Защита сетевых портов с высоким риском с помощью правил администратора безопасности в Диспетчере виртуальная сеть Azure

В этой статье вы узнаете, как блокировать сетевые порты с высоким риском, используя Диспетчер виртуальной сети Azure и правила администратора безопасности. Вы проходите через процесс создания экземпляра диспетчера виртуальной сети Azure, группируете виртуальные сети (группы сетей) и создаете и развертываете конфигурации безопасности для вашей организации. Вы развертываете общее правило блокировки для портов с высоким риском. Затем вы создадите правило исключения для управления виртуальной сетью конкретного приложения с помощью групп безопасности сети.

Хотя в этой статье рассматриваются один порт SSH, вы можете защитить любые порты с высоким риском в вашей среде, выполнив те же действия. Дополнительные сведения см. в этом списке портов высокого риска

Предварительные условия

• Вы узнаете, как создать Диспетчер виртуальной сети Azure
• Вы понимаете каждый элемент в правиле администратора безопасности.
• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Группа виртуальных сетей, которые можно разделить на группы сети для применения подробных правил администратора безопасности.
• Чтобы изменить динамические сетевые группы, вам должен быть предоставлен доступ только через назначение роли RBAC в Azure. Классическая авторизация администратора или устаревшая авторизация не поддерживается

Развертывание среды виртуальной сети

Вам нужна среда виртуальной сети, которая включает виртуальные сети, которые можно разделить для разрешения и блокировки определенного сетевого трафика. Вы можете использовать следующую таблицу или собственную конфигурацию виртуальных сетей:

• Размещение всех виртуальных сетей в одной подписке, регионе и группе ресурсов

Не знаете, как создать виртуальную сеть? Узнайте больше в Краткое руководство: Создание виртуальной сети с помощью портала Azure.

Создание экземпляра диспетчера виртуальных сетей

В этом разделе разверните экземпляр диспетчера виртуальных сетей с функцией администратора безопасности в вашей организации.

1. Выберите +Создать ресурс и выполните поиск по фразе Диспетчер сетей. Затем щелкните Создать, чтобы начать настройку Диспетчера виртуальных сетей Azure.

2. На вкладке "Основные сведения" введите или выберите сведения для вашей организации:

   Настройка	Значение
   Подписка	Выберите подписку, в которую требуется развернуть Диспетчер виртуальных сетей Azure.
   Группа ресурсов	Выберите или создайте группу ресурсов для хранения Диспетчера виртуальных сетей Azure. В этом примере используется ранее созданная myAVNMResourceGroup .
   Имя.	Введите имя нового экземпляра Диспетчера виртуальных сетей Azure. В этом примере используется имя myAVNM.
   Область/регион	Выберите регион для этого развертывания. Диспетчер виртуальных сетей Azure может управлять виртуальными сетями в любом регионе. Выбран регион, в котором будет развернут экземпляр Диспетчера виртуальных сетей.
   Описание	(Необязательно) Укажите описание этого экземпляра менеджера виртуальной сети и задачи, которой он управляет.
   Область применения	Определите область, которой может управлять Диспетчер виртуальных сетей Azure. В этом примере используется область уровня подписки.
   Функции	Выберите функции, которые необходимо включить для Диспетчера виртуальных сетей Azure. Доступные варианты: Подключение, SecurityAdmin или Выбрать все. Подключение. Позволяет создать полную сетку или звездообразную топологию сети между виртуальными сетями в рамках охвата. SecurityAdmin — позволяет создавать глобальные правила безопасности сети.

3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки.

4. Выберите "Перейти к ресурсу " при завершении развертывания и просмотрите конфигурацию диспетчера виртуальных сетей

Создайте группу сетей для всех виртуальных сетей

После создания диспетчера виртуальных сетей создайте группу сетей, включающую все виртуальные сети в организации, и добавьте все виртуальные сети вручную.

1. Выберите группы сети в разделе "Параметры".
2. Нажмите кнопку "+ Создать", введите имя для группы сети и нажмите кнопку "Добавить".
3. На странице "Группы сети" выберите созданную сетевую группу.
4. Выберите Добавить, под Статическое членство чтобы вручную добавить все виртуальные сети.
5. На странице "Добавление статических элементов" выберите все виртуальные сети, которые вы хотите включить, и нажмите кнопку "Добавить".

Создание конфигурации администратора безопасности для всех виртуальных сетей

Пришло время создать правила администратора безопасности в конфигурации, чтобы применить эти правила ко всем виртуальным сетям в вашей сетевой группе одновременно. В этом разделе описано, как создать конфигурацию администратора безопасности. Затем вы создадите коллекцию правил и добавьте правила для портов с высоким уровнем риска, таких как SSH или RDP. Эта конфигурация запрещает сетевой трафик всем виртуальным сетям в группе сети.

1. Вернитесь к ресурсу диспетчера виртуальных сетей.
2. Выберите "Конфигурации" в разделе "Параметры" , а затем нажмите кнопку "+ Создать".
3. Выберите конфигурацию безопасности в раскрывающемся меню.
4. На вкладке "Основные сведения" введите имя , чтобы определить эту конфигурацию безопасности и нажмите кнопку "Далее: коллекции правил".
5. Выберите + Добавить на странице Добавить конфигурацию безопасности.
6. Введите имя, чтобы определить эту коллекцию правил, а затем выберите целевые сетевые группы, к которым необходимо применить набор правил. Целевая группа — это сетевая группа, содержащая все виртуальные сети.

Добавление правила безопасности для запрета сетевого трафика с высоким риском

В этом разделе описано, как определить правило безопасности для блокировки сетевого трафика с высоким риском для всех виртуальных сетей. При назначении приоритета помните о будущих правилах исключений. Задайте приоритет, чтобы правила исключений применялись к этому правилу.

