Netwerkbeveiligingsgroepen
U kunt een Azure-netwerkbeveiligingsgroep gebruiken om netwerkverkeer tussen Azure-resources in een virtueel Azure-netwerk te filteren. Een netwerkbeveiligingsgroep bevat beveiligingsregels waarmee binnenkomend netwerkverkeer naar, of uitgaand netwerkverkeer van diverse typen Azure-resources kan worden toegestaan of geweigerd. Voor elke regel kunt u de bron en het doel, de poort en het protocol opgeven.
In dit artikel worden de eigenschappen beschreven van een netwerkbeveiligingsgroepregel, de standaardbeveiligingsregels die worden toegepast en de regeleigenschappen die u kunt wijzigen om een uitgebreide beveiligingsregel te maken.
Beveiligingsregels
Een netwerkbeveiligingsgroep bevat zo veel regels als gewenst, binnen de limieten van het Azure-abonnement. Elke regel geeft de volgende eigenschappen aan:
| Eigenschappen | Uitleg |
|---|---|
| Naam | Een unieke naam binnen de netwerkbeveiligingsgroep. De naam mag maximaal 80 tekens lang zijn. Het moet beginnen met een woordteken en moet eindigen met een woordteken of met '_'. De naam mag woordtekens of '.', '-', '_' bevatten. |
| Prioriteit | Een getal tussen 100 en 4096. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd. Als gevolg hiervan worden regels met lagere prioriteiten (hogere getallen) die dezelfde kenmerken hebben als regels met hogere prioriteiten, niet verwerkt. Standaardbeveiligingsregels van Azure krijgen het hoogste aantal met de laagste prioriteit om ervoor te zorgen dat aangepaste regels altijd eerst worden verwerkt. |
| Bron of doel | Een IP-adres, CIDR-blok (bijvoorbeeld 10.0.0.0/24), servicetag of toepassingsbeveiligingsgroep. Als u een adres opgeeft voor een Azure-resource, geeft u het privé-IP-adres op dat aan de resource is toegewezen. Netwerkbeveiligingsgroepen worden verwerkt nadat Azure een openbaar IP-adres vertaalt naar een privé-IP-adres voor binnenkomend verkeer en voordat Azure een privé-IP-adres naar een openbaar IP-adres voor uitgaand verkeer vertaalt. Er zijn minder beveiligingsregels nodig wanneer u een bereik, een servicetag of toepassingsbeveiligingsgroep opgeeft. De mogelijkheid om meerdere afzonderlijke IP-adressen en bereiken op te geven (u kunt niet meerdere servicetags of toepassingsgroepen opgeven) in een regel wordt aangeduid als uitgebreide beveiligingsregels. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere IP-adressen en IP-adresbereiken opgeven in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel. |
| Protocol | TCP, UDP, ICMP, ESP, AH of Any. De ESP- en AH-protocollen zijn momenteel niet beschikbaar via Azure Portal, maar kunnen worden gebruikt via ARM-sjablonen. |
| Richting | Hiermee wordt aangegeven of de regel van toepassing is op binnenkomend of uitgaand verkeer. |
| Poortbereik | U kunt één poort of een poortbereik opgeven. U kunt bijvoorbeeld 80 of 10000-10005 opgeven. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere poorten of poortbereiken opgeven in dezelfde beveiligingsregel in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel. |
| Actie | Toestaan of weigeren |
Beveiligingsregels worden geëvalueerd en toegepast op basis van de informatie over vijf tuples (bronpoort, doel, doelpoort en protocol). U kunt geen twee beveiligingsregels met dezelfde prioriteit en richting maken. Voor bestaande verbindingen wordt een stroomrecord gemaakt. Communicatie wordt toegestaan of geweigerd op basis van de verbindingsstatus van de stroomrecord. Met de stroomrecord wordt een netwerkbeveiligingsgroep toegestaan stateful te zijn. Als u bijvoorbeeld een beveiligingsregel voor uitgaand verkeer opgeeft voor elk adres via poort 80, hoeft u geen beveiligingsregel voor binnenkomend verkeer op te geven voor de reacties op het uitgaande verkeer. U hoeft alleen een beveiligingsregel voor binnenkomend verkeer op te geven als de communicatie extern is gestart. Het omgekeerde geldt ook. Als binnenkomend verkeer via een poort is toegestaan, is het niet nodig om een beveiligingsregel voor uitgaand verkeer op te geven om te reageren op verkeer via die poort.
Bestaande verbindingen worden mogelijk niet onderbroken wanneer u een beveiligingsregel verwijdert die de verbinding heeft toegestaan. Het wijzigen van regels voor netwerkbeveiligingsgroepen heeft alleen invloed op nieuwe verbindingen. Wanneer een nieuwe regel wordt gemaakt of een bestaande regel wordt bijgewerkt in een netwerkbeveiligingsgroep, is deze alleen van toepassing op nieuwe verbindingen. Bestaande verbindingen worden niet opnieuw geëvalueerd met de nieuwe regels.
