Déterminer les règles de sécurité effectives du groupe de sécurité réseau.

Chaque groupe de sécurité réseau et ses règles de sécurité définies sont évalués indépendamment. Azure traite les conditions de chaque règle définie pour chaque machine virtuelle de votre configuration.

• Pour le trafic entrant, Azure traite d’abord les règles de sécurité du groupe de sécurité réseau de tous les sous-réseaux associés, puis de toutes les interfaces réseau associées.
• Pour le trafic sortant, le processus est inversé. Azure évalue d’abord les règles de sécurité des groupes de sécurité réseau de toutes les interfaces réseau associées, puis des sous-réseaux associés.
• Pour le processus d’évaluation du trafic entrant et sortant, Azure vérifie également comment appliquer les règles pour le trafic interne au sous-réseau. Le trafic intra-sous-réseau fait référence aux machines virtuelles du même sous-réseau.

La façon dont Azure applique vos règles de sécurité définies pour une machine virtuelle détermine l’effectivité générale de vos règles.

Évaluation du groupe de sécurité réseau

Quand vous appliquez des groupes de sécurité réseau à la fois à un sous-réseau et à une interface réseau, chaque groupe est évalué indépendamment. Les règles entrantes et sortantes sont considérées en fonction de la priorité et de l’ordre de traitement.

Éléments à prendre en compte pendant la création de règles effectives

Passez en revue les considérations suivantes sur la création de règles de sécurité effectives pour les machines de votre réseau virtuel.

• Autorisez tout le trafic. Si vous placez votre machine virtuelle dans un sous-réseau ou utilisez une interface réseau, vous n’avez pas besoin d’associer le sous-réseau ou la carte réseau à un groupe de sécurité réseau. Cette approche autorise tout le trafic réseau à travers le sous-réseau ou la carte réseau en fonction des règles de sécurité Azure par défaut. Si vous n’avez pas besoin de contrôler le trafic vers votre ressource à un niveau spécifique, n’associez pas la ressource de ce niveau à un groupe de sécurité réseau.

• Tenez compte de l’importance des règles d’autorisation. Quand vous créez un groupe de sécurité réseau, vous devez définir une règle d’autorisation pour le sous-réseau et l’interface réseau du groupe afin que le trafic puisse circuler. Si vous avez un sous-réseau ou une carte réseau dans votre groupe de sécurité réseau, vous devez définir une règle d’autorisation à chaque niveau. Sinon, le trafic est refusé pour tous les niveaux qui ne fournissent pas de définition de règle d’autorisation.

• Tenez compte du trafic interne au sous-réseau. Les règles de sécurité d’un groupe de sécurité réseau associé à un sous-réseau peuvent affecter le trafic entre toutes les machines virtuelles du sous-réseau. Vous pouvez interdire le trafic interne au sous-réseau en définissant une règle dans le groupe de sécurité réseau pour refuser tout le trafic entrant et sortant. Cette règle empêche toutes les machines virtuelles de votre sous-réseau de communiquer entre elles.

• Utilisez la priorité des règles. Les règles de sécurité d’un groupe de sécurité réseau sont traitées par ordre de priorité. Pour qu’une règle de sécurité particulière soit toujours traitée, attribuez-lui la valeur de priorité la plus basse possible. La bonne pratique est de laisser des « trous » dans la numérotation de vos priorités, par exemple, 100, 200, 300, etc. Les trous dans la numérotation vous permettent d’ajouter de nouvelles règles sans avoir à modifier les règles existantes.

Voir les règles de sécurité effectives

Si vous avez plusieurs groupes de sécurité réseau et que vous ne savez pas quelles règles de sécurité sont appliquées, vous pouvez utiliser le lien Règles de sécurité effectives dans le portail Azure. Vous pouvez utiliser le lien pour vérifier les règles de sécurité qui sont appliquées à vos machines, sous-réseaux et interfaces réseau.