Letzte Woche auf der TechEd Europe gaben wir bekannt, die eine wichtige Ergänzung zu dem Stapel Azure Networking. Network Security Groups bietet Segmentierung innerhalb eines Virtual Network (VNet) sowie die volle Kontrolle über Datenverkehr, der eine virtuelle Maschine in einem VNet Eintritte oder Ausläufe. Es hilft auch Szenarien erreichen wie DMZs (demilitarisierte Zonen) Benutzer Dienste zu eng sicheren Backend zu ermöglichen, wie Datenbanken und Anwendungsservern. Use Cases und Szenarien Multi-Tier-Anwendungen zu bauen, ist ein gemeinsames Muster Business-Workflows in der Cloud zu realisieren. Typischerweise Entitäten in der FrontEnd Tier wie Web-Proxies und DNS-Server in einer DMZ platziert, die mit dem Internet ausgesetzt ist. Funktionalität in den anderen Ebenen wie Application Server und Backend-Instanzen müssen ein höheres Maß an Sicherheit und sind daher von der DMZ isoliert. Diese Schichten erhalten Verkehr nur von bestimmten Fällen in der Front-end und haben in der Regel keine abgehende Verbindung zum Internet. Mit Network Security Groups, dieseMulti-Tier-Anwendungsarchitekturen können in Azure gehostet werden. Das folgende Diagramm zeigt ein Beispiel für Multi-Tier-Anwendungsbereitstellung: Network Security Groups bieten Kontrolle über den Netzwerkverkehr in und aus Ihrer Dienstleistungen fließen in Azure ausgeführt wird. Network Security Gruppen können auch so in einem virtuellen Netzwerk zu einem Subnetz angewendet werden, sie bieten einen effizienten Mechanismus Zugriffskontrolle Regel-Updates über mehrere VMs zu verwalten. Zugriffssteuerungsregeln auf Hunderte oder sogar Tausende von Maschinen in Sekundenschnelle gewechselt werden, ohne Aktualisierung oder Änderungen in der VM. Neben Verkehrs Intranet segmentieren, können Netzwerk-Sicherheitsgruppen auch Verkehr verwendet werden, um zu steuern gehen und aus dem Internet. Mit einem einzigen Zugriffssteuerungsregel, können die Benutzer die Verbindung zum Internet für ein ganzes Subnetz verweigern. VM und Subnet ACLs A Network Security Group besteht aus einer Reihe von Zugriffskontrollregeln, die Traffic-Filter beschreiben. Diese können mit einer virtuellen Maschine oder einem Subnetz in derselben verbunden seinRegion. Die Regeln definiert in der Network Security-Gruppe fungieren als Filter. Auf dem Eindringen Weg, den sie angewendet werden, bevor Verkehr der VM eintritt. Auf dem Ausgangspfad, werden sie angewendet, nachdem Verkehr die VM verlässt. Kurz gesagt werden diese Regeln auf Infrastrukturebene angewendet, die in der VM ausgeführt wird durch Benutzerprozesse oder sogar das Betriebssystem nicht geändert werden können. Wenn die Netzwerk-Security Group mit einem Subnetz zugeordnet ist, gilt es für alle VMs im Subnetz. Jede Veränderung auf der Network Security Group wird sofort auf alle VMs im Subnetz angewendet. Einige wichtige Aspekte der Netzwerksicherheit Gruppen umfassen: Die Regeln enthalten eine 5-Tupel (Quell-IP, Quell-Port, Ziel-IP, Ziel-Port, Protokoll). Die Regeln sind Stateful. Das bedeutet, wenn es eine eingehende Regel ist, dass der Verkehr auf einem Port (zum Beispiel Port 80), eine passende Regel auf der Ausgangsseite erlauben ist nicht erforderlich für die Pakete auf dem gleichen Port zu fließen. Jedes Netzwerk Security Group enthält Standardregeln, die Verbindungen innerhalb der virtuellen ermöglichenNetzwerk- und Outbound Zugang zum Internet. Diese Standardregeln können durch die Benutzerregeln außer Kraft gesetzt werden. Die Regeln basieren auf Priorität bearbeitet. Regeln mit kleinen (dh höhere Priorität) Werte werden vor Regeln verarbeitet mit größeren Werten (niedrigere Priorität Bedeutung). Azure bietet Standardwerte-Tags wie Internet und virtual_network die gesamte Netzwerk-Adressraum außerhalb des Virtual Network und Kunden jeweils mit der öffentlichen IP-Adressraum bezeichnet. Die Tags können als Teil einer Zugriffssteuerungsregel verwendet werden. Network Security Gruppen können zu einer VM oder Subnetz, und in einigen Fällen auf beide angewendet werden. In Situationen, in denen Verkehrsmuster zwischen VMs in einem Subnetz sehr unterschiedlich ist, kann es besser sein, einzelne Network Security Gruppen VM mit präzisen Regeln gebunden zu haben, Verkehr zu dieser VM zu steuern. In Situationen, in denen VMs in einem Subnetz identisch Verkehrsmuster haben (was der Fall ist in der Regel) es besser sein kann, eine Network Security-Gruppe an das