استخدام مجموعات أمان الشبكة للتحكم في الوصول إلى الشبكة
كجزء من مشروع نقل نظام ERP الخاص بك إلى Azure، ينبغي عليك التأكد من أن الخوادم معزولة بشكل مناسب، بحيث يمكن للأنظمة المسموح بها فقط إجراء اتصالات الشبكة. على سبيل المثال، لديك خوادم قواعد بيانات تقوم بتخزين البيانات لتطبيق ERP الخاص بك. تريد حظر الأنظمة المحظورة من الاتصال بالخوادم عبر الشبكة، مع السماح لخوادم التطبيقات بالاتصال بخوادم قواعد البيانات.
مجموعات أمان الشبكة
تقوم مجموعات أمان الشبكة بتصفية نسبة استخدام الشبكة من موارد Azure وإليها. تحتوي أيضًا على قواعد الأمان التي تقوم بتكوينها للسماح أو لرفض نسبة الاستخدام الصادرة والواردة. يمكنك استخدام مجموعات أمان الشبكة لتصفية نسبة الاستخدام بين الأجهزة الظاهرية أو الشبكات الفرعية، سواء داخل شبكة ظاهرية أو من الإنترنت.
تعيين مجموعة أمان الشبكة وتقييمها
يتم تعيين مجموعات أمان الشبكة إلى واجهة شبكة أو شبكة فرعية. عند تعيين مجموعة أمان شبكة إلى شبكة فرعية، يتم تطبيق القواعد على كافة واجهات الشبكة في تلك الشبكة الفرعية. يمكنك تقييد نسبة الاستخدام بشكل أكبر عن طريق إقران مجموعة أمان شبكة بواجهة شبكة الجهاز الظاهري.
عند تطبيق مجموعات أمان شبكة الاتصال على كل من الشبكة الفرعية وواجهة شبكة اتصال، يتم تقييم كل مجموعة أمان شبكة بشكل مستقل. يتم أولاً تقييم نسبة الاستخدام الواردة من قبل مجموعة أمان الشبكة المطبقة على الشبكة الفرعية، ثم بواسطة مجموعة أمان الشبكة المطبقة على واجهة الشبكة. وعلى العكس، يتم أولاً تقييم نسبة الاستخدام الصادرة من جهاز ظاهري بواسطة مجموعة أمان الشبكة المطبقة على واجهة الشبكة، ثم بواسطة مجموعة أمان الشبكة المطبقة على الشبكة الفرعية.
يمكن أن يؤدي تطبيق مجموعة أمان الشبكة على شبكة فرعية بدلاً من واجهات الشبكة الفردية إلى تقليل جهود الإدارة والتشغيل. يضمن هذا النهج أيضًا أن جميع الأجهزة الظاهرية داخل الشبكة الفرعية المحددة مؤمنة بنفس مجموعة القواعد.
يمكن أن يكون لكل شبكة فرعية وواجهة شبكة مجموعة أمان شبكة واحدة مطبقة عليها. تدعم مجموعات أمان الشبكات TCP وUDP وICMP وتعمل في الطبقة 4 من طراز OSI.
في سيناريو شركة التصنيع هذا، يمكن أن تساعدك مجموعات أمان الشبكة في تأمين الشبكة. يمكنك التحكم في أجهزة الكمبيوتر التي يمكنها الاتصال بخوادم التطبيقات الخاصة بك. يمكنك تكوين مجموعة أمان الشبكة بحيث يمكن فقط لمجموعة محددة من عناوين IP الاتصال بالخوادم. يمكنك تأمين ذلك بشكل أكبر من خلال السماح فقط بالوصول إلى منافذ معينة أو منها، أو من عناوين IP الفردية. ويمكن تطبيق هذه القواعد على الأجهزة التي تتصل عن بعد من الشبكات المحلية، أو بين الموارد داخل Azure.
قواعد الأمان
تحتوي مجموعة أمان الشبكة على قاعدة أمان واحدة أو أكثر. تكوين قواعد الأمان للسماح أو لرفض نسبة الاستخدام.
