Группы безопасности сети Azure: обзор

Опубликовано: 5 Марта, 2023
Группы безопасности сети Azure: обзор

Возможности подключения — это и благо, и проклятие современного сетевого мира. Вам, очевидно, нужна возможность подключения для доступа и использования удаленных ресурсов, но в то же время именно это подключение открывает возможности для взлома и других недобросовестных действий.

Итак, можете ли вы отказаться от преимуществ сети для защиты активов вашей компании от неавторизованных пользователей? Определенное «нет» просто потому, что подключение к сети является краеугольным камнем цифрового мира. Кроме того, отказываться от преимуществ услуги, чтобы ограничить ее недостатки, на самом деле не очень хорошая идея.

Лучшим способом было бы защитить вашу сеть таким образом, чтобы неавторизованные пользователи не могли войти в нее. Вы можете установить строгие правила и положения в отношении доступа к сети, чтобы никто не использовал ее в коварных целях.

Azure позволяет легко создавать и применять такие правила с помощью своей группы безопасности сети (NSG).

Что такое Azure NSG?

NSG — это основной инструмент, необходимый для обеспечения соблюдения правил сетевого трафика на сетевом уровне. В частности, он используется для управления трафиком к одной или нескольким виртуальным машинам, подсетям, сетевым адаптерам и экземплярам ролей в виртуальной сети.

Он содержит правила доступа, на основании которых запрос к сети принимается или отклоняется. Большинство правил связаны с направлением трафика, протоколом, портом и адресом источника, а также портом и адресом назначения. Другими словами, это универсальный магазин списков контроля доступа.

В некотором смысле вы можете рассматривать Azure NSG как простую форму распределенного брандмауэра, который вы создаете и применяете в сетевой структуре Azure. Вы можете создать правило для виртуальной машины или подсети, в зависимости от потребностей вашего бизнеса, и Azure применит их ко всем связанным ресурсам.

Вы можете создать правила для входящего и исходящего трафика как для сетевой карты, так и для подсетей, и Azure применит их соответствующим образом.

Это может заставить вас задуматься о различиях между группами безопасности сети, связанными с подсетью, и сетевой картой. В случае подсети трафик, не соответствующий правилам, останавливается еще до того, как он попадет в подсеть. Однако в случае сетевой карты пакеты трафика останавливаются, даже если они разрешены подсетями. Это тонкое, но важное различие, которое вы должны знать.

Если это сбивает с толку, все, что это означает, это то, что вы можете создать одно правило NSG для всех машин в подсети. На самом деле Microsoft рекомендует использовать этот вариант для каждого уровня безопасности, поскольку он значительно упрощает разработку и устранение неполадок. У вас также есть возможность создать группы безопасности сети для одной сетевой карты, если это оправдано вашим бизнесом и сетью, даже если это не рекомендуется корпорацией Майкрософт.

Теперь, когда у вас есть четкое представление о группах безопасности сети Azure, давайте подробно рассмотрим их правила.

Правила NSG Azure

Вы можете создать почти любое правило, но все они должны следовать одному и тому же образцу, т. е. они должны обладать свойствами, обсуждаемыми ниже.

Имя

Это имя правила, и оно должно быть уникальным в пределах одного региона. Он должен начинаться с буквы или цифры и должен заканчиваться буквой, цифрой или символом подчеркивания. Это имя может содержать не более 80 символов.

В общем, хорошей идеей будет иметь специальное соглашение об именах, которое позволит легко идентифицировать конкретную функцию, которую выполняет правило.

Протокол

Вы можете использовать TCP, UDP или «*.». Обычно, "*." может быть очень широким, поэтому используйте его только при необходимости.

В настоящее время, "*." принимает ICMP только для внутреннего трафика, поскольку по умолчанию любой трафик, входящий в виртуальную сеть Azure, должен проходить через подсистему балансировки нагрузки, фильтрующую ICMP-трафик. Вот почему вы можете использовать протокол ICMP только для внутреннего трафика.

Область, край

Это регион Azure, в котором была создана группа безопасности сети. Это важный параметр, поскольку вы можете связать создаваемые вами группы безопасности сети с ресурсами, присутствующими только в том же регионе. Вы не можете использовать ресурсы какого-либо другого региона для своей NSG.

Кроме того, количество групп безопасности сети, которые у вас есть в каждом регионе, зависит от ресурсов, которые вы используете. Например, вы можете иметь по умолчанию только 20 DNS-серверов для каждой виртуальной сети, а максимальное количество — 100. Документация Azure содержит подробную информацию о ваших ограничениях для каждого региона и ресурса.

В довершение всего существует мягкое ограничение в 100 групп безопасности сети для каждой подписки и ограничение в 200 правил на группу безопасности сети.

