Verbind, beveilig en vereenvoudig uw netwerkresources met Azure Virtual Network Manager | Microsoft Azure (2023)

Table of Contents
Wat is Azure Virtual Network Manager? Gemeenschappelijke gebruiksgevallen Connectiviteit configuratie Beveiligingsfunctie Meer informatie over Azure Virtual Network Manager

Beheer en configuratie van uw netwerkresources op ondernemingsniveau in Azure zijn essentieel om de kosten laag te houden, de operationele overhead te verminderen en uw netwerkaanwezigheid in de cloud goed te verbinden en te beveiligen.We zijn blij om aan te kondigenAzure virtuele netwerkbeheerder(AVNM), uw one-stop-shop voor het beheer van de connectiviteit en beveiliging van uw netwerkresources op schaal, is algemeen beschikbaar.

Wat is Azure Virtual Network Manager?

AVNM werkt via een hoofdproces vangroeperen, configureren en implementeren. U groepeert uw netwerkbronnen over abonnementen, regio's en zelfs huurders; configureer het soort connectiviteit en beveiliging dat u wilt tussen uw gegroepeerde netwerkbronnen; en ten slotte implementeert u die configuraties op die netwerkgroepen in welke en hoeveel regio's u maar wilt.

Gemeenschappelijke gebruiksgevallen

Veelvoorkomende use-cases voor AVNM omvatten het volgende en kunnen worden aangepakt door AVNM's connectiviteits- en beveiligingsbeheerconfiguraties te implementeren op uw gedefinieerde netwerkgroepen:

  • Onderling verbonden virtuele netwerken (VNet's) die rechtstreeks met elkaar communiceren.
  • Centrale infrastructuurservices in een hub-VNet die worden gedeeld door andere VNets.
    • Directe connectiviteit tot stand brengen tussen spoke VNets om latentie te verminderen.
  • Automatisch onderhoud van connectiviteit op schaal, zelfs met de toevoeging van nieuwe netwerkbronnen.
  • Afgedwongen standaard beveiligingsregels op alle bestaande en nieuwe VNets zonder risico op verandering.
    • Flexibiliteit behouden voor VNet-eigenaren om netwerkbeveiligingsgroepen (NSG's) naar behoefte te configureren voor meer specifieke verkeersdictatie.
  • Toepassing van standaard beveiligingsregels binnen een hele organisatie om het risico op verkeerde configuratie en beveiligingslekken te verkleinen.
  • Geforceerde toestemming voor het verkeer van services, zoals monitoringservices en programma-updates, om onbedoelde blokkering door beveiligingsregels te voorkomen.

Connectiviteit configuratie

Hub- en spaaktopologie

Wanneer u bepaalde services in een hub-VNet hebt, zoals eenAzure-firewallofExpressRoute, en u moet verschillende andere VNets met die hub verbinden om die services te delen, dat betekent dat u een verbinding tot stand moet brengen tussen elk van die spoke-VNets en de hub. Als u in de toekomst nieuwe VNets inricht, moet u er ook voor zorgen dat die nieuwe VNets correct zijn verbonden met het hub-VNet.

Met AVNM kunt u groepen VNets maken en die groepen selecteren om te worden verbonden met uw gewenste hub-VNet, en AVNM brengt achter de schermen alle benodigde connectiviteit tot stand tussen uw hub-VNet en elk VNet in uw geselecteerde groepen. Naast de eenvoud van het maken van een hub- en spoke-topologie, kunnen nieuwe VNets die overeenkomen met uw gewenste voorwaarden automatisch aan deze topologie worden toegevoegd, waardoor handmatige interferentie van uw kant wordt verminderd.

