Защита сетевых портов с высоким риском с помощью правил администратора безопасности в Диспетчере виртуальная сеть Azure

В этой статье описано, как блокировать сетевые порты с высоким риском с помощью правил диспетчера виртуальная сеть Azure и администратора безопасности. Вы описываете создание экземпляра Azure виртуальная сеть Manager, группирование виртуальных сетей с группами сети и создание конфигураций администраторов безопасности для вашей организации и развертывание конфигураций администраторов безопасности. Вы развертываете общее правило блокировки для портов с высоким риском. Затем вы создадите правило исключения для управления виртуальной сетью конкретного приложения с помощью групп безопасности сети.

Хотя в этой статье рассматриваются один порт SSH, вы можете защитить любые порты с высоким риском в вашей среде, выполнив те же действия. Дополнительные сведения см. в этом списке портов высокого риска

Необходимые компоненты

• Вы узнаете, как создать диспетчер виртуальная сеть Azure
• Вы понимаете каждый элемент в правиле администратора безопасности.
• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Группа виртуальных сетей, которые можно разделить на группы сети для применения подробных правил администратора безопасности.
• Чтобы изменить динамические сетевые группы, необходимо предоставить доступ только через назначение ролей RBAC Azure. Классическая авторизация администратора или устаревшая авторизация не поддерживается

Развертывание среды виртуальной сети

Вам нужна среда виртуальной сети, которая включает виртуальные сети, которые можно разделить для разрешения и блокировки определенного сетевого трафика. Вы можете использовать следующую таблицу или собственную конфигурацию виртуальных сетей:

Имя.	Диапазон IPv4-адресов	подсеть
vnetA-gen	10.0.0.0/16	по умолчанию — 10.0.0.0/24
vnetB-gen	10.1.0.0/16	по умолчанию — 10.1.0.0/24
vnetC-gen	10.2.0.0/16	по умолчанию — 10.2.0.0/24
vnetD-app	10.3.0.0/16	по умолчанию — 10.3.0.0/24
vnetE-app	10.4.0.0/16	по умолчанию — 10.4.0.0/24

• Размещение всех виртуальных сетей в одной подписке, регионе и группе ресурсов

Не знаете, как создать виртуальную сеть? Дополнительные сведения см. в кратком руководстве. Создание виртуальной сети с помощью портал Azure.

Создание экземпляра диспетчера виртуальных сетей

В этом разделе описано, как развернуть экземпляр диспетчера виртуальная сеть с помощью функции администратора безопасности в организации.

1. Выберите +Создать ресурс и выполните поиск по фразе Диспетчер сетей. Затем щелкните Создать, чтобы начать настройку Диспетчера виртуальных сетей Azure.

2. На вкладке "Основные сведения" введите или выберите сведения для вашей организации:

   

   Параметр	Значение
   Отток подписок	Выберите подписку, в которую требуется развернуть Диспетчер виртуальных сетей Azure.
   Группа ресурсов	Выберите или создайте группу ресурсов для хранения Диспетчера виртуальных сетей Azure. В этом примере используется ранее созданная myAVNMResourceGroup .
   Имя.	Введите имя нового экземпляра Диспетчера виртуальных сетей Azure. В этом примере используется имя myAVNM.
   Область/регион	Выберите регион для этого развертывания. Диспетчер виртуальных сетей Azure может управлять виртуальными сетями в любом регионе. Выбран регион, в котором будет развернут экземпляр Диспетчера виртуальных сетей.
   Description	(Необязательно) Укажите описание этого экземпляра виртуальная сеть Manager и задачи, которую он управляет.
   Область применения	Определите область, которой может управлять Диспетчер виртуальных сетей Azure. В этом примере используется область уровня подписки.
   Функции	Выберите функции, которые необходимо включить для Диспетчера виртуальных сетей Azure. Доступные варианты: Подключение, SecurityAdmin или Выбрать все. Подключение. Позволяет создать полную сетку или концентратор и периферийную топологию сети между виртуальными сетями в пределах области. SecurityAdmin — позволяет создавать глобальные правила безопасности сети.

