Udostępnij za pośrednictwem

Ochrona portów sieciowych wysokiego ryzyka za pomocą reguł administratora zabezpieczeń w usłudze Azure Virtual Network Manager

  • Artykuł

Z tego artykułu dowiesz się, jak blokować porty sieciowe o wysokim ryzyku przy użyciu menedżera sieci wirtualnej platformy Azure i reguł administratora zabezpieczeń. Omówimy tworzenie wystąpienia usługi Azure Virtual Network Manager, grupowanie sieci wirtualnych za pomocą grup sieciowych oraz tworzenie i wdrażanie konfiguracji administratorów zabezpieczeń dla organizacji. Wdrażasz ogólną regułę blokowania dla portów o wysokim ryzyku. Następnie utworzysz regułę wyjątku do zarządzania siecią wirtualną określonej aplikacji przy użyciu sieciowych grup zabezpieczeń.

Chociaż ten artykuł koncentruje się na jednym porcie, SSH, można chronić wszystkie porty wysokiego ryzyka w środowisku przy użyciu tych samych kroków. Aby dowiedzieć się więcej, zapoznaj się z tą listą portów wysokiego ryzyka

Wymagania wstępne

Wdrażanie środowiska sieci wirtualnej

Potrzebujesz środowiska sieci wirtualnej, które zawiera sieci wirtualne, które mogą być segregowane w celu zezwolenia i blokowania określonego ruchu sieciowego. Możesz użyć poniższej tabeli lub własnej konfiguracji sieci wirtualnych:

Nazwisko Przestrzeń adresowa IPv4 podsieć
vnetA-gen 10.0.0.0/16 ustawienie domyślne — 10.0.0.0/24
vnetB-gen 10.1.0.0/16 wartość domyślna — 10.1.0.0/24
vnetC-gen 10.2.0.0/16 ustawienie domyślne — 10.2.0.0/24
vnetD-app 10.3.0.0/16 wartość domyślna — 10.3.0.0/24
vnetE-app 10.4.0.0/16 ustawienie domyślne — 10.4.0.0/24
  • Umieść wszystkie sieci wirtualne w tej samej subskrypcji, regionie i grupie zasobów

Nie wiesz, jak utworzyć sieć wirtualną? Dowiedz się więcej w przewodniku Szybki start: tworzenie sieci wirtualnej przy użyciu witryny Azure Portal.

Tworzenie wystąpienia menedżera sieci wirtualnej

W tej sekcji wdrożysz wystąpienie menedżera sieci wirtualnej z funkcją Administratora zabezpieczeń w organizacji.

  1. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Menedżer sieci. Następnie wybierz pozycję Utwórz , aby rozpocząć konfigurowanie usługi Azure Virtual Network Manager.

  2. Na karcie Podstawy wprowadź lub wybierz informacje dotyczące organizacji:

    Zrzut ekranu przedstawiający stronę Tworzenie podstaw menedżera sieci.

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję, do której chcesz wdrożyć usługę Azure Virtual Network Manager.
    Grupa zasobów Wybierz lub utwórz grupę zasobów do przechowywania usługi Azure Virtual Network Manager. W tym przykładzie użyto wcześniej utworzonej grupy myAVNMResourceGroup .
    Nazwisko Wprowadź nazwę tego wystąpienia usługi Azure Virtual Network Manager. W tym przykładzie użyto nazwy myAVNM.
    Region (Region) Wybierz region dla tego wdrożenia. Usługa Azure Virtual Network Manager może zarządzać sieciami wirtualnymi w dowolnym regionie. Wybrany region dotyczy miejsca, w którym zostanie wdrożone wystąpienie menedżera sieci wirtualnej.
    opis (Opcjonalnie) Podaj opis tego wystąpienia programu Virtual Network Manager i zadania, które zarządza.
    Scope Zdefiniuj zakres, dla którego program Azure Virtual Network Manager może zarządzać. W tym przykładzie jest używany zakres na poziomie subskrypcji.
    Funkcje Wybierz funkcje, które chcesz włączyć dla usługi Azure Virtual Network Manager. Dostępne funkcje to Łączność, SecurityAdmin lub Wybierz wszystko.
    Łączność — umożliwia tworzenie pełnej siatki lub topologii sieci będącej szprychą między sieciami wirtualnymi w zakresie.
    SecurityAdmin — umożliwia tworzenie globalnych reguł zabezpieczeń sieci.

