Поделиться через

Настройка групп безопасности сети с тегами в Windows Admin Center

  • Статья

Область применения: Azure Stack HCI версий 23H2 и 22H2

В этой статье описывается, как настроить группы безопасности сети с тегами сетевой безопасности в Windows Admin Center.

С помощью тегов безопасности сети можно создавать пользовательские теги, присоединять их к сетевым интерфейсам виртуальной машины и применять политики доступа к сети (с группами безопасности сети) на основе этих тегов.

Упрощение безопасности с помощью тегов безопасности сети

Группы безопасности сети позволяют настраивать политики доступа на основе сетевых конструкций, таких как префиксы сети и подсети. Например, если вы хотите ограничить обмен данными между виртуальными машинами веб-сервера и виртуальными машинами базы данных, необходимо определить соответствующие подсети сети и создать политику, запрещая обмен данными между этими подсетями. Однако при этом подходе существуют некоторые ограничения.

  • Политики безопасности привязаны к сетевым конструкциям. Это означает, что необходимо знать, какие приложения находятся в определенных сегментах сети. Понимание сетевой инфраструктуры и архитектуры имеет решающее значение.

  • При создании политик для приложений может потребоваться повторно использовать их в разных сценариях. Например, если доступ к рабочему веб-приложению можно получить только через порт 80 из Интернета и не может быть доступен другим приложениям в рабочей среде или в других средах, у вас будет аналогичная политика для любого нового приложения. Однако при сегментации сети повторное создание политик становится необходимым из-за уникальных сетевых элементов для каждого приложения.

  • При выводе из эксплуатации старого приложения и подготовке нового приложения в том же сегменте сети требуются корректировки политики.

С помощью функции тегов безопасности сети больше не нужно отслеживать сегменты сети, в которых размещаются приложения. Это упрощает управление политиками и позволяет избежать сложностей, связанных с сетевыми конструкциями. Давайте пересмотрим пример с веб-сервером и виртуальными машинами базы данных: пометьте соответствующие виртуальные машины тегами сетевой безопасности "Web" и "Database", а затем создайте правило для ограничения обмена данными между тегами "Web" и "Database".

Создание групп безопасности сети на основе тегов безопасности сети

Чтобы создать группы безопасности сети на основе тегов безопасности сети, выполните следующие действия.

  1. Создайте один или несколько тегов безопасности сети.

  2. Назначьте тег безопасности сети виртуальной машине.

  3. Создайте группу безопасности сети.

  4. Создайте правило безопасности сети для группы безопасности сети.

  5. Примените группу безопасности сети к виртуальной машине, подсети сети, тегу безопасности сети.

Создание тегов безопасности сети

  1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который нужно создать группу безопасности сети.

  2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

  3. В разделе Группы безопасности сети выберите вкладку Теги безопасности сети , а затем выберите Создать.

  4. В области Создание тега безопасности сети введите имя тега сетевой безопасности в поле Имя .

    Снимок экрана: панель

  5. (Необязательно) В поле Тип введите тип тега. Это поле полезно, если требуется классифицировать теги для упрощения управления. Например, у вас могут быть разные теги с одинаковым типом "Приложение", например SQL, Web, IOT, Sensor и т. д.

  6. Нажмите кнопку Submit (Отправить).

Назначение тега безопасности сети виртуальной машине

Тег безопасности сети можно назначить виртуальной машине либо при создании новой виртуальной машины, либо после изменения свойств существующей виртуальной машины.

Назначение тега безопасности сети во время создания виртуальной машины

Пошаговые инструкции по созданию виртуальной машины см. в статье Создание виртуальной машины.

Чтобы назначить тег безопасности сети при создании виртуальной машины, выполните приведенные далее действия.

  1. На начальном экране Windows Admin Center в разделе Все подключения выберите сервер или кластер, на которой вы хотите создать виртуальную машину.

  2. В разделе Сервис прокрутите страницу вниз и выберите Виртуальные машины.

  3. В разделе Виртуальные машины перейдите на вкладку Инвентаризация , нажмите кнопку Добавить, а затем нажмите кнопку Создать.

  4. В разделе Новая виртуальная машина введите имя виртуальной машины.

  5. Введите другие свойства виртуальной машины.

  6. В разделе Сеть выберите созданный ранее тег сетевой безопасности в разделе Создание тега безопасности сети.

    Снимок экрана: шаг по назначению тега безопасности сети при создании новой виртуальной машины.

  7. Нажмите кнопку создания.

