Grupy zabezpieczeń sieci

Sieciowa grupa zabezpieczeń platformy Azure umożliwia filtrowanie ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.

W tym artykule opisano właściwości reguły sieciowej grupy zabezpieczeń, domyślne reguły zabezpieczeń , które są stosowane, oraz właściwości reguły, które można zmodyfikować w celu utworzenia rozszerzonej reguły zabezpieczeń.

Reguły zabezpieczeń

Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:

Właściwość Wyjaśnienie
Nazwa Unikatowa nazwa w obrębie sieciowej grupy zabezpieczeń.
Priorytet Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszystkie reguły, które istnieją z niższymi priorytetami (wyższymi liczbami), które mają te same atrybuty co reguły o wyższych priorytetach, nie są przetwarzane.
Obiekt źródłowy lub docelowy Dowolny lub indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupa zabezpieczeń aplikacji. W przypadku określenia adresu dla zasobu platformy Azure należy określić prywatny adres IP przypisany do zasobu. W przypadku ruchu przychodzącego grupy zabezpieczeń sieci są przetwarzane po tym, jak platforma Azure przetłumaczy publiczny adres IP na prywatny adres IP, a w przypadku ruchu wychodzącego — zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP. Podczas określania zakresu, tagu usługi lub grupy zabezpieczeń aplikacji jest wymagana mniejsza liczba reguł zabezpieczeń. Możliwość określenia wielu pojedynczych adresów IP i zakresów (nie można określić wielu tagów usług lub grup aplikacji) w regule jest nazywana rozszerzonymi regułami zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu adresów IP i zakresów adresów IP w sieciowych grupach zabezpieczeń utworzonych za pośrednictwem klasycznego modelu wdrażania.
Protokół TCP, UDP, ICMP, ESP, AH lub Any. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM.
Kierunek Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego.
Zakres portów Można określić pojedynczy port lub zakres portów. Na przykład można określić port 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pośrednictwem klasycznego modelu wdrażania.
Akcja Zezwolenie lub zablokowanie

Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciu krotki (źródła, portu źródłowego, miejsca docelowego, portu docelowego i protokołu). Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci jest stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Jest to również prawdziwe w odwrotnym przypadku. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.

Istniejące połączenia mogą nie zostać przerwane po usunięciu reguły zabezpieczeń, która zezwoliła na przepływ. Przepływy ruchu są przerywane po zakończeniu połączenia, gdy przez co najmniej kilka minut nie ma ruchu z żadnej strony.

Modyfikowanie reguł sieciowej grupy zabezpieczeń będzie miało wpływ tylko na nowe połączenia, które są tworzone. Po utworzeniu nowej reguły lub zaktualizowaniu istniejącej reguły w sieciowej grupie zabezpieczeń będzie ona stosowana tylko do nowych przepływów i nowych połączeń. Istniejące połączenia przepływu pracy nie są aktualizowane przy użyciu nowych reguł.

Modyfikowanie reguł sieciowej grupy zabezpieczeń będzie miało wpływ tylko na nowe połączenia, które są tworzone. Po utworzeniu nowej reguły lub zaktualizowaniu istniejącej reguły w sieciowej grupie zabezpieczeń będzie ona stosowana tylko do nowych przepływów i nowych połączeń. Istniejące połączenia przepływu pracy nie są aktualizowane przy użyciu nowych reguł.

Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).

Domyślne reguły zabezpieczeń

Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:

Przychodzący

AllowVNetInBound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Dowolne Zezwalaj
AllowAzureLoadBalancerInBound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Dowolne Zezwalaj
DenyAllInbound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Dowolne Zablokuj

Wychodzący

AllowVnetOutBound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Dowolne Zezwalaj
AllowInternetOutBound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Dowolne Zezwalaj
DenyAllOutBound
Priorytet Element źródłowy Porty źródłowe Element docelowy Porty docelowe Protokół Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Dowolne Zablokuj

W kolumnach Źródło i Obiekt docelowy elementy VirtualNetwork, AzureLoadBalancer i Internettagami usługi, a nie adresami IP. W kolumnie protokołu wszystkie obejmują protokoły TCP, UDP i ICMP. Podczas tworzenia reguły można określić tcp, UDP, ICMP lub dowolną. Wartość 0.0.0.0/0 w kolumnach Źródło i Obiekt docelowy reprezentuje wszystkie adresy. Klienci, tacy jak witryna Azure Portal, interfejs wiersza polecenia platformy Azure lub program PowerShell, mogą używać wartości * lub dowolnych dla tego wyrażenia.

Nie można usunąć reguł domyślnych, ale można je zastąpić, tworząc reguły o wyższych priorytetach.

