Network security groups

  • Cikk

Az Azure-beli virtuális hálózatban az Azure-erőforrások bejövő és kimenő hálózati forgalmát Azure hálózati biztonsági csoporttal szűrheti. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a különböző típusú Azure-erőforrások bejövő vagy kimenő hálózati forgalmát. Az egyes szabályokhoz meghatározhatja a forrást és a célt, valamint a használni kívánt portot és protokollt.

Ez a cikk egy hálózati biztonsági csoportszabály tulajdonságait, az alkalmazott alapértelmezett biztonsági szabályokat és a kiterjesztett biztonsági szabály létrehozásához módosítható szabálytulajdonságokat ismerteti.

Biztonsági szabályok

A hálózati biztonsági csoportok a kívánt számú szabályt tartalmazzák az Azure-előfizetés korlátain belül. Az egyes szabályok az alábbi tulajdonságokat határozzák meg:

Tulajdonság Magyarázat
Name Egy egyedi név a hálózati biztonsági csoporton belül. A név legfeljebb 80 karakter hosszú lehet. Szó karakterrel kell kezdődnie, és egy szó karakterrel vagy "_" karakterrel kell végződnie. A név tartalmazhat szókarakterek vagy ".", "-", "_" karaktereket.
Prioritás Egy 100 és 4096 közötti szám. A szabályok feldolgozása prioritási sorrendben történik. Az alacsonyabb sorszámúak feldolgozása a magasabb sorszámúak előtt történik, mivel az alacsonyabb sorszámok magasabb prioritást jelölnek. Ha az adatforgalom megfelel valamelyik szabálynak, a feldolgozás leáll. Ennek eredményeképpen a magasabb prioritású szabályokkal azonos attribútumokkal rendelkező alacsonyabb prioritású (magasabb számú) szabályok feldolgozása nem történik meg.
Az Azure alapértelmezett biztonsági szabályai a legmagasabb számot kapják a legalacsonyabb prioritással, hogy az egyéni szabályok mindig először legyenek feldolgozva.
Forrás vagy cél Bármelyik, vagy egy egyéni IP-cím, Classless Inter-Domain Routing- (CIDR-) blokk (például 10.0.0.0/24), szolgáltatáscímke vagy alkalmazásbiztonsági csoport. Ha egy Azure-erőforrás címét adja meg, az erőforráshoz rendelt magánhálózati IP-címet adja meg. A hálózati biztonsági csoportok feldolgozása azután történik, hogy az Azure a bejövő forgalomhoz a nyilvános IP-címeket magánhálózati IP-címekre fordítja le, de még mielőtt, hogy a magánhálózati IP-címeket nyilvános IP-címekre fordítaná le a kimenő forgalomhoz. Ha tartományt, szolgáltatáscímkét vagy alkalmazásbiztonsági csoportot ad meg, kevesebb biztonsági szabályra van szükség. A szabályban több egyéni IP-cím és -tartomány megadásának lehetőségét (több szolgáltatáscímkét vagy alkalmazáscsoportot nem adhat meg) kiterjesztett biztonsági szabályoknak nevezzük. Kibővített biztonsági szabályok kizárólag a Resource Manager-alapú üzemi modellben létrehozott hálózati biztonsági csoportokban hozhatóak létre. A klasszikus üzemi modellel létrehozott hálózati biztonsági csoportokban nem adhat meg több IP-címet és IP-címtartományt.
Protokoll TCP, UDP, ICMP, ESP, AH vagy Bármely. Az ESP- és AH-protokollok jelenleg nem érhetők el az Azure Portalon, de ARM-sablonokon keresztül használhatók.
Direction Megadja, hogy a szabály a bejövő vagy a kimenő adatforgalomra vonatkozik.
Porttartomány Megadhat egy egyéni portot vagy egy porttartományt is. Megadhatja például a 80-as portot vagy a 10000–10005 tartományt. Tartományok megadásával kevesebb biztonsági szabályt kell majd létrehoznia. Kibővített biztonsági szabályok kizárólag a Resource Manager-alapú üzemi modellben létrehozott hálózati biztonsági csoportokban hozhatóak létre. A klasszikus üzemi modellel létrehozott hálózati biztonsági csoportokban nem adhat meg több portot vagy porttartományt ugyanabban a biztonsági szabályban.
Művelet Engedélyezés vagy letiltás

