إعدادات الشبكة والأمان

  • 10 دقائق

من الشائع إجراء تعديلات على تكوين الخادم باستخدام أجهزة تتوفر في بيئتك الداخلية. وبذلك، يمكنك التفكير في أجهزة Azure VM لتُشكل امتداداً من هذه البيئة. يمكنك تغيير التكوين، وإدارة الشبكات، وفتح نسبة استخدام الشبكة أو حظرها وغير ذلك المزيد من خلال أدوات مدخل Azure، أو Azure CLI أو Azure PowerShell.

لدينا خادمنا الذي يعمل، وApache مُثبت ويخدم الصفحات. يطلب فريق الأمان لدينا إغلاق جميع خوادمنا، ولم نقم بأي شيء لهذا الجهاز الظاهري حتى الآن. لم نفعل أي شيء، وسمح لـ Apache بالاستماع على المنفذ 80. لنستكشف تكوين شبكة Azure لمعرفة كيفية استخدام دعم الأمان المدمج لتقوية خادمنا.

افتح المنافذ في Azure VMs

تُقفل أجهزة VM الجديدة بصورة افتراضية.

يمكن للتطبيقات إجراء طلبات صادرة، ولكن حركة المرور الواردة الوحيدة المسموح بها هي من الشبكة الظاهرية (على سبيل المثال، الموارد الأخرى الموجودة على الشبكة المحلية نفسها) ومن Azure Load Balancer (عمليات الفحص الدقيقة).

هناك خطوتان لضبط التكوين لدعم البروتوكولات المختلفة على الشبكة. عند إنشاء جهاز ظاهري جديد، تتوفر لديك فرصة لفتح عدد قليل من المنافذ الشائعة (RDP وHTTP وHTTPS وSSH). ولكن، إذا طلبت تغييرات أخرى في جدار الحماية، فستحتاج إلى تعديلها يدوياً.

تتضمن هذه العملية خطوتين هما:

  • إنشاء مجموعة أمان الشبكة.
  • إنشاء قاعدة واردة تسمح بنسبة استخدام الشبكة على المنافذ التي تحتاجها.

ما مجموعة أمان الشبكة؟

الشبكات الظاهرية (VNets) هي أساس نموذج شبكة Azure وتوفر العزل والحماية. مجموعات أمان الشبكة (NSGs) هي الأداة الأساسية التي تستخدمها لتنفيذ قواعد نسبة استخدام الشبكة والتحكم فيها على مستوى الشبكة. تُمثل مجموعات NSG طبقة حماية اختيارية توفر جدار حماية للبرنامج من خلال تصفية حركة المرور الواردة والصادرة على VNet.

يمكن ربط مجموعات الأمان بواجهة شبكة (لكل قواعد مضيف)، أو شبكة فرعية في الشبكة الظاهرية (لتطبيقها على موارد متعددة)، أو كلا المستويين.

قواعد مجموعة الأمان

تستخدم مجموعات أمان الشبكة القواعد للسماح بنسبة الاستخدام عبر الشبكة أو رفضها. تُحدد كل قاعدة عنوان الوجهة والمصدر (أو النطاق)، والبروتوكول، والمنفذ (أو النطاق)، والاتجاه (وارد أو صادر)، والأولوية الرقمية، وما إذا كان سيتم السماح بحركة المرور التي تتماشى مع القاعدة أم سيتم رفضها.

An illustration showing the architecture of network security groups in two different subnets. In one subnet, there are two virtual machines, each with their own network interface rules. The subnet itself has a set of rules that applies to both the virtual machines.

تحتوي كل مجموعة أمان على مجموعة قواعد أمان افتراضية تُطبق على قواعد الشبكة الافتراضية الموضحة مسبقاً. لا يمكن تعديل تلك القواعد الافتراضية ولكن يمكن تجاوزها.

كيف تستخدم Azure قواعد الشبكة

بالنسبة إلى حركة المرور الواردة، تُعالج Azure مجموعة الأمان المرتبطة بالشبكة الفرعية ثم مجموعة الأمان المطبقة على واجهة الشبكة. يتم التعامل مع نسبة استخدام الشبكة الصادرة بالترتيب العكسي (واجهة الشبكة أولاً، متبوعة بالشبكة الفرعية).

تحذير

ضع في اعتبارك أن مجموعات الأمان اختيارية على المستويين كليهما. إذا لم يتم تطبيق مجموعة أمان، فستسمح Azure بجميع نسب استخدام الشبكة. إذا كان الجهاز الظاهري يحتوي على عنوان IP عام، فقد يُشكل هذا خطراً كبيراً، خاصة إذا كان نظام التشغيل لا يوفر جدار حماية مضمناً.

يتم تقييم القواعد وفقاً لترتيب الأولوية، ويبدأ بالقاعدة الأقل أولوية. دائماً ما توقف قواعد الرفض التقييم. على سبيل المثال، إذا كانت قاعدة واجهة الشبكة تحظر طلباً صادراً، فلن يتم التحقق من أي قواعد مطبقة على الشبكة الفرعية. ليتم السماح بنسبة استخدام الشبكة عبر مجموعة الأمان، يجب أن تمر عبر جميع المجموعات المطبقة.

دائماً ما تكون القاعدة الأخيرة قاعدة رفض الجميع. هذه قاعدة افتراضية تُضاف إلى كل مجموعة أمان لحركة المرور الواردة والصادرة وتبلغ درجة أولويتها 65500. يعني ذلك أنه من أجل مرور نسبة استخدام الشبكة عبر مجموعة الأمان، يجب أن تكون لديك قاعدة سماح، وإلا ستحظرها القاعدة الافتراضية الأخيرة.

ملاحظة

SMTP (المنفذ 25) حالة خاصة. وفقاً لمستوى اشتراكك ووقت إنشاء حسابك، قد يتم حظر نسبة استخدام شبكة SMTP الصادرة. يمكنك طلب إزالة هذا التقييد بالتبرير بالأعمال التجارية.

إنشاء مجموعات أمان الشبكة

مجموعات الأمان هي موارد مُدارة مثل معظم الأشياء في Azure. يمكنك إنشاؤها في مدخل Azure أو عبر أدوات البرمجة النصية لسطر الأوامر. يتمثّل التحدي في تحديد القواعد. لنُلقِ نظرة على تحديد قاعدة جديدة للسماح بوصول HTTP وحظر كل شيء آخر.