Beveiligingsbeheerdersregels in Azure Virtual Network Manager
In dit artikel vindt u meer informatie over beveiligingsbeheerdersregels in Azure Virtual Network Manager. Beveiligingsbeheerdersregels worden gebruikt om algemene netwerkbeveiligingsregels te definiëren die van toepassing zijn op alle virtuele netwerken binnen een netwerkgroep. U leert wat beveiligingsbeheerdersregels zijn, hoe ze werken en wanneer u ze kunt gebruiken.
Belangrijk
Azure Virtual Network Manager is algemeen beschikbaar voor Virtual Network Manager- en hub- en spoke-connectiviteitsconfiguraties.
Mesh-connectiviteitsconfiguraties en beveiligingsbeheerdersregels blijven in openbare preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.
Wat is een beveiligingsbeheerderregel?
Beveiligingsbeheerdersregels zijn algemene netwerkbeveiligingsregels waarmee beveiligingsbeleid wordt afgedwongen dat is gedefinieerd in de regelverzameling op virtuele netwerken. Deze regels kunnen worden gebruikt om verkeer toe te staan, altijd toe te staan of te weigeren in virtuele netwerken binnen uw doelnetwerkgroepen. Deze netwerkgroepen kunnen alleen bestaan uit virtuele netwerken binnen het bereik van uw netwerkbeheerderexemplaren. Beveiligingsbeheerdersregels kunnen dus niet van toepassing zijn op virtuele netwerken die niet worden beheerd door een netwerkbeheerder.
Hier volgen enkele scenario's waarin beveiligingsbeheerdersregels kunnen worden gebruikt:
| Scenario | Beschrijving |
|---|---|
| Toegang tot netwerkpoorten met een hoog risico beperken | Beveiligingsbeheerdersregels kunnen worden gebruikt om verkeer te blokkeren op specifieke poorten waarop aanvallers zich vaak richten, zoals poort 3389 voor Remote Desktop Protocol (RDP) of poort 22 voor Secure Shell (SSH). |
| Nalevingsvereisten afdwingen | Beveiligingsbeheerdersregels kunnen worden gebruikt om nalevingsvereisten af te dwingen. Bijvoorbeeld het blokkeren van verkeer naar of van specifieke IP-adressen of netwerkblokken. |
| Gevoelige gegevens beveiligen | Beveiligingsbeheerdersregels kunnen worden gebruikt om de toegang tot gevoelige gegevens te beperken door verkeer naar of van specifieke IP-adressen of subnetten te blokkeren. |
| Netwerksegmentatie afdwingen | Beveiligingsbeheerdersregels kunnen worden gebruikt om netwerksegmentatie af te dwingen door verkeer tussen virtuele netwerken of subnetten te blokkeren. |
| Beveiliging op toepassingsniveau afdwingen | Beveiligingsbeheerdersregels kunnen worden gebruikt om beveiliging op toepassingsniveau af te dwingen door verkeer naar of van specifieke toepassingen of services te blokkeren. |
Met Azure Virtual Network Manager hebt u een centrale locatie voor het beheren van beveiligingsbeheerdersregels. Met centralisatie kunt u beveiligingsbeleid op schaal definiëren en toepassen op meerdere virtuele netwerken tegelijk.
Notitie
Op dit moment zijn beveiligingsbeheerdersregels niet van toepassing op privé-eindpunten die onder het bereik van een beheerd virtueel netwerk vallen.
Hoe werken beveiligingsbeheerdersregels?
