Comment gérer les groupes de sécurité Network (GSN) dans Azure

Share this:

Microsoft Azure permet à l'administrateur contrôler le trafic en sous-réseaux à l'aide de la fonctionnalité de sécurité de réseau Group (NSG). Dans ce tutoriel, nous allons sur les bases et nous créer, associant et ajout de règles à la composante NSG.

Solution


Pour toute nouvelle machine virtuelle créée dans un sous-réseau, il va falloir par défaut ces règles de réseau suivantes :

  • Le trafic entre les sous-réseaux est autorisé (aucune restriction)
  • La machine virtuelle aura RDP (en utilisant un port aléatoire) et PowerShell comme le montre l'image ci-dessous
  • Tous les ordinateurs virtuels peuvent accéder à Internet

image

Une NSG peut être appliqué à un sous-réseau, ou même une machine virtuelle, mais pour ce tutoriel nous allons appliquer à un sous-réseau. Nous allons utiliser le scénario de réseau suivant dans notre tutoriel ont été nous avons un sous-réseau appelé AP-DMZ et nous allons déployer quelques serveurs ADFS Proxy sur ce sous-réseau.

image[11]

Vous mai se demander, quelle est la différence entre le point de terminaison ACL et commissions, donc la réponse est simple les ACL de point de terminaison ne concernent que le trafic entrant à l'aide de l'adresse IP publique. À l'aide de NSG, nous pouvons contrôler le trafic entrant et sortant.

Comment créer un NSG…

La première étape consiste à se connecter à Windows Azure à l'aide de PowerShell, si vous ne me souviens pas comment faire pour ce faire, veuillez consulter ce tutoriel :

Toute la gestion des soins infirmiers s'effectue via Powershell à ce stade, donc à l'avenir toute la configuration se fera à l'aide de PoweShell.

Afin de créer une NSG, nous avons juste besoin de spécifier un nom, emplacement de centre de données et une étiquette. La cmdlet suivante peut être utilisée :

Nouvelle-AzureNetworkSecurityGroup-nom <nome-do-NSG>– emplacement <Local-do-Azure-Datacenter>– Label « ADFS Proxy DMZ NSG »</Local-do-Azure-Datacenter> </nome-do-NSG>

image[2]

Associer un sous-réseau…

Afin de répertorier toutes les commissions, nous pouvons exécuter Get-AzureNetworkSecurityGroup et nous pouvons utiliser piple "|" pour associer le NSG à un sous-réseau spécifique.

Dans l'exemple ci-dessous, nous sommes associant notre sous-réseau AP-DMZ pour le NSG nouvel que nous avons juste créé :

Get-AzureNetworkSecurityGroup-nom <NSG-Nome>| Jeu-AzureNetworkSecurityGroupToSubnet – VirtualNetworkName <Azure-NetworkName>– SubnetName <Subnet-Nome></Subnet-Nome> </Azure-NetworkName> </NSG-Nome>

image[5]

Après associant un défaut NSG à un sous-réseau tous le point de terminaison existant ne fonctionnera pas plus, si vous devez activer RDP ou PowerShell, ils doivent être activés au niveau du NSG à l'aide de règles.

Création d'une règle de soins infirmiers…

Chaque règle NSG a une priorité et ils sont appliqués de nombres inférieurs à un nombre plus élevé. Une règle est formée de plusieurs éléments (9 au total), telles que : nom, type, priorité, souce adresseIP, plage de port source, plage d'adresses ip de destination, plage de port de destination, protocole et accès.

À l'aide de la cmdlet suivante nous permettrons 443 entrants du trafic dans nos soins infirmiers :

Get-AzureNetworkSecurityGroup – nom AZNA-NSG-DMZ | Jeu-AzureNetworkSecurityRule – nom IN-Internet-HTTPS – Type entrant – priorité 100 – Action permettre – SourceAddressPrefix « INTERNET » – SourcePortRange * – DestinationAddressPrefix « 10.190.6.0/24 » DestinationPortRange – 443 – protocole TCP

Un autre exemple est mentionné ci-dessous, dans celui-ci, nous permettons à notre sous-réseau AP-DMZ le trafic RDP de réseau Windows Azure/local :

Get-AzureNetworkSecurityGroup – nom AZNA-NSG-DMZ | Jeu-AzureNetworkSecurityRule – nom IN-LAN-RDP-Type entrant – priorité 120 – Action permettre – SourceAddressPrefix « VIRTUAL_NETWORK » – SourcePortRange * – DestinationAddressPrefix « 10.190.6.0/24 » – DestinationPortRange 3389 – protocole TCP

Comment faire pour vérifier les règles existantes…

Après avoir créé toutes vos règles, vous devrez maintenir et documenter. À l'aide de la cmdlet suivante nous aurons en un seul coup de œil toutes les règles en place pour le trafic entrant ou sortant.

Get-AzureNetworkSecurityGroup-nommer « AZNA-NSG-DMZ » – détaillées

image[8]

Commissions sont une excellente ressource pour créer DMZ et protéger les sous-réseaux en général lorsque vous utilisez Microsoft Azure.

Written by Anderson Patricio

Anderson Patricio

Anderson Patricio is a Canadian MVP in Cloud and Datacenter Management, and Office Server and Services, besides the Microsoft Award he also holds a Solutions Master (MCSM) in Exchange and several other certifications. Anderson has been contributing to the Microsoft Community with articles, tutorials, blog posts, twitter, forums and book reviews. He is a regular contributor here at ITPROCentral.com, MSExchange.org, Techgenix.com and Anderson Patricio.org (Portuguese).