Netzwerksicherheitsgruppen

Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um Netzwerkdatenverkehr zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.

In diesem Artikel werden die Eigenschaften einer Netzwerksicherheitsgruppen-Regel, die angewendeten Standardsicherheitsregeln und die Regeleigenschaften beschrieben, die Sie ändern können, um eine ergänzte Sicherheitsregel zu erstellen.

Sicherheitsregeln

Eine Netzwerksicherheitsgruppe kann – innerhalb der Grenzwerte des Azure-Abonnements – beliebig viele Regeln enthalten. Für jede Regel werden die folgenden Eigenschaften angegeben:

Eigenschaft Erklärung
Name Ein eindeutiger Name in der Netzwerksicherheitsgruppe. Der Name kann bis zu 80 Zeichen lang sein. Er muss mit einem Buchstaben beginnen und mit einem Buchstaben oder mit „_“ enden. Der Name darf Buchstaben sowie die Zeichen „.“, „-“ und „_“ enthalten.
Priority Eine Zahl zwischen 100 und 4.096. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Regeln mit niedrigeren Zahlen werden vor Regeln mit höheren Zahlen verarbeitet, weil die Priorität für niedrigere Zahlen höher ist. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten. Daher werden alle Regeln mit niedrigerer Priorität (höherer Zahl), die über die gleichen Attribute wie Regeln mit höheren Prioritäten verfügen, nicht verarbeitet.
Azure-Standardsicherheitsregeln erhalten die höchste Zahl mit der niedrigsten Priorität, um sicherzustellen, dass benutzerdefinierte Regeln immer zuerst verarbeitet werden.
Quelle oder Ziel Beliebiges Element oder eine einzelne IP-Adresse, ein CIDR-Block (klassenloses domänenübergreifendes Routing, z. B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe. Wenn Sie eine Adresse für eine Azure-Ressource angeben, geben Sie die private IP-Adresse an, die der Ressource zugewiesen ist. Netzwerksicherheitsgruppen werden verarbeitet, nachdem Azure eine öffentliche IP-Adresse in eine private IP-Adresse für eingehenden Datenverkehr übersetzt hat und bevor Azure eine private IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr übersetzt. Weniger Sicherheitsregeln werden benötigt, wenn Sie einen Bereich, ein Diensttag oder eine Anwendungssicherheitsgruppe angeben. Die Option zum Angeben mehrerer einzelner IP-Adressen und Bereiche (die Angabe mehrerer Diensttags oder Anwendungsgruppen ist nicht zulässig) in einer Regel wird als Ergänzte Sicherheitsregeln bezeichnet. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden. Es ist nicht möglich, mehrere IP-Adressen und IP-Adressbereiche in Netzwerksicherheitsgruppen anzugeben, die mit dem klassischen Bereitstellungsmodell erstellt wurden.
Wenn die Quelle auf das Subnetz 10.0.1.0/24 verweist (in dem sich VM1 befindet) und das Ziel auf Subnetz 10.0.2.0/24 (in dem sich VM2 befindet), dient die NSG dazu, Netzwerkdatenverkehr für VM2 zu filtern, und die NSG ist der Netzwerkschnittstelle von VM2 zugeordnet.
Protocol TCP, UDP, ICMP, ESP, AH oder Any (Beliebig). Die ESP- und AH-Protokolle sind derzeit nicht über das Azure-Portal verfügbar, können aber über ARM-Vorlagen verwendet werden.
Direction Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt.
Portbereich Sie können einen einzelnen Port oder einen Bereich mit Ports angeben. Mögliche Angaben sind beispielsweise „80“ oder „10.000 - 10.005“. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden. In Netzwerksicherheitsgruppen, die mit dem klassischen Bereitstellungsmodell erstellt wurden, können Sie in derselben Sicherheitsregel nicht mehrere Ports oder Portbereiche angeben.
Aktion Zulassen oder Verweigern

Sicherheitsregeln werden ausgewertet und basierend auf den Informationen zu fünf Tupeln (Quelle, Quellport, Zielport, Zielport und Protokoll) angewendet. Sie können keine zwei Sicherheitsregeln mit gleicher Priorität und Richtung erstellen. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert. Der Flussdatensatz ermöglicht es, dass eine Netzwerksicherheitsgruppe zustandsbehaftet ist. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, für die Antwort auf den ausgehenden Datenverkehr eine Sicherheitsregel für Datenverkehr in eingehender Richtung anzugeben. Sie müssen nur dann eine Sicherheitsregel für Datenverkehr in eingehender Richtung angeben, wenn die Kommunikation extern initiiert wird. Dies gilt auch für den umgekehrten Fall. Wenn eingehender Datenverkehr über einen Port zugelassen wird, ist es nicht erforderlich, für die Beantwortung des Datenverkehrs über den Port eine Sicherheitsregel für Datenverkehr in ausgehender Richtung anzugeben.