1. Выберите Добавить + в разделе Правила администратора безопасности.

2. Введите сведения, необходимые для определения правила безопасности, а затем нажмите кнопку "Добавить ", чтобы добавить правило в коллекцию правил.

   Настройка	Значение
   Имя.	Введите имя правила.
   Описание	Введите описание правила.
   Приоритет*	Введите значение от 1 до 4096, чтобы определить приоритет правила. Чем меньше значение, тем выше приоритет.
   Действие*	Выберите "Запретить", чтобы заблокировать трафик. Дополнительные сведения см. в разделе "Действие"
   Направление*	Выберите входящий, так как вы хотите запретить входящий трафик с помощью этого правила.
   Протокол*	Выберите сетевой протокол для порта.
   Источник
   Тип источника	Выберите тип источника: либо IP-адрес, либо служебные теги.
   Исходные IP-адреса	Это поле отображается при выборе исходного типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При указании нескольких адресов или блоков адресов разделяйте их с помощью запятой. Оставьте пустым для этого примера.
   Тег службы источника	Это поле появляется, когда вы выбираете исходный тип тег службы. Выберите тег(и) сервиса для сервисов, которые вы хотите указать в качестве источника. См. Доступные теги службы для списка поддерживаемых тегов.
   Исходный порт	Введите один номер порта или диапазон портов, например (1024-65535). При определении более чем одного порта или диапазона портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Оставьте пустым для этого примера.
   Назначение
   Тип назначения	Выберите тип назначения: IP-адрес или теги службы.
   IP-адреса назначения	Это поле отображается при выборе целевого типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении более чем одного адреса или блоков адресов разделяйте их с помощью запятой.
   Тег назначения услуги	Это поле отображается при выборе типа назначения тега службы. Выберите теги для служб, которые вы хотите указать как место назначения. Смотрите Доступные теги службы для списка поддерживаемых тегов.
   Порт назначения	Введите один номер порта или диапазон портов, например (1024-65535). При определении более чем одного порта или диапазона портов отделяйте их запятой. Чтобы указать любой порт, введите *. Введите 3389 для этого примера.

3. Повторите шаги 1–3 еще раз, если вы хотите добавить дополнительные правила в коллекцию правил.

4. Когда вы удовлетворены всеми правилами, которые вы хотите создать, нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.

5. Затем нажмите Проверить и создать и Создать, чтобы завершить настройку безопасности.

Развертывание конфигурации администратора безопасности для блокировки сетевого трафика

В этом разделе правила, созданные при развертывании конфигурации администратора безопасности, вступают в силу.

1. Выберите "Развертывания" в разделе "Параметры", а затем выберите " Развернуть конфигурацию".
2. Установите флажок "Включить администратора безопасности в целевом состоянии" и выберите конфигурацию безопасности, которую вы создали в последнем разделе, из раскрывающегося меню. Затем выберите регионы, в которые вы хотите развернуть эту конфигурацию.
3. Нажмите «Далее» и «Развернуть», чтобы развернуть конфигурацию администратора безопасности.

Создание сетевой группы для правила исключения трафика

При блокировке трафика во всех виртуальных сетях необходимо исключение для разрешения трафика в определенные виртуальные сети. Вы создаете группу сети специально для виртуальных сетей, требующих исключения из другого правила администратора безопасности.

1. В диспетчере виртуальных сетей выберите "Группы сети" в разделе "Параметры".
2. Нажмите кнопку "+ Создать", введите имя для группы сети приложений и нажмите кнопку "Добавить".
3. В разделе "Определение динамического членства" выберите "Определить".
4. Введите или выберите значения, чтобы разрешить трафик виртуальной сети приложения.
5. Выберите Предварительный просмотр ресурсов, чтобы просмотреть включенную виртуальную сеть и выберите Закрыть.
6. Выберите Сохранить.

Создайте правило администратора безопасности для исключений трафика и коллекцию

В этом разделе описано, как создать коллекцию правил и правило администратора безопасности, которое позволяет трафику с высоким риском в подмножество виртуальных сетей, определенных в качестве исключений. Затем добавьте его в существующую конфигурацию администратора безопасности.

1. В диспетчере виртуальных сетей выберите "Конфигурации " и выберите конфигурацию безопасности.
2. Выберите коллекции правил в разделе "Параметры", а затем нажмите кнопку "Создать ", чтобы создать новую коллекцию правил.
3. На странице "Добавление коллекции правил" введите имя коллекции правил приложения и выберите созданную группу сети приложений.
4. В разделе правил администратора безопасности нажмите кнопку +Добавить.
5. Введите или выберите значения, позволяющие разрешить определенный сетевой трафик в группу сети приложений, и нажмите кнопку "Добавить " после завершения.
6. Повторите процесс добавления правила для всего трафика, требующего исключения.
7. Выберите Сохранить, когда вы закончите.

Повторное развертывание конфигурации администратора безопасности с правилом исключения

Чтобы применить новую коллекцию правил, повторно разверните конфигурацию администратора безопасности, так как она была изменена путем добавления коллекции правил.

1. В диспетчере виртуальных сетей выберите "Конфигурации".
2. Выберите конфигурацию администратора безопасности и выберите " Развернуть"
3. На странице "Развертывание конфигурации" выберите все целевые регионы, получающие развертывание и
4. Выберите Далее и Развернуть.

Следующие шаги

• Узнайте, как создать топологию ячеистой сети с помощью диспетчера виртуальных сетей Azure через портал Azure

• Ознакомьтесь с часто задаваемыми вопросами о менеджере виртуальной сети Azure