Sicherheitsverwaltungsregeln in Azure Virtual Network Manager

In diesem Artikel erfahren Sie mehr über Sicherheitsadministratorregeln in Azure Virtual Network Manager. Sicherheitsadministratorregeln werden verwendet, um globale Netzwerksicherheitsregeln zu definieren, die für alle virtuellen Netzwerke innerhalb einer Netzwerkgruppe gelten. Sie erfahren, was Sicherheitsadministratorregeln sind, wie sie funktionieren und wann sie verwendet werden sollen.

Was ist eine Sicherheitsadministrationsregel?

Sicherheitsadministratorregeln sind globale Netzwerksicherheitsregeln, die sicherheitsrelevante Richtlinien durchsetzen, die in der Regelsammlung in virtuellen Netzwerken definiert sind. Diese Regeln können verwendet werden, um den Datenverkehr in virtuellen Netzwerken innerhalb der von Ihnen ausgewählten Netzwerkgruppen zuzulassen, immer zuzulassen oder zu verweigern. Diese Netzwerkgruppen können nur aus virtuellen Netzwerken innerhalb des Bereichs Ihrer Virtual Network Manager-Instanz bestehen. Sicherheitsverwaltungsregeln können nicht auf virtuelle Netzwerke angewendet werden, die nicht von einem virtuellen Netzwerkmanager verwaltet werden.

Hier sind einige Szenarien, in denen Sicherheitsadministratorregeln verwendet werden können:

Szenario Beschreibung
Einschränken des Zugriffs auf Netzwerkports mit hohem Risiko Sicherheitsadministratorregeln können verwendet werden, um den Datenverkehr auf bestimmten Ports zu blockieren, auf die Angreifer häufig abzielen, z. B. Port 3389 für das Remote Desktop Protocol (RDP) oder Port 22 für Secure Shell (SSH).
Durchsetzung von Konformitätsanforderungen Sicherheitsadministratorregeln können verwendet werden, um Konformitätsanforderungen durchzusetzen. Beispielsweise das Blockieren von Datenverkehr zu oder von bestimmten IP-Adressen oder Netzwerkblöcken.
Schützen vertraulicher Daten Sicherheitsadministratorregeln können verwendet werden, um den Zugriff auf vertrauliche Daten einzuschränken, indem der Datenverkehr an oder von bestimmten IP-Adressen oder Subnetzen blockiert wird.
Erzwingen der Netzwerksegmentierung Sicherheitsadministratorregeln können verwendet werden, um die Netzwerksegmentierung durch Blockieren des Datenverkehrs zwischen virtuellen Netzwerken oder Subnetzen zu erzwingen.
Durchsetzen von Sicherheit auf Anwendungsebene Sicherheitsadministratorregeln können verwendet werden, um die Sicherheit auf Anwendungsebene durchzusetzen, indem Datenverkehr zu oder von bestimmten Anwendungen oder Diensten blockiert wird.

Mit Azure Virtual Network Manager haben Sie einen zentralen Speicherort zum Verwalten von Sicherheitsadministratorregeln. Mithilfe der Zentralisierung können Sie Sicherheitsrichtlinien im großen Maßstab definieren und auf mehrere virtuelle Netzwerke gleichzeitig anwenden.

Hinweis

Derzeit gelten Sicherheitsadministratorregeln nicht für private Endpunkte, die in den Bereich eines verwalteten virtuellen Netzwerks fallen.

Wie funktionieren Sicherheitsadministratorregeln?

Sicherheitsadministratorregeln ermöglichen oder verweigern Datenverkehr für bestimmte Ports, Protokolle und Quell-/Ziel-IP-Präfixe in einer bestimmten Richtung. Wenn Sie eine Sicherheitsadministratorregel definieren, geben Sie die folgenden Bedingungen an:

  • Die Priorität der Regel
  • Die auszuführende Aktion (zulassen, verweigern oder immer zulassen)
  • Die Richtung des Datenverkehrs (Eingehend oder ausgehend)
  • Das zu verwendende Protokoll

Um Sicherheitsrichtlinien in mehreren virtuellen Netzwerken durchzusetzen, erstellen und stellen Sie eine Sicherheitsadministratorkonfiguration bereit. Diese Konfiguration enthält eine Reihe von Regelsammlungen, und jede Regelsammlung enthält eine oder mehrere Sicherheitsadministratorregeln. Nach der Erstellung ordnen Sie die Regelsammlung den Netzwerkgruppen zu, die Sicherheitsadministratorregeln erfordern. Die Regeln werden dann auf alle virtuellen Netzwerke angewendet, die in den Netzwerkgruppen enthalten sind, wenn die Konfiguration bereitgestellt wird. Eine einzelne Konfiguration bietet eine zentrale und skalierbare Durchsetzung von Sicherheitsrichtlinien in mehreren virtuellen Netzwerken.

