Określanie obowiązujących reguł sieciowej grupy zabezpieczeń

Każda sieciowa grupa zabezpieczeń i jego zdefiniowane reguły zabezpieczeń są oceniane niezależnie. Platforma Azure przetwarza warunki w każdej regule zdefiniowanej dla każdej maszyny wirtualnej w konfiguracji.

• W przypadku ruchu przychodzącego platforma Azure najpierw przetwarza reguły zabezpieczeń sieciowej grupy zabezpieczeń dla wszystkich skojarzonych podsieci, a następnie wszystkich skojarzonych interfejsów sieciowych.
• W przypadku ruchu wychodzącego proces jest odwracany. Platforma Azure najpierw ocenia reguły zabezpieczeń sieciowej grupy zabezpieczeń dla wszystkich skojarzonych interfejsów sieciowych, a następnie wszystkich skojarzonych podsieci.
• W przypadku procesu oceny ruchu przychodzącego i wychodzącego platforma Azure sprawdza również, jak zastosować reguły dla ruchu wewnątrz podsieci. Ruch wewnątrz podsieci odnosi się do maszyn wirtualnych w tej samej podsieci.

W jaki sposób platforma Azure stosuje zdefiniowane reguły zabezpieczeń dla maszyny wirtualnej, określa ogólną skuteczność reguł.

Ocena sieciowej grupy zabezpieczeń

W przypadku zastosowania sieciowych grup zabezpieczeń do podsieci i interfejsu sieciowego każda sieciowa grupa zabezpieczeń będzie oceniana niezależnie. Zarówno reguły ruchu przychodzącego, jak i wychodzącego są brane pod uwagę na podstawie priorytetu i kolejności przetwarzania.

Kwestie, które należy wziąć pod uwagę podczas tworzenia obowiązujących reguł

Zapoznaj się z poniższymi zagadnieniami dotyczącymi tworzenia obowiązujących reguł zabezpieczeń dla maszyn w sieci wirtualnej.

• Rozważ zezwolenie na cały ruch. Jeśli umieszczasz maszynę wirtualną w podsieci lub korzystasz z interfejsu sieciowego, nie musisz kojarzyć podsieci ani karty sieciowej z sieciową grupą zabezpieczeń. Takie podejście zezwala na cały ruch sieciowy przez podsieć lub kartę sieciową zgodnie z domyślnymi regułami zabezpieczeń platformy Azure. Jeśli nie martwisz się o kontrolowanie ruchu do zasobu na określonym poziomie, nie należy kojarzyć zasobu na tym poziomie z sieciową grupą zabezpieczeń.

• Rozważ znaczenie reguł zezwalania. Podczas tworzenia sieciowej grupy zabezpieczeń należy zdefiniować regułę zezwalania zarówno dla podsieci, jak i interfejsu sieciowego w grupie, aby zapewnić, że ruch będzie mógł przechodzić. Jeśli masz podsieć lub kartę sieciową w sieciowej grupie zabezpieczeń, musisz zdefiniować regułę zezwalania na każdym poziomie. W przeciwnym razie ruch jest blokowany dla dowolnego poziomu, który nie udostępnia definicji reguły zezwalania.

• Rozważ ruch wewnątrz podsieci. Reguły zabezpieczeń sieciowej grupy zabezpieczeń skojarzonej z podsiecią mogą mieć wpływ na ruch między wszystkimi maszynami wirtualnymi w podsieci. Możesz zablokować ruch wewnątrz podsieci, definiując regułę w sieciowej grupie zabezpieczeń, aby odmówić całego ruchu przychodzącego i wychodzącego. Ta reguła uniemożliwia komunikację między wszystkimi maszynami wirtualnymi w podsieci.

• Rozważ priorytet reguły. Reguły zabezpieczeń sieciowej grupy zabezpieczeń są przetwarzane w kolejności priorytetów. Aby zapewnić, że określona reguła zabezpieczeń jest zawsze przetwarzana, przypisz do reguły najniższą możliwą wartość priorytetu. Dobrym rozwiązaniem jest pozostawienie luk w numerowaniu priorytetu, takich jak 100, 200, 300 itd. Luki w numerowaniu umożliwiają dodawanie nowych reguł bez konieczności edytowania istniejących reguł.

Wyświetlanie obowiązujących reguł zabezpieczeń

Jeśli masz kilka sieciowych grup zabezpieczeń i nie masz pewności, które reguły zabezpieczeń są stosowane, możesz użyć linku Obowiązujące reguły zabezpieczeń w witrynie Azure Portal. Możesz użyć linku, aby sprawdzić, które reguły zabezpieczeń są stosowane do maszyn, podsieci i interfejsów sieciowych.