Skydda högrisknätverksportar med säkerhetsadministratörsregler i Azure Virtual Network Manager

  • Artikel

I den här artikeln lär du dig att blockera högrisknätverksportar med hjälp av Azure Virtual Network Manager och säkerhetsadministratörsregler. Du går igenom skapandet av en Azure Virtual Network Manager-instans, grupperar dina virtuella nätverk (VNet) med nätverksgrupper och skapar och distribuerar säkerhetsadministratörskonfigurationer för din organisation. Du distribuerar en allmän blockregel för högriskportar. Sedan skapar du en undantagsregel för att hantera ett visst programs virtuella nätverk med hjälp av nätverkssäkerhetsgrupper.

Även om den här artikeln fokuserar på en enda port, SSH, kan du skydda alla högriskportar i din miljö med samma steg. Mer information finns i den här listan över högriskportar

Viktigt!

Azure Virtual Network Manager är allmänt tillgängligt för konfigurationer av hub-and-spoke-anslutningar och säkerhetskonfigurationer med säkerhetsadministratörsregler. Mesh-anslutningskonfigurationer finns kvar i den offentliga förhandsversionen.

Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Förutsättningar

Distribuera virtuell nätverksmiljö

Du behöver en virtuell nätverksmiljö som innehåller virtuella nätverk som kan separeras för att tillåta och blockera specifik nätverkstrafik. Du kan använda följande tabell eller din egen konfiguration av virtuella nätverk:

Name IPv4-adressutrymme subnet
vnetA-gen 10.0.0.0/16 standard – 10.0.0.0/24
vnetB-gen 10.1.0.0/16 standard – 10.1.0.0/24
vnetC-gen 10.2.0.0/16 standard – 10.2.0.0/24
vnetD-app 10.3.0.0/16 standard – 10.3.0.0/24
vnetE-app 10.4.0.0/16 standard – 10.4.0.0/24
  • Placera alla virtuella nätverk i samma prenumeration, region och resursgrupp

Vet du inte hur du skapar ett virtuellt nätverk? Läs mer i Snabbstart: Skapa ett virtuellt nätverk med hjälp av Azure-portalen.

Skapa en virtuell nätverkshanterareinstans

I det här avsnittet distribuerar du en Virtual Network Manager-instans med funktionen Säkerhetsadministratör i din organisation.

  1. Välj + Skapa en resurs och sök efter Network Manager. Välj sedan Skapa för att börja konfigurera Azure Virtual Network Manager.

  2. På fliken Grundläggande anger eller väljer du information för din organisation:

    Skärmbild av sidan Skapa en grundläggande nätverkshanterare.

    Inställning Värde
    Prenumeration Välj den prenumeration som du vill distribuera Azure Virtual Network Manager till.
    Resursgrupp Välj eller skapa en resursgrupp för att lagra Azure Virtual Network Manager. I det här exemplet används myAVNMResourceGroup som skapades tidigare.
    Name Ange ett namn för den här Azure Virtual Network Manager-instansen. I det här exemplet används namnet myAVNM.
    Region Välj region för den här distributionen. Azure Virtual Network Manager kan hantera virtuella nätverk i valfri region. Den valda regionen är för vilken Virtual Network Manager-instansen ska distribueras.
    beskrivning (Valfritt) Ange en beskrivning av den här Virtual Network Manager-instansen och den uppgift som den hanterar.
    Definitionsområde Definiera det omfång som Azure Virtual Network Manager kan hantera. I det här exemplet används ett omfång på prenumerationsnivå.
    Funktioner Välj de funktioner som du vill aktivera för Azure Virtual Network Manager. Tillgängliga funktioner är Anslut ivity, SecurityAdmin eller Select All.
    Anslut ivity – Gör det möjligt att skapa en fullständig nät- eller hubb- och ekernätverkstopologi mellan virtuella nätverk inom omfånget.
    SecurityAdmin – Gör det möjligt att skapa globala nätverkssäkerhetsregler.

  3. Välj Granska + skapa och välj sedan Skapa när verifieringen har godkänts.

  4. Välj Gå till resurs när distributionen är klar och granska konfigurationen för den virtuella nätverkshanteraren

Skapa en nätverksgrupp för alla virtuella nätverk

När den virtuella nätverkshanteraren har skapats skapar du nu en nätverksgrupp som innehåller alla virtuella nätverk i organisationen och lägger till alla virtuella nätverk manuellt.

