Video-Tipp: Netzwerksicherheitsgruppen

Virtuelle Firewalls in Azure mit Network Security Groups

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man mit Gruppenrichtlinien und Network Security Groups in Microsoft Azure virtuelle Firewalls errichtet und damit ganze Netzwerke, Netzwerkadapter und VMs sicherer in der Cloud betreibt, zeigt unser Video-Tipp.
Wie man mit Gruppenrichtlinien und Network Security Groups in Microsoft Azure virtuelle Firewalls errichtet und damit ganze Netzwerke, Netzwerkadapter und VMs sicherer in der Cloud betreibt, zeigt unser Video-Tipp. (Bild: Pixabay / CC0)

Netzwerksicherheitsgruppen (Network Security Groups, NSGs) sind virtuelle Firewalls in Microsoft Azure. Sie sichern über Gruppenrichtlinien Subnetze in Azure voreinander und gegen das Internet und anderen Dienste ab. Alle Einstellungen einer Richtlinie gelten automatisch für alle Objekte (Subnetze, virtuelle Netzwerke oder VMs), die sich in der Network Security Group befinden. Wie man Network Security Groups richtig konfiguriert und verwaltet, zeigen wir in diesem Video-Tipp-Artikel.

Bei Netzwerksicherheitsgruppen (Network Security Groups, NSGs) handelt es sich, einfach ausgedrückt, um sehr flexible, virtuelle Firewalls, die sich an verschiedene Objekte in Microsoft Azure binden lassen.

Netzwerk Security Groups (NSG) sichern über Richtlinien Subnetze in Microsoft Azure voreinander und gegen das Internet und andere Dienste ab. Alle Einstellungen einer Richtlinie gelten automatisch für alle Objekte, die sich in der Network Security Group befinden. Das können Subnetze, virtuelle Netzwerke oder VMs sein. Für das Erstellen von Netzwerksicherheitsgruppen in Microsoft Azure werden keine zusätzlichen Kosten in Rechnung gestellt. Die NSG gehören also zum Standardlieferumfang.

Wie man Netzwerksicherheitsgruppen in Microsoft Azure richtig konfiguriert und administriert, zeigen wir in der obenstehenden Bildergalerie und auch in unserem im Video-Tipp am Ende des Artikels.

Virtuelle Firewalls an Subnetze oder Azure VMs und NICs binden

Normalerweise werden Network Security Groups (NSG) in Microsoft Azure an Subnetze gebunden. Die Richtlinien der NSG blockieren den kompletten Datenverkehr, außer die erlaubten Verbindungen. Binden Administratoren eine NSG aber nicht an ein Subnetz, sondern an einen virtuellen Netzwerkadapter, dann gilt hier das Gleiche. Mit NSG lassen sich also sehr flexible Sicherheitsmechanismen darstellen und umsetzen.

NSG können aber nicht nur den eingehenden Datenverkehr filtern, sondern auch alle Daten, die aus den angebundenen Objekten in den Rest des Netzwerks geschickt werden. Wird eine NSG an eine oder mehrere NICs von Azure VMs gebunden, löscht die NSG alle Pakete, welche die VM verlassen, außer Pakete, die erlaubt sind. Das Gleiche gilt für die Verbindung von NSGs mit Subnetzen in Microsoft Azure. Mehr zum Thema sind in der Bildergalerie zu diesem Artikel zu sehen. Auch im Video zu diesem Artikel sind die NSGs und deren Verwaltung zu sehen.

Empfehlungen von Microsoft für Network Security Groups

Microsoft empfiehlt NSGs immer an komplette Subnetze, und damit an alle Azure VMs in einer Gruppe zu binden. Dadurch kann die NSG alle virtuellen Server in diesem Subnetz schützen, in dem die virtuellen Netzwerkadapter gefiltert werden. Das funktioniert zwar auch für einzelne VMs, allerdings ist dieser Weg nicht empfohlen, da er die Verwaltung und Umsetzung der Sicherheit deutlich verkompliziert.

NSGs berücksichtigen für die Filter das Netzwerk-Protokoll, Quell-IP-Adressbereich, Quellportbereich, Ziel-IP-Adressbereich und Zielportbereich. Bei der Planung von NSGs müssen Administratoren darauf achten, dass eine NSG zwar mehrere Objekte in Microsoft Azure auf einmal schützen kann, aber die einzelnen Objekte nur an eine NSG gebunden werden können. Azure VMs, virtuelle Netzwerkadapter und Subnetze können also jeweils immer nur eine NSG nutzen.

Sicherheitsregeln definieren und priorisieren

Die Sicherheitsregeln lassen sich auch priorisieren. Die NSG wertet die einzelnen Richtlinien nach und nach aus. Die Regeln mit der niedrigsten Nummer wird zuerst ausgewertet, danach erfolgen die höheren Nummern.

Wie man Netzwerksicherheitsgruppen in Microsoft Azure richtig konfiguriert und administriert, zeigen wir in der obenstehenden Bildergalerie und auch in unserem im Video-Tipp hier drunter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44521425 / Firewalls)