  3. Wybierz pozycję Przejrzyj i utwórz , a następnie wybierz pozycję Utwórz po zakończeniu walidacji.

  4. Wybierz pozycję Przejdź do zasobu po zakończeniu wdrażania i przejrzyj konfigurację menedżera sieci wirtualnej

Tworzenie grupy sieciowej dla wszystkich sieci wirtualnych

Po utworzeniu menedżera sieci wirtualnej utworzysz grupę sieci zawierającą wszystkie sieci wirtualne w organizacji i ręcznie dodasz wszystkie sieci wirtualne.

  1. Wybierz pozycję Grupy sieciowe w obszarze Ustawienia.
  2. Wybierz pozycję + Utwórz, wprowadź nazwę grupy sieciowej, a następnie wybierz pozycję Dodaj.
  3. Na stronie Grupy sieciowe wybierz utworzoną grupę sieciową.
  4. Wybierz pozycję Dodaj, w obszarze Członkostwo statyczne, aby ręcznie dodać wszystkie sieci wirtualne.
  5. Na stronie Dodawanie statycznych elementów członkowskich wybierz wszystkie sieci wirtualne, które chcesz uwzględnić, a następnie wybierz pozycję Dodaj. Zrzut ekranu przedstawiający stronę Dodawanie statycznych elementów członkowskich z ręcznym wyborem sieci wirtualnych.

Tworzenie konfiguracji administratora zabezpieczeń dla wszystkich sieci wirtualnych

Nadszedł czas, aby utworzyć reguły administratora zabezpieczeń w ramach konfiguracji, aby zastosować te reguły do wszystkich sieci wirtualnych w grupie sieciowej jednocześnie. W tej sekcji utworzysz konfigurację administratora zabezpieczeń. Następnie utworzysz kolekcję reguł i dodasz reguły dla portów o wysokim ryzyku, takich jak SSH lub RDP. Ta konfiguracja blokuje ruch sieciowy do wszystkich sieci wirtualnych w grupie sieci.

  1. Wróć do zasobu menedżera sieci wirtualnej.

  2. Wybierz pozycję Konfiguracje w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz.

    Zrzut ekranu przedstawiający dodawanie konfiguracji administratora zabezpieczeń.

  3. Wybierz pozycję Konfiguracja zabezpieczeń z menu rozwijanego.

    Zrzut ekranu przedstawiający dodawanie listy rozwijanej konfiguracji.

  4. Na karcie Podstawy wprowadź nazwę, aby zidentyfikować tę konfigurację zabezpieczeń, a następnie wybierz pozycję Dalej: kolekcje reguł.

    Zrzut ekranu przedstawiający pole nazwy konfiguracji zabezpieczeń.

  5. Wybierz pozycję + Dodaj na stronie Dodawanie konfiguracji zabezpieczeń.

  6. Wprowadź nazwę, aby zidentyfikować tę kolekcję reguł, a następnie wybierz grupy sieci docelowej, do których chcesz zastosować zestaw reguł. Grupa docelowa to grupa sieci zawierająca wszystkie sieci wirtualne.

    Zrzut ekranu przedstawiający nazwę kolekcji reguł i docelowe grupy sieciowe.

Dodawanie reguły zabezpieczeń do odmowy ruchu sieciowego wysokiego ryzyka

W tej sekcji zdefiniujesz regułę zabezpieczeń, aby zablokować ruch sieciowy wysokiego ryzyka do wszystkich sieci wirtualnych. Podczas przypisywania priorytetu należy pamiętać o przyszłych regułach wyjątków. Ustaw priorytet tak, aby reguły wyjątków były stosowane względem tej reguły.

  1. Wybierz pozycję + Dodaj w obszarze Reguły administratora zabezpieczeń.

    Zrzut ekranu przedstawiający przycisk dodawania reguły.