يكون للقواعد خصائص متعددة:
| الخاصية | التوضيح |
|---|---|
| الاسم | اسم فريد داخل مجموعة أمان الشبكة. |
| أولوية | رقم بين 100 و4096. |
| المصدر والوجهة | أي، أو عنوان IP فردي، كتلة classless inter-domain routing (CIDR) (10.0.0.0/24 على سبيل المثال)، أو علامة الخدمة، أو مجموعة أمان التطبيقات. |
| البروتوكول | TCP أو UDP أو أي بروتوكول آخر. |
| الاتجاه | ما إذا كانت القاعدة تنطبق على نسبة استخدام الشبكة الواردة أو الصادرة. |
| نطاق المنفذ | منفذ فردي أو نطاق من المنافذ. |
| إجراء | السماح بنسبة الاستخدام أو رفضها. |
يتم تقييم قواعد أمان مجموعة أمان الشبكة حسب الأولوية، باستخدام معلومات المجموعة الخمس (المصدر، منفذ المصدر، الوجهة، منفذ الوجهة، البروتوكول) للسماح أو لرفض نسبة الاستخدام. عندما تتطابق شروط قاعدة مع تكوين الجهاز، تتوقف معالجة القاعدة.
على سبيل المثال، لنفترض أن الشركة قد أنشأت قاعدة أمان للسماح بنسبة الاستخدام الواردة على المنفذ 3389 (RDP) إلى خوادم الويب، مع أولوية 200. بعد ذلك، لنفترض أن مسؤولاً آخر قام بإنشاء قاعدة لرفض نسبة الاستخدام الواردة على المنفذ 3389، مع أولوية 150. تكون لقاعدة الرفض الأسبقية في التنفيذ، لأنها تتم معالجتها أولاً. تتم معالجة القاعدة ذات الأولوية 150 قبل القاعدة ذات الأولوية 200.
مع مجموعات أمان الشبكة، تكون الاتصالات مناسبة جدًا. يُسمح تلقائيًا بحركة العودة لنفس جلسة TCP / UDP. على سبيل المثال، تسمح قاعدة واردة تسمح لنسبة الاستخدام على المنفذ 80 للجهاز الظاهري بالاستجابة إلى الطلب (عادةً على منفذ موسمي). لا تحتاج إلى قاعدة صادرة مقابلة.
وفيما يتعلق بنظام تخطيط موارد المؤسسات (ERP)، تتصل خوادم الويب لتطبيق تخطيط موارد المؤسسات بخوادم قاعدة البيانات الموجودة في الشبكات الفرعية الخاصة بها. ويمكنك تطبيق قواعد الأمان للإشارة إلى أن الاتصال الوحيد المسموح به من خوادم الويب إلى خوادم قاعدة البيانات هو المنفذ 1433 لاتصالات قاعدة بيانات SQL Server. وسيتم رفض كافة نسبة الاستخدام الأخرى إلى خوادم قاعدة البيانات.
قواعد الأمان الافتراضية
عند إنشاء مجموعة أمان شبكة اتصال، يقوم Azure بإنشاء عدة قواعد افتراضية. لا يمكن تغيير هذه القواعد الافتراضية، ولكن يمكن منعها باستخدام القواعد الخاصة بك. تسمح هذه القواعد الظاهرية بالاتصال داخل شبكة ظاهرية ومن موازنات تحميل Azure. كما أنها تسمح بالاتصالات الصادرة إلى شبكة الإنترنت، ولا تسمح بنسبة الاستخدام الواردة من الإنترنت.