Rozszerzone reguły zabezpieczeń

Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń dla sieci wirtualnych, umożliwiając definiowanie zasad zabezpieczeń większych i złożonych sieci przy użyciu mniejszej liczby reguł. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń. Rozszerzone reguły stosuje się w polach źródła, obiektu docelowego i portów reguły. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji. Istnieją ograniczenia dotyczące liczby adresów, zakresów i portów, które można określić w regule. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Aby uzyskać więcej informacji, zobacz Tagi usług platformy Azure. Aby zapoznać się z przykładem użycia tagu usługi Storage w celu ograniczenia dostępu do sieci, zobacz Ograniczanie dostępu sieciowego do zasobów PaaS.

Grupy zabezpieczeń aplikacji

Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Aby dowiedzieć się więcej, zobacz Application security groups (Grupy zabezpieczeń aplikacji).

Zagadnienia dotyczące platformy Azure

  • Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowanie kondycji, są udostępniane za pośrednictwem zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach. Domyślnie te usługi nie podlegają skonfigurowanym grupom zabezpieczeń sieci, chyba że są one objęte tagami usług specyficznymi dla każdej usługi. Aby zastąpić tę podstawową komunikację z infrastrukturą, możesz utworzyć regułę zabezpieczeń w celu odmowy ruchu przy użyciu następujących tagów usługi w regułach sieciowej grupy zabezpieczeń: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Dowiedz się, jak diagnozować filtrowanie ruchu sieciowego i diagnozować routing sieciowy.

  • Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane. W celu zapewnienia licencjonowania do serwerów hosta usługi zarządzania kluczami zostaje wysłane żądanie licencjonowania, które takie żądania obsługują. Żądanie jest wysyłane za pomocą portu 1688. W przypadku wdrożeń korzystających z konfiguracji default route 0.0.0.0/0 ta reguła platformy zostanie wyłączona.

  • Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane są z komputera źródłowego, nie modułu równoważenia obciążenia. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.

  • Wystąpienia usług platformy Azure: wystąpienia kilku usług platformy Azure, takich jak usługa HDInsight, środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnej. Aby uzyskać pełną listę usług, które można wdrażać w sieciach wirtualnych, zobacz Virtual network for Azure services (Sieć wirtualna dla usług platformy Azure). Przed zastosowaniem sieciowej grupy zabezpieczeń do podsieci zapoznaj się z wymaganiami dotyczącymi portów dla każdej usługi. Jeśli odmówisz portów wymaganych przez usługę, usługa nie będzie działać prawidłowo.

  • Wysyłanie wychodzących wiadomości e-mail: firma Microsoft zaleca korzystanie z uwierzytelnionych usług przekazywania SMTP (zazwyczaj połączonych za pośrednictwem portu TCP 587, ale często innych) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w obsłudze reputacji nadawcy, aby ograniczyć możliwość odrzucenia wiadomości e-mail przez zewnętrznych dostawców poczty e-mail. Takie usługi przekazywania SMTP obejmują, ale nie są ograniczone do usług Exchange Online Protection i SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.

    Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz używania usług przekazywania SMTP można wysłać wiadomości e-mail bezpośrednio za pośrednictwem portu 25 protokołu TCP. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio przez port 25 może okazać się niemożliwe. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:

    • Umowa Enterprise Agreement: w przypadku maszyn wirtualnych wdrożonych w ramach standardowych subskrypcji umowy Enterprise Agreement wychodzące połączenia SMTP na porcie TCP 25 nie będą blokowane. Nie ma jednak gwarancji, że domeny zewnętrzne będą akceptowały przychodzące wiadomości e-mail z maszyn wirtualnych. Jeśli wiadomości e-mail są odrzucane lub filtrowane przez domeny zewnętrzne, skontaktuj się z dostawcami usług poczty e-mail w domenach zewnętrznych, aby rozwiązać problemy. Te problemy nie są objęte pomocą techniczną platformy Azure.

      W przypadku subskrypcji enterprise — tworzenie i testowanie port 25 jest domyślnie blokowany. Istnieje możliwość usunięcia tego bloku. Aby zażądać usunięcia bloku, przejdź do sekcji Nie można wysłać wiadomości e-mail (SMTP-Port 25) na stronie Diagnozowanie i rozwiązywanie problemów zasobu usługi Azure Virtual Network w witrynie Azure Portal i uruchom diagnostykę. Spowoduje to automatyczne wykluczenie kwalifikowanych subskrypcji tworzenia i testowania przedsiębiorstwa.

      Po wyłączeniu subskrypcji z tego bloku i zatrzymaniu i ponownym uruchomieniu maszyn wirtualnych wszystkie maszyny wirtualne w tej subskrypcji zostaną wykluczone. Wykluczenie dotyczy tylko żądanej subskrypcji i tylko do ruchu maszyny wirtualnej kierowanego bezpośrednio do Internetu.

    • Płatność zgodnie z rzeczywistym użyciem: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

    • MSDN, Azure — dostęp próbny, Azure w ramach programu licencjonowania Open, Education, BizSpark i bezpłatna wersja próbna: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

    • Dostawca usług w chmurze: komunikacja wychodząca na porcie 25 jest zablokowana ze wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

Następne kroki