Vorhandene Verbindungen können nicht unterbrochen werden, wenn Sie eine Sicherheitsregel entfernen, die die Verbindung zugelassen hat. Die Änderung von Netzwerksicherheitsgruppen-Regeln wirkt sich nur auf neue Verbindungen aus. Wenn eine neue Regel erstellt oder eine vorhandene Regel in einer Netzwerksicherheitsgruppe aktualisiert wird, gilt sie nur für neue Verbindungen. Vorhandene Verbindungen werden nicht mit den neuen Regeln neu ausgewertet.

Es gibt Beschränkungen für die Anzahl von Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.

Standardsicherheitsregeln

Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:

Eingehend

AllowVNetInBound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65000 VirtualNetwork 0 - 65535 VirtualNetwork 0 - 65535 Any Allow
AllowAzureLoadBalancerInBound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65001 AzureLoadBalancer 0 - 65535 0.0.0.0/0 0 - 65535 Any Allow
DenyAllInbound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65500 0.0.0.0/0 0 - 65535 0.0.0.0/0 0 - 65535 Any Verweigern

Ausgehend

AllowVnetOutBound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65000 VirtualNetwork 0 - 65535 VirtualNetwork 0 - 65535 Any Allow
AllowInternetOutBound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65001 0.0.0.0/0 0 - 65535 Internet 0 - 65535 Any Allow
DenyAllOutBound
Priority `Source` Quellports Destination Zielports Protocol Zugriff
65500 0.0.0.0/0 0 - 65535 0.0.0.0/0 0 - 65535 Any Verweigern

In den Spalten Quelle und Ziel handelt es sich bei VirtualNetwork, AzureLoadBalancer und Internet um Diensttags und nicht um IP-Adressen. In der Protokollspalte steht Beliebig für TCP, UDP und ICMP. Beim Erstellen einer Regel können Sie „TCP“, „UDP“, „ICMP“ oder „Beliebig“ angeben. 0.0.0.0/0 in den Spalten Quelle und Ziel steht für alle Adressen. Clients wie Azure-Portal, Azure-Befehlszeilenschnittstelle oder PowerShell können „*“ oder „any“ für diesen Ausdruck verwenden.

Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.

Ergänzte Sicherheitsregeln

Mit ergänzten Sicherheitsregeln wird die Sicherheitsdefinition für virtuelle Netzwerke vereinfacht, da Sie umfangreichere und komplexe Netzwerksicherheitsregeln mit weniger Regeln definieren können. Sie können mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen, die leicht verständlich ist. Verwenden Sie ergänzte Regeln in den Feldern für die Quelle, das Ziel und den Port einer Regel. Kombinieren Sie ergänzte Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen, um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen. Es gibt Beschränkungen für die Anzahl von Adressen, Bereichen und Ports, die Sie in einer Regel angeben können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.

Diensttags

Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Mit Diensttags kann die Komplexität häufiger Aktualisierungen von Netzwerksicherheitsregeln verringert werden.

Weitere Informationen finden Sie unter Azure-Diensttags. Ein Beispiel für die Verwendung des Speicherdiensttags, um den Netzwerkzugriff einzuschränken, finden Sie unter Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen.

Anwendungssicherheitsgruppen

Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.

Aspekte der Azure Platform

  • Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS, IMDS und die Systemüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt. Diese IP-Adressen gehören Microsoft und sind die einzigen virtuellen IP-Adressen, die in allen Regionen zu diesem Zweck verwendet werden. Standardmäßig unterliegen diese Dienste nicht den konfigurierten Netzwerksicherheitsgruppen, es sei denn, es sind Diensttags, die für jeden Dienst spezifisch sind. Zum Überschreiben dieser grundlegenden Infrastrukturkommunikation können Sie eine Sicherheitsregel erstellen, um Datenverkehr mithilfe der folgenden Diensttags abzulehnen, die in den Regeln Ihrer Netzwerksicherheitsgruppen verwendet werden: AzurePlatformDNS, AzurePlatformIMDS und AzurePlatformLKM. Weitere Informationen zum Diagnostizieren von Problemen mit der Netzwerkfilterung und zum Diagnostizieren von Problemen mit dem Netzwerkrouting

