Реализация групп безопасности сети и виртуальных машин IaaS Windows
Как системный администратор в Contoso вы должны убедиться, что все службы, размещенные в Microsoft Azure с IaaS, соответствуют строгим требованиям безопасности компании. Чтобы должным образом защитить сетевой трафик, можно настроить группы безопасности сети.
Группы безопасности сети
Группа безопасности сети фильтрует входящий и исходящий сетевой трафик. Настройка правил безопасности для группы безопасности позволяет управлять сетевым трафиком, разрешая или запрещая определенные типы трафика.
Группу безопасности сети можно назначить следующим компонентам:
- Сетевой интерфейс для фильтрации сетевого трафика только в этом интерфейсе.
- Подсеть для фильтрации трафика во всех подключенных сетевых интерфейсах в подсети.
Кроме того, можно назначить группы безопасности сети как для сетевых интерфейсов, так и для подсетей. Затем каждая группа безопасности сети оценивается независимо друг от друга.
Для входящего трафика выполняется следующая процедура:
- Входящий трафик сначала оценивается группой безопасности сети, применяемой к подсети.
- Затем входящий трафик оценивается группой безопасности сети, применяемой к сетевому интерфейсу.
Однако для исходящего трафика происходит следующий процесс:
- Исходящий трафик от виртуальной машины сначала оценивается группой безопасности сети, примененной к данному сетевому интерфейсу.
- Исходящий трафик от виртуальной машины затем оценивается группой безопасности сети, применяемой к данной подсети.
Совет
Чтобы защитить все виртуальные машины в указанной подсети с одинаковым набором правил, можно сократить усилия на администрирование, применив NSG к подсети, а не к отдельным сетевым интерфейсам.
Правила безопасности
Группа безопасности сети содержит правила безопасности, которые используются для разрешения или запрещения фильтрованного сетевого трафика.
Свойства правила безопасности NSG приведены в следующей таблице.
Свойство | Значение |
---|---|
Имя | Уникальное имя в пределах группы безопасности сети. |
Приоритет | Значение в диапазоне от 100 до 4096. Более низкие числа имеют более высокий приоритет и обрабатываются первыми. |
Источник или назначение | Любой или конкретный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика. |
Протокол | Протокол управления передачей (TCP), протокол дейтаграмм пользователя (UDP), протокол управляющих сообщений Интернета (ICMP) или любой другой. |
Направление | Определяет тип трафика (входящий или исходящий), к которому применяется правило. |
Диапазон портов | Отдельный порт или диапазон портов (например, 10000-10005). Вы также можете использовать подстановочный знак (*). |
Действие | Разрешить или запретить трафик. |
Description | Необязательное свойство для описания цели правила. |
Примечание.
Вы не определяете направление правила как свойство правила. Вместо этого вы начинаете с создания входящего или исходящего правила.
Внимание
При сопоставлении сетевого трафика с правилом безопасности сети это правило безопасности используется для соответствующего сетевого трафика. Дальнейшие правила безопасности не проверяются (для этого сетевого трафика). Однако другой сетевой трафик оценивается по остальным правилам безопасности.
Правила безопасности по умолчанию
В группе безопасности сети есть три правила безопасности для входящего и три — для исходящего трафика, которые нельзя изменить. Эти правила по умолчанию предназначены для следующих целей:
- Разрешение подключения в виртуальной сети и из подсистем балансировки нагрузки Azure.
- Разрешение на исходящий трафик в Интернет.
- Запрет на весь трафик из Интернета.
Три правила для входящего трафика по умолчанию описаны в следующей таблице.
Приоритет | Имя правила | Description |
---|---|---|
65000 | AllowVnetInbound | Разрешает входящий трафик, поступающий из любой виртуальной машины к любой виртуальной машине в подсети. |
65001 | AllowAzureLoadBalancerInbound | Разрешает передачу трафика из подсистемы балансировки нагрузки по умолчанию к любой виртуальной машине в подсети. |
65500 | DenyAllInBound | Запрещает трафик из внешних источников к любым виртуальным машинам. |
Правила для исходящего трафика по умолчанию описаны в следующей таблице.
Приоритет | Имя правила | Description |
---|---|---|
65000 | AllowVnetOutbound | Разрешить исходящий трафик с любой виртуальной машины на любую виртуальную машину в данной подсети. |
65001 | AllowInternetOutbound | Разрешает исходящий трафик, передаваемый в Интернет из любой виртуальной машины. |
65500 | DenyAllOutBound | Запрещает трафик из любой внутренней виртуальной машины к системе за пределами виртуальной сети. |
Совет
Можно добавить дополнительные правила по умолчанию.
Если ИТ-отдел Contoso хочет подключить виртуальные машины Azure с помощью удаленного рабочего стола Майкрософт, можно добавить правило безопасности для входящего трафика в группу безопасности сети, которая разрешает трафик RDP. Обратите внимание, что входящий трафик RDP - это одно из правил по умолчанию, которое может быть добавлено автоматически при создании виртуальной машины Azure с помощью портала Azure.
Примечание.
