Suchen

Definition Network Security Group Was ist eine Netzwerksicherheitsgruppe?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Eine Netzwerksicherheitsgruppe (Network Security Group) nutzt gemeinsame Regeln, um Ressourcen voneinander zu trennen und Netzwerkverkehr zu kontrollieren. In einem Microsoft-Azure-Netzwerk lassen sich die Netzwerksicherheitsgruppen dazu nutzen, um den Netzwerkverkehr von und zu bestimmten Azure-Ressourcen zu blockieren oder zuzulassen.

Firmen zum Thema

Kontrolle des Datenverkehrs in einem Microsoft-Azure-Netzwerk mit Netzwerksicherheitsgruppen. Netzwerksicherheitsgruppe - gemeinsame Sicherheitsregeln zur Ressourcentrennung.
Kontrolle des Datenverkehrs in einem Microsoft-Azure-Netzwerk mit Netzwerksicherheitsgruppen. Netzwerksicherheitsgruppe - gemeinsame Sicherheitsregeln zur Ressourcentrennung.
(Bild: gemeinfrei / CC0 )

Der englische Begriff für Netzwerksicherheitsgruppe lautet Network Security Group (abgekürzt NSG). Es handelt sich um eine Zusammenfassung von Ressourcen wie Netzwerkstationen oder virtuellen Netzen, die gemeinsame Sicherheitsrichtlinien verwenden. Die Aufteilung der Ressourcen ist nach verschiedenen Gesichtspunkten wie Regionen, Diensten oder Teilnetzen möglich. Für diese Ressourcen gelten gleiche Policies (Firewall-Regeln) für den eingehenden und/oder den ausgehenden Datenverkehr. Innerhalb der Cloud-Computing-Plattform Azure von Microsoft kommen Netzwerksicherheitsgruppen zur Filterung des Datenverkehrs von und zu bestimmten Azure-Ressourcen zum Einsatz.

Anwendungsbereiche der Netzwerksicherheitsgruppen

Für Netzwerksicherheitsgruppen existieren zahlreiche Anwendungsbereiche. Mit ihnen lassen sich unterschiedliche Ressourcengruppen abhängig von Anwendungen oder ihrem Einsatzzweck trennen. Beispielsweise ist die saubere Trennung zwischen Testumgebungen, Entwicklungssystemen oder Produktivsystemen möglich. Ressourcen sind verschiedenen Geschäftsprozessen oder Benutzern und Administratoren zuordenbar. Ein weiterer Anwendungsbereich ist die Trennung zwischen privat genutzten und öffentlich bereitgestellten Ressourcen.

Netzwerksicherheitsgruppen und Microsoft Azure

Auf der Cloud-Computing-Plattform Azure stellt Microsoft verschiedene Dienste bereit. Kunden können Microsoft Azure als Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) für eigene Anwendungsbereiche einsetzen. Der Netzwerkverkehr von und zu den verschiedenen Ressourcen der Azure-Cloud-Plattform ist mit Netzwerksicherheitsgruppen kontrollierbar. Stationen, virtuelle Maschinen oder Subnetze werden zu einer Ressource zusammengefasst. Für diese Ressource geltende Sicherheitsregeln lassen bestimmten Datenverkehr zu oder blockieren ihn. Für die Cloud-Plattform und die virtuellen Ressourcen stellen die Regeln quasi die Firewall-Policies dar. Subnetze und Services lassen sich gegen andere Ressourcen, Netze oder das öffentliche Internet absichern. Die getroffenen Einstellungen sind automatisch für die Objekte einer Netzwerksicherheitsgruppe gültig und virtuell an sie gebunden. Netzwerksicherheitsgruppen gehören zu den Standardfunktionen von Microsoft Azure und müssen nicht gesondert beauftragt werden. Kunden können die Gruppen und Sicherheitsregeln einrichten und verändern.

Netzwerksicherheitsgruppen und die Sicherheitsregeln

Jede Netzwerksicherheitsgruppe kann keine, eine oder mehrere Sicherheitsregeln enthalten. Die maximale Anzahl an Regeln pro Gruppe legt das Azure-Abonnement fest. Die Sicherheitsregeln besitzen folgende Eigenschaften und Merkmale:

  • einen eindeutigen Namen
  • eine bestimmte Priorität
  • eine Quelle oder ein Ziel
  • einen bestimmten Portbereich
  • ein bestimmtes Protokoll
  • die Richtung des Datenverkehrs, ob eingehend oder ausgehend
  • eine Aktion: Blockieren oder Zulassen

Die Priorität einer Sicherheitsregel legt fest, in welcher Reihenfolge sie bearbeitet werden soll. Quelle oder Ziel können einzelne IP-Adressen oder ganze Netzbereiche sein. Das Protokoll definiert, ob es sich um TCP-Pakete, UDP-Pakete oder beide Arten von Paketen handelt. Über den Portbereich lässt sich festlegen, für welche TCP- oder UDP-Ports die Sicherheitsregel greift. Es können einzelne Ports oder Portbereiche sein. Die Aktion bestimmt, ob der in der Regel spezifizierte Datenverkehr zu oder von einer bestimmten Ressource zugelassen oder verweigert wird.

(ID:45634904)

Über den Autor