A biztonsági szabályok kiértékelése és alkalmazása az ötrekordos (forrás, forrásport, célport, célport és protokoll) információk alapján történik. Nem hozhat létre két azonos prioritású és irányú biztonsági szabályt. Egy folyamatrekord jön létre a meglévő kapcsolatokhoz. A kommunikáció a folyamatrekordok kapcsolati állapota alapján lesz engedélyezve vagy tiltva. A folyamatrekord teszi lehetővé a hálózati biztonsági csoport állapotalapú működését. Ha bármely címre meghatároz egy kimenő biztonsági szabályt a 80-as porton keresztül, nem szükséges biztonsági szabályt megadnia a bejövő forgalomra a válaszhoz. Ha a kommunikáció kívülről indul, csak egy bejövő biztonsági szabályt kell meghatároznia. Ennek az ellenkezője is igaz. Ha egy porton engedélyezett a bejövő forgalom, nem szükséges egy kimenő biztonsági szabályt is megadni ugyanazon a porton történő válaszadáshoz.

Előfordulhat, hogy a meglévő kapcsolatok nem szakadnak meg, ha eltávolít egy olyan biztonsági szabályt, amely engedélyezte a kapcsolatot. A hálózati biztonsági csoport szabályainak módosítása csak az új kapcsolatokat érinti. Ha új szabályt hoz létre, vagy egy meglévő szabályt frissít egy hálózati biztonsági csoportban, az csak az új kapcsolatokra lesz érvényes. A meglévő kapcsolatok nem lesznek újraértékelve az új szabályokkal.

Az egy hálózati biztonsági csoporton belül létrehozható biztonsági szabályok száma korlátozott. További részletek: Az Azure korlátai.

Alapértelmezett biztonsági szabályok

Az Azure a következő alapértelmezett szabályokat hozza létre a létrehozott hálózati biztonsági csoportokban:

Inbound

AllowVNetInBound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Bármelyik Engedélyezve
AllowAzureLoadBalancerInBound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Bármelyik Engedélyezve
DenyAllInbound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Bármelyik Megtagadás

Outbound

AllowVnetOutBound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Bármelyik Engedélyezve
AllowInternetOutBound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Bármelyik Engedélyezve
DenyAllOutBound
Prioritás Source Forrásportok Destination Célportok Protokoll Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Bármelyik Megtagadás

A Forrás és a Cél oszlopban a VirtualNetwork, AzureLoadBalancer és Internet értékek szolgáltatáscímkék, nem IP-címek. A protokolloszlopban az Any függvény a TCP, az UDP és az ICMP protokollt foglalja magában. Szabály létrehozásakor megadhatja a TCP, az UDP, az ICMP vagy az Any protokollt. A 0.0.0.0/0 érték a Forrás és a Cél oszlopban az összes címet jelöli. Az olyan ügyfelek, mint az Azure Portal, az Azure CLI vagy a PowerShell használhatják * vagy bármely más kifejezést ehhez a kifejezéshez.

Az alapértelmezett szabályokat nem távolíthatja el, de felülbírálhatja őket magasabb prioritású szabályok létrehozásával.

Kibővített biztonsági szabályok

A kibővített biztonsági szabályok megkönnyítik a virtuális hálózatok biztonsági definícióinak megadását, így nagyobb és összetettebb hálózati biztonsági szabályok alakíthatók ki kevesebb szabállyal. Több portot, több konkrét IP-címet és -tartományt foglalhat egyetlen, könnyen érthető biztonsági szabályba. Kibővített szabályokat a szabályok forrás, cél és port mezőiben is használhat. A biztonsági szabály definíciójának egyszerűbb karbantartása érdekében kombinálhatja a kibővített biztonsági szabályokat szolgáltatáscímkékkel vagy alkalmazásbiztonsági csoportokkal. A szabályokban megadható címek, tartományok és portok száma korlátozott. További részletek: Az Azure korlátai.