  2. Wprowadź informacje potrzebne do zdefiniowania reguły zabezpieczeń, a następnie wybierz pozycję Dodaj , aby dodać regułę do kolekcji reguł.

    Zrzut ekranu przedstawiający dodawanie strony reguły.

    Ustawienie Wartość
    Nazwisko Wprowadź nazwę reguły.
    opis Wprowadź opis reguły.
    Priorytet* Wprowadź wartość z zakresu od 1 do 4096, aby określić priorytet reguły. Im niższa wartość, tym wyższy priorytet.
    Akcja* Wybierz pozycję Odmów , aby zablokować ruch. Aby uzyskać więcej informacji, zobacz Akcja
    Kierunek* Wybierz pozycję Ruch przychodzący , ponieważ chcesz odmówić ruchu przychodzącego za pomocą tej reguły.
    Protokół* Wybierz protokół sieciowy dla portu.
    Source
    Source type Wybierz typ źródłowy adresu IP lub tagów usługi.
    Źródłowe adresy IP To pole jest wyświetlane po wybraniu typu źródłowego adresu IP. Wprowadź adres IPv4 lub IPv6 lub zakres przy użyciu notacji CIDR. Podczas definiowania więcej niż jednego adresu lub bloków adresów oddzielnie przy użyciu przecinka. Pozostaw wartość pustą dla tego przykładu.
    Tag usługi źródłowej To pole jest wyświetlane po wybraniu typu źródłowego tagu Usługi. Wybierz tagi usługi dla usług, które chcesz określić jako źródło. Aby uzyskać listę obsługiwanych tagów, zobacz Dostępne tagi usługi.
    Port źródłowy Wprowadź numer pojedynczego portu lub zakres portów, taki jak (1024-65535). Podczas definiowania więcej niż jednego portu lub zakresów portów rozdziel je przecinkami. Aby określić dowolny port, wprowadź *. Pozostaw wartość pustą dla tego przykładu.
    Lokalizacja docelowa
    Typ docelowy Wybierz typ docelowy adresu IP lub tagów usługi.
    Docelowe adresy IP To pole jest wyświetlane po wybraniu docelowego typu adresu IP. Wprowadź adres IPv4 lub IPv6 lub zakres przy użyciu notacji CIDR. Podczas definiowania więcej niż jednego adresu lub bloków adresów oddzielnie przy użyciu przecinka.
    Docelowy tag usługi To pole jest wyświetlane po wybraniu typu docelowego tagu usługi. Wybierz tagi usług dla usług, które chcesz określić jako miejsce docelowe. Aby uzyskać listę obsługiwanych tagów, zobacz Dostępne tagi usługi.
    Port docelowy Wprowadź numer pojedynczego portu lub zakres portów, taki jak (1024-65535). Podczas definiowania więcej niż jednego portu lub zakresów portów rozdziel je przecinkami. Aby określić dowolny port, wprowadź *. W tym przykładzie wprowadź wartość 3389 .

  3. Powtórz ponownie kroki od 1 do 3, jeśli chcesz dodać więcej reguł do kolekcji reguł.

  4. Po spełnieniu wszystkich reguł, które chcesz utworzyć, wybierz pozycję Dodaj , aby dodać kolekcję reguł do konfiguracji administratora zabezpieczeń.

    Zrzut ekranu przedstawiający kolekcję reguł.

  5. Następnie wybierz pozycję Przejrzyj i utwórz, aby ukończyć konfigurację zabezpieczeń.

Wdrażanie konfiguracji administratora zabezpieczeń na potrzeby blokowania ruchu sieciowego

W tej sekcji reguły utworzone zostaną zastosowane podczas wdrażania konfiguracji administratora zabezpieczeń.

  1. Wybierz pozycję Wdrożenia w obszarze Ustawienia, a następnie wybierz pozycję Wdróż konfigurację.

    Zrzut ekranu przedstawiający przycisk wdrażania konfiguracji.

  2. Zaznacz pole wyboru Dołącz administratora zabezpieczeń do stanu celu i wybierz konfigurację zabezpieczeń utworzoną w ostatniej sekcji z menu rozwijanego. Następnie wybierz regiony, do których chcesz wdrożyć tę konfigurację.

