Группы безопасности сети

Группа безопасности сети Azure позволяет фильтровать входящий и исходящий сетевой трафик ресурсов Azure в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий трафик нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.

В этой статье описываются свойства правила группы безопасности сети, применяемые по умолчанию правила безопасности и свойства правил, которые можно изменить для создания расширенного правила безопасности.

Правила безопасности

Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure. В каждом правиле указываются следующие свойства:

Свойство Пояснение
Имя Уникальное имя в пределах группы безопасности сети.
Приоритет Значение в диапазоне от 100 до 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет. Если показатель трафика соответствует установленному в правиле, обработка останавливается. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются.
Источник или назначение Любой или конкретный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика. . Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности. Возможность указать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле относится к расширенным правилам безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания.
Протокол TCP, UDP, ICMP, ESP, AH или "Любой".
Направление Определяет тип трафика (входящий или исходящий), к которому применяется правило.
Диапазон портов Можно задать отдельный порт или их диапазон. Например, вы можете указать 80 или 10000–10005. Если указать диапазон, можно создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания.
Действие Разрешить или запретить доступ

Правила безопасности групп безопасности сети оцениваются по приоритету и на основе кортежей из 5 элементов (источник, порт источника, назначение, порт назначения и протокол), чтобы разрешить или запретить трафик. Как правило, не следует создавать два правила безопасности с одинаковым приоритетом и направлением. Запись потока создается для имеющихся подключений. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока. С помощью записи потока можно отслеживать состояние группы безопасности сети. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика. Обратное также верно. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.

Имеющиеся подключения могут не прерываться, когда вы удаляете правило безопасности, разрешавшее этот поток. Поток трафика прерывается, когда подключения разрываются, то есть в течение нескольких минут трафик не передается в любом направлении.

Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено. Дополнительные сведения см. в разделе Ограничения сети.

Правила безопасности по умолчанию

Azure создает следующие правила по умолчанию в каждой создаваемой группе безопасности сети:

Входящий трафик

AllowVNetInBound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65000 Виртуальная сеть 0-65535 Виртуальная сеть 0-65535 Любой Allow
AllowAzureLoadBalancerInBound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Любой Allow
DenyAllInbound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Любой Запрет

Исходящий трафик

AllowVnetOutBound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65000 Виртуальная сеть 0-65535 Виртуальная сеть 0-65535 Любой Allow
AllowInternetOutBound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65001 0.0.0.0/0 0-65535 Интернет 0-65535 Любой Allow
DenyAllOutBound
Приоритет Источник Исходные порты Назначение Конечные порты Протокол Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Любой Запрет

В столбцах Источник и Место назначения значения VirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами. В столбце протокола значение Любой включает в себя TCP, UDP и ICMP. При создании правила можно указать TCP, UDP, ICMP или "Любой". 0.0.0.0/0 в столбцах Источник и Назначение представляет все адреса. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать для этого выражения * или "Любой".

Правила по умолчанию нельзя удалить, но их можно переопределить, создав правила с более высоким приоритетом.

Расширенные правила безопасности

Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять масштабные и комплексные политики безопасности сети с меньшим числом правил. Несколько портов, несколько явных IP-адресов и диапазонов можно объединить в одном простом правиле безопасности. Используйте расширенные правила в полях источника, назначения и порта для правила. Чтобы упростить поддержку для определения правила безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений. Количество адресов, диапазонов и портов, которые можно указать в правиле, ограничено. Дополнительные сведения см. в разделе Ограничения сети.

Теги служб

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Это помогает снизить сложность частого обновления правил сетевой безопасности.

Дополнительные сведения см. в разделе Теги служб Azure. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе Ограничение сетевого доступа к ресурсам PaaS.

Группы безопасности приложений

Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную. Дополнительные сведения см. в разделе Группы безопасности приложений.

Сведения о платформе Azure

  • Виртуальный IP-адрес главного узла. Базовые службы инфраструктуры, такие как DHCP, DNS и служба мониторинга работоспособности, предоставляются через виртуальные IP-адреса 168.63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат корпорации Майкрософт. Они являются единственными виртуализированными IP-адресами, которые используются для этих целей во всех регионах. Действующие правила безопасности и действующие маршруты не будут включать эти правила платформы. Чтобы переопределить эту базовую связь с инфраструктурой, можно создать правило безопасности для запрета трафика, используя следующие теги служб в правилах группы безопасности сети: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать сетевую маршрутизацию.