Met beveiligingsbeheerdersregels wordt verkeer op specifieke poorten, protocollen en bron-/doel-IP-voorvoegsels in een opgegeven richting toegestaan of geweigerd. Wanneer u een beveiligingsbeheerderregel definieert, geeft u de volgende voorwaarden op:
- De prioriteit van de regel
- De actie die moet worden ondernomen (toestaan, weigeren of altijd toestaan)
- De richting van het verkeer (inkomend of uitgaand)
- Het protocol dat moet worden gebruikt
Als u beveiligingsbeleid wilt afdwingen in meerdere virtuele netwerken, maakt en implementeert u een configuratie van een beveiligingsbeheerder. Deze configuratie bevat een set regelverzamelingen en elke regelverzameling bevat een of meer beveiligingsbeheerdersregels. Nadat u de regelverzameling hebt gemaakt, koppelt u deze aan de netwerkgroepen waarvoor beveiligingsbeheerdersregels zijn vereist. De regels worden vervolgens toegepast op alle virtuele netwerken in de netwerkgroepen wanneer de configuratie wordt geïmplementeerd. Eén configuratie biedt een gecentraliseerde en schaalbare afdwinging van beveiligingsbeleid in meerdere virtuele netwerken.
Evaluatie van beveiligingsbeheerdersregels en netwerkbeveiligingsgroepen (NSG's)
Beveiligingsbeheerdersregels en netwerkbeveiligingsgroepen (NSG's) kunnen worden gebruikt om netwerkbeveiligingsbeleid af te dwingen in Azure. Ze hebben echter verschillende bereiken en prioriteiten.
Beveiligingsbeheerdersregels zijn bedoeld om te worden gebruikt door netwerkbeheerders van een centraal governanceteam, waardoor NSG-regels worden delegeren aan afzonderlijke toepassings- of serviceteams om de beveiliging indien nodig verder op te geven. Beveiligingsbeheerdersregels hebben een hogere prioriteit dan NSG's en worden geëvalueerd vóór NSG-regels.
NSG's worden daarentegen gebruikt om netwerkverkeer van en naar afzonderlijke subnetten of netwerkinterfaces te filteren. Ze zijn bedoeld om te worden gebruikt door afzonderlijke toepassings- of serviceteams om de beveiliging zo nodig verder op te geven. NSG's hebben een lagere prioriteit dan beveiligingsbeheerdersregels en worden geëvalueerd na beveiligingsbeheerdersregels.
Beveiligingsbeheerdersregels worden momenteel toegepast op het niveau van het virtuele netwerk, terwijl netwerkbeveiligingsgroepen kunnen worden gekoppeld op subnet- en NIC-niveau. In deze tabel ziet u de volgende verschillen en overeenkomsten:
| Regeltype | Doelgroep | Toegepast op | Evaluatievolgorde | Actietypen | Parameters |
|---|---|---|---|---|---|
| Beveiligingsbeheerdersregels | Netwerkbeheerders, centraal governanceteam | Virtuele netwerken | Hogere prioriteit | Toestaan, Weigeren, Altijd toestaan | Prioriteit, protocol, actie, bron, doel |
| Regels voor netwerkbeveiligingsgroepen | Individuele teams | Subnetten, NIC's | Lagere prioriteit, na beveiligingsbeheerdersregels | Toestaan, Weigeren | Prioriteit, protocol, actie, bron, doel |
Beveiligingsbeheerdersregels kunnen drie acties uitvoeren op verkeer: Toestaan, Altijd toestaan en Weigeren. Als u een regel voor toestaan maakt, wordt deze eerst geëvalueerd, gevolgd door regels voor netwerkbeveiligingsgroepen. Met deze actie kunnen netwerkbeveiligingsgroepsregels het verkeer indien nodig anders verwerken.
Als u een regel altijd toestaan of Weigeren maakt, wordt de verkeersevaluatie beëindigd nadat de beveiligingsbeheerdersregel is geëvalueerd. Met een regel Altijd toestaan gaat het verkeer rechtstreeks naar de resource en eindigt het verdere (en mogelijk conflicterende) evaluatie door NSG-regels. Deze actie kan handig zijn voor het afdwingen van verkeer en het voorkomen van weigering door regels voor netwerkbeveiligingsgroepen. Met een regel voor weigeren wordt het verkeer gestopt zonder dat het op de bestemming wordt afgeleverd. Beveiligingsbeheerdersregels zijn niet afhankelijk van NSG's, dus ze kunnen worden gebruikt om zelf standaardbeveiligingsregels te maken.