  • Lizenzierung (Key Management Service) : Die auf VMs ausgeführten Windows-Images müssen lizenziert werden. Zum Sicherstellen der Lizenzierung wird eine entsprechende Anforderung an die Hostserver des Schlüsselverwaltungsdiensts gesendet, die solche Abfragen verarbeiten. Die Anforderung wird in ausgehender Richtung über Port 1688 gesendet. Für Bereitstellungen mit einer Konfiguration der Standardroute 0.0.0.0/0 wird diese Plattformregel deaktiviert.

  • VMs in Pools mit Lastenausgleich: Der angewendete Quellport und -adressbereich stammen vom Ausgangscomputer, nicht vom Lastenausgleich. Der Zielport und -adressbereich sind für den Zielcomputer bestimmt, nicht für den Lastenausgleich.

  • Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste (z. B. HDInsight, App Service-Umgebungen und Virtual Machine Scale Sets) werden in Subnetzen des virtuellen Netzwerks bereitgestellt. Eine vollständige Liste mit den Diensten, die Sie in virtuellen Netzwerken bereitstellen können, finden Sie unter Virtuelles Netzwerk für Azure-Dienste. Machen Sie sich auf jeden Fall mit den Portanforderungen für die einzelnen Dienste vertraut, bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden. Wenn Sie den Datenverkehr für Ports verweigern, die für den Dienst benötigt werden, funktioniert der Dienst nicht richtig.

  • Senden von E-Mails in ausgehender Richtung: Microsoft empfiehlt die Nutzung von authentifizierten SMTP-Relaydiensten (normalerweise über TCP-Port 587 verbunden, aber auch über andere Ports), um E-Mails von Azure Virtual Machines zu senden. SMTP-Relaydienste sind auf Absenderzuverlässigkeit ausgelegt, um die Wahrscheinlichkeit zu verringern, dass Nachrichten von E-Mail-Drittanbietern abgelehnt werden. Zu diesen SMTP-Relaydiensten gehören u. a. auch Exchange Online Protection und SendGrid. Die Nutzung von SMTP-Relaydiensten ist in Azure unabhängig von Ihrem Abonnementtyp auf keinerlei Weise eingeschränkt.

    Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie nicht nur die SMTP-Relaydienste nutzen, sondern auch E-Mails direkt über TCP-Port 25 senden. Falls Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, ist es unter Umständen nicht möglich, E-Mails direkt über Port 25 zu senden. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt vom Typ Ihres Abonnements ab:

    • Enterprise Agreement: Bei virtuellen Computern, die in Enterprise Agreement Standard-Abonnements bereitgestellt sind, werden die ausgehenden SMTP-Verbindungen an TCP-Port 25 nicht blockiert. Es gibt jedoch keine Garantie, dass externe Domänen die eingehenden E-Mails der virtuellen Computer akzeptieren. Sollten Ihre E-Mails von den externen Domänen abgelehnt oder gefiltert werden, wenden Sie sich an die E-Mail-Dienstanbieter, um die Probleme zu beheben. Diese Probleme werden vom Azure-Support nicht abgedeckt.

      Für Enterprise Dev/Test-Abonnements ist Port 25 standardmäßig blockiert. Diese Blockierung kann aufgehoben werden. Zum Anfordern der Aufhebung der Blockierung navigieren Sie im Azure-Portal zum Abschnitt E-Mail kann nicht gesendet werden (SMTP-Port 25) der Einstellungsseite Diagnose und Problembehandlung für eine Azure Virtual Network-Ressource, und führen Sie die Diagnose aus. Dadurch werden die qualifizierten Dev/Test-Abonnements für Unternehmen automatisch ausgenommen.

      Nachdem das Abonnement von dieser Blockierung ausgenommen wurde und die virtuellen Computer beendet und neu gestartet wurden, sind ab sofort alle virtuellen Computer in diesem Abonnement ausgenommen. Die Ausnahme gilt nur für das angeforderte Abonnement und ausschließlich für VM-Datenverkehr, der direkt an das Internet weitergeleitet wird.

    • Nutzungsbasierte Bezahlung: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.

    • MSDN, Azure Pass, Azure in Open, Education und kostenlose Testversion: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.

    • Clouddienstanbieter: Die ausgehende Port-25-Kommunikation wird von allen Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.

Nächste Schritte