Voorlopig is het tot stand brengen van directe connectiviteit tussen de VNets binnen een spaaknetwerkgroep nog in preview en wordt deze op een later tijdstip algemeen beschikbaar (GA).

gaas

Als u wilt dat al uw VNets regionaal of wereldwijd met elkaar kunnen communiceren, kunt u een mesh-topologie bouwen met de connectiviteitsconfiguratie van AVNM. U selecteert uw gewenste netwerkgroepen en AVNM brengt connectiviteit tot stand tussen elk VNet dat deel uitmaakt van uw geselecteerde netwerkgroepen. De configuratiefunctie voor mesh-connectiviteit is nog in preview en wordt op een later tijdstip algemeen beschikbaar.

Connectiviteitsconfiguraties implementeren met bestaande omgevingen

Stel dat u een interregionale hub en spaaktopologie in Azure hebt die u via handmatige peerings hebt ingesteld. Uw hub-VNet heeft een ExpressRoute-gateway en uw tientallen spaak-VNet's zijn eigendom van verschillende toepassingsteams.

Dit zijn de stappen die u zou nemen om deze topologie te implementeren en automatiseren met behulp van AVNM:

  1. Maak je netwerkbeheerder aan.
  2. Maak een netwerkgroep voor de respectievelijke VNets van elk toepassingsteam met behulp van Azure Policy-definities die voorwaardelijk kunnen worden gebaseerd op parameters, waaronder (maar niet beperkt tot) abonnement, VNet-tag en VNet-naam.
  3. Maak een connectiviteitsconfiguratie met geselecteerde hub en spaak. Selecteer uw gewenste hub-VNet en uw netwerkgroepen als de spokes.
  4. Alle connectiviteit die tot stand is gebracht met AVNM is standaard additief na de implementatie van de connectiviteitsconfiguratie. Als u wilt dat AVNM bestaande peerings voor u opschoont, is dit een optie die u kunt selecteren; anders kan de bestaande connectiviteit desgewenst later handmatig worden opgeschoond.
  5. Implementeer uw hub-en-spoke-connectiviteitsconfiguratie in de door u gewenste regio's.

Met slechts een paar klikken heeft u via AVNM een hub-en-spoke-topologie opgezet tussen tientallen VNets van alle applicatieteams wereldwijd. Door de voorwaarden van VNet-lidmaatschap te definiëren voor uw netwerkgroepen die elk toepassingsteam vertegenwoordigen, hebt u ervoor gezorgd dat elk nieuw gemaakt VNet dat aan deze voorwaarden voldoet, automatisch wordt toegevoegd aan de overeenkomstige netwerkgroep en dezelfde connectiviteitsconfiguratie krijgt die daarop is toegepast. Of u ervoor kiest om AVNM bestaande peerings te laten verwijderen of niet, er is geen uitvaltijd voor connectiviteit tussen uw spoke-VNets en hub-VNet.

Beveiligingsfunctie

AVNM biedt u momenteel de mogelijkheid om uw VNets op schaal te beschermen met beveiligingsbeheerconfiguraties. Dit type configuratie bestaat uit regels voor beveiligingsbeheerders. Dit zijn beveiligingsregels met hoge prioriteit die op dezelfde manier zijn gedefinieerd als, maar met voorrang op, NSG-regels.

De configuratiefunctie voor de beveiligingsbeheerder is nog in preview en zal op een later tijdstip worden gecontroleerd.

Handhaving en flexibiliteit

Met alleen NSG's kan wijdverbreide handhaving op VNets in verschillende applicaties, teams of zelfs hele organisaties lastig zijn. Vaak is er een evenwichtsoefening tussen pogingen tot gecentraliseerde handhaving binnen een organisatie en het overdragen van gedetailleerde, flexibele controle aan teams. De kosten van harde handhaving zijn hogere operationele overhead omdat beheerders een toenemend aantal NSG's moeten beheren. De kosten van individuele teams die hun eigen beveiligingsregels aanpassen, zijn het risico van kwetsbaarheid omdat verkeerde configuratie of geopende onveilige poorten mogelijk zijn. Regels voor beveiligingsbeheerders zijn bedoeld om deze glijdende schaal van kiezen tussen handhaving en flexibiliteit volledig te elimineren door centrale beheerteams de mogelijkheid te bieden vangrails op te zetten, terwijl opzettelijk verkeer voor individuele teams wordt toegestaan ​​om de beveiliging naar behoefte flexibel te lokaliseren door middel van NSG-regels.

