Bagikan melalui


Grup keamanan jaringan

Anda dapat menggunakan grup keamanan jaringan Azure untuk memfilter lalu lintas jaringan antara sumber daya Azure di jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure.

Artikel ini menjelaskan properti aturan grup keamanan jaringan dan aturan keamanan default yang diterapkan oleh Azure. Ini juga menjelaskan cara mengubah properti aturan untuk membuat aturan keamanan tambahan.

Aturan keamanan

Grup keamanan jaringan berisi aturan keamanan jaringan seperti yang diinginkan, dalam batas langganan Azure. Setiap aturan menentukan properti berikut:

Properti Penjelasan
Nama Nama unik dalam grup keamanan jaringan. Panjang nama bisa hingga 80 karakter. Ini harus dimulai dengan karakter kata, dan harus diakhir dengan karakter kata atau dengan _. Nama dapat berisi karakter kata, ., -, atau \_.
Prioritas Angka antara 100 dan 4096. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, aturan apa pun yang ada dengan prioritas lebih rendah (angka lebih tinggi) yang memiliki atribut yang sama dengan aturan dengan prioritas yang lebih tinggi tidak diproses.
Aturan keamanan default Azure diberi prioritas terendah (angka tertinggi) untuk memastikan aturan kustom Anda selalu diproses terlebih dahulu.
Sumber atau tujuan Anda dapat menentukan Apa pun, alamat IP individual, blok CIDR (misalnya, 10.0.0.0/24), tag layanan, atau grup keamanan aplikasi. Untuk menentukan sumber daya Azure tertentu, gunakan alamat IP privat yang ditetapkan ke sumber daya. Untuk lalu lintas masuk, kelompok keamanan jaringan memproses lalu lintas setelah Azure menerjemahkan alamat IP publik ke alamat IP privat. Untuk lalu lintas keluar, kelompok keamanan jaringan memproses lalu lintas sebelum menerjemahkan alamat IP privat ke alamat IP publik.
Masukkan rentang, tag layanan, atau grup keamanan aplikasi untuk mengurangi jumlah aturan keamanan yang diperlukan. Aturan keamanan tambahan memungkinkan menentukan beberapa alamat dan rentang IP individual dalam satu aturan. Namun, Anda tidak dapat menentukan beberapa tag layanan atau grup aplikasi dalam satu aturan. Aturan keamanan tambahan hanya tersedia di grup keamanan jaringan yang dibuat melalui model penyebaran Resource Manager. Dalam model penyebaran klasik, beberapa alamat dan rentang IP tidak dapat ditentukan dalam satu aturan.
Sebagai contoh, jika sumbernya adalah subnet 10.0.1.0/24 (tempat VM1 berada) dan tujuannya adalah subnet 10.0.2.0/24 (tempat VM2 berada), grup keamanan jaringan memfilter lalu lintas untuk VM2. Perilaku ini terjadi karena NSG dikaitkan dengan antarmuka jaringan VM2.
Protokol TCP, UDP, ICMP, ESP, AH, atau Apapun. Protokol ESP dan AH saat ini tidak tersedia melalui portal Azure tetapi dapat digunakan melalui templat ARM.
Arah Apakah aturan berlaku untuk lalu lintas masuk atau keluar.
Rentang porta Anda dapat menentukan port individual atau rentang port. Misalnya, Anda dapat menentukan 80 atau 10000-10005; atau untuk campuran port dan rentang individual, Anda dapat memisahkannya dengan koma, seperti 80, 10000-10005. Menentukan rentang dan pemisahan koma memberdayakan Anda untuk membuat lebih sedikit aturan keamanan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak port atau rentang port dalam aturan keamanan yang sama dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik.
Perbuatan Izinkan atau tolak lalu lintas yang Anda tentukan.

