Configure network security groups | AZ-104 | Episode 9
Microsoft LearndutchenpublicupdatedRead in about 3 minutes instead of watching 29 minutes.
Introductie tot NSG's
- Azure hanteert beveiliging als basisprincipe: secure by default en assume breach.
- Een Network Security Group is vergelijkbaar met firewallregels en wordt gebruikt om netwerkverkeer in Azure te beheren.
- NSG's zijn gratis en vooral nuttig voor interne infrastructuur binnen Azure, terwijl duurdere opties zoals Azure Firewall en Application Gateway vaker voor ingress en egress worden gebruikt.
Werking en beperkingen
- Een NSG analyseert verkeer op OSI-laag 4 en kijkt vooral naar bron, bestemming, poorten en protocollen.
- NSG's doen geen deep packet inspection en zijn daarom meer een lichte firewallfunctie voor grofmazige verkeerssturing.
- NSG-regels bepalen of verkeer inbound of outbound wordt toegestaan of geweigerd.
Toepassing in VNets en subnets
- Een VNet bevat subnets, zoals front-end, business tier en data tier, die standaard met elkaar kunnen communiceren.
- NSG's kunnen worden gebruikt om bijvoorbeeld verkeer van de front-end naar de business tier toe te staan, maar verkeer naar de data tier te blokkeren.
- Blokkades kunnen outbound op de bron, inbound op de bestemming, of op beide plekken worden ingericht als extra controle.
Plaatsing van NSG's
- NSG's kunnen op subnetniveau worden toegepast om verkeer voor een hele subnet te beheren.
- NSG's kunnen ook op het niveau van een netwerkinterface worden toegepast voor specifiekere controle per resource.
- Verkeer moet op alle relevante NSG-punten worden toegestaan; een deny op één plek kan de verbinding blokkeren.
Regelprioriteit en standaardregels
- NSG-regels gebruiken prioriteiten van 100 tot 65000, waarbij het laagste nummer de hoogste prioriteit heeft.
- Regels worden op volgorde verwerkt totdat een match wordt gevonden; daarna stopt de verwerking.
- Standaard staat een NSG verkeer binnen hetzelfde VNet toe, staat verkeer van Azure Load Balancer toe en weigert daarna overig inbound verkeer.
- De volgorde van regels is belangrijk, omdat een brede deny-regel een latere allow-regel onbereikbaar kan maken.
ASG's en servicetags
- Application Security Groups bieden een manier om regels toe te passen op groepen resources in plaats van op losse NIC's of subnets.
- ASG's helpen wanneer meerdere resources binnen of over subnets heen als één applicatiegroep moeten worden beheerd.
- Servicetags kunnen in NSG-regels worden gebruikt om Azure-services of resourcegroepen te herkennen en verkeer daarvoor toe te staan of te blokkeren.
Demo in Azure
- De demo laat zien hoe een nieuwe NSG wordt aangemaakt in een resource group en regio, met standaardregels als startpunt.
- Daarna wordt een inbound regel toegevoegd, bijvoorbeeld voor RDP-poort 3389, met bron, bestemming, protocol en prioriteit.
- Een bestaande NSG kan aan een subnet worden gekoppeld via de instellingen van het virtuele netwerk.
- Bij het aanmaken van een VNet kan Azure automatisch NSG's voor subnets aanmaken of een vooraf gebouwde NSG laten selecteren.
Afsluiting
- NSG's zijn een eenvoudige en gratis manier om inbound en outbound verkeer te beveiligen op basis van poorten en IP-adressen.
- Ze zijn vooral geschikt voor interne netwerkbeveiliging in Azure, maar minder bedoeld als enige oplossing voor publieke ingress en egress.
Actiepunten
- Gebruik NSG's breed binnen de interne Azure-infrastructuur, omdat ze gratis zijn en extra verkeerscontrole bieden.
- Leer de standaard NSG-regels en standaardacties kennen, vooral ter voorbereiding op AZ-104-examenvragen.
- Gebruik ruimte tussen prioriteitsnummers, zodat later extra regels kunnen worden ingevoegd zonder alles te hernummeren.
- Controleer de volgorde van NSG-regels zodat de effectieve verwerking het gewenste allow- of deny-resultaat oplevert.
- Bekijk andere video's in de cursus of ga naar Microsoft Learn om verder te leren.