Bagikan melalui


Grup keamanan jaringan

Anda dapat menggunakan kelompok keamanan jaringan Azure untuk memfilter lalu lintas jaringan antara sumber daya Azure di jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.

Artikel ini menjelaskan properti aturan grup keamanan jaringan, aturan keamanan default yang diterapkan, dan properti aturan yang dapat Anda ubah untuk membuat aturan keamanan tambahan.

Aturan keamanan

Grup keamanan jaringan berisi aturan sebanyak yang diinginkan, dalam batas langganan Azure. Setiap aturan menentukan properti berikut:

Properti Penjelasan
Nama Nama unik dalam grup keamanan jaringan. Panjang nama bisa hingga 80 karakter. Ini harus dimulai dengan karakter kata, dan harus diakhir dengan karakter kata atau dengan '_'. Nama mungkin berisi karakter kata atau '.', '-', '_'.
Prioritas Angka antara 100 dan 4096. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi, karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, setiap aturan yang ada dengan prioritas yang lebih rendah (angka yang lebih tinggi) yang memiliki atribut sama seperti aturan dengan prioritas yang lebih tinggi, tidak diproses.
Aturan keamanan default Azure diberi angka tertinggi dengan prioritas terendah untuk memastikan bahwa aturan kustom selalu diproses terlebih dahulu.
Sumber atau tujuan Setiap, atau alamat IP individual, blok perutean antar domain tanpa kelas (CIDR) (10.0.0.0/24, misalnya), tag layanan, atau kelompok keamanan aplikasi. Jika Anda menentukan alamat untuk sumber daya Azure, tentukan alamat IP privat yang ditetapkan ke sumber daya. Kelompok keamanan jaringan diproses setelah Azure menerjemahkan alamat IP publik ke alamat IP pribadi untuk lalu lintas masuk, dan sebelum Azure menerjemahkan alamat IP pribadi ke alamat IP publik untuk lalu lintas keluar. Aturan keamanan yang diperlukan saat Anda menentukan rentang, tag layanan, atau grup keamanan aplikasi lebih sedikit. Kemampuan untuk menetapkan banyak alamat dan rentang IP individual (Anda tidak dapat menetapkan banyak tag layanan atau grup aplikasi) dalam aturan disebut sebagai aturan keamanan tambahan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak alamat IP dan rentang alamat IP dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik.
Jika sumber menunjuk ke subnet 10.0.1.0/24 (tempat VM1 berada) dan tujuan menunjuk ke subnet 10.0.2.0/24 (tempat VM2 berada), ini menunjukkan tujuan NSG adalah untuk memfilter lalu lintas jaringan untuk VM2 dan NSG dikaitkan dengan antarmuka jaringan VM2.
Protokol TCP, UDP, ICMP, ESP, AH, atau Apapun. Protokol ESP dan AH saat ini tidak tersedia melalui portal Azure tetapi dapat digunakan melalui templat ARM.
Arah Apakah aturan tersebut berlaku untuk lalu lintas masuk atau keluar.
Rentang port Anda dapat menentukan satu atau rentang porta. Misalnya, Anda dapat menentukan 80 atau 10000-10005. Menentukan rentang memungkinkan Anda membuat lebih sedikit aturan keamanan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak port atau rentang port dalam aturan keamanan yang sama dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik.
Perbuatan Izinkan atau tolak

Aturan keamanan dievaluasi dan diterapkan berdasarkan informasi lima tuple (sumber, port sumber, tujuan, port tujuan, dan protokol). Anda tidak boleh membuat dua aturan keamanan dengan prioritas dan arah yang sama. Rekaman aliran dibuat untuk koneksi yang sudah ada. Komunikasi diperbolehkan atau ditolak berdasarkan status koneksi rekaman aliran. Catatan aliran memungkinkan kelompok keamanan jaringan menjadi stateful. Jika Anda menentukan aturan keamanan keluar ke alamat mana pun di atas port 80, misalnya, Anda tidak perlu menentukan aturan keamanan masuk untuk respons terhadap lalu lintas keluar. Anda hanya perlu menentukan aturan keamanan masuk jika komunikasi dimulai secara eksternal. Sebaliknya juga benar. Jika lalu lintas masuk diizinkan melalui port, Anda tidak perlu menentukan aturan keamanan keluar untuk merespons lalu lintas di atas port.