3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки.

4. Выберите "Перейти к ресурсу " при завершении развертывания и просмотрите конфигурацию диспетчера виртуальных сетей

Создание группы сети для всех виртуальных сетей

После создания диспетчера виртуальных сетей вы создадите группу сети, содержащую все виртуальные сети в организации, и добавьте все виртуальные сети вручную.

1. Выберите группы сети в разделе "Параметры".
2. Нажмите кнопку "+ Создать", введите имя для группы сети и нажмите кнопку "Добавить".
3. На странице "Группы сети" выберите созданную сетевую группу.
4. Выберите "Добавить" в разделе "Статическая членство ", чтобы вручную добавить все виртуальные сети.
5. На странице "Добавление статических элементов" выберите все виртуальные сети, которые вы хотите включить, и нажмите кнопку "Добавить".

Создание конфигурации администратора безопасности для всех виртуальных сетей

Пришло время создать правила администратора безопасности в конфигурации, чтобы применить эти правила ко всем виртуальным сетям в вашей сетевой группе одновременно. В этом разделе описано, как создать конфигурацию администратора безопасности. Затем вы создадите коллекцию правил и добавьте правила для портов с высоким уровнем риска, таких как SSH или RDP. Эта конфигурация запрещает сетевой трафик всем виртуальным сетям в группе сети.

1. Вернитесь к ресурсу диспетчера виртуальных сетей.

2. Выберите "Конфигурации" в разделе "Параметры" , а затем нажмите кнопку "+ Создать".

3. Выберите конфигурацию безопасности в раскрывающемся меню.

4. На вкладке "Основные сведения" введите имя , чтобы определить эту конфигурацию безопасности и нажмите кнопку "Далее: коллекции правил".

   

5. Выберите +Добавить на странице "Добавить конфигурацию безопасности".

6. Введите имя, чтобы определить эту коллекцию правил, а затем выберите целевые сетевые группы, к которым необходимо применить набор правил. Целевая группа — это сетевая группа, содержащая все виртуальные сети.

   

Добавление правила безопасности для запрета сетевого трафика с высоким риском

В этом разделе описано, как определить правило безопасности для блокировки сетевого трафика с высоким риском для всех виртуальных сетей. При назначении приоритета помните о будущих правилах исключений. Задайте приоритет, чтобы правила исключений применялись к этому правилу.

1. Выберите + Добавить в правила администратора безопасности.

   

2. Введите сведения, необходимые для определения правила безопасности, а затем нажмите кнопку "Добавить ", чтобы добавить правило в коллекцию правил.

   

   Параметр	Значение
   Имя.	Введите имя правила.
   Description	Введите описание правила.
   Приоритет*	Введите значение от 1 до 4096, чтобы определить приоритет правила. Чем меньше значение, тем выше приоритет.
   Действие*	Выберите "Запретить", чтобы заблокировать трафик. Дополнительные сведения см. в разделе "Действие"
   Направление*	Выберите входящий трафик, чтобы запретить входящий трафик с помощью этого правила.
   Протокол*	Выберите сетевой протокол для порта.
   Источник
   Тип источника	Выберите исходный тип IP-адреса или тегов службы.
   Исходные IP-адреса	Это поле отображается при выборе исходного типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой. Оставьте пустым для этого примера.
   Тег службы источника	Это поле отображается при выборе исходного типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве источника. Список поддерживаемых тегов см . в доступных тегах службы.
   Исходный порт	Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Оставьте пустым для этого примера.
   Назначение
   Тип назначения	Выберите целевой тип IP-адреса или тегов службы.
   IP-адреса назначения	Это поле отображается при выборе целевого типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой.
   Назначение: тег службы	Это поле отображается при выборе целевого типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве назначения. Список поддерживаемых тегов см . в доступных тегах службы.
   Порт назначения	Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Введите 3389 для этого примера.

