Network Security Groups

Azure

Network security groups blir assignet til et nettverk interface eller et subnet.
Om man assigner til et subnet vil reglene gjelde for alle interfacer på dette subnettet.

Om det er satt NSG på både ett nettverk interface og subnettet det ligger i blir begge disse behandlet selvtstendig. I rekkefølgen man forventer.

• Inngående trafikk er først subnet, så VM interface.
• Utgående trafikk er først VM interface så subnet.

Subnets og network interfacer kan bare ha en sikkerhetsgruppe på seg.
NSG støtter TCP, UDP og ICMP og ligger på lag 4, transport laget, av OSI Modellen.

Egenskaper for sikkerhetsregler i en gruppe

• Navn
  • Et unikt navn i NSG
• Prioritet
  • Nummer fra 100 til 4096
• Source/Destination
  • IP-adresse(r), Service Tags eller App Security Groups
• Protocol
  • TCP, UDP eller Any
• Direction
  • Inkommende eller utgående trafikk
• Port range
  • Port(er) det gelder for
• Action
  • Allow eller deny

Connections er stateful. Hvis man har åpnet for inbound trafikk på port 80 så slipper man å åpne opp for å kunne sende svar tilbake.

Default regler

Inbound
AllowVnet Inbound: Tillat fra any VM til any VM i subnettet, Pri 65000
AllowAzureLoadBalander: Tillat fra default loadblanacer til alle VMs i subnettet, Pri 65001
DenyAllInboyund: Forby all trafikk, Pri 65500

Outbound
AllowVnetOutbound: Tillat alle utgående trafikk fra VM til VM i subnett, Pri 65000
AllowInternetOutbound: Tillat all utgående trafikk fra any VM til internett, Pri 65001
DenyAllOutbound: Forby all utgående trafikk, Pri 65500

Augmented security rules

Komplekse regler i en enkelt regel. I praksis er dette bare at en kan spesifisere flere ting av hver egenskap.
Flere IP adresser, flere porter, flere service tags og flere app security groups.