Open YouTube

Configure network security groups | AZ-104 | Episode 9

Microsoft Learndutchenpublicupdated

Read in about 3 minutes instead of watching 29 minutes.

Introductie tot NSG's

  1. Azure hanteert beveiliging als basisprincipe: secure by default en assume breach.
  2. Een Network Security Group is vergelijkbaar met firewallregels en wordt gebruikt om netwerkverkeer in Azure te beheren.
  3. NSG's zijn gratis en vooral nuttig voor interne infrastructuur binnen Azure, terwijl duurdere opties zoals Azure Firewall en Application Gateway vaker voor ingress en egress worden gebruikt.

Werking en beperkingen

  1. Een NSG analyseert verkeer op OSI-laag 4 en kijkt vooral naar bron, bestemming, poorten en protocollen.
  2. NSG's doen geen deep packet inspection en zijn daarom meer een lichte firewallfunctie voor grofmazige verkeerssturing.
  3. NSG-regels bepalen of verkeer inbound of outbound wordt toegestaan of geweigerd.

Toepassing in VNets en subnets

  1. Een VNet bevat subnets, zoals front-end, business tier en data tier, die standaard met elkaar kunnen communiceren.
  2. NSG's kunnen worden gebruikt om bijvoorbeeld verkeer van de front-end naar de business tier toe te staan, maar verkeer naar de data tier te blokkeren.
  3. Blokkades kunnen outbound op de bron, inbound op de bestemming, of op beide plekken worden ingericht als extra controle.

Plaatsing van NSG's

  1. NSG's kunnen op subnetniveau worden toegepast om verkeer voor een hele subnet te beheren.
  2. NSG's kunnen ook op het niveau van een netwerkinterface worden toegepast voor specifiekere controle per resource.
  3. Verkeer moet op alle relevante NSG-punten worden toegestaan; een deny op één plek kan de verbinding blokkeren.

Regelprioriteit en standaardregels

  1. NSG-regels gebruiken prioriteiten van 100 tot 65000, waarbij het laagste nummer de hoogste prioriteit heeft.
  2. Regels worden op volgorde verwerkt totdat een match wordt gevonden; daarna stopt de verwerking.
  3. Standaard staat een NSG verkeer binnen hetzelfde VNet toe, staat verkeer van Azure Load Balancer toe en weigert daarna overig inbound verkeer.
  4. De volgorde van regels is belangrijk, omdat een brede deny-regel een latere allow-regel onbereikbaar kan maken.

ASG's en servicetags

  1. Application Security Groups bieden een manier om regels toe te passen op groepen resources in plaats van op losse NIC's of subnets.
  2. ASG's helpen wanneer meerdere resources binnen of over subnets heen als één applicatiegroep moeten worden beheerd.
  3. Servicetags kunnen in NSG-regels worden gebruikt om Azure-services of resourcegroepen te herkennen en verkeer daarvoor toe te staan of te blokkeren.

Demo in Azure

  1. De demo laat zien hoe een nieuwe NSG wordt aangemaakt in een resource group en regio, met standaardregels als startpunt.
  2. Daarna wordt een inbound regel toegevoegd, bijvoorbeeld voor RDP-poort 3389, met bron, bestemming, protocol en prioriteit.
  3. Een bestaande NSG kan aan een subnet worden gekoppeld via de instellingen van het virtuele netwerk.
  4. Bij het aanmaken van een VNet kan Azure automatisch NSG's voor subnets aanmaken of een vooraf gebouwde NSG laten selecteren.

Afsluiting

  1. NSG's zijn een eenvoudige en gratis manier om inbound en outbound verkeer te beveiligen op basis van poorten en IP-adressen.
  2. Ze zijn vooral geschikt voor interne netwerkbeveiliging in Azure, maar minder bedoeld als enige oplossing voor publieke ingress en egress.

Actiepunten

  1. Gebruik NSG's breed binnen de interne Azure-infrastructuur, omdat ze gratis zijn en extra verkeerscontrole bieden.
  2. Leer de standaard NSG-regels en standaardacties kennen, vooral ter voorbereiding op AZ-104-examenvragen.
  3. Gebruik ruimte tussen prioriteitsnummers, zodat later extra regels kunnen worden ingevoegd zonder alles te hernummeren.
  4. Controleer de volgorde van NSG-regels zodat de effectieve verwerking het gewenste allow- of deny-resultaat oplevert.
  5. Bekijk andere video's in de cursus of ga naar Microsoft Learn om verder te leren.