Aturan keamanan dikaji dan diterapkan berdasarkan data lima-tuple: sumber, port sumber, tujuan, port tujuan, dan protokol. Anda tidak dapat membuat dua aturan keamanan dengan prioritas dan arah yang sama, karena ini dapat menimbulkan konflik dalam cara sistem memproses lalu lintas. Rekaman aliran dibuat untuk koneksi yang sudah ada. Komunikasi diperbolehkan atau ditolak berdasarkan status koneksi rekaman aliran. Catatan aliran memungkinkan kelompok keamanan jaringan menjadi berstatus. Jika Anda menentukan aturan keamanan keluar ke alamat mana pun di atas port 80, misalnya, Anda tidak perlu menentukan aturan keamanan masuk untuk respons terhadap lalu lintas keluar. Anda hanya perlu menentukan aturan keamanan masuk jika komunikasi dimulai secara eksternal. Sebaliknya juga benar, di mana jika lalu lintas masuk diizinkan melalui port, tidak perlu menetapkan aturan keamanan keluar untuk merespons lalu lintas yang melalui port tersebut.

Saat Anda menghapus aturan keamanan yang mengizinkan koneksi, koneksi yang ada tetap tidak terganggu. Aturan grup keamanan jaringan hanya memengaruhi koneksi baru. Aturan baru atau yang diperbarui dalam grup keamanan jaringan berlaku secara eksklusif untuk koneksi baru, membuat koneksi yang ada tidak terpengaruh oleh perubahan. Misalnya, jika Anda memiliki sesi SSH aktif ke komputer virtual lalu menghapus aturan keamanan yang memungkinkan lalu lintas SSH tersebut, sesi SSH Anda saat ini akan tetap terhubung dan berfungsi. Namun, jika Anda mencoba membuat koneksi SSH baru setelah penghapusan aturan keamanan, upaya koneksi baru tersebut akan diblokir.

Ada batasan jumlah aturan keamanan yang dapat Anda buat di grup keamanan jaringan dan properti lain dari kelompok keamanan jaringan. Untuk detailnya, lihat Batas Azure.

Aturan keamanan default

Azure membuat aturan default berikut ini di setiap kelompok keamanan jaringan yang Anda buat:

Kedatangan

AllowVNetInBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65000 Jaringan Virtual 0-65535 Jaringan Virtual 0-65535 Apa saja Izinkan
Izinkan Azure Load Balancer Masuk
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65001 Penyeimbang Beban Azure 0-65535 0.0.0.0/0 0-65535 Apa saja Izinkan
DenyAllInbound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Apa saja Tolak

Keluar

AllowVnetOutBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65000 Jaringan Virtual 0-65535 Jaringan Virtual 0-65535 Apa saja Izinkan
IzinkanInternetKeluar
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65001 0.0.0.0/0 0-65535 internet 0-65535 Apa saja Izinkan
DenyAllOutBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Akses
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Apa saja Tolak

Di kolom Sumber dan Tujuan , VirtualNetwork, AzureLoadBalancer, dan Internet adalah tag layanan daripada alamat IP. Di kolom Protokol , Setiap mencakup TCP, UDP, dan ICMP. Saat membuat aturan, Anda dapat menentukan TCP, UDP, ICMP, atau Apa pun. 0.0.0.0/0 di kolom Sumber dan Tujuan mewakili semua alamat IP. Klien seperti portal Microsoft Azure, Azure CLI, atau PowerShell dapat menggunakan * atau Apa pun untuk ekspresi ini.

Anda tidak dapat menghapus aturan default, tetapi Anda dapat menggantinya dengan membuat aturan yang prioritasnya lebih tinggi.

Aturan keamanan tambahan

Aturan keamanan tambahan menyederhanakan definisi keamanan untuk jaringan virtual, memungkinkan Anda menentukan kebijakan keamanan jaringan yang lebih besar dan kompleks dengan aturan yang lebih sedikit. Anda dapat menggabungkan beberapa port dan beberapa alamat IP eksplisit dan rentang menjadi satu aturan keamanan yang mudah dipahami. Gunakan aturan tambahan di bidang sumber, tujuan, dan port dari suatu aturan. Untuk menyederhanakan pemeliharaan definisi aturan keamanan Anda, gabungkan aturan keamanan tambahan dengan tag layanan atau kelompok keamanan aplikasi. Ada batasan jumlah alamat, rentang, dan port yang dapat Anda tentukan dalam aturan keamanan. Untuk detailnya, lihat Batas Azure.

Tag layanan

Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Ini membantu meminimalkan kompleksitas pembaruan yang sering pada aturan keamanan jaringan.