Verschil met NSG's

Beveiligingsbeheerdersregels zijn vergelijkbaar met NSG-regels wat betreft structuur en invoerparameters, maar ze hebben niet exact dezelfde constructie. Laten we deze verschillen en overeenkomsten samenvatten:

DOELGROEPTOEGEPAST OPBEOORDELINGSOPDRACHTACTIE TYPENPARAMETERS
BEVEILIGINGSBEHEERDERSREGELSNetwerkbeheerders, centraal beheerteamVirtuele netwerkenHogere prioriteitToestaan,Ontkennen,Altijd toestaanPrioriteit, protocol, actie, bron, bestemming
NSG-REGELSIndividuele teamsSubnetten, NIC'sLagere prioriteit, na beveiligingsbeheerdersregelsToestaan,Ontkennen

Een belangrijk verschil is de regel van de beveiligingsbeheerderToestaantype. In tegenstelling tot zijn andere actietypes vanOntkennenEnAltijd toestaan, als u een beveiligingsbeheerdersregel maakt voorToestaaneen bepaald type verkeer, dan wordt dat verkeer verder geëvalueerd door NSG-regels die overeenkomen met dat verkeer. Echter,OntkennenEnAltijd toestaanregels voor beveiligingsbeheerders stoppen de evaluatie van verkeer, wat betekent dat NSG's verderop dit verkeer niet zullen zien of verwerken. Als gevolg hiervan kunnen beheerders, ongeacht de NSG-aanwezigheid, standaard beveiligingsbeheerdersregels gebruiken om een ​​organisatie te beschermen.

Verbind, beveilig en vereenvoudig uw netwerkresources met Azure Virtual Network Manager | Microsoft Azure (1)

Belangrijkste scenario's

Uitzonderingen geven

Het is op zijn zachtst gezegd nuttig om beveiligingsregels in een hele organisatie te kunnen afdwingen. Maar een van de voordelen van beveiligingsbeheerdersregels die we hebben genoemd, is de mogelijkheid voor flexibiliteit door teams binnen de organisatie om het verkeer naar behoefte anders af te handelen. Stel dat u een netwerkbeheerder bent en dat u beveiligingsbeheerdersregels hebt afgedwongen om alle risicovolle poorten in uw hele organisatie te blokkeren, maar een toepassingsteam 1 heeft SSH-verkeer nodig voor enkele van hun bronnen en heeft een uitzondering aangevraagd voor hun VNets . U maakt een netwerkgroep specifiek voor de VNets van toepassingsteam 1 en maakt een verzameling beveiligingsbeheerdersregels die alleen op die netwerkgroep is gericht. Binnen die regelverzameling maakt u een beveiligingsbeheerdersregel van het actietypeToestaanvoor inkomend SSH-verkeer (poort 22). De prioriteit van deze regel moet hoger zijn dan de oorspronkelijke regel die u hebt gemaakt en die deze poort blokkeerde voor alle resources van uw organisatie. In feite hebt u nu een uitzondering gemaakt op het blokkeren van SSH-verkeer, alleen voor de VNets van applicatieteam 1, terwijl uw organisatie nog steeds standaard tegen dat verkeer wordt beschermd.

