Netwerkbeveiligingsgroepen

U kunt een Azure-netwerk beveiligings groep gebruiken voor het filteren van netwerk verkeer naar en van Azure-resources in een virtueel Azure-netwerk. Een netwerk beveiligings groep bevat beveiligings regels voor het toestaan of weigeren van binnenkomend netwerk verkeer naar of uitgaand netwerk verkeer van verschillende typen Azure-resources. Voor elke regel kunt u de bron en het doel, de poort en het protocol opgeven.

In dit artikel worden de eigenschappen van een regel voor de netwerk beveiligings groep, de standaard beveiligings regels die worden toegepast en de regel eigenschappen beschreven die u kunt wijzigen om een uitgebreide beveiligings regelte maken.

Beveiligings regels

Een netwerkbeveiligingsgroep bevat nul regels of zoveel regels als u wilt binnen de limieten van uw Azure-abonnement. Elke regel geeft de volgende eigenschappen aan:

Eigenschap Uitleg
Naam Een unieke naam binnen de netwerkbeveiligingsgroep.
Prioriteit Een getal tussen 100 en 4096. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd. Daardoor worden regels met een lagere prioriteit (een hoger getal) die dezelfde kenmerken hebben als regels met een hogere prioriteit, niet verwerkt.
Bron of doel Een IP-adres, CIDR-blok (bijvoorbeeld 10.0.0.0/24), servicetag of toepassingsbeveiligingsgroep. Als u een adres opgeeft voor een Azure-resource, geeft u het privé-IP-adres op dat aan de resource is toegewezen. Netwerkbeveiligingsgroepen worden verwerkt nadat Azure een openbaar IP-adres vertaalt naar een privé-IP-adres voor binnenkomend verkeer en voordat Azure een privé-IP-adres naar een openbaar IP-adres voor uitgaand verkeer vertaalt. . Als u een bereik, servicetag of toepassingsbeveiligingsgroep opgeeft, hoeft u minder beveiligingsregels te maken. De mogelijkheid om meerdere afzonderlijke IP-adressen en-bereiken op te geven (u kunt niet meerdere service tags of toepassings groepen opgeven) in een regel worden uitgebreide beveiligings regelsgenoemd. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere IP-adressen en IP-adresbereiken opgeven in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel.
Protocol TCP, UDP, ICMP, ESP, AH of any.
Richting Hiermee wordt aangegeven of de regel van toepassing is op binnenkomend of uitgaand verkeer.
Poortbereik U kunt één poort of een poortbereik opgeven. U kunt bijvoorbeeld 80 of 10000-10005 opgeven. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere poorten of poortbereiken opgeven in dezelfde beveiligingsregel in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel.
Bewerking Toestaan of weigeren

Beveiligingsregels voor netwerkbeveiligingsgroepen worden op prioriteit geëvalueerd op basis van de 5 tuple-gegevens (bron, bronpoort, doel, doelpoort en protocol) voor het toestaan of weigeren van het verkeer. U kunt niet twee beveiligings regels maken met dezelfde prioriteit en richting. Voor bestaande verbindingen wordt een stroomrecord gemaakt. Communicatie wordt toegestaan of geweigerd op basis van de verbindingsstatus van de stroomrecord. Met de stroomrecord wordt een netwerkbeveiligingsgroep toegestaan stateful te zijn. Als u bijvoorbeeld een beveiligingsregel voor uitgaand verkeer opgeeft voor elk adres via poort 80, hoeft u geen beveiligingsregel voor binnenkomend verkeer op te geven voor de reacties op het uitgaande verkeer. U hoeft alleen een beveiligingsregel voor binnenkomend verkeer op te geven als de communicatie extern is gestart. Het omgekeerde geldt ook. Als binnenkomend verkeer via een poort is toegestaan, is het niet nodig om een beveiligingsregel voor uitgaand verkeer op te geven om te reageren op verkeer via die poort.

Bestaande verbindingen kunnen niet worden onderbroken wanneer u een beveiligingsregel verwijdert die de stroom mogelijk heeft gemaakt. Verkeersstromen worden onderbroken wanneer er verbindingen worden gestopt en er gedurende minstens een paar minuten in beide richtingen geen verkeer stroomt.

Er gelden beperkingen voor het aantal beveiligingsregels dat u in een netwerkbeveiligingsgroep kunt maken. Zie Netwerkenlimieten voor meer informatie.

Standaard beveiligings regels

Azure maakt de volgende standaardregels in elke netwerkbeveiligingsgroep die u maakt:

Inkomend

AllowVNetInBound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Alle Toestaan
AllowAzureLoadBalancerInBound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Alle Toestaan
DenyAllInbound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Alle Weigeren

Uitgaand

AllowVnetOutBound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Alle Toestaan
AllowInternetOutBound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Alle Toestaan
DenyAllOutBound
Prioriteit Bron Bronpoorten Doel Doelpoorten Protocol Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Alle Weigeren

In de kolommen Bron en Doel zijn VirtualNetwork, AzureLoadBalancer en Internetservicetags in plaats van IP-adressen. In de kolom Protocol omvat elk het TCP, UDP en ICMP. Wanneer u een regel maakt, kunt u TCP, UDP, ICMP of any opgeven. 0.0.0.0/0 in de kolommen Bron en Doel vertegenwoordigt alle adressen. Clients als Azure Portal, Azure CLI of Power shell kunnen * of een wille keurige voor deze expressie gebruiken.

U kunt de standaardregels niet verwijderen, maar u kunt ze negeren door regels te maken met een hogere prioriteit.

Uitgebreide beveiligings regels

Uitgebreide beveiligingsregels vereenvoudigen de beveiligingsdefinitie voor virtuele netwerken, zodat u een uitgebreider en complexer netwerkbeveiligingsbeleid kunt definiëren met minder regels. U kunt meerdere poorten en meerdere expliciete IP-adressen en -bereiken combineren tot één gemakkelijk te begrijpen beveiligingsregel. U kunt uitgebreide regels gebruiken in de velden voor bron, doel en poort van een regel. Om het onderhoud van de definitie van uw beveiligingsregel te vereenvoudigen, kunt u uitgebreide beveiligingsregels combineren met servicetags of toepassingsbeveiligingsgroepen. Er zijn limieten voor het aantal adressen, bereiken en poorten die u in een regel kunt opgeven. Zie Netwerkenlimieten voor meer informatie.

Servicetags

Een servicetag vertegenwoordigt een groep IP-adres voorvoegsels van een bepaalde Azure-service. Zo kunt u de complexiteit van regel matige updates voor netwerk beveiligings regels minimaliseren.

Zie Azure service Tags(Engelstalig) voor meer informatie. Zie netwerk toegang tot PaaS-resources beperkenvoor een voor beeld van het gebruik van het tag Storage-service om netwerk toegang te beperken.

Toepassingsbeveiligingsgroepen

Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen. U kunt het beveiligingsbeleid op grote schaal opnieuw gebruiken zonder handmatig onderhoud van expliciete IP-adressen. Zie toepassings beveiligings groepenvoor meer informatie.

Overwegingen bij het Azure-platform

  • Virtueel IP-adres van het host-knoop punt: basis infrastructuur services zoals DHCP, DNS, IMDS en status controle worden verschaft via de gevirtualiseerde host-IP-adressen 168.63.129.16 en 169.254.169.254. Deze IP-adressen zijn van Microsoft en zijn de enige gevirtualiseerde IP-adressen die in alle regio's voor dit doel worden gebruikt. De juiste beveiligings regels en de juiste routes bevatten deze platform regels niet. Als u deze basis infrastructuur communicatie wilt overschrijven, kunt u een beveiligings regel voor het weigeren van verkeer maken met behulp van de volgende service Tags in de regels voor de netwerk beveiligings groep: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Meer informatie over het vaststellen van het filteren van netwerk verkeer en het diagnosticeren van netwerk routering.

  • Licentieverlening (Key Management Service): voor alle Windows installatiekopieën die op virtuele machines worden uitgevoerd, is een licentie vereist. Hiervoor wordt een licentieaanvraag verstuurd naar de Key Management Service-hostservers waarop dergelijke query's worden afgehandeld. De uitgaande aanvraag wordt gedaan via poort. 1688. Voor implementaties die gebruikmaken van een configuratie met de standaardroute 0.0.0.0/0, wordt deze platformregel uitgeschakeld.

  • Virtuele machines in groepen met gelijke taakverdeling: de bronpoort en het bronadresbereik die worden toegepast, zijn die van de oorspronkelijke computer, niet van de load balancer. De doelpoort en het doeladresbereik zijn die van de doelcomputer, niet van de load balancer.

  • Azure-service-exemplaren: exemplaren van verschillende Azure-services, zoals HDInsight, toepassingsserviceomgevingen en virtuele-machineschaalsets, worden geïmplementeerd in virtuele netwerksubnetten. Zie Virtueel netwerk voor Azure-services voor een volledige lijst met services die u in virtuele netwerken kunt implementeren. Zorg ervoor dat u vertrouwd raakt met de poortvereisten voor elke service voordat u een netwerkbeveiligingsgroep toepast op het subnet waarin de resource is geïmplementeerd. Als u poorten weigert die vereist zijn voor de service, werkt de service niet naar behoren.

  • Verzenden van uitgaande e-mail: micro soft raadt u aan om GEVERIFIEERDe SMTP-relay-Services (meestal verbonden via TCP-poort 587, maar ook vaak andere) te gebruiken om e-mail te verzenden vanuit Azure virtual machines. SMTP-relayservices leggen zich toe op de reputatie van de afzender, om zo de kans dat e-mailproviders van derden berichten weigeren, tot het uiterste terug te dringen. Dergelijke SMTP-relayservices omvatten, maar beperken zich niet tot Exchange Online Protection en SendGrid. Het gebruik van de SMTP-relayservices wordt in Azure op geen enkele wijze beperkt, ongeacht welk type abonnement u hebt.

    Als u uw Azure-abonnement vóór 15 november 2017 hebt gemaakt, kunt u naast de mogelijkheid om gebruik te maken van SMTP-relayservices ook rechtstreeks e-mail verzenden via TCP-poort 25. Als u uw abonnement na 15 november 2017 hebt gemaakt kunt u mogelijk geen e-mail rechtstreeks via poort 25 verzenden. Hoe uitgaande communicatie via poort 25 verloopt, hangt als volgt samen met het type abonnement dat u hebt:

    • Enterprise Overeenkomst: communicatie via poort 25 is toegestaan. U kunt een uitgaand e-mail bericht rechtstreeks van virtuele machines naar externe e-mail providers verzenden, zonder beperkingen van het Azure-platform.
    • Betalen naar gebruik: communicatie via uitgaande poort 25 is voor alle resources geblokkeerd. Als u e-mail vanaf een virtuele machine rechtstreeks naar de externe e-mailproviders wilt verzenden (niet via een geverifieerde SMTP-relay), kunt u een aanvraag indienen om de beperking op te heffen. Het is aan Microsoft om te bepalen of aanvragen worden gecontroleerd en goedgekeurd, en aanvragen worden alleen toegekend nadat er controles ter voorkoming van fraude zijn uitgevoerd. Als u een aanvraag wilt indienen, opent u een ondersteuningsaanvraag met het probleemtype Technisch, Virtuele netwerkverbinding, Kan geen e-mail verzenden (SMTP/poort 25). Vermeld in uw ondersteuningsaanvraag informatie zoals waarom uw abonnement e-mail rechtstreeks naar e-mailproviders moet kunnen verzenden in plaats van via een geverifieerde SMTP-relay. Als de aanvraag voor uw abonnement wordt toegekend, kunnen alleen de virtuele machines die na de toekenningsdatum zijn gemaakt poort 25 voor uitgaande communicatie gebruiken.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark en gratis proefabonnementen: uitgaande communicatie via poort 25 voor alle resources geblokkeerd. Er kunnen geen aanvragen worden ingediend voor het opheffen van de beperking, omdat zulke aanvragen niet worden toegekend. Als u e-mail moet verzenden vanaf uw virtuele machine, dient u een SMTP-relayservice te gebruiken.
    • Cloudserviceprovider: klanten die Azure-resources via een cloudserviceprovider gebruiken, kunnen een ondersteuningsaanvraag maken bij hun cloudserviceprovider. Zij kunnen vervolgens aanvragen dat de provider namens hen een blokkering opheft, als er geen beveiligde SMTP-relay kan worden gebruikt.

    Als u in Azure e-mail kunt verzenden via poort 25, garandeert Microsoft niet dat e-mailproviders inkomende e-mail vanaf uw virtuele machine accepteren. Als een specifieke provider e-mail van uw virtuele machine weigert, dient u samen met de provider alle eventuele problemen met de aflevering van berichten of met de spamfilter op te lossen, of u moet een geverifieerde SMTP-relayservice gebruiken.

Volgende stappen