Door beveiligingsbeheerdersregels en NSG's samen te gebruiken, kunt u netwerkbeveiligingsbeleid afdwingen op zowel globaal als individueel niveau, zodat uw virtuele netwerken veilig zijn en voldoen aan het beveiligingsbeleid van uw organisatie.
Belangrijk
Wanneer beveiligingsbeheerdersregels worden geïmplementeerd, wordt het uiteindelijke consistentiemodel gebruikt. Dit betekent dat beveiligingsbeheerdersregels uiteindelijk na een korte vertraging worden toegepast op de resources in een virtueel netwerk. Resources die worden toegevoegd aan een virtueel netwerk waarop al beveiligingsbeheerdersregels zijn toegepast, ontvangen uiteindelijk ook diezelfde beveiligingsbeheerdersregels met een vertraging.
Voordelen van beveiligingsbeheerdersregels
Regels voor beveiligingsbeheerders bieden veel voordelen voor het beveiligen van de resources van uw organisatie. Met behulp van beveiligingsbeheerdersregels kunt u toegestaan verkeer afdwingen en weigering voorkomen door conflicterende regels voor netwerkbeveiligingsgroepen. U kunt ook standaardregels voor beveiligingsbeheerders maken die niet afhankelijk zijn van NSG's om te bestaan. Deze standaardregels kunnen vooral handig zijn wanneer toepassingseigenaren een onjuiste configuratie hebben uitgevoerd of vergeten NSG's in te stellen. Bovendien bieden beveiligingsbeheerdersregels een manier om beveiliging op schaal te beheren, waardoor de operationele overhead wordt verminderd die gepaard gaat met een groeiend aantal netwerkresources.
Poorten met een hoog risico beveiligen
Op basis van de branchestudie en suggesties van Microsoft raden we klanten aan het verkeer van buiten te beperken met behulp van beveiligingsbeheerdersregels voor deze lijst met poorten met een hoog risico. Deze poorten worden vaak gebruikt voor het beheer van resources of niet-beveiligde/niet-versleutelde gegevensoverdracht en mogen niet worden blootgesteld aan internet. Er zijn echter momenten waarop bepaalde virtuele netwerken en hun resources verkeer moeten toestaan voor beheer of andere processen. U kunt waar nodig uitzonderingen maken. Meer informatie over het blokkeren van poorten met een hoog risico met uitzonderingen voor dit type scenario's.
| Poort | Protocol | Beschrijving |
|---|---|---|
| 20 | TCP | Niet-versleuteld FTP-verkeer |
| 21 | TCP | Niet-versleuteld FTP-verkeer |
| 22 | TCP | SSH. Mogelijke beveiligingsaanvallen |
| 23 | TCP | TFTP staat niet-geverifieerd en/of niet-versleuteld verkeer toe |
| 69 | UDP | TFTP staat niet-geverifieerd en/of niet-versleuteld verkeer toe |
| 111 | TCP/UDP | RPC. Niet-versleutelde verificatie toegestaan |
| 119 | TCP | NNTP voor niet-versleutelde verificatie |
| 135 | TCP/UDP | Eindpunttoewijzing, meerdere externe beheerservices |
| 161 | TCP | SNMP voor onbeveiligde/geen verificatie |
| 162 | TCP/UDP | SNMP Trap - onbeveiligd/geen verificatie |
| 445 | TCP | SMB - bekende aanvalsvector |
| 512 | TCP | Rexec op Linux - externe opdrachten zonder versleutelingsverificatie |
| 514 | TCP | Externe shell - externe opdrachten zonder verificatie of versleuteling |
| 593 | TCP/UDP | HTTP RPC EPMAP - niet-versleutelde externe procedureaanroep |
| 873 | TCP | Rsync - niet-versleutelde bestandsoverdracht |
| 2049 | TCP/UDP | Netwerkbestandssysteem |
| 3389 | TCP | RDP - Poort voor veelvoorkomende beveiligingsaanvallen |
| 5800 | TCP | VNC Remote Frame Buffer via HTTP |
| 5900 | TCP | VNC Remote Frame Buffer via HTTP |
| 11211 | UDP | Memcached |
Beheer op schaal
Azure Virtual Network Manager biedt een manier om uw beveiligingsbeleid op schaal te beheren met beveiligingsbeheerdersregels. Wanneer u een beveiligingsbeheerdersconfiguratie toepast op een netwerkgroep, kan een netwerkgroep tientallen of honderden VNets bevatten. Op alle resources in het bereik van de netwerkgroepen worden deze beveiligingsbeheerdersregels toegepast.