  1. Välj Nätverksgrupper under Inställningar.
  2. Välj + Skapa, ange ett namn för nätverksgruppen och välj Lägg till.
  3. På sidan Nätverksgrupper väljer du den nätverksgrupp som du skapade.
  4. Välj Lägg till under Statiskt medlemskap för att lägga till alla virtuella nätverk manuellt.
  5. På sidan Lägg till statiska medlemmar väljer du alla virtuella nätverk som du vill inkludera och väljer Lägg till. Skärmbild av sidan Lägg till statiska medlemmar som visar manuellt val av virtuella nätverk.

Skapa en säkerhetsadministratörskonfiguration för alla virtuella nätverk

Det är dags att skapa våra säkerhetsadministratörsregler i en konfiguration för att tillämpa dessa regler på alla virtuella nätverk i din nätverksgrupp samtidigt. I det här avsnittet skapar du en säkerhetsadministratörskonfiguration. Sedan skapar du en regelsamling och lägger till regler för högriskportar som SSH eller RDP. Den här konfigurationen nekar nätverkstrafik till alla virtuella nätverk i nätverksgruppen.

  1. Gå tillbaka till resursen för den virtuella nätverkshanteraren.

  2. Välj Konfigurationer under Inställningar och välj sedan + Skapa.

    Skärmbild av att lägga till en säkerhetsadministratörskonfiguration.

  3. Välj Säkerhetskonfiguration på den nedrullningsbara menyn.

    Skärmbild av listrutan Lägg till en konfiguration.

  4. På fliken Grundläggande anger du ett Namn för att identifiera den här säkerhetskonfigurationen och väljer Nästa: Regelsamlingar.

    Skärmbild av fältet säkerhetskonfigurationsnamn.

  5. Välj + Lägg tillsidan Lägg till en säkerhetskonfiguration.

  6. Ange ett namn för att identifiera den här regelsamlingen och välj sedan de målnätverksgrupper som du vill tillämpa regeluppsättningen på. Målgruppen är den nätverksgrupp som innehåller alla dina virtuella nätverk.

    Skärmbild av regelsamlingens namn och målnätverksgrupper.

Lägga till en säkerhetsregel för att neka nätverkstrafik med hög risk

I det här avsnittet definierar du säkerhetsregeln för att blockera högrisknätverkstrafik till alla virtuella nätverk. När du tilldelar prioritet bör du tänka på framtida undantagsregler. Ange prioriteten så att undantagsregler tillämpas över den här regeln.

  1. Välj + Lägg till under Säkerhetsadministratörsregler.

    Skärmbild av knappen Lägg till en regel.

  2. Ange den information som behövs för att definiera säkerhetsregeln och välj sedan Lägg till för att lägga till regeln i regelsamlingen.

    Skärmbild av sidan Lägg till en regel.

    Inställning Värde
    Name Ange ett regelnamn.
    beskrivning Ange en beskrivning av regeln.
    Prioritet* Ange ett värde mellan 1 och 4096 för att fastställa regelns prioritet. Desto lägre värde desto högre prioritet.
    Åtgärder* Välj Neka för att blockera trafik. Mer information finns i Åtgärd
    Riktning* Välj Inkommande eftersom du vill neka inkommande trafik med den här regeln.
    Protokollet* Välj nätverksprotokollet för porten.
    Source
    Source type Välj källtypen för ANTINGEN IP-adress eller Tjänsttaggar.
    Källans IP-adress Det här fältet visas när du väljer källtyp för IP-adress. Ange en IPv4- eller IPv6-adress eller ett intervall med CIDR-notation. När du definierar mer än en adress eller block med adresser separat med hjälp av ett kommatecken. Lämna tomt för det här exemplet.
    Källtjänsttagg Det här fältet visas när du väljer källtypen för tjänsttaggen. Välj tjänsttaggar för tjänster som du vill ange som källa. Se Tillgängliga tjänsttaggar för listan över taggar som stöds.
    Källport Ange ett enda portnummer eller ett portintervall som (1024-65535). När du definierar fler än en port eller portintervall separerar du dem med ett kommatecken. Ange en port genom att ange *. Lämna tomt för det här exemplet.
    Mål
    Måltyp Välj måltyp för ip-adress eller tjänsttaggar.
    Mål-IP-adressen Det här fältet visas när du väljer måltyp för IP-adress. Ange en IPv4- eller IPv6-adress eller ett intervall med CIDR-notation. När du definierar mer än en adress eller block med adresser separat med hjälp av ett kommatecken.
    Måltjänsttagg Det här fältet visas när du väljer måltyp för tjänsttagg. Välj tjänsttaggar för tjänster som du vill ange som mål. Se Tillgängliga tjänsttaggar för listan över taggar som stöds.
    Målport Ange ett enda portnummer eller ett portintervall som (1024-65535). När du definierar fler än en port eller portintervall separerar du dem med ett kommatecken. Ange en port genom att ange *. Ange 3389 för det här exemplet.