3. Повторите шаги 1–3 еще раз, если вы хотите добавить дополнительные правила в коллекцию правил.

4. Когда вы удовлетворены всеми правилами, которые вы хотите создать, нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.

   

5. Затем нажмите кнопку "Проверить и создать", чтобы завершить настройку безопасности.

Развертывание конфигурации администратора безопасности для блокировки сетевого трафика

В этом разделе правила, созданные при развертывании конфигурации администратора безопасности, вступают в силу.

1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурацию".

   

2. Установите флажок "Включить администратора безопасности" в состояние цели и выберите конфигурацию безопасности, созданную в последнем разделе в раскрывающемся меню. Затем выберите регионы, в которые вы хотите развернуть эту конфигурацию.

   

3. Нажмите кнопку "Далее" и "Развернуть", чтобы развернуть конфигурацию администратора безопасности.

Создание сетевой группы для правила исключения трафика

При блокировке трафика во всех виртуальных сетях необходимо исключение для разрешения трафика в определенные виртуальные сети. Вы создаете группу сети специально для виртуальных сетей, требующих исключения из другого правила администратора безопасности.

1. В диспетчере виртуальных сетей выберите "Группы сети" в разделе "Параметры".
2. Нажмите кнопку "+ Создать", введите имя для группы сети приложений и нажмите кнопку "Добавить".
3. В разделе "Определение динамического членства" выберите "Определить".
4. Введите или выберите значения, чтобы разрешить трафик виртуальной сети приложения.
5. Выберите "Предварительный просмотр ресурсов", чтобы просмотреть включенные виртуальная сеть и нажмите кнопку "Закрыть".
6. Выберите Сохранить.

Создание правила администратора безопасности и сбора исключений трафика

В этом разделе описано, как создать коллекцию правил и правило администратора безопасности, которое позволяет трафику с высоким риском в подмножество виртуальных сетей, определенных в качестве исключений. Затем добавьте его в существующую конфигурацию администратора безопасности.

Внимание

Чтобы правило администратора безопасности позволило трафику виртуальных сетей приложения, приоритет должен быть установлен на меньшее число , чем существующие правила, блокирующие трафик.

Например, все сетевые правила, блокирующие SSH, имеют приоритет 10, поэтому правило разрешения должно иметь приоритет от 1 до 9.

1. В диспетчере виртуальных сетей выберите "Конфигурации " и выберите конфигурацию безопасности.
2. Выберите коллекции правил в разделе "Параметры", а затем нажмите кнопку "Создать ", чтобы создать новую коллекцию правил.
3. На странице "Добавление коллекции правил" введите имя коллекции правил приложения и выберите созданную группу сети приложений.
4. В разделе правил администратора безопасности нажмите кнопку +Добавить.
5. Введите или выберите значения, позволяющие разрешить определенный сетевой трафик в группу сети приложений, и нажмите кнопку "Добавить " после завершения.
6. Повторите процесс добавления правила для всего трафика, требующего исключения.
7. Выберите Сохранить, когда вы закончите.

Повторное развертывание конфигурации администратора безопасности с правилом исключения

Чтобы применить новую коллекцию правил, повторно разверните конфигурацию администратора безопасности, так как она была изменена путем добавления коллекции правил.

1. В диспетчере виртуальных сетей выберите "Конфигурации".
2. Выберите конфигурацию администратора безопасности и выберите " Развернуть"
3. На странице "Развертывание конфигурации" выберите все целевые регионы, получающие развертывание и
4. Нажмите кнопку "Далее" и "Развернуть".

Следующие шаги

• Узнайте, как создать топологию сети сетки с помощью диспетчера виртуальная сеть Azure с помощью портал Azure

• Ознакомьтесь с часто задаваемыми вопросами о диспетчере виртуальная сеть Azure