Koneksi yang ada mungkin tidak terganggu ketika Anda menghapus aturan keamanan yang mengizinkan koneksi. Mengubah aturan grup keamanan jaringan hanya akan memengaruhi koneksi baru. Ketika aturan baru dibuat atau aturan yang ada diperbarui dalam grup keamanan jaringan, aturan tersebut hanya akan berlaku untuk koneksi baru. Koneksi yang ada tidak dievaluasi ulang dengan aturan baru.

Ada batasan jumlah aturan keamanan yang bisa Anda buat dalam kelompok keamanan jaringan. Untuk detailnya, lihat Batas Azure.

Aturan keamanan default

Azure membuat aturan default berikut ini di setiap kelompok keamanan jaringan yang Anda buat:

Masuk

AllowVNetInBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65000 JaringanVirtual 0-65535 JaringanVirtual 0-65535 Mana pun Izinkan
AllowAzureLoadBalancerInBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Mana pun Izinkan
DenyAllInbound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Apa pun Tolak

Keluar

AllowVnetOutBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65000 JaringanVirtual 0-65535 JaringanVirtual 0-65535 Mana pun Izinkan
IzinkanVnetKeluar
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Mana pun Izinkan
DenyAllOutBound
Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Apa pun Tolak

Di kolom Sumber dan Tujuan, VirtualNetwork, AzureLoadBalancer, dan Internet adalah taglayanan, bukan alamat IP. Di kolom protokol, Semua mencakup TCP, UDP, dan ICMP. Saat membuat aturan, Anda dapat menentukan TCP, UDP, ICMP, atau Semuanya. 0.0.0.0/0 di kolom Sumber dan Tujuan mewakili semua alamat. Klien seperti portal Azure, Azure CLI, atau PowerShell dapat menggunakan * atau apa pun untuk ekspresi ini.

Anda tidak dapat menghapus aturan default, tetapi Anda dapat menggantinya dengan membuat aturan yang prioritasnya lebih tinggi.

Aturan keamanan tambahan

Aturan keamanan tambahan menyederhanakan definisi keamanan untuk jaringan virtual, memungkinkan Anda menentukan kebijakan keamanan jaringan yang lebih besar dan kompleks, dengan aturan yang lebih sedikit. Anda dapat menggabungkan beberapa port dan beberapa alamat IP eksplisit dan rentang menjadi satu aturan keamanan yang mudah dipahami. Gunakan aturan tambahan di bidang sumber, tujuan, dan port aturan. Untuk menyederhanakan pemeliharaan definisi aturan keamanan Anda, gabungkan aturan keamanan tambahan dengan tag layanan atau kelompok keamanan aplikasi. Terdapat batasan jumlah alamat, rentang, dan port yang bisa Anda tentukan dalam aturan. Untuk detailnya, lihat Batas Azure.

Tag layanan

Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Ini membantu meminimalkan kompleksitas pembaruan yang sering pada aturan keamanan jaringan.

Untuk informasi selengkapnya, lihat Tag Azure Service. Misalnya tentang cara menggunakan tag Layanan Penyimpanan untuk membatasi akses jaringan, lihat Membatasi akses jaringan ke sumber daya PaaS.

Kelompok keamanan aplikasi

Grup keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, sehingga Anda dapat mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Untuk mempelajari lebih lanjut, lihatkelompok keamanan aplikasi.

Pertimbangan platform Azure

  • IP virtual node host: Layanan infrastruktur dasar seperti DHCP, DNS, IMDS, dan pemantauan kesehatan disediakan melalui alamat IP host virtual 168.63.129.16 dan 169.254.169.254. Alamat IP ini milik Microsoft dan merupakan satu-satunya alamat IP virtual yang digunakan di semua wilayah untuk tujuan ini. Secara default, layanan ini tidak bergantung pada grup keamanan jaringan yang dikonfigurasi kecuali ditargetkan dengan tag layanan khusus untuk setiap layanan. Untuk mengambil alih komunikasi infrastruktur dasar ini, Anda dapat membuat aturan keamanan untuk menolak lalu lintas dengan menggunakan tag layananberikut pada aturan Kelompok Keamanan Jaringan Anda: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Pelajari cara mendiagnosis pemfilteran lalu lintas jaringan dan mendiagnosis perutean jaringan.