Service tags

A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. Segít minimalizálni a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.

További információ: Azure-szolgáltatáscímkék. A Storage szolgáltatáscímkéjének a hálózati hozzáférés korlátozására való használatával kapcsolatban lásd a PaaS-erőforrásokhoz való hálózati hozzáférés korlátozását ismertető témakört.

Alkalmazásbiztonsági csoportok

Az alkalmazásbiztonsági csoportokkal az alkalmazás struktúrájának természetes bővítményeként konfigurálhatja a hálózati biztonságot, így csoportosíthatja a virtuális gépeket, és ezen csoportok alapján meghatározhatja a hálózati biztonsági szabályokat. A biztonsági szabályokat újrahasznosíthatja nagy léptékben is a konkrét IP-címek manuális karbantartása nélkül. További információ: Alkalmazásbiztonsági csoportok.

Tudnivalók az Azure platformhoz

  • A gazdacsomópont virtuális IP-címe: Az olyan alapvető infrastruktúra-szolgáltatások, mint a DHCP, a DNS, az IMDS és az állapotfigyelés a 168.63.129.16 és a 169.254.169.254 virtualizált gazdagép IP-címén keresztül érhetők el. Ezek az IP-címek a Microsofthoz tartoznak, és az egyetlen virtualizált IP-cím, amelyet erre a célra minden régióban használnak. Alapértelmezés szerint ezekre a szolgáltatásokra nem vonatkoznak a konfigurált hálózati biztonsági csoportok, kivéve, ha az egyes szolgáltatásokhoz tartozó szolgáltatáscímkék célba vannak állítva. Az alapvető infrastruktúra-kommunikáció felülbírálásához létrehozhat egy biztonsági szabályt a forgalom letiltásához a következő szolgáltatáscímkék használatával a hálózati biztonsági csoport szabályain: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Megtudhatja, hogyan diagnosztizálhatja a hálózati forgalom szűrését és a hálózati útválasztás diagnosztizálását.

  • Licencelés (kulcskezelő szolgáltatás): A virtuális gépeken futó Windows-rendszerképeket licencelni kell. A licenceléshez el kell küldeni egy licencelési kérelmet a Kulcskezelő szolgáltatás ilyen kérelmeket kezelő kiszolgálóinak. A kérelmet az 1688-as kimenő porton küldi el a rendszer. Az alapértelmezett 0.0.0.0/0 útvonalat használó konfigurációkban ez a platformszabály le van tiltva.

  • Virtuális gépek az elosztott terhelésű készletekben: Az alkalmazott forrásport és címtartomány a forrásszámítógépről származik, nem a terheléselosztóról. A célport és a címtartomány nem a terheléselosztóhoz, hanem a célszámítógéphez tartozik.

  • Azure szolgáltatáspéldányok: Több Azure szolgáltatás, például a HDInsight, az alkalmazásszolgáltatási környezetek és a virtuálisgép-méretezési csoportok példányai is virtuális hálózati alhálózatokon vannak üzembe helyezve. A virtuális hálózatokon üzembe helyezhető szolgáltatások teljes listájához lásd a Virtuális hálózatok az Azure-szolgáltatásokhoz című témakört. Mielőtt hálózati biztonsági csoportot alkalmaz az alhálózatra, ismerkedjen meg az egyes szolgáltatások portkövetelményeivel. Ha megtagadja a szolgáltatás által igényelt portokat, a szolgáltatás nem fog megfelelően működni.

  • Kimenő e-mailek küldése: A Microsoft azt javasolja, hogy hitelesített SMTP-továbbítási szolgáltatásokkal (legtöbbször az 587-es TCP-porton, de gyakran más portokon keresztül) küldjön e-maileket az Azure Virtual Machines rendszeréből. Az SMTP-továbbítási szolgáltatások a feladói jellegzetességek biztosítására szakosodtak, így minimalizálják annak lehetőségét, hogy a külső e-mail-szolgáltatók visszautasítsák az üzeneteket. Az ilyen SMTP-továbbítási szolgáltatások közé tartoznak a Exchange Online Védelmi szolgáltatás és a SendGrid, de nem kizárólagosan. Az SMTP-továbbítási szolgáltatások használata nincsen korlátozva az Azure-ban, függetlenül attól, hogy milyen előfizetése van.