  3. Upprepa steg 1–3 igen om du vill lägga till fler regler i regelsamlingen.

  4. När du är nöjd med alla regler som du vill skapa väljer du Lägg till för att lägga till regelsamlingen i säkerhetsadministratörskonfigurationen.

    Skärmbild av en regelsamling.

  5. Välj sedan Granska + Skapa och skapa för att slutföra säkerhetskonfigurationen.

Distribuera en säkerhetsadministratörskonfiguration för att blockera nätverkstrafik

I det här avsnittet träder de regler som skapats i kraft när du distribuerar konfigurationen av säkerhetsadministratören.

  1. Välj Distributioner under Inställningar och välj sedan Distribuera konfiguration.

    Skärmbild av knappen Distribuera en konfiguration.

  2. Välj kryssrutan Inkludera säkerhetsadministratör i måltillståndet och välj den säkerhetskonfiguration som du skapade i det senaste avsnittet på listmenyn. Välj sedan de regioner som du vill distribuera den här konfigurationen till.

    Skärmbild av distributionen av en säkerhetskonfigurationssida.

  3. Välj Nästa och Distribuera för att distribuera konfigurationen av säkerhetsadministratören.

Skapa en nätverksgrupp för undantagsregeln för trafik

När trafiken blockeras i alla dina virtuella nätverk behöver du ett undantag för att tillåta trafik till specifika virtuella nätverk. Du skapar en nätverksgrupp specifikt för de virtuella nätverk som behöver exkludering från den andra säkerhetsadministratörsregeln.

  1. Från den virtuella nätverkshanteraren väljer du Nätverksgrupper under Inställningar.
  2. Välj + Skapa, ange ett namn för programnätverksgruppen och välj Lägg till.
  3. Under Definiera dynamiskt medlemskap väljer du Definiera.
  4. Ange eller välj värdena för att tillåta trafik till ditt virtuella programnätverk. Skärmbild av sidan Definiera nätverksgrupp med ett villkor för att välja virtuella nätverk för gruppmedlemskap.
  5. Välj Förhandsgranska resurser för att granska de effektiva virtuella nätverk som ingår och välj Stäng. Skärmbild av sidan Effektiva virtuella nätverk som visar virtuella nätverk som ingår dynamiskt i nätverksgruppen.
  6. Välj Spara.

Skapa en säkerhetsadministratörsregel och samling för trafikfel

I det här avsnittet skapar du en ny regelsamling och en säkerhetsadministratörsregel som tillåter högrisktrafik till den delmängd av virtuella nätverk som du har definierat som undantag. Sedan lägger du till den i din befintliga säkerhetsadministratörskonfiguration.

Viktigt!

För att säkerhetsadministratörsregeln ska tillåta trafik till dina virtuella programnätverk måste prioriteten anges till ett lägre antal än befintliga regler som blockerar trafik.

En all nätverksregel som blockerar SSH har till exempel en prioritet på 10 , så din tillåtna regel bör ha en prioritet från 1 till 9.

  1. Från den virtuella nätverkshanteraren väljer du Konfigurationer och väljer din säkerhetskonfiguration.
  2. Välj Regelsamlingar under Inställningar och välj sedan + Skapa för att skapa en ny regelsamling.
  3. På sidan Lägg till en regelsamling anger du ett namn för programregelsamlingen och väljer den programnätverksgrupp som du skapade.
  4. Under säkerhetsadministratörsreglerna väljer du + Lägg till.
  5. Ange eller välj de värden som ska tillåta specifik nätverkstrafik till programnätverksgruppen och välj lägg till när den är klar.
  6. Upprepa processen för att lägga till regel för all trafik som behöver ett undantag.
  7. Välj Spara när du är klar.

Distribuera om säkerhetsadministratörskonfigurationen med undantagsregeln

Om du vill tillämpa den nya regelsamlingen distribuerar du om konfigurationen av säkerhetsadministratören sedan den ändrades genom att lägga till en regelsamling.

  1. Från den virtuella nätverkshanteraren väljer du Konfigurationer.
  2. Välj konfigurationen av säkerhetsadministratören och välj Distribuera
  3. På sidan Distribuera konfiguration väljer du alla målregioner som tar emot distributionen och
  4. Välj Nästa och Distribuera.

Nästa steg