  • Lisensi (Key Management Service): Gambar Windows yang berjalan di komputer virtual harus dilisensikan. Untuk memastikan lisensi, permintaan dikirim ke server host Key Management Service yang menangani kueri tersebut. Permintaan dibuat keluar melalui port 1688. Untuk penyebaran menggunakan konfigurasi default route 0.0.0.0/0, aturan platform ini akan dinonaktifkan.

  • Komputer virtual dalam kumpulan penyeimbang muatan:Port sumber dan rentang alamat yang diterapkan berasal dari komputer asal, bukan penyeimbang muatan. Port tujuan dan rentang alamat adalah untuk komputer tujuan, bukan penyeimbang muatan.

  • Instans layanan Azure: Instans beberapa layanan Azure, seperti HDInsight, Lingkungan Layanan Aplikasi, dan Virtual Machine Scale Sets disebarkan di subnet jaringan virtual. Untuk daftar lengkap layanan yang dapat Anda sebarkan ke jaringan virtual, lihat Jaringan virtual untuk layanan Azure. Sebelum menerapkan grup keamanan jaringan ke subnet, biasakan diri Anda dengan persyaratan port untuk setiap layanan. Jika Anda menolak port yang diperlukan oleh layanan, layanan tidak akan berfungsi dengan baik.

  • Mengirim email keluar: Microsoft merekomendasikan agar Anda menggunakan layanan relai SMTP terautentikasi (biasanya terhubung melalui port TCP 587, tetapi seringkali orang lain juga) untuk mengirim email dari Azure Virtual Machines. Layanan relai SMTP mengkhususkan diri dalam reputasi pengirim, untuk meminimalkan kemungkinan penyedia email pihak ketiga menolak pesan. Layanan relai SMTP tersebut termasuk, tetapi tidak terbatas pada, Exchange Online Protection dan SendGrid. Penggunaan layanan relai SMTP sama sekali tidak dibatasi di Azure, apapun jenis langganan Anda.

    Jika Anda membuat langganan Azure sebelum 15 November 2017, selain dapat menggunakan layanan relai SMTP, Anda juga dapat mengirim email langsung melalui port TCP 25. Jika Anda membuat langganan setelah 15 November 2017, Anda mungkin tidak dapat mengirim email langsung melalui port 25. Perilaku komunikasi keluar melalui port 25 tergantung pada jenis langganan yang Anda miliki, sebagai berikut:

    • Perjanjian Enterprise: Untuk VM yang disebarkan dalam langganan Perjanjian Enterprise standar, koneksi SMTP keluar pada port TCP 25 tidak akan diblokir. Namun, tidak ada jaminan bahwa domain eksternal akan menerima email masuk dari VM. Jika email Anda ditolak atau difilter oleh domain eksternal, Anda harus menghubungi penyedia layanan email dari domain eksternal untuk mengatasi masalah tersebut. Masalah ini tidak tercakup oleh dukungan Azure.

      Untuk langganan Enterprise Dev/Test, port 25 akan diblokir secara default. Dimungkinkan untuk menghapus blok ini. Untuk meminta pemblokiran dihapus, buka bagian Tidak dapat mengirim email (SMTP-Port 25) dari halaman Pengaturan Diagnosis dan Selesaikan untuk sumber daya Azure Virtual Network di portal Azure dan jalankan diagnostik. Ini akan mengecualikan langganan enterprise dev/test yang memenuhi syarat secara otomatis.

      Setelah langganan dikecualikan dari blok ini dan VM dihentikan dan dihidupkan ulang di portal Microsoft Azure, untuk selanjutnya semua VM dalam langganan tersebut dikecualikan. Pengecualian tersebut hanya berlaku untuk langganan yang diminta dan hanya untuk lalu lintas VM yang dirutekan langsung ke internet.

    • Bayar sesuai biaya: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

    • MSDN, Azure Pass, Azure di Open, Education, dan Uji coba Gratis: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

    • Penyedia layanan cloud: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.

Langkah berikutnya