Wichtig

In einer Region kann nur eine Sicherheitsverwaltungskonfiguration bereitgestellt werden. In einer Region können jedoch mehrere Verbindungskonfigurationen vorhanden sein. Um mehrere Sicherheitsverwaltungskonfigurationen in einer Region bereitzustellen, können Sie mehrere Regelsammlungen in einer Sicherheitskonfiguration erstellen.

Bewertung von Sicherheitsverwaltungsregeln und Netzwerksicherheitsgruppen (NSGs)

Sicherheitsadministratorregeln und Netzwerksicherheitsgruppen (NSGs) können verwendet werden, um Netzwerksicherheitsrichtlinien in Azure durchzusetzen. Sie haben jedoch unterschiedliche Bereiche und Prioritäten.#

Die Sicherheitsadministratorregeln sind für die Verwendung durch Netzwerkadministratoren eines zentralen Governance-Teams gedacht. Dadurch werden die NSG-Regeln an einzelne Anwendungs- oder Dienstteams delegiert, um die Sicherheit nach Bedarf weiter festzulegen. Sicherheitsadministratorregeln haben eine höhere Priorität als NSGs und werden vor NSG-Regeln ausgewertet.

NSGs werden dagegen verwendet, um Netzwerkdatenverkehr zu und von einzelnen Subnetzen oder Netzwerkschnittstellen zu filtern. Sie sollen von einzelnen Anwendungs- oder Dienstteams verwendet werden, um die Sicherheit nach Bedarf weiter anzugeben. NSGs haben eine niedrigere Priorität als Sicherheitsadministratorregeln und werden nach Sicherheitsadministratorregeln ausgewertet.

Sicherheitsadministratorregeln werden derzeit auf der Ebene des virtuellen Netzwerks angewendet, während Netzwerksicherheitsgruppen auf Subnetz- und NIC-Ebene zugeordnet werden können. Diese Tabelle zeigt diese Unterschiede und Ähnlichkeiten:

Regeltyp Zielgruppe Anwendung auf Auswertungsreihenfolge Aktionstypen Parameter
Sicherheitsadministratorregeln Netzwerkadministratoren, zentrales Governance-Team Virtuelle Netzwerke Höhere Priorität Zulassen, Verweigern, Immer zulassen Priorität, Protokoll, Aktion, Quelle, Ziel
Netzwerksicherheitsgruppen-Regeln Einzelne Teams Subnetze, NICs Geringere Priorität, nach Sicherheitsverwaltungsregeln Zulassen/Verweigern Priorität, Protokoll, Aktion, Quelle, Ziel

Sicherheitsadministratorregeln können drei Aktionen für den Datenverkehr ausführen: Zulassen, Immer zulassen und Verweigern. Beim Erstellen werden Zulassungsregeln zuerst ausgewertet, gefolgt von Netzwerksicherheitsgruppenregeln. Diese Aktion ermöglicht es Netzwerksicherheitsgruppenregeln, den Datenverkehr bei Bedarf anders zu behandeln.

Wenn Sie eine Regel Immer zulassen oder Verweigern erstellen, wird die Auswertung des Datenverkehrs beendet, nachdem die Sicherheitsadministratorregel ausgewertet wurde. Mit einer Regel Immer zulassen wird der Datenverkehr direkt an die Ressource weitergeleitet und beendet eine weitere (und möglicherweise widersprüchliche) Bewertung durch NSG-Regeln. Diese Aktion kann nützlich sein, um den Datenverkehr zu erzwingen und eine Verweigerung durch Netzwerksicherheitsgruppenregeln zu verhindern. Bei einer Regel Verweigern wird der Datenverkehr beendet, ohne an das Ziel übermittelt zu werden. Sicherheitsadministratorregeln sind nicht von NSGs abhängig, sodass sie verwendet werden können, um eigene Standardsicherheitsregeln zu erstellen.