Er gelden beperkingen voor het aantal beveiligingsregels dat u in een netwerkbeveiligingsgroep kunt maken. Zie Netwerkenlimieten voor meer informatie.
Standaardbeveiligingsregels
Azure maakt de volgende standaardregels in elke netwerkbeveiligingsgroep die u maakt:
Inkomend
AllowVNetInBound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Alle | Toestaan |
AllowAzureLoadBalancerInBound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Alle | Toestaan |
DenyAllInbound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Alle | Weigeren |
Uitgaand
AllowVnetOutBound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Alle | Toestaan |
AllowInternetOutBound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Alle | Toestaan |
DenyAllOutBound
| Prioriteit | Source | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Alle | Weigeren |
In de kolommen Bron en Doel zijn VirtualNetwork, AzureLoadBalancer en Internetservicetags in plaats van IP-adressen. In de protocolkolom omvat Any TCP, UDP en ICMP. Wanneer u een regel maakt, kunt u TCP, UDP, ICMP of Any opgeven. 0.0.0.0/0 in de kolommen Bron en Doel vertegenwoordigt alle adressen. Clients zoals Azure Portal, Azure CLI of PowerShell kunnen * of een van deze expressies gebruiken.
U kunt de standaardregels niet verwijderen, maar u kunt ze overschrijven door regels met hogere prioriteiten te maken.
Uitgebreide beveiligingsregels
Uitgebreide beveiligingsregels vereenvoudigen de beveiligingsdefinitie voor virtuele netwerken, zodat u een uitgebreider en complexer netwerkbeveiligingsbeleid kunt definiëren met minder regels. U kunt meerdere poorten en meerdere expliciete IP-adressen en -bereiken combineren tot één gemakkelijk te begrijpen beveiligingsregel. U kunt uitgebreide regels gebruiken in de velden voor bron, doel en poort van een regel. Om het onderhoud van de definitie van uw beveiligingsregel te vereenvoudigen, kunt u uitgebreide beveiligingsregels combineren met servicetags of toepassingsbeveiligingsgroepen. Er gelden limieten voor het aantal adressen, bereiken en poorten dat u in een regel kunt opgeven. Zie Netwerkenlimieten voor meer informatie.
Servicetags
Een servicetag vertegenwoordigt een groep IP-adresvoorvoegsels van een bepaalde Azure-service. Het helpt om de complexiteit van frequente updates op netwerkbeveiligingsregels te minimaliseren.
Zie Azure-servicetags voor meer informatie. Zie Netwerktoegang tot PaaS-resources beperken voor een voorbeeld van het gebruik van de Storage-servicetag om de netwerktoegang te beperken.
Toepassingsbeveiligingsgroepen
Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen. U kunt het beveiligingsbeleid op grote schaal opnieuw gebruiken zonder handmatig onderhoud van expliciete IP-adressen. Zie Toepassingsbeveiligingsgroepen voor meer informatie.
Overwegingen bij het Azure-platform
Virtueel IP-adres van het hostknooppunt: Basisinfrastructuurservices zoals DHCP, DNS, IMDS en statuscontrole worden geleverd via de gevirtualiseerde host-IP-adressen 168.63.129.16 en 169.254.169.254. Deze IP-adressen zijn van Microsoft en zijn de enige gevirtualiseerde IP-adressen die in alle regio's voor dit doel worden gebruikt. Deze services zijn standaard niet onderworpen aan de geconfigureerde netwerkbeveiligingsgroepen, tenzij deze zijn gericht op servicetags die specifiek zijn voor elke service. Als u deze basisinfrastructuurcommunicatie wilt overschrijven, kunt u een beveiligingsregel maken om verkeer te weigeren met behulp van de volgende servicetags in uw regels voor netwerkbeveiligingsgroepen: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Meer informatie over het diagnosticeren van netwerkverkeerfilters en het diagnosticeren van netwerkroutering.
Licentieverlening (Key Management Service): voor alle Windows installatiekopieën die op virtuele machines worden uitgevoerd, is een licentie vereist. Hiervoor wordt een licentieaanvraag verstuurd naar de Key Management Service-hostservers waarop dergelijke query's worden afgehandeld. De uitgaande aanvraag wordt gedaan via poort. 1688. Voor implementaties die gebruikmaken van een configuratie met de standaardroute 0.0.0.0/0, wordt deze platformregel uitgeschakeld.
Virtuele machines in groepen met gelijke taakverdeling: de bronpoort en het bronadresbereik die worden toegepast, zijn die van de oorspronkelijke computer, niet van de load balancer. De doelpoort en het doeladresbereik zijn die van de doelcomputer, niet van de load balancer.
Azure-service-exemplaren: exemplaren van verschillende Azure-services, zoals HDInsight, toepassingsserviceomgevingen en virtuele-machineschaalsets, worden geïmplementeerd in virtuele netwerksubnetten. Zie Virtueel netwerk voor Azure-services voor een volledige lijst met services die u in virtuele netwerken kunt implementeren. Voordat u een netwerkbeveiligingsgroep toepast op het subnet, moet u vertrouwd raken met de poortvereisten voor elke service. Als u poorten weigert die zijn vereist voor de service, werkt de service niet goed.