وتكون القواعد الافتراضية لنسبة الاستخدام الواردة كالتالي:
| أولوية | اسم القاعدة | الوصف |
|---|---|---|
| 65000 | AllowVnetInbound | السماح بالواردة القادمة من أي VM إلى أي VM داخل الشبكة الفرعية. |
| 65001 | AllowAzureLoadBalancerInbound | السماح بحركة المرور من موازن التحميل الظاهري إلى أي VM داخل الشبكة الفرعية. |
| 65500 | DenyAllInBound | رفض نسبة الاستخدام من أي مصدر خارجي إلى أي من الأجهزة الظاهرية. |
وتكون القواعد الافتراضية لنسبة الاستخدام الصادرة كالتالي:
| أولوية | اسم القاعدة | الوصف |
|---|---|---|
| 65000 | AllowVnetOutbound | السماح بنسبة الاستخدام الصادرة بالانتقال من أي جهاز ظاهري إلى أي جهاز ظاهري آخر داخل الشبكة الفرعية. |
| 65001 | AllowInternetOutbound | السماح لحركة المرور الصادرة بالذهاب إلى الإنترنت من أي VM. |
| 65500 | الرفض | رفض نسبة الاستخدام من أي جهاز ظاهري داخلي إلى نظام خارج شبكة الاتصال الظاهرية. |
قواعد الأمان المعززة
يمكنك استخدام قواعد الأمان المعززة لمجموعات أمان الشبكة لتبسيط إدارة عدد كبير من القواعد. كما تساعد قواعد الأمان المعززة عند الحاجة إلى تطبيق مجموعات أكثر تعقيدًا من قواعد الشبكة. وتمكنك القواعد المعززة من إضافة الخيارات التالية إلى قاعدة أمان واحدة:
- عناوين IP متعددة
- منافذ متعددة
- علامات الخدمة
- مجموعات أمان التطبيقات
لنفترض أن شركتك ترغب في تقييد الوصول إلى الموارد في مركز البيانات الخاص بك، المنتشرة عبر عدة نطاقات عناوين شبكة. يمكنك باستخدام القواعد المعززة إضافة كافة هذه النطاقات إلى قاعدة واحدة، مما يقلل من الحمل الإداري والتعقيد في مجموعات أمان الشبكة.
علامات الخدمة
ويمكنك استخدام علامات الخدمة لتبسيط أمان مجموعة أمان الشبكة أكثر من ذلك. ويمكنك السماح أو رفض نسبة الاستخدام لخدمة معينة من خدمات Azure، سواء على مستوى العالم أو لكل منطقة.
تعمل علامات الخدمة على تبسيط الأمان للأجهزة الظاهرية وشبكات Azure الظاهرية، من خلال السماح بتقييد الوصول عن طريق الموارد أو الخدمات. تمثل علامات الخدمة مجموعة من عناوين IP، وتساعد في تبسيط تكوين قواعد الأمان الخاصة بك. بالنسبة إلى الموارد التي يمكنك تحديدها باستخدام علامة، لا تحتاج إلى معرفة عنوان IP أو تفاصيل المنفذ.
ويمكنك تقييد الوصول إلى العديد من الخدمات. تقوم Microsoft بإدارة علامات الخدمة، أي أنه لا يمكنك إنشاء علاماتك الخاصة. وتأتي بعض الأمثلة على العلامات كالتالي:
- VirtualNetwork - يمثل كافة عناوين الشبكة الظاهرية في أي مكان في Azure، وفي شبكتك المحلية إذا كنت تستخدم الاتصال المختلط.
- AzureLoadBalancer - يشير إلى موازن تحميل البنية الأساسية لـ Azure. تُترجم العلامة إلى عنوان IP الظاهري للمضيف (168.63.129.16) حيث تنشأ تحقيقات سلامة Azure.
- الإنترنت - يمثل أي شيء خارج عنوان الشبكة الظاهرية التي يمكن الوصول إليها بشكل عام، بما في ذلك الموارد التي تحتوي على عناوين IP العامة. أحد هذه الموارد هو ميزة تطبيقات الويب لخدمة تطبيقات Azure.
- AzureTrafficManager - يمثل عنوان IP لبرنامج Azure Traffic Manager.
- التخزين - يمثل مساحة عنوان IP لـ Azure Storage. ويمكنك تحديد ما إذا كانت نسبة الاستخدام مسموحًا بها أو مرفوضة. ويمكنك أيضًا تحديد ما إذا كان الوصول مسموحًا به فقط لمنطقة معينة، ولكن لا يمكنك تحديد حسابات تخزين فردية.
