Бөлісу құралы:


Защита сетевых портов с высоким риском с помощью правил администратора безопасности в Диспетчере виртуальная сеть Azure

В этой статье описано, как блокировать сетевые порты с высоким риском с помощью правил диспетчера виртуальная сеть Azure и администратора безопасности. Вы описываете создание экземпляра Azure виртуальная сеть Manager, группирование виртуальных сетей с группами сети и создание конфигураций администраторов безопасности для вашей организации и развертывание конфигураций администраторов безопасности. Вы развертываете общее правило блокировки для портов с высоким риском. Затем вы создадите правило исключения для управления виртуальной сетью конкретного приложения с помощью групп безопасности сети.

Хотя в этой статье рассматриваются один порт SSH, вы можете защитить любые порты с высоким риском в вашей среде, выполнив те же действия. Дополнительные сведения см. в этом списке портов высокого риска

Необходимые компоненты

Развертывание среды виртуальной сети

Вам нужна среда виртуальной сети, которая включает виртуальные сети, которые можно разделить для разрешения и блокировки определенного сетевого трафика. Вы можете использовать следующую таблицу или собственную конфигурацию виртуальных сетей:

Имя. Диапазон IPv4-адресов подсеть
vnetA-gen 10.0.0.0/16 по умолчанию — 10.0.0.0/24
vnetB-gen 10.1.0.0/16 по умолчанию — 10.1.0.0/24
vnetC-gen 10.2.0.0/16 по умолчанию — 10.2.0.0/24
vnetD-app 10.3.0.0/16 по умолчанию — 10.3.0.0/24
vnetE-app 10.4.0.0/16 по умолчанию — 10.4.0.0/24
  • Размещение всех виртуальных сетей в одной подписке, регионе и группе ресурсов

Не знаете, как создать виртуальную сеть? Дополнительные сведения см. в кратком руководстве. Создание виртуальной сети с помощью портал Azure.

Создание экземпляра диспетчера виртуальных сетей

В этом разделе описано, как развернуть экземпляр диспетчера виртуальная сеть с помощью функции администратора безопасности в организации.

  1. Выберите +Создать ресурс и выполните поиск по фразе Диспетчер сетей. Затем щелкните Создать, чтобы начать настройку Диспетчера виртуальных сетей Azure.

  2. На вкладке "Основные сведения" введите или выберите сведения для вашей организации:

    Снимок экрана: страница

    Параметр Значение
    Отток подписок Выберите подписку, в которую требуется развернуть Диспетчер виртуальных сетей Azure.
    Группа ресурсов Выберите или создайте группу ресурсов для хранения Диспетчера виртуальных сетей Azure. В этом примере используется ранее созданная myAVNMResourceGroup .
    Имя. Введите имя нового экземпляра Диспетчера виртуальных сетей Azure. В этом примере используется имя myAVNM.
    Область/регион Выберите регион для этого развертывания. Диспетчер виртуальных сетей Azure может управлять виртуальными сетями в любом регионе. Выбран регион, в котором будет развернут экземпляр Диспетчера виртуальных сетей.
    Description (Необязательно) Укажите описание этого экземпляра виртуальная сеть Manager и задачи, которую он управляет.
    Область применения Определите область, которой может управлять Диспетчер виртуальных сетей Azure. В этом примере используется область уровня подписки.
    Функции Выберите функции, которые необходимо включить для Диспетчера виртуальных сетей Azure. Доступные варианты: Подключение, SecurityAdmin или Выбрать все.
    Подключение. Позволяет создать полную сетку или концентратор и периферийную топологию сети между виртуальными сетями в пределах области.
    SecurityAdmin — позволяет создавать глобальные правила безопасности сети.
  3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки.

  4. Выберите "Перейти к ресурсу " при завершении развертывания и просмотрите конфигурацию диспетчера виртуальных сетей

Создание группы сети для всех виртуальных сетей

После создания диспетчера виртуальных сетей вы создадите группу сети, содержащую все виртуальные сети в организации, и добавьте все виртуальные сети вручную.

  1. Выберите группы сети в разделе "Параметры".
  2. Нажмите кнопку "+ Создать", введите имя для группы сети и нажмите кнопку "Добавить".
  3. На странице "Группы сети" выберите созданную сетевую группу.
  4. Выберите "Добавить" в разделе "Статическая членство ", чтобы вручную добавить все виртуальные сети.
  5. На странице "Добавление статических элементов" выберите все виртуальные сети, которые вы хотите включить, и нажмите кнопку "Добавить". Снимок экрана: страница

Создание конфигурации администратора безопасности для всех виртуальных сетей

Пришло время создать правила администратора безопасности в конфигурации, чтобы применить эти правила ко всем виртуальным сетям в вашей сетевой группе одновременно. В этом разделе описано, как создать конфигурацию администратора безопасности. Затем вы создадите коллекцию правил и добавьте правила для портов с высоким уровнем риска, таких как SSH или RDP. Эта конфигурация запрещает сетевой трафик всем виртуальным сетям в группе сети.

  1. Вернитесь к ресурсу диспетчера виртуальных сетей.

  2. Выберите "Конфигурации" в разделе "Параметры" , а затем нажмите кнопку "+ Создать".

  3. Выберите конфигурацию безопасности в раскрывающемся меню.

  4. На вкладке "Основные сведения" введите имя , чтобы определить эту конфигурацию безопасности и нажмите кнопку "Далее: коллекции правил".

    Снимок экрана: поле имени конфигурации безопасности.

  5. Выберите +Добавить на странице "Добавить конфигурацию безопасности".

  6. Введите имя, чтобы определить эту коллекцию правил, а затем выберите целевые сетевые группы, к которым необходимо применить набор правил. Целевая группа — это сетевая группа, содержащая все виртуальные сети.