Verbind, beveilig en vereenvoudig uw netwerkresources met Azure Virtual Network Manager | Microsoft Azure (2)
Verkeer toestaan ​​van en naar bewakingsservices of domeincontrollers

Regels voor beveiligingsbeheerders zijn handig om riskant verkeer binnen uw organisatie te blokkeren, maar ze zijn ook handig om geforceerd verkeer toe te staan ​​dat nodig is om bepaalde services te laten werken zoals verwacht. Als u weet dat uw toepassingsteams software-updates voor hun virtuele machines nodig hebben, kunt u een verzameling regels maken die is gericht op de juiste netwerkgroepen, bestaande uitAltijd toestaanbeveiligingsbeheerdersregels voor de poorten waar de updates doorheen komen. Op deze manier, zelfs als een toepassingsteam een ​​NSG verkeerd configureert om verkeer op een poort die nodig is voor updates te weigeren, zorgt de beveiligingsbeheerdersregel ervoor dat het verkeer wordt afgeleverd en niet die conflicterende NSG raakt.

Beveiligingsbeheerconfiguraties implementeren met bestaande omgevingen

Stel dat u een op NSG gebaseerd beveiligingsmodel hebt dat bestaat uit honderden NSG's die kunnen worden gewijzigd door zowel het centrale beheerteam als individuele toepassingsteams. Uw organisatie heeft dit model oorspronkelijk geïmplementeerd om flexibiliteit mogelijk te maken, maar er zijn beveiligingsproblemen geweest als gevolg van ontbrekende beveiligingsregels en voortdurende NSG-wijzigingen.

Dit zijn de stappen die u zou nemen om organisatiebrede beveiliging te implementeren en af ​​te dwingen met behulp van AVNM:

  1. Maak je netwerkbeheerder aan.
  2. Maak een netwerkgroep voor de respectievelijke VNets van elk toepassingsteam met behulp van Azure Policy-definities die voorwaardelijk kunnen worden gebaseerd op parameters, waaronder (maar niet beperkt tot) abonnement, VNet-tag en VNet-naam.
  3. Maak een beveiligingsbeheerdersconfiguratie met een verzameling regels die gericht is op alle netwerkgroepen. Deze verzameling regels vertegenwoordigt de standaard beveiligingsregels die u in uw hele organisatie afdwingt.
  4. Creëer beveiligingsbeheerdersregels die poorten met een hoog risico blokkeren. Deze beveiligingsbeheerdersregels hebben voorrang op NSG-regels, dus het weigeren van beveiligingsbeheerdersregels kan niet conflicteren met bestaande NSG's. Redundante of nu omzeilde NSG's kunnen desgewenst handmatig worden opgeschoond.
  5. Implementeer uw beveiligingsbeheerconfiguratie in de door u gewenste regio's.

U hebt nu via AVNM een organisatiebrede set beveiligingsrails opgezet voor alle VNets van uw applicatieteams wereldwijd. U hebt handhaving tot stand gebracht zonder aan flexibiliteit in te boeten, aangezien u uitzonderingen kunt maken voor de set VNets van elk toepassingsteam. Uw oude NSG's bestaan ​​nog steeds, maar al het verkeer raakt eerst uw beveiligingsbeheerdersregels. U kunt overbodige of vermeden NSG's opschonen en uw netwerkbronnen worden nog steeds beschermd door uw beveiligingsbeheerdersregels, dus er is geen downtime vanuit beveiligingsoogpunt.

Meer informatie over Azure Virtual Network Manager

Bekijk deAVNM-overzicht, lees meer over AVNM in onzeopenbare documentatieset, en verdiep u in het beveiligingsaanbod van AVNM via onzebeveiligingsblog.

Top Articles
Latest Posts
Article information

Author: Rev. Leonie Wyman

Last Updated: 07/07/2023

Views: 5263

Rating: 4.9 / 5 (59 voted)

Reviews: 82% of readers found this page helpful

Author information

Name: Rev. Leonie Wyman

Birthday: 1993-07-01

Address: Suite 763 6272 Lang Bypass, New Xochitlport, VT 72704-3308

Phone: +22014484519944

Job: Banking Officer

Hobby: Sailing, Gaming, Basketball, Calligraphy, Mycology, Astronomy, Juggling

Introduction: My name is Rev. Leonie Wyman, I am a colorful, tasty, splendid, fair, witty, gorgeous, splendid person who loves writing and wants to share my knowledge and understanding with you.