Untuk informasi selengkapnya, lihat Tag Azure Service. Misalnya tentang cara menggunakan tag Layanan Penyimpanan untuk membatasi akses jaringan, lihat Membatasi akses jaringan ke sumber daya PaaS.

Kelompok keamanan aplikasi

Grup keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, sehingga Anda dapat mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Untuk mempelajari lebih lanjut, lihatkelompok keamanan aplikasi.

Aturan admin keamanan

Aturan admin keamanan adalah aturan keamanan jaringan global yang memberlakukan kebijakan keamanan ke jaringan virtual. Aturan admin keamanan berasal dari Azure Virtual Network Manager, layanan manajemen yang memungkinkan administrator jaringan mengelompokkan, mengonfigurasi, menyebarkan, dan mengelola jaringan virtual secara global di seluruh langganan.

Aturan admin keamanan selalu memiliki prioritas yang lebih tinggi daripada aturan grup keamanan jaringan dan dengan demikian dievaluasi terlebih dahulu. Aturan admin keamanan "Izinkan" akan tetap dievaluasi dengan mencocokkan terhadap aturan grup keamanan jaringan. Aturan admin keamanan "Selalu izinkan" dan "Tolak"; namun, hentikan evaluasi lalu lintas sesudah aturan admin keamanan diproses. Aturan keamanan admin "Selalu izinkan" mengirim lalu lintas langsung ke sumber daya, melewati aturan grup keamanan jaringan yang berpotensi bertentangan. Aturan "Tolak" dari admin keamanan memblokir lalu lintas tanpa mengirimkannya ke tujuan, menjalankan kebijakan keamanan dasar tanpa risiko konflik kelompok keamanan jaringan, kesalahan konfigurasi, atau pengenalan kesenjangan keamanan. Jenis tindakan aturan admin keamanan ini dapat berguna untuk memberlakukan pengiriman lalu lintas dan mencegah konflik atau perilaku yang tidak diinginkan oleh aturan kelompok keamanan jaringan hilir.

Perilaku ini penting untuk dipahami, karena lalu lintas yang sesuai dengan aturan admin keamanan dari jenis tindakan "Selalu izinkan" atau "Tolak" tidak akan mencapai aturan grup keamanan jaringan untuk evaluasi selanjutnya. Untuk mempelajari selengkapnya, lihat Aturan admin keamanan.

Batas waktu alur

Penting

Pada tanggal 30 September 2027, pencatatan alur dari kelompok keamanan jaringan (NSG) akan dihentikan. Sebagai bagian dari penghentian layanan ini, Anda tidak akan lagi dapat membuat log alur NSG baru dari mulai 30 Juni 2025. Kami merekomendasikan bermigrasi ke catatan alur jaringan virtual, yang mengatasi keterbatasan catatan alur NSG. Setelah tanggal penghentian, analitik lalu lintas yang diaktifkan dengan log alur NSG tidak akan lagi didukung, dan sumber daya log alur NSG yang ada di langganan Anda akan dihapus. Namun, rekaman log alur NSG tidak akan dihapus dan akan terus mengikuti kebijakan retensi yang berlaku. Untuk informasi selengkapnya, lihat pengumuman resmi.

Pengaturan batas waktu alur menentukan berapa lama rekaman alur tetap aktif sebelum kedaluwarsa. Anda dapat mengonfigurasi pengaturan ini menggunakan portal Microsoft Azure atau melalui baris perintah. Untuk detail selengkapnya, lihat Gambaran umum log alur NSG.

Pertimbangan platform Azure

  • IP Virtual dari Node Host: Layanan infrastruktur dasar seperti DHCP, DNS, IMDS, dan pemantauan kesehatan disediakan melalui alamat IP host virtual 168.63.129.16 dan 169.254.169.254. Alamat IP ini milik Microsoft dan merupakan satu-satunya alamat IP virtual yang digunakan di semua wilayah untuk tujuan ini. Secara default, layanan ini tidak bergantung pada grup keamanan jaringan yang dikonfigurasi kecuali ditargetkan dengan tag layanan khusus untuk setiap layanan. Untuk mengambil alih komunikasi infrastruktur dasar ini, Anda dapat membuat aturan keamanan untuk menolak lalu lintas dengan menggunakan tag layananberikut pada aturan Kelompok Keamanan Jaringan Anda: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Pelajari cara mendiagnosis pemfilteran lalu lintas jaringan dan mendiagnosis perutean jaringan.