Uitgaande e-mail verzenden: Microsoft raadt u aan om geverifieerde SMTP-relayservices te gebruiken (doorgaans verbonden via TCP-poort 587, maar ook vaak andere) om e-mail vanaf Azure Virtual Machines te verzenden. SMTP-relayservices leggen zich toe op de reputatie van de afzender, om zo de kans dat e-mailproviders van derden berichten weigeren, tot het uiterste terug te dringen. Dergelijke SMTP-relayservices omvatten, maar zijn niet beperkt tot Exchange Online Protection en SendGrid. Het gebruik van de SMTP-relayservices wordt in Azure op geen enkele wijze beperkt, ongeacht welk type abonnement u hebt.
Als u uw Azure-abonnement vóór 15 november 2017 hebt gemaakt, kunt u naast de mogelijkheid om gebruik te maken van SMTP-relayservices ook rechtstreeks e-mail verzenden via TCP-poort 25. Als u uw abonnement na 15 november 2017 hebt gemaakt kunt u mogelijk geen e-mail rechtstreeks via poort 25 verzenden. Hoe uitgaande communicatie via poort 25 verloopt, hangt als volgt samen met het type abonnement dat u hebt:
Enterprise Overeenkomst: Voor VM's die zijn geïmplementeerd in standaardabonnementen Enterprise Overeenkomst, worden de uitgaande SMTP-verbindingen op TCP-poort 25 niet geblokkeerd. Er is echter geen garantie dat externe domeinen de binnenkomende e-mailberichten van de VM's accepteren. Als uw e-mailberichten worden geweigerd of gefilterd op de externe domeinen, neemt u contact op met de e-mailserviceproviders van de externe domeinen om de problemen op te lossen. Deze problemen worden niet gedekt door ondersteuning voor Azure.
Voor Enterprise Dev/Test-abonnementen wordt poort 25 standaard geblokkeerd. Het is mogelijk om dit blok te verwijderen. Als u wilt aanvragen dat het blok is verwijderd, gaat u naar de sectie Kan geen e-mail verzenden (SMTP-poort 25) van de pagina Instellingen vaststellen en oplossen voor de Azure Virtual Network-resource in Azure Portal en voert u de diagnose uit. Hierdoor worden de gekwalificeerde enterprise dev/test-abonnementen automatisch uitgesloten.
Nadat het abonnement is uitgesloten van dit blok en de VM's zijn gestopt en opnieuw gestart, worden alle VM's in dat abonnement voortaan uitgesloten. De uitzondering geldt alleen voor het aangevraagde abonnement en alleen voor VM-verkeer dat rechtstreeks naar internet wordt gerouteerd.
Betalen naar gebruik: communicatie via uitgaande poort 25 is voor alle resources geblokkeerd. Er kunnen geen aanvragen worden gedaan om de beperking te verwijderen, omdat er geen aanvragen worden verleend. Als u e-mail moet verzenden vanaf uw virtuele machine, dient u een SMTP-relayservice te gebruiken.
MSDN, Azure Pass, Azure in Open, Education en gratis proefversie: uitgaande poort 25-communicatie wordt geblokkeerd voor alle resources. Er kunnen geen aanvragen worden gedaan om de beperking te verwijderen, omdat er geen aanvragen worden verleend. Als u e-mail moet verzenden vanaf uw virtuele machine, dient u een SMTP-relayservice te gebruiken.
Cloudserviceprovider: uitgaande poort 25-communicatie wordt geblokkeerd voor alle resources. Er kunnen geen aanvragen worden gedaan om de beperking te verwijderen, omdat er geen aanvragen worden verleend. Als u e-mail moet verzenden vanaf uw virtuele machine, dient u een SMTP-relayservice te gebruiken.
Volgende stappen
- Zie Virtual Network Integration voor Azure-services voor meer informatie over welke Azure-resources kunnen worden geïmplementeerd in een virtueel netwerk en waaraan netwerkbeveiligingsgroepen zijn gekoppeld
- Zie Hoe netwerkbeveiligingsgroepen werken om te leren hoe verkeer wordt geëvalueerd met netwerkbeveiligingsgroepen.
- Als u nog nooit een netwerkbeveiligingsgroep hebt gemaakt, kunt u een snelle zelfstudie uitvoeren om enige ervaring met het maken van een netwerkbeveiligingsgroep op te doen.
- Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen als u bekend bent met het netwerkbeveiligingsgroepen en u ze wilt beheren.
- Zie Een probleem met een netwerkverkeersfilter in een virtuele machine vaststellen als u communicatieproblemen hebt en problemen met netwerkbeveiligingsgroepen wilt oplossen.
- Meer informatie over het inschakelen van stroomlogboeken voor netwerkbeveiligingsgroepen voor het analyseren van netwerkverkeer naar en van resources met een gekoppelde netwerkbeveiligingsgroep.