  • Лицензирование (служба управления ключами). Для используемых на виртуальных машинах образов Windows требуется лицензия. Чтобы получить лицензию, на серверы узлов службы управления ключами отправляется соответствующий запрос. Для отправки запроса используется исходящий порт 1688. Для развертываний, в которых используется конфигурация маршрута по умолчанию 0.0.0.0/0, это правило платформы будет отключено.

  • Виртуальные машины в пулах с балансировкой нагрузки. Применяемые исходный порт и диапазон адресов относятся к исходному компьютеру, а не подсистеме балансировки нагрузки. Конечный порт и диапазон адресов относятся к целевому компьютеру, а не подсистеме балансировки нагрузки.

  • Экземпляры служб Azure. В подсетях виртуальной сети развертываются экземпляры нескольких служб Azure, таких как HDInsight, среды службы приложений и масштабируемые наборы виртуальных машин. Полный список служб, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure. Обязательно ознакомьтесь с требования к портам для каждой службы, прежде чем применять группу безопасности сети к подсети, в которой развернут ресурс. Если запретить порты, которые требуются для службы, она будет работать неправильно.

  • Отправка исходящих сообщений электронной почты. Корпорация Майкрософт рекомендует использовать аутентифицированные службы ретрансляции SMTP (обычно подключаются через TCP-порт 587, но часто через другие порты) для отправки электронной почты с виртуальных машин Azure. Службы ретрансляции SMTP оптимизируют репутацию отправителя, чтобы минимизировать риск отклонения сообщений сторонними поставщиками почтовых служб. Такие службы ретрансляции SMTP включают среди прочих Exchange Online Protection и SendGrid. Использование служб ретрансляции SMTP никак не ограничено в Azure независимо от типа подписки.

    Если вы создали подписку Azure до 15 ноября 2017 г., кроме возможности использовать службы ретрансляции SMTP, вы также можете отправлять электронную почту непосредственно через TCP-порт 25. Если вы создали подписку Azure после 15 ноября 2017 г., вам может быть недоступна отправка электронной почты непосредственно через порт 25. Поведение исходящего трафика через порт 25, зависит от типа вашей подписки, как показано ниже.

    • Соглашение Enterprise — разрешен исходящий трафик через порт 25. Вы можете отправлять исходящие сообщения электронной почты непосредственно с виртуальных машин на платформе Azure внешним поставщикам почтовых служб без ограничений.
    • Оплата по мере использования. Передача исходящих данных через порт 25 заблокирована для всех ресурсов. Если необходимо отправить электронное письмо с виртуальной машины непосредственно внешним поставщикам почтовых служб (без использования аутентифицированной ретрансляции SMTP), можно сделать запрос на снятие ограничения. Запросы проверяет и одобряет только корпорация Майкрософт. Они утверждаются только после проверок для защиты от мошенничества. Чтобы создать запрос, откройте обращение в службу поддержки с типом проблемы Техническая, Подключение к виртуальной сети, Не удается отправить сообщение электронной почты (SMTP/порт 25). В обращении в службу поддержки объясните, зачем для вашей подписки требуется отправка электронной почты непосредственно поставщикам почтовых служб вместо отправки с помощью аутентифицированной службы ретрансляции SMTP. Если для вашей подписки будет создано исключение из правила, только виртуальные машины, созданные после даты создания исключения, смогут передавать исходящие данные через порт 25.
    • MSDN, Azure Pass, Azure с открытой лицензией, Education, BizSpark и бесплатная пробная версия. Передача исходящих данных через порт 25 заблокирована для всех ресурсов. Запросы на снятие ограничения отправить невозможно. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.
    • Поставщик облачных служб. Клиенты, которые используют ресурсы Azure через поставщика облачных служб, могут обратиться к своему поставщику с просьбой разблокировки от своего имени, если безопасную ретрансляцию SMTP использовать нельзя.

    Если Azure позволяет отправлять сообщения электронной почты через порт 25, корпорация Майкрософт не гарантирует, что поставщики электронной почты примут такие сообщения, отправленные с вашей виртуальной машины. Если конкретный поставщик отклоняет почту, отправленную с вашей виртуальной машины, обратитесь к такому поставщику, чтобы решить проблемы, связанные с доставкой сообщений или фильтрацией нежелательной почты. Или используйте службу ретрансляции SMTP, прошедшую проверку подлинности.

Дальнейшие действия