Префикс адреса источника и получателя

Это отдельный IP-адрес, сетевой адрес или предопределенный тег, который система проверит, чтобы увидеть, соответствует ли он какому-либо из ваших правил. В случае источника это ресурс, передающий трафик, а в случае назначения — это ресурс, который получает трафик.

Есть три предопределенных тега, которые вы можете использовать для указания общих источников трафика. Это Интернет, виртуальная сеть и балансировщик нагрузки Azure. Интернет включает в себя весь трафик, поступающий из источников, находящихся за пределами вашей собственной сети. Виртуальная сеть — это любой адрес, расположенный в подсетях вашей виртуальной сети, а балансировщик нагрузки Azure — это трафик, используемый для проверки доступности виртуальных машин балансировщика нагрузки.

Направление

Вам нужно будет указать, является ли это правилом входящего или исходящего трафика. В Azure NSG есть три правила входящего трафика по умолчанию:

  • Зонды, используемые для проверки доступности балансировщиков нагрузки Azure, имеют неограниченный доступ в вашей сети.
  • Весь внешний трафик, обычно поступающий из Интернета, блокируется по умолчанию.
  • Разрешены все виды трафика внутри одной виртуальной сети, включая трафик ICMP.

Если вам не нужны эти значения по умолчанию, вы можете переопределить их с помощью пользовательских правил.

приоритет

Вы можете установить число от 100 до 4096, если хотите создать детализированный набор правил. Система проверяет правила в порядке приоритета, и не будет проверять остальные правила после того, как будет найдено совпадение. Например, если трафик соответствует правилу с приоритетом 104, то другие правила вообще не будут проверяться. Поэтому убедитесь, что вы правильно указали приоритет, особенно если одно правило перекрывается или зависит от другого.

Диапазон портов

Вы можете указать диапазон для исходного и целевого портов. Выберите один номер порта от 1 до 65535 или используйте * для всех портов.

В общем, используйте *, если вы не знаете конкретный номер порта, который использует ваша клиентская программа. Следующий лучший вариант — использовать диапазон, чтобы убедиться, что вы не блокируете важный трафик, а также избежать нескольких правил для одной и той же задачи.

Помните, что вы не можете группировать несколько портов или диапазон с помощью запятых.

Теперь, когда вы знакомы с правилами, давайте посмотрим, как их создать.

Как создать НСГ

Вот пошаговая инструкция по созданию Azure NSG.

  • Перейдите на портал Azure Resource Manager (ARM) и перейдите к группам безопасности сети.
  • Нажмите кнопку «Добавить», чтобы создать новую группу.
  • Дайте имя, которое является описательным и легко идентифицируемым для вас. Помните, что это имя также должно быть уникальным. Также выберите подписку, которой она будет принадлежать.
  • Выберите группу ресурсов, к которой будет принадлежать NSG. Вы также можете создать новую, если нет связанных групп ресурсов, но они должны находиться в одном регионе.
  • Эти данные помогут вам создать NSG.
  • Затем выберите эту NSG и перейдите к ее свойствам.
  • Выберите, хотите ли вы добавить правила безопасности для входящего или исходящего трафика.
  • Нажмите кнопку «Добавить», чтобы ввести собственные правила безопасности.
  • Дайте каждому правилу имя, протокол, порт и любую другую информацию, которую вы считаете уместной. Самое главное, дайте ему правильный приоритет.
  • Если вы планируете создать несколько правил, рекомендуется оставить немного места, чтобы позже вы могли ввести связанные правила. Например, добавляйте правила с шагом 10, например 10, 20, 30 и т. д. Таким образом, вы можете ввести правила в 11, 12 или 13 лет, если вам это понадобится в будущем.

Группы безопасности сети Azure — отличный способ защитить вашу сеть без ущерба для вашего доступа к ресурсам. Это дает вам возможность устанавливать свои собственные правила при условии, что они соответствуют установленным стандартам.

Самое приятное то, что эти правила легко создавать, и у вас есть полный контроль над ними, чтобы изменять или даже удалять их при необходимости.

Готовы ли вы попробовать это?

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Лучшие российские хостинги: рейтинг провайдеров, сравнение условий и рекомендации по выбору
3 Февраля, 2026
Бесплатные хостинги для Minecraft 24/7: рейтинг лучших провайдеров
2 Февраля, 2026
Рейтинг лучших VPS/VDS хостингов: топ 15 провайдеров виртуальных серверов
30 Января, 2026
Что такое хостинг-провайдер и как он работает: виды хостинга, услуги, ответственность и критерии выбора
30 Января, 2026
Лучшие бесплатные и условно-бесплатные хостинги
30 Января, 2026
Timeweb Cloud — обзор облачной платформы IaaS/DBaaS/Kubernetes/S3
28 Января, 2026
Timeweb: что это такое, для чего используется, как настроить и почему стоит выбрать
28 Января, 2026
REG.RU: обзор хостинга, возможности, тарифы, тестовый период, VPS и практический выбор
28 Января, 2026