Nieuwe resources worden samen met bestaande resources beveiligd. Als u bijvoorbeeld nieuwe VM's toevoegt aan een virtueel netwerk binnen het bereik van een beveiligingsbeheerdersregel, worden de VM's ook automatisch beveiligd. Kort nadat u deze VM's hebt geïmplementeerd, worden beveiligingsbeheerdersregels toegepast en beveiligd.
Wanneer er nieuwe beveiligingsrisico's worden geïdentificeerd, kunt u deze op schaal implementeren door een beveiligingsbeheerdersregel te maken ter bescherming tegen het nieuwe risico en deze toe te passen op uw netwerkgroepen. Zodra deze nieuwe regel is geïmplementeerd, worden alle resources in het bereik van de netwerkgroepen nu en in de toekomst beveiligd.
Velden voor beveiligingsbeheerder
Wanneer u een beveiligingsbeheerderregel definieert, zijn er vereiste en optionele velden.
Vereiste velden
Prioriteit
De prioriteit van een beveiligingsbeheerderregel is een geheel getal tussen 1 en 4096. Hoe lager de waarde, hoe hoger de prioriteit van de regel. Een regel voor weigeren met een prioriteit van 10 overschrijft bijvoorbeeld een regel voor toestaan met een prioriteit van 20.
Actie
U kunt een van de drie acties voor een beveiligingsregel definiëren:
| Actie | Beschrijving |
|---|---|
| Toestaan | Hiermee staat u verkeer toe op de specifieke poort, het specifieke protocol en de bron-/doel-IP-voorvoegsels in de opgegeven richting. |
| Weigeren | Verkeer blokkeren op de opgegeven poort, protocol en bron/doel-IP-voorvoegsels in de opgegeven richting. |
| Altijd toestaan | Ongeacht andere regels met een lagere prioriteit of door de gebruiker gedefinieerde netwerkbeveiligingsgroepen, staat u verkeer toe op de opgegeven poort, protocol en bron-/doel-IP-voorvoegsels in de opgegeven richting. |
Richting
U kunt de richting van het verkeer opgeven waarop de regel van toepassing is. U kunt binnenkomend of uitgaand definiëren.
Protocol
Protocollen die momenteel worden ondersteund met beveiligingsbeheerdersregels zijn:
- TCP
- UDP
- ICMP
- ESP (Engelstalig)
- AH
- Alle protocollen
Optionele velden
Bron- en doeltypen
- IP-adressen: U kunt IPv4- of IPv6-adressen of adresblokken opgeven in CIDR-notatie. Als u meerdere IP-adressen wilt weergeven, scheidt u elk IP-adres met een komma.
- Servicetag: u kunt specifieke servicetags definiëren op basis van regio's of een hele service. Zie Beschikbare servicetags voor de lijst met ondersteunde tags.
Bron- en doelpoorten
U kunt specifieke algemene poorten definiëren om de bron of het doel te blokkeren. Hier volgt een lijst met algemene TCP-poorten:
| Poorten | Servicenaam |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Volgende stappen
Meer informatie over het blokkeren van netwerkverkeer met een configuratie van een beveiligingsbeheerder.