    Zrzut ekranu przedstawiający stronę wdrażania konfiguracji zabezpieczeń.

  3. Wybierz pozycję Dalej i Wdróż , aby wdrożyć konfigurację administratora zabezpieczeń.

Tworzenie grupy sieciowej dla reguły wyjątku ruchu

W przypadku zablokowania ruchu we wszystkich sieciach wirtualnych potrzebny jest wyjątek umożliwiający ruch do określonych sieci wirtualnych. Należy utworzyć grupę sieciową specjalnie dla sieci wirtualnych wymagających wykluczenia z innej reguły administratora zabezpieczeń.

  1. W menedżerze sieci wirtualnej wybierz pozycję Grupy sieciowe w obszarze Ustawienia.
  2. Wybierz pozycję + Utwórz, wprowadź nazwę grupy sieci aplikacji, a następnie wybierz pozycję Dodaj.
  3. W obszarze Zdefiniuj członkostwo dynamiczne wybierz pozycję Zdefiniuj.
  4. Wprowadź lub wybierz wartości, aby zezwolić na ruch do sieci wirtualnej aplikacji. Zrzut ekranu przedstawiający stronę Definiowanie grupy sieciowej z warunkiem wybierania sieci wirtualnych dla członkostwa w grupie.
  5. Wybierz pozycję Zasoby w wersji zapoznawczej , aby przejrzeć uwzględnione obowiązujące sieci wirtualne, a następnie wybierz pozycję Zamknij. Zrzut ekranu przedstawiający stronę Effective Virtual Networks (Skuteczne sieci wirtualne) przedstawiającą sieci wirtualne dynamicznie uwzględnione w grupie sieci.
  6. Wybierz pozycję Zapisz.

Tworzenie reguły i kolekcji administratora zabezpieczeń wyjątku ruchu

W tej sekcji utworzysz nową kolekcję reguł i regułę administratora zabezpieczeń, która zezwala na ruch o wysokim ryzyku do podzbioru sieci wirtualnych zdefiniowanych jako wyjątki. Następnie należy dodać go do istniejącej konfiguracji administratora zabezpieczeń.

Ważne

Aby reguła administratora zabezpieczeń zezwalała na ruch do sieci wirtualnych aplikacji, priorytet musi być ustawiony na niższą liczbę niż istniejące reguły blokujące ruch.

Na przykład cała reguła sieci blokująca protokół SSH ma priorytet 10 , więc reguła zezwalania powinna mieć priorytet od 1 do 9.

  1. W menedżerze sieci wirtualnej wybierz pozycję Konfiguracje i wybierz konfigurację zabezpieczeń.
  2. Wybierz pozycję Kolekcje reguł w obszarze Ustawienia, a następnie wybierz pozycję + Utwórz , aby utworzyć nową kolekcję reguł.
  3. Na stronie Dodawanie kolekcji reguł wprowadź nazwę kolekcji reguł aplikacji i wybierz utworzoną grupę sieci aplikacji.
  4. W obszarze Reguły administratora zabezpieczeń wybierz pozycję + Dodaj.
  5. Wprowadź lub wybierz wartości, aby zezwolić na określony ruch sieciowy do grupy sieci aplikacji, a następnie wybierz pozycję Dodaj po zakończeniu.
  6. Powtórz proces dodawania reguły dla całego ruchu wymagającego wyjątku.
  7. Wybierz Zapisz, gdy skończysz.

Ponowne wdrażanie konfiguracji administratora zabezpieczeń z regułą wyjątku

Aby zastosować nową kolekcję reguł, należy ponownie wdrożyć konfigurację administratora zabezpieczeń, ponieważ została ona zmodyfikowana przez dodanie kolekcji reguł.

  1. W menedżerze sieci wirtualnej wybierz pozycję Konfiguracje.
  2. Wybierz konfigurację administratora zabezpieczeń i wybierz pozycję Wdróż
  3. Na stronie Wdrażanie konfiguracji wybierz wszystkie regiony docelowe odbierające wdrożenie i
  4. Wybierz pozycję Dalej i Wdróż.

Następne kroki