- SQL - يمثّل عنوانًا لقاعدة بيانات Azure SQL وقاعدة بيانات Azure لـ MySQL وقاعدة بيانات Azure لخدمات PostgreSQL وخدمات Azure Synapse Analytics. ويمكنك تحديد ما إذا كانت نسبة الاستخدام مسموحًا بها أو مرفوضة، ويمكنك تحديد منطقة معينة.
- AppService - تمثل بادئات العناوين لخدمة تطبيق Azure.
مجموعات أمان التطبيقات
تتيح مجموعات أمان التطبيقات تكوين أمان الشبكة للموارد التي تستخدمها تطبيقات معينة. ويمكنك تجميع الأجهزة الظاهرية بشكل منطقي، بغض النظر عن عنوان IP أو تعيين الشبكة الفرعية الخاصة بهم.
استخدم مجموعات أمان التطبيقات داخل مجموعة أمان الشبكة لتطبيق قاعدة أمان على مجموعة من الموارد. يسهل نشر أحمال العمل لتطبيقات معينة وتوسيع نطاقها. ما عليك سوى إضافة نشر جهاز ظاهري جديد إلى إحدى مجموعات أمان التطبيقات أو أكثر، ويقوم الجهاز الظاهري هذا تلقائيًا باختيار قواعد الأمان الخاصة بك لحمل العمل هذا.
وتُمكنك مجموعة أمان التطبيقات من تجميع واجهات شبكة الاتصال معًا. يمكنك بعد ذلك استخدام مجموعة أمان التطبيقات هذه كقاعدة مصدر أو وجهة ضمن مجموعة أمان شبكة.
على سبيل المثال، لدى شركتك عدد من خوادم الواجهة الأمامية في شبكة ظاهرية. ينبغي أن تكون خوادم الويب قابلة للوصول عبر المنفذين 80 و8080. ينبغي أن تكون خوادم قاعدة البيانات قابلة للوصول عبر المنفذ 1433. تعيين واجهات الشبكة لخوادم الويب لإحدى مجموعات أمان التطبيقات، وواجهات الشبكة لخوادم قاعدة البيانات لمجموعة أمان تطبيقات أخرى. ثم إنشاء قاعدتين واردتين في مجموعة أمان الشبكة. تسمح إحدى القواعد بنسبة استخدام HTTP إلى جميع الخوادم في مجموعة أمان تطبيقات خادم الويب. وتسمح القاعدة الأخرى بنسبة استخدام SQL على كافة الخوادم في مجموعة أمان تطبيق خادم الويب.
بدون مجموعات أمان التطبيقات، ستحتاج إلى إنشاء قاعدة منفصلة لكل جهاز ظاهري أو إضافة مجموعة أمان شبكة إلى شبكة فرعية، ثم إضافة جميع الأجهزة الظاهرية إلى تلك الشبكة الفرعية.
تكمن الفائدة الرئيسية لمجموعات أمان التطبيقات في سهولة الإدارة. ويمكنك إضافة واجهات شبكة وإزالتها من مجموعة أمان التطبيقات في أثناء نشر خوادم التطبيقات أو إعادة نشرها بسهولة. ويمكنك أيضًا تطبيق قواعد جديدة ديناميكيًا على مجموعة أمان التطبيقات، والتي يتم تطبيقها تلقائيًا بعد ذلك على جميع الأجهزة الظاهرية في مجموعة أمان التطبيقات هذه.
متى تستخدم مجموعات أمان الشبكة؟
وكأفضل ممارسة، ينبغي عليك دائمًا استخدام مجموعات أمان الشبكة للمساعدة في حماية الأصول المتصلة بالشبكة من نسبة الاستخدام غير المرغوب فيه. وتمنحك مجموعات أمان الشبكة وصولاً دقيقًا للتحكم عبر طبقة الشبكة، دون التعقيد المحتمل لإعداد قواعد الأمان لكل جهاز ظاهري أو شبكة ظاهرية.
هل تحتاج إلى مساعدة؟ راجع دليل استكشاف الأخطاء وإصلاحها الذي نقدمه أو يمكنك توفير ملاحظات معينة عبر الإبلاغ عن مشكلة.