Правила по умолчанию можно переопределить, создав правила с более высоким приоритетом, которые удовлетворяют вашим потребностям.
Расширенные правила безопасности
Если вы хотите упростить несколько правил безопасности, можно использовать расширенные правила безопасности. Расширенные правила позволяют добавлять следующие параметры в правило безопасности:
- Несколько IP-адресов
- Несколько портов
- Теги служб
- Группы безопасности приложений
Например, ИТ-отдел Contoso хочет ограничить доступ к определенным ресурсам в центре обработки данных, но эти ресурсы распределены по нескольким диапазонам сетевых адресов. С помощью расширенных правил можно добавить все эти диапазоны в одно правило, уменьшив административные издержки.
Примечание.
Расширенные правила также можно использовать в полях источника или назначения и диапазона портов правила.
Теги служб
Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. При создании правил безопасности можно использовать теги службы вместо определенных IP-адресов. Указав имя тега службы (например, AzureBackup) в соответствующем поле источника или назначения правила, вы можете запретить или разрешить трафик для этой службы.
Примечание.
Нельзя создавать свои собственные теги служб. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности.
Теги служб можно использовать для следующего.
- Обеспечить сетевую изоляцию и защитить свои ресурсы Azure от общедоступного Интернета при доступе к службам Azure, использующим общедоступные конечными точками.
- Создавать правила группы безопасности сети для входящего/исходящего трафика, чтобы запретить трафик в Интернет или из него и разрешить трафик в облачные службы Azure или из них.
Примечание.
Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети, а также в брандмауэре Azure.
В следующей таблице перечислены некоторые примеры доступных тегов служб.
Тег | Описание |
---|---|
Виртуальная сеть | Этот тег представляет все адреса виртуальной сети в любом месте в Azure, а также в вашей локальной сети, если вы используете гибридное подключение. |
AzureLoadBalancer | Это тег по умолчанию, обозначающий подсистему балансировки нагрузки для инфраструктуры Azure. Он преобразуется в виртуальный IP-адрес узла (168.63.129.16), где инициируются проверки работоспособности Azure. |
Интернет | Этот тег представляет общедоступные объекты вне адресов виртуальной сети, включая ресурсы с общедоступными IP-адресами. Одним из таких ресурсов являются веб-приложения службы приложений Azure. |
AzureTrafficManager | Этот тег представляет IP-адрес Диспетчера трафика Azure. |
Примечание.
Полный список тегов служб можно просмотреть в разделе Доступные теги служб.
Группы безопасности приложений
Группа безопасности приложений (ASG) позволяет группировать сетевые интерфейсы. Затем можно использовать эту ASG в качестве правила источника или назначения в NSG.
Совет
ASG упрощает администрирование, поскольку можно добавлять или удалять сетевые интерфейсы в ASG при развертывании или повторном развертывании серверов приложений.
ASG можно использовать для следующего.
- Настройки сетевой безопасности для ресурсов, используемых конкретными приложениями. Это позволяет логически группировать виртуальные машины независимо от их назначения подсети.
- Применение правила безопасности к группе ресурсов. Это упрощает развертывание и масштабирование рабочих нагрузок конкретного приложения. Достаточно просто добавить новое развертывание виртуальной машины в одну или несколько ASG, и эта виртуальная машина автоматически возьмет ваши правила безопасности для этой рабочей нагрузки.
Примечание.
Если NSG применяется к виртуальным машинам, то правила безопасности для ASG также автоматически применяются к виртуальным машинам и обеспечивают полное сетевое подключение между виртуальными машинами в этом примере ASG.
Без ASG пришлось бы создавать отдельное правило для каждой виртуальной машины. Например, у Contoso в некоторой виртуальной сети есть несколько серверов внешнего интерфейса. ИТ-персонал решает внедрить группы безопасности сети и группы ASG для защиты сетевых ресурсов, как показано на следующем рисунке.
Использование ASG позволяет Contoso удовлетворить следующие требования:
- Веб-серверы должны быть доступны через порты 80 и 8080.
- Серверы баз данных должны быть доступны с веб-серверов через порт 1433.
Чтобы настроить это решение, вам, как системному администратору, необходимо выполнить следующую высокоуровневую процедуру.
- Назначьте сетевые интерфейсы для веб-серверов одной ASG.
- Назначьте сетевые интерфейсы для серверов баз данных другой ASG.
- Создайте два правила для входящего трафика в группе безопасности сети:
- Одно правило открывает трафик HTTP и TCP-порт 8080 на всех серверах в ASG веб сервера.
- Другое правило разрешает трафик SQL ко всем серверам в ASG сервера базы данных.
Внимание
Для защиты сетевых ресурсов от нежелательного трафика всегда используйте группы безопасности сети. С группами безопасности сети вы получите детальный контроль доступа на сетевом уровне. В то же время можно избежать сложности настройки и включения правил безопасности для каждой виртуальной машины или виртуальной сети.
Примечание.
Если у вас есть пробная версия клиента Azure, можете выполнить следующее упражнение: Создание групп безопасности сети и управление ими