Subnetz mit Verkehrssteuerung angebracht zu habenRegeln Eintritt und Austritt des gesamten Teilnetz zu verwalten. In einigen Situationen ein Hybrid aus den beiden Ansätzen kann die beste sein, wenn die Mehrzahl der Verkehrs identisch ist, aber, wenn einige feine Kornsteuerung auf einer VM oder zwei benötigt. Wie das obige Bild, auf dem Ingress Pfad stellt die Regeln von der Network Security Group zum Subnetz angeschlossen werden aufgebracht, gefolgt von Regeln aus der Network Security-Gruppe an die VM angebracht, falls vorhanden. Es wird umgekehrt in dem Ausgangspfad sein. Es ist auch gut für einen Netzwerk-Administrator geeignet, um die Netzwerk-Security Group Regeln für ein Teilnetz und für einen Entwickler (Besitzer der VM) zu definieren, die Netzwerk-Security Group Regeln für eine VM zu beschreiben. Limits Network Security Groups strebt granulare Zugriffskontrolle über den Netzwerkverkehr für Dienstleistungen im VNet laufen zu schaffen, und mit diesem Ziel ein Abonnement erlaubt Ausrichten von bis zu 100 Netzwerk-Sicherheitsgruppen zu haben, mit jeder Netzwerk-Security Group mehr als 200 rules.The mit Limits können erhöht werdenMicrosoft Support in Verbindung setzen, wenn es eine ernsthafte Benutzung Fall, dass mehrere Regeln oder Gruppen erfordert. Network Security Group ist nur für VMs in einem regionalen VNet. Bitte beachten Sie den FAQ-Bereich unten für andere Interoperabilität Artikel. Usage Network Security Gruppen wird derzeit nur durch Power Shell und REST API ausgesetzt. #create Ein Netzwerk Security Group New-AzureNetworkSecurityGroup -Name "MyVNetSG" -Standort USWest -Label "Sicherheitsgruppe für meine Vnet in West USA" #add, Update-Regeln auf eine NSG Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Art Inbound -Priority 100 -Action zulassen -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protokoll TCP #Delete Eine Regel aus NSG Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Remove-AzureNetworkSecurityRule -Name WEB #Associate Eine NSG zu einer virtuellen Maschine Get-AzureVM -ServiceName "MyWebSite" -Name "Instance1" |Set-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" #Remove Eine NSG aus einer VM Get-AzureVM -ServiceName "MyWebSite" -Name "Instance1" | Remove-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" #Associate Ein NSG zu einem Subnetz Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName 'FrontEndSubnet' #Remove Ein NSG aus dem Subnetz Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Remove-AzureNetworkSecurityGroupFromSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName 'FrontEndSubnet' #Delete Ein NSG Remove-AzureNetworkSecurityGroup -Name "MyVNetSG" #GET Details von Netzwerk Secuirty Gruppe zusammen mit Regeln Get-AzureNetworkSecurityGroup -Name "MyVNetSG" -detailed Bitte beziehen Sie sich auf den Inhalt für weitere Details. FAQ 1. Ich habe bereits Endpoint ACLs auf meinem VM-Endpunkte verwenden, kann ich auch Network Security Groups verwenden? Nein, Sie können nur entweder von Endpoint-ACLs verwenden oder NetzwerkSicherheitsgruppen. Sie können die Endpunkt-ACLs aus der VM zu entfernen und die VM auf ein Netzwerk-Security Group in Verbindung bringen. 2. Ich habe mehrere NICs in meiner VM, werden die Netzwerk-Security Group Regeln gelten für den Verkehr auf allen NICs? Nein, die Netzwerk-Security Group Regeln gelten nur für den Verkehr in der primären NIC. In Zukunft wird fügen wir Fähigkeit, eine Network Security Group eine NIC direkt zuzuordnen. 3. Ich habe eine Network Security Group, was sind die nächsten Schritte? Nachdem Sie eine Network Security Gruppe angelegt haben, schauen Sie sich die Standardregeln, indem Sie den Befehl ausführen: Get-AzureNetworkSecurityGroup -Name "MyVNetSG" -Detaillierte Dies zeigt Ihnen die Standardregeln. Als nächster Schritt die Network Security-Gruppe zu einer VM oder Subnetz zuzuordnen. Fügen Sie weitere Regeln für den Netzwerkverkehr auf das Unternehmen zu steuern. Sehen Sie sich die Regeln Wirkung innerhalb von wenigen Minuten in Anspruch nehmen (es ist in der Regel Sekunden). 4. Ich habe RDP Endpunkt definiert für meine VM und ich bin ein Netzwerk-Security Group mit ich eine Access-Control-Regel müssen die RDP-Port zum Anschluss vonInternet? Ja, die Standardregeln im Network Security Group erlaubt keinen Zugriff zu jedem Hafen von Internet, haben die Benutzer eine bestimmte Regel zu erstellen RDP-Verkehr zu ermöglichen. Teile das: