Защита сетевых портов с высоким риском с помощью правил Администратор безопасности в Диспетчере виртуальная сеть Azure

Из этой статьи вы узнаете, как блокировать сетевые порты с высоким риском с помощью правил azure виртуальная сеть Manager и безопасности Администратор. Вы описываете создание экземпляра Azure виртуальная сеть Manager, группирование виртуальных сетей с группами сети и создание конфигураций администраторов безопасности для вашей организации и развертывание конфигураций администраторов безопасности. Вы развертываете общее правило блокировки для портов с высоким риском. Затем вы создадите правило исключения для управления виртуальной сетью конкретного приложения с помощью групп безопасности сети.

Хотя в этой статье рассматриваются один порт SSH, вы можете защитить любые порты с высоким риском в вашей среде, выполнив те же действия. Дополнительные сведения см. в этом списке портов высокого риска

Внимание

Диспетчер виртуальная сеть Azure общедоступен для конфигураций подключения концентратора и периферийных подключений и конфигураций безопасности с правилами администратора безопасности. Конфигурации подключения сетки остаются в общедоступной предварительной версии.

Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

Необходимые компоненты

• Вы узнаете, как создать диспетчер виртуальная сеть Azure
• Вы понимаете каждый элемент в правиле администратора безопасности.
• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Группа виртуальных сетей, которые можно разделить на группы сети для применения подробных правил администратора безопасности.
• Чтобы изменить динамические сетевые группы, необходимо предоставить доступ только через назначение ролей RBAC Azure. Классическая Администратор/устаревшая авторизация не поддерживается

Развертывание среды виртуальной сети

Вам нужна среда виртуальной сети, которая включает виртуальные сети, которые можно разделить для разрешения и блокировки определенного сетевого трафика. Вы можете использовать следующую таблицу или собственную конфигурацию виртуальных сетей:

Имя.	Диапазон IPv4-адресов	подсеть
vnetA-gen	10.0.0.0/16	по умолчанию — 10.0.0.0/24
vnetB-gen	10.1.0.0/16	по умолчанию — 10.1.0.0/24
vnetC-gen	10.2.0.0/16	по умолчанию — 10.2.0.0/24
vnetD-app	10.3.0.0/16	по умолчанию — 10.3.0.0/24
vnetE-app	10.4.0.0/16	по умолчанию — 10.4.0.0/24

• Размещение всех виртуальных сетей в одной подписке, регионе и группе ресурсов

Не знаете, как создать виртуальную сеть? Дополнительные сведения см. в кратком руководстве. Создание виртуальной сети с помощью портал Azure.

Создание экземпляра диспетчера виртуальных сетей

В этом разделе описано, как развернуть экземпляр диспетчера виртуальная сеть с помощью функции администратора безопасности в организации.

1. Выберите +Создать ресурс и выполните поиск по фразе Диспетчер сетей. Затем щелкните Создать, чтобы начать настройку Диспетчера виртуальных сетей Azure.

2. На вкладке "Основные сведения" введите или выберите сведения для вашей организации:

   

   Параметр	Значение
   Отток подписок	Выберите подписку, в которую требуется развернуть Диспетчер виртуальных сетей Azure.
   Группа ресурсов	Выберите или создайте группу ресурсов для хранения Диспетчера виртуальных сетей Azure. В этом примере используется ранее созданная myAVNMResourceGroup .
   Имя.	Введите имя нового экземпляра Диспетчера виртуальных сетей Azure. В этом примере используется имя myAVNM.
   Область/регион	Выберите регион для этого развертывания. Диспетчер виртуальных сетей Azure может управлять виртуальными сетями в любом регионе. Выбран регион, в котором будет развернут экземпляр Диспетчера виртуальных сетей.
   Description	(Необязательно) Укажите описание этого экземпляра виртуальная сеть Manager и задачи, которую он управляет.
   Область применения	Определите область, которой может управлять Диспетчер виртуальных сетей Azure. В этом примере используется область уровня подписки.
   Функции	Выберите функции, которые необходимо включить для Диспетчера виртуальных сетей Azure. Доступные варианты: Подключение, SecurityAdmin или Выбрать все. Подключение тивность— позволяет создавать полную сетку или концентратор и периферийную топологию сети между виртуальными сетями в область. Безопасность Администратор— позволяет создавать глобальные правила безопасности сети.

3. Нажмите Просмотр и создание и выберите Создать после прохождения проверки.

4. Выберите "Перейти к ресурсу " при завершении развертывания и просмотрите конфигурацию диспетчера виртуальных сетей

Создание группы сети для всех виртуальных сетей

После создания диспетчера виртуальных сетей вы создадите группу сети, содержащую все виртуальные сети в организации, и добавьте все виртуальные сети вручную.

1. Выберите группы сети в разделе Параметры.
2. Нажмите кнопку "+ Создать", введите имя для группы сети и нажмите кнопку "Добавить".
3. На странице "Группы сети" выберите созданную сетевую группу.
4. Выберите "Добавить" в разделе "Статическая членство ", чтобы вручную добавить все виртуальные сети.
5. На странице "Добавление статических элементов" выберите все виртуальные сети, которые вы хотите включить, и нажмите кнопку "Добавить".

Создание конфигурации администратора безопасности для всех виртуальных сетей

Пришло время создать правила администратора безопасности в конфигурации, чтобы применить эти правила ко всем виртуальным сетям в вашей сетевой группе одновременно. В этом разделе описано, как создать конфигурацию администратора безопасности. Затем вы создадите коллекцию правил и добавьте правила для портов с высоким уровнем риска, таких как SSH или RDP. Эта конфигурация запрещает сетевой трафик всем виртуальным сетям в группе сети.

1. Вернитесь к ресурсу диспетчера виртуальных сетей.

2. Выберите конфигурации в разделе Параметры и нажмите кнопку +Создать.

   

3. Выберите конфигурацию безопасности в раскрывающемся меню.

   

4. На вкладке "Основные сведения" введите имя , чтобы определить эту конфигурацию безопасности и нажмите кнопку "Далее: коллекции правил".

   

5. Выберите +Добавить на странице "Добавить конфигурацию безопасности".

6. Введите имя, чтобы определить эту коллекцию правил, а затем выберите целевые сетевые группы, к которым необходимо применить набор правил. Целевая группа — это сетевая группа, содержащая все виртуальные сети.

   

Добавление правила безопасности для запрета сетевого трафика с высоким риском

В этом разделе описано, как определить правило безопасности для блокировки сетевого трафика с высоким риском для всех виртуальных сетей. При назначении приоритета помните о будущих правилах исключений. Задайте приоритет, чтобы правила исключений применялись к этому правилу.

1. Выберите + Добавить в правила администратора безопасности.

   

2. Введите сведения, необходимые для определения правила безопасности, а затем нажмите кнопку "Добавить ", чтобы добавить правило в коллекцию правил.

   

   Параметр	Значение
   Имя.	Введите имя правила.
   Description	Введите описание правила.
   Приоритет*	Введите значение от 1 до 4096, чтобы определить приоритет правила. Чем меньше значение, тем выше приоритет.
   Действий*	Выберите "Запретить", чтобы заблокировать трафик. Дополнительные сведения см. в разделе "Действие"
   Направление*	Выберите входящий трафик, чтобы запретить входящий трафик с помощью этого правила.
   Протокол*	Выберите сетевой протокол для порта.
   Источник
   Source type	Выберите исходный тип IP-адреса или тегов службы.
   Исходные IP-адреса	Это поле отображается при выборе исходного типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой. Оставьте пустым для этого примера.
   Тег службы источника	Это поле отображается при выборе исходного типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве источника. Список поддерживаемых тегов см . в доступных тегах службы.
   Исходный порт	Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Оставьте пустым для этого примера.
   Назначение
   Тип назначения	Выберите целевой тип IP-адреса или тегов службы.
   IP-адреса назначения	Это поле отображается при выборе целевого типа IP-адреса. Введите IPv4 или IPv6-адрес или диапазон с использованием нотации CIDR. При определении нескольких адресов или блоков адресов с помощью запятой.
   Назначение: тег службы	Это поле отображается при выборе целевого типа тега службы. Выберите теги службы для служб, которые нужно указать в качестве назначения. Список поддерживаемых тегов см . в доступных тегах службы.
   Порт назначения	Введите один номер порта или диапазон портов, например (1024-65535). При определении нескольких диапазонов портов или портов отделяйте их с помощью запятой. Чтобы указать любой порт, введите *. Введите 3389 для этого примера.