  • Lisensi (Key Management Service): Gambar Windows yang berjalan di komputer virtual harus dilisensikan. Untuk memastikan lisensi, sistem mengirim permintaan ke server host Layanan Manajemen Kunci yang menangani kueri tersebut. Permintaan dikirim keluar melalui port 1688. Untuk penyebaran yang menggunakan konfigurasi rute default 0.0.0.0/0 , aturan platform ini dinonaktifkan.

  • Komputer virtual dalam kumpulan penyeimbang muatan:Port sumber dan rentang alamat yang diterapkan berasal dari komputer asal, bukan penyeimbang muatan. Port tujuan dan rentang alamat adalah untuk komputer tujuan, bukan penyeimbang muatan.

  • Instans layanan Azure: Instans beberapa layanan Azure, seperti HDInsight, Lingkungan Layanan Aplikasi, dan Set Skala Komputer Virtual, disebarkan dalam subnet jaringan virtual. Lihat daftar lengkap layanan yang dapat Anda sebarkan ke jaringan virtual. Sebelum menerapkan grup keamanan jaringan ke subnet, biasakan diri Anda dengan persyaratan port untuk setiap layanan. Jika Anda menolak port yang diperlukan oleh layanan, layanan tidak berfungsi dengan baik.

  • Mengirim email keluar: Microsoft merekomendasikan agar Anda menggunakan layanan relai SMTP terautentikasi (biasanya terhubung melalui port TCP 587, tetapi seringkali orang lain juga) untuk mengirim email dari Azure Virtual Machines. Layanan relai SMTP khusus dalam reputasi pengirim, untuk meminimalkan kemungkinan penyedia email mitra menolak pesan. Layanan relai SMTP tersebut termasuk, tetapi tidak terbatas pada, Exchange Online Protection dan SendGrid. Penggunaan layanan relai SMTP sama sekali tidak dibatasi di Azure, apapun jenis langganan Anda.

    Jika Anda membuat langganan Azure sebelum 15 November 2017, selain dapat menggunakan layanan relai SMTP, Anda dapat mengirim email langsung melalui port TCP 25. Jika Anda membuat langganan setelah 15 November 2017, Anda mungkin tidak dapat mengirim email langsung melalui port 25. Perilaku komunikasi keluar melalui port 25 tergantung pada jenis langganan yang Anda miliki, sebagai berikut:

    • Perjanjian Enterprise: Untuk VM yang disebarkan dalam langganan Perjanjian Enterprise standar, koneksi SMTP keluar pada port TCP 25 tidak diblokir. Namun, tidak ada jaminan bahwa domain eksternal menerima email masuk dari VM. Jika domain eksternal menolak atau memfilter email, hubungi penyedia layanan email domain eksternal untuk mengatasi masalah tersebut. Masalah ini tidak tercakup oleh dukungan Azure.

      Untuk langganan Enterprise Dev/Test, port 25 akan diblokir secara default. Ada kemungkinan pemblokiran ini dihapus. Untuk meminta pemblokiran dihapus, buka bagian Tidak dapat mengirim email (SMTP-Port 25) dari halaman Pengaturan Diagnosis dan Selesaikan untuk sumber daya Azure Virtual Network di portal Azure dan jalankan diagnostik. Prosedur ini mengecualikan langganan dev/test perusahaan yang memenuhi syarat secara otomatis.

      Setelah langganan dikecualikan dari blok ini dan VM dihentikan serta dihidupkan ulang, semua VM dalam langganan tersebut akan dikecualikan ke depannya. Pengecualian hanya berlaku untuk langganan yang diminta dan hanya untuk lalu lintas VM yang merutekan langsung ke internet.

    • Bayar sesuai penggunaan: Komunikasi keluar melalui port 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

    • MSDN, Azure Pass, Azure in Open, Education, dan Gratis Uji Coba: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

    • Penyedia layanan cloud: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

Langkah berikutnya