lehetőséget, adja meg az alkalmazás hálózati csoportjának nevét, majd válassza a Hozzáadás lehetőséget.
  3. A Dinamikus tagság definiálása csoportban válassza a Definiálás lehetőséget.
  4. Adja meg vagy válassza ki azokat az értékeket, amelyek lehetővé teszik az alkalmazás virtuális hálózatára irányuló forgalmat. Képernyőkép a Hálózatcsoport definiálása lapról, amelyen a csoporttagsághoz tartozó virtuális hálózatok kiválasztásának feltétele látható.
  5. Válassza az Előzetes verziójú erőforrások lehetőséget a benne foglalt tényleges virtuális hálózatok áttekintéséhez, és válassza a Bezárás lehetőséget. Képernyőkép az Érvényes virtuális hálózatok lapról, amelyen a hálózati csoportba dinamikusan belefoglalt virtuális hálózatok láthatók.
  6. Válassza a Mentés lehetőséget.

Forgalomkivétel biztonsági rendszergazdai szabályának és gyűjteményének létrehozása

Ebben a szakaszban egy új szabálygyűjteményt és biztonsági rendszergazdai szabályt hoz létre, amely lehetővé teszi a kivételként definiált virtuális hálózatok részhalmazának magas kockázatú forgalmát. Ezután hozzáadja a meglévő biztonsági rendszergazdai konfigurációhoz.

Fontos

Ahhoz, hogy a biztonsági rendszergazdai szabály engedélyezze az alkalmazás virtuális hálózatai felé irányuló forgalmat, a prioritást alacsonyabb számra kell állítani, mint a forgalmat blokkoló meglévő szabályok.

Például az SSH-t blokkoló összes hálózati szabály prioritása 10, ezért az engedélyezési szabálynak 1 és 9 közötti prioritással kell rendelkeznie.

  1. A virtuális hálózatkezelőben válassza a Konfigurációk lehetőséget, és válassza ki a biztonsági konfigurációt.
  2. Válassza a szabálygyűjteményeket a Gépház területen, majd a + Létrehozás lehetőséget választva hozzon létre egy új szabálygyűjteményt.
  3. A Szabálygyűjtemény hozzáadása lapon adja meg az alkalmazásszabály-gyűjtemény nevét, és válassza ki a létrehozott alkalmazáshálózati csoportot.
  4. A Biztonsági rendszergazdai szabályok területen válassza a + Hozzáadás lehetőséget.
  5. Adja meg vagy jelölje ki azokat az értékeket, amelyek lehetővé teszik az alkalmazás hálózati csoportjának adott hálózati forgalmát, és ha elkészült, válassza a Hozzáadás lehetőséget.
  6. Ismételje meg a szabály hozzáadása folyamatot minden kivételt igénylő forgalom esetében.
  7. Ha végzett, válassza a Mentés lehetőséget.

A biztonsági rendszergazda konfigurációjának ismételt üzembe helyezése kivételszabálysal

Az új szabálygyűjtemény alkalmazásához újból üzembe kell helyeznie a biztonsági rendszergazdai konfigurációt, mivel módosították egy szabálygyűjtemény hozzáadásával.

  1. A virtuális hálózatkezelőben válassza a Konfigurációk lehetőséget.
  2. Válassza ki a biztonsági rendszergazda konfigurációját, és válassza az Üzembe helyezés lehetőséget
  3. A Konfiguráció üzembe helyezése lapon válassza ki az üzembe helyezést fogadó összes célrégió és
  4. Válassza a Tovább és az Üzembe helyezés lehetőséget.

Következő lépések