3. Повторите шаги 1–3 еще раз, если вы хотите добавить дополнительные правила в коллекцию правил.

4. Когда вы удовлетворены всеми правилами, которые вы хотите создать, нажмите кнопку "Добавить ", чтобы добавить коллекцию правил в конфигурацию администратора безопасности.

   

5. Затем нажмите кнопку "Проверить и создать", чтобы завершить настройку безопасности.

Развертывание конфигурации администратора безопасности для блокировки сетевого трафика

В этом разделе правила, созданные при развертывании конфигурации администратора безопасности, вступают в силу.

1. Выберите развертывания в Параметры, а затем выберите "Развернуть конфигурацию".

   

2. Выберите "Включить администратора безопасности" в поле "Состояние цели" проверка box и выберите конфигурацию безопасности, созданную в последнем разделе в раскрывающемся меню. Затем выберите регионы, в которые вы хотите развернуть эту конфигурацию.

   

3. Нажмите кнопку "Далее" и "Развернуть", чтобы развернуть конфигурацию администратора безопасности.

Создание сетевой группы для правила исключения трафика

При блокировке трафика во всех виртуальных сетях необходимо исключение для разрешения трафика в определенные виртуальные сети. Вы создаете группу сети специально для виртуальных сетей, требующих исключения из другого правила администратора безопасности.

1. В диспетчере виртуальных сетей выберите группы сети в разделе Параметры.
2. Нажмите кнопку "+ Создать", введите имя для группы сети приложений и нажмите кнопку "Добавить".
3. В разделе "Определение динамического членства" выберите "Определить".
4. Введите или выберите значения, чтобы разрешить трафик виртуальной сети приложения.
5. Выберите "Предварительный просмотр ресурсов", чтобы просмотреть включенные виртуальная сеть и нажмите кнопку "Закрыть".
6. Выберите Сохранить.

Создание правила администратора безопасности и сбора исключений трафика

В этом разделе описано, как создать коллекцию правил и правило администратора безопасности, которое позволяет трафику с высоким риском в подмножество виртуальных сетей, определенных в качестве исключений. Затем добавьте его в существующую конфигурацию администратора безопасности.

Внимание

Чтобы правило администратора безопасности позволило трафику виртуальных сетей приложения, приоритет должен быть установлен на меньшее число , чем существующие правила, блокирующие трафик.

Например, все сетевые правила, блокирующие SSH, имеют приоритет 10, поэтому правило разрешения должно иметь приоритет от 1 до 9.

1. В диспетчере виртуальных сетей выберите "Конфигурации " и выберите конфигурацию безопасности.
2. Выберите коллекции правил в Параметры, а затем нажмите кнопку "Создать", чтобы создать новую коллекцию правил.
3. На странице "Добавление коллекции правил" введите имя коллекции правил приложения и выберите созданную группу сети приложений.
4. В разделе правил администратора безопасности нажмите кнопку +Добавить.
5. Введите или выберите значения, позволяющие разрешить определенный сетевой трафик в группу сети приложений, и нажмите кнопку "Добавить " после завершения.
6. Повторите процесс добавления правила для всего трафика, требующего исключения.
7. Выберите Сохранить, когда вы закончите.

Повторное развертывание конфигурации администратора безопасности с правилом исключения

Чтобы применить новую коллекцию правил, повторно разверните конфигурацию администратора безопасности, так как она была изменена путем добавления коллекции правил.

1. В диспетчере виртуальных сетей выберите "Конфигурации".
2. Выберите конфигурацию администратора безопасности и выберите " Развернуть"
3. На странице "Развертывание конфигурации" выберите все целевые регионы, получающие развертывание и
4. Нажмите кнопку "Далее" и "Развернуть".

Следующие шаги

• Узнайте, как создать топологию сети сетки с помощью диспетчера виртуальная сеть Azure с помощью портал Azure

• Ознакомьтесь с часто задаваемыми вопросами о диспетчере виртуальная сеть Azure