    Amennyiben 2017. november 15. előtt hozta létre Azure-előfizetését, az SMTP-továbbítási szolgáltatások használata mellett közvetlenül a 25-ös TCP-porton keresztül is küldhet e-maileket. Amennyiben 2017. november 15. után fizetett elő, nem biztos hogy küldhet e-maileket közvetlenül a 25-ös porton keresztül. A 25-ös porton keresztül folytatott kimenő kommunikáció viselkedése az előfizetés típusától függ, amely lehet:

    • Nagyvállalati Szerződés: A standard Nagyvállalati Szerződés-előfizetésekben üzembe helyezett virtuális gépek esetében a 25-ös TCP-port kimenő SMTP-kapcsolatai nem lesznek blokkolva. Nincs azonban garancia arra, hogy a külső tartományok elfogadják a virtuális gépekről érkező bejövő e-maileket. Ha a külső tartományok elutasítják vagy szűrik az e-maileket, a problémák megoldásához forduljon a külső tartományok levelezési szolgáltatójához. Ezeket a problémákat nem fedi le Azure-támogatás.

      Vállalati dev/test előfizetések esetén alapértelmezés szerint a 25-ös port le van tiltva. Ezt a blokkot el lehet távolítani. Ha el szeretné távolítani a blokkot, lépjen az Azure PortalOn található Azure Virtual Network-erőforrás Diagnosztikai és megoldási beállítások lapjának Nem lehet e-mail küldése (SMTP-Port 25) szakaszára, és futtassa a diagnosztikát. Ez automatikusan mentesíti a minősített vállalati fejlesztési/tesztelési előfizetéseket.

      Miután az előfizetés mentesül a blokk alól, és a virtuális gépek leállnak és újraindulnak, az előfizetésben lévő összes virtuális gép mentesül a továbbhaladás alól. A mentesség csak a kért előfizetésre vonatkozik, és csak a közvetlenül az internetre irányuló virtuálisgép-forgalomra.

    • Használatalapú fizetés: a 25-ös porton keresztüli kimenő kommunikáció minden erőforráson blokkolva van. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.

    • MSDN, Azure Pass, Azure in Open, Education és Ingyenes próbaverzió: A kimenő 25-ös port kommunikációja minden erőforrásból le van tiltva. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.

    • Felhőszolgáltató: A kimenő 25-ös port kommunikációja minden erőforrásból le van tiltva. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.

Következő lépések

  • Annak megismeréséhez, hogy mely Azure-erőforrások helyezhetők üzembe egy virtuális hálózaton, és melyekhez hálózati biztonsági csoportok tartoznak, tekintse meg az Azure-szolgáltatások virtuális hálózatának integrációját ismertető cikket .
  • A hálózati biztonsági csoportokkal végzett forgalom kiértékelésének módjáról a hálózati biztonsági csoportok működése című témakörben olvashat.
  • Ha korábban még nem hozott létre hálózati biztonsági csoportot, ebben a rövid oktatóanyagban némi gyakorlatra tehet szert.
  • Ha már ismeri a hálózati biztonsági csoportok működését, és kezelni szeretné őket, tekintse meg a hálózati biztonsági csoportok kezelését bemutató témakört.
  • Ha kommunikációs problémákat tapasztal, és hibaelhárítást végezne a hálózati biztonsági csoportokon, tekintse meg a virtuális gépek hálózatiforgalom-szűrési problémáinak diagnosztizálását ismertető rövid útmutatót.
  • Megtudhatja, hogyan engedélyezheti a hálózati biztonsági csoportok folyamatnaplóit a társított hálózati biztonsági csoportokkal rendelkező erőforrások felé és onnan érkező hálózati forgalom elemzéséhez.