Network Security Groups (NSG) trong Azure

Đăng vào Tác giả Nguyễn Tiến Trường

Network Security Groups Azure cho phép bạn kiểm soát lưu lượng mạng tới và từ các tài nguyên trong hệ thống. NSG chứa danh sách các quy tắc bảo mật giúp bạn quản lý lưu lượng truy cập, bao gồm việc cho phép hoặc từ chối các kết nối mạng.

1. Gán Network Security Groups cho subnets

Khi gán NSG cho một subnet, bạn có thể kiểm soát toàn bộ lưu lượng truy cập đến và đi từ tất cả các thiết bị trong subnet đó. Một số điểm quan trọng:

  • Một subnet chỉ có thể được gán một NSG duy nhất.
  • Cùng một NSG có thể áp dụng cho nhiều subnet nếu các subnet này có yêu cầu bảo mật giống nhau.

Ngoài việc gán NSG cho subnet, bạn cũng có thể gán NSG trực tiếp cho network interface (NIC) của máy ảo để kiểm soát chi tiết hơn

2. Network Security Groups Rules

2.1 Khái niệm

Các quy tắc NSG hoạt động như bộ lọc kiểm soát luồng truy cập mạng đến và đi từ các subnet (mạng con) và network interface (giao diện mạng) trong mạng ảo của bạn trên nền tảng Microsoft Azure.

2.2 Mục đích

  • Cho phép bạn chỉ cho phép loại lưu lượng truy cập mong muốn ra vào các tài nguyên mạng.
  • Hạn chế truy cập trái phép, tăng cường tính bảo mật cho hệ thống.

2.3 Các thành phần của một quy tắc NSG

  1. Name: Đặt tên dễ nhận diện.
  2. Priority (Ưu tiên): Các quy tắc được xử lý theo thứ tự ưu tiên. Số càng thấp, mức độ ưu tiên càng cao.
  3. Port (Cổng): Ví dụ: Cổng 80 cho HTTP, cổng 22 cho SSH.
  4. Protocol (Giao thức): TCP, UDP hoặc cả hai.
  5. Source (Nguồn): Xác định nguồn lưu lượng, bao gồm:
    • Any (Bất kỳ). Dấu hoa thị (*) để cho phép lưu thông trên bất kỳ cổng nào
    • Địa chỉ IP cụ thể hoặc dải IP.
    • Service Tag: Đại diện cho một nhóm dịch vụ Azure như AzureStorage.
  6. Destination (Đích): Xác định nơi lưu lượng truy cập được gửi tới, tương tự như Source.
  7. Action (Hành động):
    • Allow (Cho phép).
    • Deny (Từ chối).

2.4 Các loại quy tắc NSG

  • Inbound Rules: Kiểm soát lưu lượng mạng đi vào.
  • Outbound Rules: Kiểm soát lưu lượng mạng đi ra.

3. Application Security Groups

Application Security Groups (ASG) là công cụ giúp quản lý và kiểm soát lưu lượng truy cập tới các máy chủ theo nhóm. ASG cho phép bạn:

  • Nhóm các máy chủ có cùng chức năng (ví dụ: nhóm máy chủ web) để áp dụng các quy tắc bảo mật giống nhau.
  • Tiết kiệm thời gian cấu hình khi bạn có nhiều tài nguyên cần quản lý.

3.1 Một số hạn chế

  1. Giới hạn số lượng ASG: Azure đặt giới hạn về số lượng ASG trong mỗi tài khoản thuê bao.
  2. Nguồn và đích trong quy tắc: Chỉ được sử dụng một ASG làm nguồn hoặc đích trong một quy tắc bảo mật.
  3. Cùng mạng ảo: Tất cả network interfaces trong một ASG phải nằm trong cùng một virtual network.
  4. ASG nguồn và đích: Nếu bạn định nghĩa một ASG làm nguồn và một ASG khác làm đích, tất cả giao diện mạng trong hai ASG đó cũng phải nằm trong cùng một mạng ảo.

Network Security Groups (NSG) và Application Security Groups (ASG) là dịch vụ trong việc quản lý và bảo vệ hệ thống mạng trên Azure. Bằng cách áp dụng linh hoạt các quy tắc NSG và ASG, bạn có thể kiểm soát lưu lượng truy cập hiệu quả, đảm bảo tính bảo mật cao cho hệ thống của mình. Cảm ơn bạn đã tham khảo trên ttnguyen.net.

Bài viết liên quan:

TOP 5 lý do nên học về Azure

Azure Resource Manager

Nguyễn Tiến Trường

Mình viết về những điều nhỏ nhặt trong cuộc sống, Viết về câu chuyện những ngày không có em