Pravidla správce zabezpečení v Azure Virtual Network Manageru (Preview)
Azure Virtual Network Manager nabízí dva různé typy konfigurací, které můžete nasadit v rámci svých virtuálních sítí, jedna z nich je SecurityAdmin konfigurace. Konfigurace Správce zabezpečení obsahuje sadu kolekcí pravidel. Každá kolekce pravidel obsahuje jedno nebo více pravidel správce zabezpečení. Pak přidružíte kolekci pravidel ke skupinám sítě, na které chcete použít pravidla správce zabezpečení.
Důležité
Azure Virtual Network Manager je momentálně ve verzi Public Preview. Tato verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro úlohy v produkčním prostředí. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Pravidla správce zabezpečení
Pravidlo správce zabezpečení vám umožní vyhodnotit kritéria zásad zabezpečení, která splňují nastavené podmínky. Můžete definovat jenom pravidla správy zabezpečení pro prostředky v rámci oboru instance služby Azure Virtual Network Manager. Tato pravidla zabezpečení mají vyšší prioritu než pravidla skupiny zabezpečení sítě (NSG) a vyhodnotí se před pravidly NSG. Všimněte si také, že pravidla správce zabezpečení nemění pravidla NSG. Viz následující obrázek.
K prosazování pravidel zabezpečení lze použít pravidla správce zabezpečení. Správce může například Odepřít všechny vysoce rizikové porty nebo protokol z Internetu pomocí pravidel správce zabezpečení, protože tato pravidla správce zabezpečení budou vyhodnocena před všemi NSG pravidly.
Důležité
Některé služby mají zásady záměru sítě, aby bylo zajištěno, že síťový provoz funguje podle potřeby pro své služby. Při použití pravidel správce zabezpečení byste mohli narušit zásady záměru sítě vytvořené pro tyto služby. například vytvoření pravidla odepřít správce může blokovat provoz, který povoluje služba SQL managed instance , která je definována zásadami záměru sítě. Než použijete konfiguraci Správce zabezpečení, nezapomeňte zkontrolovat prostředí. Další informace najdete v tématu Jak mohu explicitně povolit provoz SQLMI před tím, než budou pravidla zamítnutí.
Níže jsou pole, která můžete definovat v pravidle správce zabezpečení:
Povinná pole
Priorita
Priorita pravidla zabezpečení je určena celým číslem v rozmezí 0 až 99. Čím nižší hodnota je vyšší Priorita pravidla. Například pravidlo Odepřít s prioritou 10 přepíše pravidlo Povolit s prioritou 20.
Akce
Můžete definovat jednu ze tří akcí pro pravidlo zabezpečení:
- Povolit: povolí přenos na konkrétní port, protokol a PŘEDPONY IP adresy zdroje a cíle v zadaném směru.
- Odepřít: zablokuje přenos na zadaný port, protokol a předpony zdrojového nebo cílového IP adresy v zadaném směru.
- Vždy povoleno: bez ohledu na další pravidla s nižší prioritou nebo uživatelsky definovaným skupin zabezpečení sítě povolte provoz na zadaném portu, protokolu a PŘEDPONÁCH IP adresy zdroje a cíle v zadaném směru.
Směr
Můžete zadat směr provozu, pro který se pravidlo vztahuje. Můžete definovat buď příchozí, nebo odchozí.
Protokol
V současné době jsou podporovány v pravidlech správce zabezpečení:
- TCP
- UDP
- ICMP
- ŠIFROVANÉ
- PROTOKOL
- Jakékoli protokoly
Volitelná pole
Zdrojové a cílové typy
- IP adresy: v zápisu CIDR můžete zadat adresy IPv4 nebo IPv6 nebo bloky adresy IPv6. Chcete-li zobrazit seznam více IP adres, oddělte jednotlivé IP adresy čárkou.
- Značka služby: můžete definovat konkrétní značky služby na základě oblastí nebo celé služby. Seznam podporovaných značek najdete v části dostupné značky služby.
Zdrojové a cílové porty
Můžete definovat konkrétní společné porty pro blokování ze zdroje nebo do cíle. Seznam běžných portů TCP najdete níže:
| Porty | Název služby |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | Protokol RDP |
Další kroky
Naučte se blokovat síťový provoz s konfigurací SecurityAdmin.