Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье вы узнаете, как блокировать сетевые порты с высоким риском с помощью правил Диспетчер виртуальных сетей Azure и администраторов безопасности. В этой статье описывается создание экземпляра Диспетчер виртуальных сетей Azure, группировка виртуальных сетей (VNet) с помощью сетевых групп, а также создание и развертывание конфигураций администратора безопасности для вашей организации. Вы развертываете общее правило блокировки для портов с высоким риском. Затем вы создадите правило исключения для управления виртуальной сетью конкретного приложения с помощью групп безопасности сети.
Хотя в этой статье рассматриваются один порт SSH, вы можете защитить любые порты с высоким риском в вашей среде, выполнив те же действия. Дополнительные сведения см. в этом списке портов высокого риска.
Предварительные условия
- Вы понимаете, как создать экземпляр Диспетчер виртуальных сетей Azure.
- Вы понимаете каждый элемент в правиле администратора безопасности.
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Группа виртуальных сетей, которые можно разделить на группы сети для применения подробных правил администратора безопасности.
- Чтобы изменить динамические сетевые группы, вам должен быть предоставлен доступ только через назначение роли RBAC в Azure. Классическая авторизация администратора или устаревшая авторизация не поддерживается.
Развертывание среды виртуальной сети
Вам нужна среда виртуальной сети, которая включает виртуальные сети, которые можно разделить для разрешения и блокировки определенного сетевого трафика. Вы можете использовать следующую таблицу или собственную конфигурацию виртуальных сетей:
| Имя. | Диапазон IPv4-адресов | Подсеть |
|---|---|---|
| vnetA-gen | 10.0.0.0/16 | по умолчанию — 10.0.0.0/24 |
| vnetB-gen | 10.1.0.0/16 | по умолчанию — 10.1.0.0/24 |
| vnetC-gen | 10.2.0.0/16 | по умолчанию — 10.2.0.0/24 |
| vnetD-app | 10.3.0.0/16 | по умолчанию — 10.3.0.0/24 |
| vnetE-app | 10.4.0.0/16 | по умолчанию — 10.4.0.0/24 |
- Разместите все виртуальные сети в одной подписке, регионе и группе ресурсов.
Не знаете, как создать виртуальную сеть? Узнайте больше в Краткое руководство: Создание виртуальной сети с помощью портала Azure.
Создание экземпляра диспетчера виртуальных сетей
В этом разделе разверните экземпляр диспетчера виртуальных сетей с функцией администратора безопасности в вашей организации.
Выберите +Создать ресурс и выполните поиск по фразе Диспетчер сетей. Затем щелкните Создать, чтобы начать настройку Диспетчера виртуальных сетей Azure.
На вкладке "Основные сведения" введите или выберите сведения для вашей организации:
Настройка Значение Подписка Выберите подписку, в которую требуется развернуть Диспетчер виртуальных сетей Azure. Группа ресурсов Выберите или создайте группу ресурсов для хранения Диспетчера виртуальных сетей Azure. В этом примере используется ранее созданная myAVNMResourceGroup . Имя. Введите имя нового экземпляра Диспетчера виртуальных сетей Azure. В этом примере используется имя myAVNM. Область/регион Выберите регион для этого развертывания. Диспетчер виртуальных сетей Azure может управлять виртуальными сетями в любом регионе. Выбранный регион — это регион, в котором развертывается экземпляр Virtual Network Manager. Описание (Необязательно) Укажите описание этого экземпляра менеджера виртуальной сети и задачи, которой он управляет. Область применения Определите область, которой может управлять Диспетчер виртуальных сетей Azure. В этом примере используется область уровня подписки. Функции Выберите функции, которые необходимо включить для Диспетчера виртуальных сетей Azure. Доступные варианты: Подключение, SecurityAdmin или Выбрать все.
Подключение. Позволяет создать полную сетку или звездообразную топологию сети между виртуальными сетями в рамках охвата.