Diagramm: Auswertungsreihenfolge für Netzwerkdatenverkehr mit Sicherheitsadministratorregeln und Netzwerksicherheitsregeln

Indem Sie Sicherheitsadministratorregeln und NSGs zusammen verwenden, können Sie Netzwerksicherheitsrichtlinien auf globaler und individueller Ebene erzwingen, um sicherzustellen, dass Ihre virtuellen Netzwerke sicher sind und den Sicherheitsrichtlinien Ihrer Organisation entsprechen.

Wichtig

Wenn Sicherheitsadministratorregeln bereitgestellt werden, wird das Eventualkonsistenzmodell verwendet. Dies bedeutet, dass Sicherheitsadministratorregeln nach kurzer Verzögerung auf die In einem virtuellen Netzwerk enthaltenen Ressourcen angewendet werden.  Ressourcen, die einem virtuellen Netzwerk hinzugefügt werden, auf das bereits Sicherheitsadministratorregeln angewendet wurden, erhalten schließlich dieselben Sicherheitsadministratorregeln ebenfalls mit einer Verzögerung.

Vorteile von Sicherheitsadministratorregeln

Sicherheitsadministratorregeln bieten viele Vorteile für die Sicherung der Ressourcen Ihrer Organisation. Durch die Verwendung von Sicherheitsadministratorregeln können Sie zulässigen Datenverkehr durchsetzen und eine Verweigerung durch widersprüchliche Netzwerksicherheitsgruppenregeln verhindern. Sie können auch standardmäßige Sicherheitsadministratorregeln erstellen, die nicht von der Existenz von NSGs abhängig sind. Diese Standardregeln können besonders nützlich sein, wenn Anwendungsbesitzer NSGs falsch konfigurieren oder vergessen, NSGs einzurichten. Darüber hinaus bieten Sicherheitsadministratorregeln eine Möglichkeit, die Sicherheit in großem Umfang zu verwalten, was den betrieblichen Aufwand reduziert, der mit einer wachsenden Anzahl von Netzwerkressourcen einhergeht.

Schützen von Ports mit hohem Risiko

Basierend auf der Branchenstudie und den Vorschlägen von Microsoft empfehlen wir unseren Kunden, den Datenverkehr von außen mithilfe von Sicherheitsverwaltungsregeln für diese Liste von Hochrisiko-Ports zu beschränken. Diese Ports werden häufig für die Verwaltung von Ressourcen oder unsichere/unverschlüsselte Datenübertragungen verwendet und sollten nicht im Internet zugänglich sein. Es gibt jedoch Zeiten, in denen bestimmte virtuelle Netzwerke und ihre Ressourcen Datenverkehr für die Verwaltung oder andere Prozesse zulassen müssen. Sie können bei Bedarf Ausnahmen erstellen. Erfahren Sie, wie Sie für diese Szenarien Ports mit hohem Risiko über Ausnahmen blockieren.

Port Protokoll Beschreibung
20 TCP Unverschlüsselter FTP-Datenverkehr
21 TCP Unverschlüsselter FTP-Datenverkehr
22 TCP SSH. Potenzielle Brute-Force-Angriffe
23 TCP TFTP lässt nicht authentifizierten und/oder unverschlüsselten Datenverkehr zu
69 UDP TFTP lässt nicht authentifizierten und/oder unverschlüsselten Datenverkehr zu
111 TCP/UDP RPC. Unverschlüsselte Authentifizierung zulässig
119 TCP NNTP für unverschlüsselte Authentifizierung
135 TCP/UDP Endpunktzuordnung, mehrere Remoteverwaltungsdienste
161 TCP SNMP für unsichere/keine Authentifizierung
162 TCP/UDP SNMP-Trap – unsichere/keine Authentifizierung
445 TCP SMB – bekannter Angriffsvektor
512 TCP Rexec unter Linux – Remotebefehle ohne Verschlüsselung/Authentifizierung
514 TCP Remoteshell – Remotebefehle ohne Authentifizierung oder Verschlüsselung
593 TCP/UDP HTTP RPC EPMAP – unverschlüsselter Remoteprozeduraufruf
873 TCP Rsync – unverschlüsselte Dateiübertragung
2049 TCP/UDP Network File System
3389 TCP RDP – Gängiger Brute Force-Angriffsport
5800 TCP VNC-Remoteframepuffer über HTTP
5900 TCP VNC-Remoteframepuffer über HTTP
11211 UDP Memcached

Bedarfsorientierte Verwaltung

Azure Virtual Network Manager bietet eine Möglichkeit, Ihre Sicherheitsrichtlinien mit Sicherheitsadministratorregeln zu verwalten. Wenn Sie eine Sicherheitsverwaltungskonfiguration auf eine Netzwerkgruppe anwenden, erhalten alle virtuellen Netzwerke und die darin enthaltenen Ressourcen im Geltungsbereich der Netzwerkgruppe die Sicherheitsverwaltungsregeln der Richtlinie.

Neue Ressourcen werden zusammen mit vorhandenen Ressourcen geschützt. Wenn Sie z. B. neue VMs zu einem virtuellen Netzwerk im Bereich einer Sicherheitsadministratorregel hinzufügen, werden die virtuellen Computer automatisch gesichert. Kurz nachdem Sie diese VMs bereitgestellt haben, werden die Sicherheitsverwaltungsregeln angewendet und schützen diese.

Wenn neue Sicherheitsrisiken identifiziert werden, können Sie diese in großem Umfang einsetzen, indem Sie eine Sicherheitsadministratorregel zum Schutz vor dem neuen Risiko erstellen und diese auf Ihre Netzwerkgruppen anwenden. Sobald diese neue Regel bereitgestellt wurde, werden alle Ressourcen im Bereich der Netzwerkgruppen jetzt und in Zukunft geschützt.

Nichtanwendung von Sicherheitsadministratorregeln

In den meisten Fällen gelten Sicherheitsverwaltungsregeln für alle virtuellen Netzwerke und Subnetze innerhalb des Geltungsbereichs der Sicherheitskonfiguration einer Netzwerkgruppe. Es gibt jedoch einige Dienste, die aufgrund der Netzwerkanforderungen des Diensts keine Sicherheitsadministratorregeln anwenden. Die Netzwerkabsichtsrichtlinie des Diensts erzwingt diese Anforderungen.

Nichtanwendung von Sicherheitsadministratorregeln auf virtueller Netzwerkebene

Standardmäßig werden Sicherheitsadministratorregeln nicht auf ein virtuelles Netzwerk angewendet, das die folgenden Dienste enthält:

Wenn ein virtuelles Netzwerk diese Dienste enthält, überspringen die Sicherheitsadministratorregeln dieses virtuelle Netzwerk. Wenn auf dieses virtuelle Netzwerk Zulassen-Regeln angewendet werden sollen, erstellen Sie Ihre Sicherheitskonfiguration mit dem AllowRulesOnly-Feldsatz in der securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET-Klasse. Wenn diese Einstellung festgelegt ist, werden nur Zulassen-Regeln in Ihrer Sicherheitskonfiguration auf dieses virtuelle Netzwerk angewendet. Ablehnungsregeln werden auf dieses virtuelle Netzwerk nicht angewendet. Virtuelle Netzwerke ohne diese Dienste können weiterhin Die Regeln Zulassen undVerweigern verwenden.

Sie können eine Sicherheitskonfiguration nur mit Zulassen-Regeln erstellen und in Ihren virtuellen Netzwerken mit Azure PowerShell und Azure CLI bereitstellen.

Hinweis

Wenn mehrere Azure Virtual Network Manager-Instanzen unterschiedliche Einstellungen in der securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices-Klasse auf dasselbe virtuelle Netzwerk anwenden, wird die Einstellung der Netzwerkmanager-Instanz mit dem höchsten Bereich verwendet. Nehmen wir an, Sie haben zwei virtuelle Netzwerkmanager. Der erste Netzwerkmanager ist auf die Stammverwaltungsgruppe ausgelegt und verfügt über eine Sicherheitskonfiguration, die auf AllowRulesOnly in dersecurityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices-Klasse festgelegt ist. Der zweite Manager des virtuellen Netzwerks ist auf ein Abonnement unter der Stammverwaltungsgruppe ausgerichtet und verwendet das Standardfeld Keine in seiner Sicherheitskonfiguration. Wenn beide Konfigurationen Sicherheitsadministratorregeln auf dasselbe virtuelle Netzwerk anwenden, wird die Einstellung AllowRulesOnly auf das virtuelle Netzwerk angewendet.

Nichtanwendung von Sicherheitsadministratorregeln auf Subnetzebene

In ähnlicher Weise wenden einige Dienste keine Sicherheitsverwaltungsregeln auf Subnetzebene an, wenn die virtuellen Netzwerke der Subnetze in den Geltungsbereich einer Sicherheitsverwaltungskonfiguration fallen. Diese Dienste umfassen:

  • Azure Application Gateway
  • Azure Bastion
  • Azure Firewall
  • Azure Route Server
  • Azure VPN Gateway
  • Azure Virtual WAN
  • Azure ExpressRoute-Gateway

In diesem Fall wirken sich die Sicherheitsverwaltungsregeln nicht auf die Ressourcen im Subnetz mit diesen Diensten aus. Auf andere Subnetze innerhalb desselben virtuellen Netzwerks werden jedoch Sicherheitsverwaltungsregeln angewendet.

Hinweis

Wenn Sie Sicherheitsadministratorregeln auf Subnetze anwenden möchten, die ein Azure-Anwendungsgateway enthalten, stellen Sie sicher, dass jedes Subnetz nur Gateways enthält, die mit aktivierter Netzwerkisolation bereitgestellt wurden. Wenn ein Subnetz ein Azure-Anwendungsgateway ohne Netzwerkisolation enthält, werden Sicherheitsadministratorregeln nicht auf dieses Subnetz angewendet.

Felder für die Sicherheitsverwaltung

Beim Definieren einer Sicherheitsverwaltungsregel gibt es erforderliche und optionale Felder.

Erforderliche Felder

Priorität

Die Priorität einer Sicherheitsadministratorregel ist eine ganze Zahl zwischen 1 und 4096. Je niedriger der Wert, desto höher ist die Priorität der Regel. Eine Verweigerungsregel mit einer Priorität von 10 hat beispielsweise Vorrang vor einer Erlaubnisregel mit einer Priorität von 20.

Aktion

Sie können eine von drei Aktionen für eine Sicherheitsregel definieren:

Aktion Beschreibung
Zulassen Erlaubt den Verkehr über den spezifischen Port, das Protokoll und die Quell-/Ziel-IP-Präfixe in der angegebenen Richtung.
Deny (Verweigern) Blockiert den Verkehr auf dem angegebenen Port, dem Protokoll und den Quell-/Ziel-IP-Präfixen in der angegebenen Richtung.
Immer zulassen Unabhängig von anderen Regeln mit niedrigerer Priorität oder benutzerdefinierten Netzwerksicherheitsgruppen erlauben Sie den Datenverkehr auf dem angegebenen Port, dem Protokoll und den Quell-/Ziel-IP-Präfixen in der angegebenen Richtung.

Direction

Sie können die Richtung des Datenverkehrs angeben, für den die Regel gilt. Sie können entweder eingehend oder ausgehend definieren.

Protokoll

Folgende Protokolle werden derzeit mit Sicherheitsverwaltungsregeln unterstützt:

  • TCP
  • UDP
  • ICMP
  • ESP
  • AH
  • Beliebige Protokolle

Optionale Felder

Quell- und Zieltypen

  • IP-Adressen: Sie können IPv4- oder IPv6-Adressen oder Adressblöcke in CIDR-Notation angeben. Um mehrere IP-Adressen aufzulisten, trennen Sie die einzelnen IP-Adressen durch ein Komma.
  • Dienst-Tag: Sie können bestimmte Service-Tags auf der Grundlage von Regionen oder eines ganzen Service definieren. Siehe Verfügbare Service-Tags für die Liste der unterstützten Tags.

Quell- und Zielhäfen

Sie können bestimmte gemeinsame Ports definieren, die von der Quelle oder dem Ziel blockiert werden sollen. Hier ist eine Liste allgemeiner TCP-Ports:

Ports Dienstname
20, 21 FTP
22 SSH
23 Telnet
25 SMTP
53 DNS
80 HTTP
443 HTTPS
3389 RDP
1433 SQL

Nächste Schritte

Erfahren Sie, wie Sie Netzwerkdatenverkehr mit einer Sicherheitsadministratorkonfiguration blockieren.