    Снимок экрана: имя коллекции правил и целевые группы сети.

Добавление правила безопасности для запрета сетевого трафика с высоким риском

В этом разделе описано, как определить правило безопасности для блокировки сетевого трафика с высоким риском для всех виртуальных сетей. При назначении приоритета помните о будущих правилах исключений. Задайте приоритет, чтобы правила исключений применялись к этому правилу.

  1. Выберите + Добавить в правила администратора безопасности.

    Снимок экрана: кнопка добавления правила.

  2. Введите сведения, необходимые для определения правила безопасности, а затем нажмите кнопку "Добавить ", чтобы добавить правило в коллекцию правил.

    Снимок экрана: страница добавления правила.

    Параметр Значение
    Имя. Введите имя правила.
    Description Введите описание правила.
    Приоритет* Введите значение от 1 до 4096, чтобы определить приоритет правила. Чем меньше значение, тем выше приоритет.
    Действие* Выберите "Запретить", чтобы заблокировать трафик. Дополнительные сведения см. в разделе "Действие"
    Направление* Выберите входящий трафик, чтобы запретить входящий трафик с помощью этого правила.
    Протокол* Выберите сетевой протокол для порта.
    Источник
    Тип источника Выберите исходный тип IP-адреса или тегов службы.
    Исходные IP-адреса Это поле отображается при выборе исходного типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой. Оставьте пустым для этого примера.
    Тег службы источника Это поле отображается при выборе исходного типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве источника. Список поддерживаемых тегов см . в доступных тегах службы.
    Исходный порт Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Оставьте пустым для этого примера.
    Назначение
    Тип назначения Выберите целевой тип IP-адреса или тегов службы.
    IP-адреса назначения Это поле отображается при выборе целевого типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой.
    Назначение: тег службы Это поле отображается при выборе целевого типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве назначения. Список поддерживаемых тегов см . в доступных тегах службы.
    Порт назначения Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Введите 3389 для этого примера.
  3. Повторите шаги 1–3 еще раз, если вы хотите добавить дополнительные правила в коллекцию правил.

  4. Когда вы удовлетворены всеми правилами, которые вы хотите создать, нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.

    Снимок экрана: коллекция правил.

  5. Затем нажмите кнопку "Проверить и создать", чтобы завершить настройку безопасности.

Развертывание конфигурации администратора безопасности для блокировки сетевого трафика

В этом разделе правила, созданные при развертывании конфигурации администратора безопасности, вступают в силу.

  1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурацию".

    Снимок экрана: кнопка развертывания конфигурации.

  2. Установите флажок "Включить администратора безопасности" в состояние цели и выберите конфигурацию безопасности, созданную в последнем разделе в раскрывающемся меню. Затем выберите регионы, в которые вы хотите развернуть эту конфигурацию.

    Снимок экрана: страница развертывания конфигурации безопасности.

  3. Нажмите кнопку "Далее" и "Развернуть", чтобы развернуть конфигурацию администратора безопасности.

Создание сетевой группы для правила исключения трафика

При блокировке трафика во всех виртуальных сетях необходимо исключение для разрешения трафика в определенные виртуальные сети. Вы создаете группу сети специально для виртуальных сетей, требующих исключения из другого правила администратора безопасности.

  1. В диспетчере виртуальных сетей выберите "Группы сети" в разделе "Параметры".
  2. Нажмите кнопку "+ Создать", введите имя для группы сети приложений и нажмите кнопку "Добавить".
  3. В разделе "Определение динамического членства" выберите "Определить".
  4. Введите или выберите значения, чтобы разрешить трафик виртуальной сети приложения. Снимок экрана: страница
  5. Выберите "Предварительный просмотр ресурсов", чтобы просмотреть включенные виртуальная сеть и нажмите кнопку "Закрыть". Снимок экрана: страница
  6. Выберите Сохранить.

Создание правила администратора безопасности и сбора исключений трафика

В этом разделе описано, как создать коллекцию правил и правило администратора безопасности, которое позволяет трафику с высоким риском в подмножество виртуальных сетей, определенных в качестве исключений. Затем добавьте его в существующую конфигурацию администратора безопасности.

Внимание

Чтобы правило администратора безопасности позволило трафику виртуальных сетей приложения, приоритет должен быть установлен на меньшее число , чем существующие правила, блокирующие трафик.

Например, все сетевые правила, блокирующие SSH, имеют приоритет 10, поэтому правило разрешения должно иметь приоритет от 1 до 9.

  1. В диспетчере виртуальных сетей выберите "Конфигурации " и выберите конфигурацию безопасности.
  2. Выберите коллекции правил в разделе "Параметры", а затем нажмите кнопку "Создать ", чтобы создать новую коллекцию правил.
  3. На странице "Добавление коллекции правил" введите имя коллекции правил приложения и выберите созданную группу сети приложений.
  4. В разделе правил администратора безопасности нажмите кнопку +Добавить.
  5. Введите или выберите значения, позволяющие разрешить определенный сетевой трафик в группу сети приложений, и нажмите кнопку "Добавить " после завершения.
  6. Повторите процесс добавления правила для всего трафика, требующего исключения.
  7. Выберите Сохранить, когда вы закончите.

Повторное развертывание конфигурации администратора безопасности с правилом исключения

Чтобы применить новую коллекцию правил, повторно разверните конфигурацию администратора безопасности, так как она была изменена путем добавления коллекции правил.

  1. В диспетчере виртуальных сетей выберите "Конфигурации".
  2. Выберите конфигурацию администратора безопасности и выберите " Развернуть"
  3. На странице "Развертывание конфигурации" выберите все целевые регионы, получающие развертывание и
  4. Нажмите кнопку "Далее" и "Развернуть".

Следующие шаги