SecurityAdmin — позволяет создавать глобальные правила безопасности сети.Выберите "Проверка и создание" , а затем нажмите кнопку "Создать после прохождения проверки".
Выберите "Перейти к ресурсу " при завершении развертывания и просмотрите конфигурацию диспетчера виртуальных сетей.
Создайте группу сетей для всех виртуальных сетей
После создания диспетчера виртуальных сетей создайте сетевую группу, содержащую все сети VNet в организации, и вручную добавьте в неё все сети VNet.
- Выберите группы сети в разделе "Параметры".
- Нажмите кнопку "+ Создать", введите имя для группы сети и нажмите кнопку "Добавить".
- На странице "Группы сети" выберите созданную сетевую группу.
- Выберите Добавить, под Статическое членство чтобы вручную добавить все виртуальные сети.
- На странице "Добавление статических элементов" выберите все виртуальные сети, которые вы хотите включить, и нажмите кнопку "Добавить".
Создание конфигурации администратора безопасности для всех виртуальных сетей
Создайте правила администратора безопасности в конфигурации, чтобы применить эти правила ко всем виртуальным сетям в группе сети одновременно. В этом разделе описано, как создать конфигурацию администратора безопасности. Затем вы создадите коллекцию правил и добавьте правила для портов с высоким уровнем риска, таких как SSH или RDP. Эта конфигурация запрещает сетевой трафик всем виртуальным сетям в группе сети.
- Вернитесь к ресурсу диспетчера виртуальных сетей.
- Выберите "Конфигурации" в разделе "Параметры" , а затем нажмите кнопку "+ Создать".
- Выберите конфигурацию безопасности в раскрывающемся меню.
- На вкладке "Основные сведения" введите имя , чтобы определить эту конфигурацию безопасности и нажмите кнопку "Далее: коллекции правил".
- Выберите + Добавить на странице Добавить конфигурацию безопасности.
- Введите имя, чтобы определить эту коллекцию правил, а затем выберите целевые сетевые группы, к которым необходимо применить набор правил. Целевая группа — это сетевая группа, содержащая все виртуальные сети.
Добавление правила безопасности для запрета сетевого трафика с высоким риском
В этом разделе описано, как определить правило безопасности для блокировки сетевого трафика с высоким риском для всех виртуальных сетей. При назначении приоритета помните о будущих правилах исключений. Задайте приоритет, чтобы правила исключений применялись к этому правилу.
Выберите Добавить + в разделе Правила администратора безопасности.
Введите сведения, необходимые для определения правила безопасности, а затем нажмите кнопку "Добавить ", чтобы добавить правило в коллекцию правил.
Настройка Значение Имя. Введите имя правила. Описание Введите описание правила. Приоритет* Введите значение от 1 до 4096, чтобы определить приоритет правила. Чем меньше значение, тем выше приоритет. Действие* Выберите "Запретить", чтобы заблокировать трафик. Дополнительные сведения см. в разделе "Действие". Направление* Выберите входящий, так как вы хотите запретить входящий трафик с помощью этого правила. Протокол* Выберите сетевой протокол для порта. Источник Тип источника Выберите тип источника: либо IP-адрес, либо служебные теги. Исходные IP-адреса Это поле отображается при выборе исходного типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов отделяйте их с помощью запятой. Оставьте пустым для этого примера. Тег службы источника Это поле появляется, когда вы выбираете исходный тип тег службы. Выберите теги служб для служб, которые необходимо указать в качестве источника. См. Доступные теги службы для списка поддерживаемых тегов. Исходный порт Введите один номер порта или диапазон портов, например (1024-65535). При определении более чем одного порта или диапазона портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Оставьте пустым для этого примера. Назначение Тип назначения Выберите тип назначения: IP-адрес или теги службы. IP-адреса назначения Это поле отображается при выборе целевого типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов отделяйте их с помощью запятой. Тег назначения услуги Это поле отображается при выборе типа назначения тега службы. Выберите теги служб для служб, которые необходимо указать в качестве назначения. См. Доступные теги службы для списка поддерживаемых тегов. Порт назначения Введите один номер порта или диапазон портов, например (1024-65535). При определении более чем одного порта или диапазона портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Введите 3389 для этого примера. Если вы хотите добавить дополнительные правила в коллекцию правил, повторите шаги 1-3.
