Effectieve regels voor netwerkbeveiligingsgroepen bepalen

Elke netwerkbeveiligingsgroep en de gedefinieerde beveiligingsregels worden onafhankelijk geëvalueerd. Azure verwerkt de voorwaarden in elke regel die is gedefinieerd voor elke virtuele machine in uw configuratie.

• Voor binnenkomend verkeer verwerkt Azure eerst beveiligingsregels voor netwerkbeveiligingsgroepen voor alle gekoppelde subnetten en vervolgens eventuele gekoppelde netwerkinterfaces.
• Voor uitgaand verkeer wordt het proces omgekeerd. Azure evalueert eerst beveiligingsregels voor netwerkbeveiligingsgroepen voor alle gekoppelde netwerkinterfaces, gevolgd door eventuele gekoppelde subnetten.
• Voor zowel het binnenkomende als het uitgaande evaluatieproces controleert Azure ook hoe de regels voor intrasubnetverkeer moeten worden toegepast. Intra-subnetverkeer verwijst naar virtuele machines in hetzelfde subnet.

Hoe Azure uw gedefinieerde beveiligingsregels voor een virtuele machine toepast, bepaalt de algehele effectiviteit van uw regels.

Evaluatie van netwerkbeveiligingsgroep

Wanneer u netwerkbeveiligingsgroepen op zowel een subnet- als netwerkinterface toepast, wordt elke netwerkbeveiligingsgroep afzonderlijk geëvalueerd. Zowel binnenkomende als uitgaande regels worden beschouwd op basis van de prioriteit en de verwerkingsvolgorde.

Aandachtspunten bij het maken van effectieve regels

Bekijk de volgende overwegingen met betrekking tot het maken van effectieve beveiligingsregels voor machines in uw virtuele netwerk.

• Overweeg om al het verkeer toe te staan. Als u uw virtuele machine in een subnet plaatst of een netwerkinterface gebruikt, hoeft u het subnet of de NIC niet te koppelen aan een netwerkbeveiligingsgroep. Met deze benadering kan al het netwerkverkeer via het subnet of de NIC worden uitgevoerd volgens de standaardbeveiligingsregels van Azure. Als u zich geen zorgen maakt over het beheren van verkeer naar uw resource op een bepaald niveau, koppelt u uw resource op dat niveau niet aan een netwerkbeveiligingsgroep.

• Houd rekening met het belang van toestemmingsregels. Wanneer u een netwerkbeveiligingsgroep maakt, moet u een regel voor toestaan definiëren voor zowel het subnet als de netwerkinterface in de groep om ervoor te zorgen dat verkeer kan worden doorlopen. Als u een subnet of NIC in uw netwerkbeveiligingsgroep hebt, moet u op elk niveau een regel voor toestaan definiëren. Anders wordt het verkeer geweigerd voor elk niveau dat geen regeldefinitie voor toestaan biedt.

• Overweeg verkeer tussen subnetten. De beveiligingsregels voor een netwerkbeveiligingsgroep die aan een subnet zijn gekoppeld, kunnen van invloed zijn op verkeer tussen alle virtuele machines in het subnet. U kunt intrasubnetverkeer verbieden door een regel in de netwerkbeveiligingsgroep te definiëren om al het binnenkomende en uitgaande verkeer te weigeren. Met deze regel voorkomt u dat alle virtuele machines in uw subnet met elkaar communiceren.

• Houd rekening met regelprioriteit. De beveiligingsregels voor een netwerkbeveiligingsgroep worden verwerkt in volgorde van prioriteit. Als u ervoor wilt zorgen dat een bepaalde beveiligingsregel altijd wordt verwerkt, wijst u de laagst mogelijke prioriteitswaarde toe aan de regel. Het is een goede gewoonte om hiaten achter te laten in uw prioriteitsnummering, zoals 100, 200, 300, enzovoort. Met de hiaten in de nummering kunt u nieuwe regels toevoegen zonder bestaande regels te hoeven bewerken.

Effectieve beveiligingsregels weergeven

Als u meerdere netwerkbeveiligingsgroepen hebt en niet zeker weet welke beveiligingsregels worden toegepast, kunt u de koppeling Effectieve beveiligingsregels in Azure Portal gebruiken. U kunt de koppeling gebruiken om te controleren welke beveiligingsregels worden toegepast op uw computers, subnetten en netwerkinterfaces.