Beveiligingsbeheerdersregels in Azure Virtual Network Manager (preview)

  • Artikel
  • 2 minuten om te lezen

Azure Virtual Network Manager biedt twee verschillende typen configuraties die u in uw virtuele netwerken kunt implementeren, een van deze configuraties is een SecurityAdmin-configuratie. Een beveiligingsbeheerderconfiguratie bevat een set regelverzamelingen. Elke regelverzameling bevat een of meer beveiligingsbeheerdersregels. Vervolgens koppelt u de regelverzameling aan de netwerkgroepen waar u de beveiligingsbeheerdersregels op wilt toepassen.

Belangrijk

Azure Virtual Network Manager is momenteel beschikbaar als openbare preview. Deze preview-versie wordt aangeboden zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Supplemental Terms of Use for Microsoft Azure Previews (Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews) voor meer informatie.

Beveiligingsbeheerdersregels

Met een beveiligingsbeheerderregel kunt u beveiligingsbeleidscriteria afdwingen die voldoen aan de voorwaarden die zijn ingesteld. U kunt alleen beveiligingsbeheerregels definiëren voor resources binnen het bereik van het Azure Virtual Network Manager-exemplaar. Deze beveiligingsregels hebben een hogere prioriteit dan NSG-regels (netwerkbeveiligingsgroep) en worden geëvalueerd vóór NSG-regels. Houd er ook rekening mee dat beveiligingsbeheerdersregels uw NSG-regels niet wijzigen. Zie de onderstaande afbeelding.

Diagram van hoe verkeer wordt geëvalueerd met beveiligingsbeheerdersregels en NSG's.

Beveiligingsbeheerdersregels kunnen worden gebruikt om beveiligingsregels af te dwingen. Een beheerder kan bijvoorbeeld alle poorten met een hoog risico of protocol van internet weigeren met beveiligingsbeheerdersregels, omdat deze beveiligingsbeheerdersregels vóór alle NSG-regels worden geëvalueerd.

Belangrijk

Sommige services hebben beleidsregels voor netwerkintentie om ervoor te zorgen dat het netwerkverkeer naar behoefte werkt voor hun services. Wanneer u beveiligingsbeheerdersregels gebruikt, kunt u het beleid voor netwerkintentie dat voor deze services is gemaakt, breken. Als u bijvoorbeeld een beheerregel voor weigeren maakt, kan dit verkeer blokkeren dat is toegestaan door de SQL managed instance-service, die is gedefinieerd door het beleid voor netwerkintentie. Zorg ervoor dat u uw omgeving controleert voordat u een beveiligingsbeheerderconfiguratie gaat toepassen. Zie How can I explicitly allow SQLMI traffic before having deny rules (Hoe kan ik SQLMI-verkeerexpliciet toestaan voordat u regels voor weigeren hebt) voor meer informatie.

Hier volgen de velden die u kunt definiëren in een beveiligingsbeheerderregel:

Vereiste velden

Prioriteit

Prioriteit van beveiligingsregel wordt bepaald door een geheel getal tussen 0 en 99. Hoe lager de waarde, hoe hoger de prioriteit van de regel. Een regel voor weigeren met een prioriteit van 10 overschrijven bijvoorbeeld een regel voor toestaan met een prioriteit van 20.

Actie

U kunt een van de drie acties voor een beveiligingsregel definiëren:

  • Toestaan: hiermee staat u verkeer toe op de specifieke poort, het protocol en de bron-/doel-IP-voorvoegsels in de opgegeven richting.
  • Weigeren: blokkeer verkeer op de opgegeven poort, het protocol en de bron-/doel-IP-voorvoegsels in de opgegeven richting.
  • Altijd toestaan: ongeacht andere regels met een lagere prioriteit of door de gebruiker gedefinieerde NSG's, staat u verkeer toe op de opgegeven poort, het protocol en de bron-/doel-IP-voorvoegsels in de opgegeven richting.

Richting

U kunt de richting van het verkeer opgeven waarop de regel van toepassing is. U kunt binnenkomende of uitgaande definiëren.

Protocol

Protocollen die momenteel worden ondersteund met beveiligingsbeheerdersregels zijn:

  • TCP
  • UDP
  • ICMP
  • IHB
  • AH
  • Alle protocollen

Optionele velden

Bron- en doeltypen

  • IP-adressen: u kunt IPv4- of IPv6-adressen of adresblokken in CIDR-notatie verstrekken. Als u meerdere IP-adressen wilt gebruiken, moet u elk IP-adres scheiden met een komma.
  • Servicetag: u kunt specifieke servicetags definiëren op basis van regio's of een hele service. Zie Beschikbare servicetagsvoor de lijst met ondersteunde tags.

Bron- en doelpoorten

U kunt specifieke algemene poorten definiëren die moeten worden geblokkeerd vanaf de bron of naar het doel. Hieronder vindt u een lijst met algemene TCP-poorten:

Poorten Servicenaam
20, 21 FTP
22 SSH
23 Telnet
25 SMTP
53 DNS
80 HTTP
443 HTTPS
3389 RDP

Volgende stappen

Meer informatie over het blokkeren van netwerkverkeer met een SecurityAdmin-configuratie.