Если вы удовлетворены всеми правилами, которые вы хотите создать, нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.
Затем нажмите Проверить и создать и Создать, чтобы завершить настройку безопасности.
Развертывание конфигурации администратора безопасности для блокировки сетевого трафика
В этом разделе правила, создаваемые при развертывании конфигурации администратора безопасности, вступают в силу.
- Выберите "Развертывания" в разделе "Параметры" и выберите " Развернуть конфигурацию".
- Установите флажок Включить администратора безопасности в целевое состояние. Выберите конфигурацию безопасности, созданную в последнем разделе в раскрывающемся меню. Затем выберите регионы, в которые нужно развернуть эту конфигурацию.
- Нажмите «Далее» и «Развернуть», чтобы развернуть конфигурацию администратора безопасности.
Создание сетевой группы для правила исключения трафика
При блокировке трафика во всех виртуальных сетях необходимо исключение, чтобы разрешить трафик определенным виртуальным сетям. Вы создаете группу сети специально для виртуальных сетей, требующих исключения из другого правила администратора безопасности.
- В диспетчере виртуальной сети выберите группы сети в разделе "Параметры".
- Нажмите кнопку "+ Создать", введите имя для группы сети приложений и нажмите кнопку "Добавить".
- В разделе "Определение динамического членства" выберите "Определить".
- Введите или выберите значения, чтобы разрешить трафик виртуальной сети приложения.
- Выберите Предварительный просмотр ресурсов, чтобы просмотреть включенную виртуальную сеть и выберите Закрыть.
- Выберите Сохранить.
Создайте правило администратора безопасности для исключений трафика и коллекцию
В этом разделе описывается, как создать новую коллекцию правил и правило администратора безопасности, которое разрешает трафику с высоким уровнем риска направляться в подмножество виртуальных сетей, которые вы определяете как исключения. Затем добавьте его в существующую конфигурацию администратора безопасности.
Внимание
Чтобы правило администратора безопасности разрешало трафик к виртуальным сетям приложения, задайте приоритет меньше, чем у существующих правил, блокирующих трафик.
Например, все сетевые правила, блокирующие SSH, имеют приоритет 10, поэтому правило разрешения должно иметь приоритет от 1 до 9.
- В диспетчере виртуальных сетей выберите "Конфигурации " и выберите конфигурацию безопасности.
- Выберите коллекции правил в разделе "Параметры", а затем нажмите кнопку "Создать ", чтобы создать новую коллекцию правил.
- В поле "Добавление коллекции правил" введите имя коллекции правил приложения и выберите созданную группу сети приложений.
- В разделе правил администратора безопасности нажмите кнопку + Добавить.
- Введите или выберите значения, позволяющие разрешить определенный сетевой трафик в группу сети приложений, и нажмите кнопку "Добавить " после завершения.
- Повторите процесс добавления правила для всего трафика, требующего исключения.
- Выберите Сохранить, когда вы закончите.
Повторное развертывание конфигурации администратора безопасности с правилом исключения
Чтобы применить новую коллекцию правил, повторно разверните конфигурацию администратора безопасности после его изменения, добавив коллекцию правил.
- В диспетчере виртуальных сетей выберите "Конфигурации".
- Выберите конфигурацию администратора безопасности и выберите "Развернуть".
- В разделе "Конфигурация развертывания" выберите все целевые регионы, получающие развертывание.
- Выберите Далее и Развернуть.