Назначение тега безопасности сети существующей виртуальной машине

Вы можете назначить тег безопасности сети существующей виртуальной машине, изменив ее параметры. Подробные инструкции по изменению параметров виртуальной машины см. в статье Изменение параметров виртуальной машины.

  1. В разделе Сервис прокрутите вниз до области Сеть и выберите Виртуальные машины.

  2. Перейдите на вкладку Инвентаризация , выберите виртуальную машину, а затем выберите Параметры.

  3. На странице Параметры выберите Сети.

  4. В разделе Тег безопасности сети выберите Добавить тег безопасности сети, а затем выберите созданный ранее тег сетевой безопасности в разделе Создание тега безопасности сети.

  5. Выберите Сохранить параметры сети.

Создайте группу безопасности сети

  1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который нужно создать группу безопасности сети.

  2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

  3. В разделе Группы безопасности сети выберите вкладку Инвентаризация , а затем нажмите кнопку Создать.

  4. В области Группы безопасности сети введите имя группы безопасности сети и нажмите кнопку Отправить.

    Снимок экрана: панель

  5. В разделе Группы безопасности сети убедитесь, что состояние подготовки новой группы безопасности сети отображается успешно.

Создание правила группы безопасности сети

После создания группы безопасности сети можно приступать к созданию правил группы безопасности сети. Если вы хотите применить правила группы безопасности сети к входящего и исходящему трафику, необходимо создать два правила.

  1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который нужно создать группу безопасности сети.

  2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

  3. В разделе Группы безопасности сети выберите вкладку Инвентаризация , а затем выберите созданную ранее группу безопасности сети в разделе Создание группы безопасности сети.

  4. В разделе Правило безопасности сети выберите Создать.

  5. В области Правило безопасности сети справа укажите следующие сведения:

    Поле Описание
    имя; Имя правила.
    Приоритет Приоритет правила. Допустимые значения: от 101 до 65 000. Более низкое значение обозначает более высокий приоритет.
    Типы Тип правила. Это может быть входящий или исходящий трафик.
    протокол; Протокол, соответствующий входящему или исходящему пакету. Допустимые значения: All, TCP и UDP.
    Источник Выберите Тег безопасности сети.

    Примечание: Вы можете выбрать префикс адреса или тег безопасности сети, но не оба.
    Тип тега безопасности источника (Необязательно) Выберите тип тега.
    Тег безопасности источника Выберите созданный ранее тег безопасности сети в разделе Создание тега безопасности сети.
    Диапазон исходных портов Укажите диапазон исходных портов, соответствующий входящему или исходящему пакету. Можно ввести * , чтобы указать все исходные порты.
    Назначение Выберите Тег безопасности сети.

    Примечание: Вы можете выбрать префикс адреса или тег безопасности сети, но не оба. Источник и назначение могут отличаться.
    Тип тега безопасности назначения (Необязательно) Выберите тип тега.
    Тег безопасности назначения Выберите созданный ранее тег безопасности сети в разделе Создание тега безопасности сети.
    Диапазон портов назначения Укажите диапазон портов назначения, соответствующий входящему или исходящему пакету. Вы можете ввести * , чтобы указать все порты назначения.
    Действия Если указанные выше условия соответствуют, укажите , чтобы разрешить или заблокировать пакет. Допустимые значения: Allow и Deny.
    Logging Укажите , чтобы включить или отключить ведение журнала для правила. Если ведение журнала включено, весь трафик, соответствующий этому правилу, регистрируется на ведущих компьютерах.

  6. Нажмите кнопку Submit (Отправить).

Применение группы безопасности сети

Группу безопасности сети можно применить к:

Применение группы безопасности сети к тегу безопасности сети

При применении группы безопасности сети к тегу безопасности сети правила группы безопасности сети применяются ко всем сетевым интерфейсам виртуальных машин, связанным с этим тегом безопасности сети.

Чтобы применить группу безопасности сети к тегу безопасности сети с помощью Windows Admin Center, выполните следующие действия.

  1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, к которому требуется применить группу безопасности сети.

  2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

  3. В разделе Группы безопасности сети выберите вкладку Теги безопасности сети .

  4. Выберите тег безопасности сети, который нужно изменить, а затем выберите Параметры.

  5. В области Редактирование тега безопасности сети для выбранного тега выберите группу безопасности сети, которую вы хотите применить к тегу безопасности сети.

    Снимок экрана: применение существующей группы безопасности сети к тегу безопасности сети.

  6. Нажмите кнопку Submit (Отправить).

Дальнейшие действия

Дополнительные сведения см. также в разделе: