Hướng Dẫn Tạo và Cấu Hình Nhóm Bảo Mật Mạng trong Azure
Giới thiệu
Trong môi trường đám mây hiện đại, việc kiểm soát và bảo vệ lưu lượng mạng là rất quan trọng để bảo vệ các khối lượng công việc và đảm bảo hiệu suất ứng dụng mượt mà. Nhóm Bảo Mật Mạng (NSG) trong Azure hoạt động như một tường lửa ảo, lọc lưu lượng truy cập vào và ra cho các tài nguyên Azure. Khi kết hợp với Nhóm Bảo Mật Ứng Dụng (ASG), các quản trị viên có thể đơn giản hóa việc quản lý các chính sách truy cập bằng cách nhóm các máy chủ tương tự và áp dụng các quy tắc một cách nhất quán.
Các nhiệm vụ cần thực hiện
- Tạo một nhóm bảo mật mạng.
- Tạo quy tắc nhóm bảo mật mạng.
- Liên kết nhóm bảo mật mạng với một subnet.
- Tạo và sử dụng nhóm bảo mật ứng dụng trong các quy tắc nhóm bảo mật mạng.
Bước 1: Tạo cơ sở hạ tầng mạng cho bài tập
- Sử dụng biểu tượng ở góc trên bên phải để khởi động phiên Cloud Shell.
- Sử dụng lệnh sau để triển khai các máy ảo cần thiết cho bài tập này:
powershell
New-AzResourceGroupDeployment -ResourceGroupName RG1 -TemplateUri https://raw.githubusercontent.com/MicrosoftLearning/Configure-secure-access-to-workloads-with-Azure-virtual-networking-services/main/Instructions/Labs/azuredeploy.json - Trong cổng thông tin, tìm và chọn "máy ảo".
- Xác nhận rằng cả VM1 và VM2 đều đang chạy.
Bước 2: Tạo Nhóm Bảo Mật Ứng Dụng
Nhóm bảo mật ứng dụng (ASGs) cho phép bạn nhóm các máy chủ có chức năng tương tự. Ví dụ, tất cả các máy chủ web lưu trữ ứng dụng của bạn.
- Trong cổng thông tin, tìm và chọn "Nhóm bảo mật ứng dụng".
- Chọn + Tạo.
- Cấu hình nhóm bảo mật ứng dụng:
- Giá trị thuộc tính
- Đăng ký: Chọn đăng ký của bạn
- Nhóm tài nguyên: RG1
- Tên: app-frontend-asg
- Vùng: Đông Mỹ
- Giá trị thuộc tính
- Chọn Xem + tạo, sau đó chọn Tạo.
- Nhóm bảo mật ứng dụng đã được tạo thành công.
Bước 3: Liên kết nhóm bảo mật ứng dụng với giao diện mạng của VM
- Trong cổng thông tin Azure, tìm và chọn "Máy ảo".
- Chọn VM1.
- Trong phần Networking, chọn Nhóm bảo mật ứng dụng và sau đó chọn Thêm nhóm bảo mật ứng dụng.
- Chọn app-frontend-asg và sau đó chọn Thêm.
- Nhóm bảo mật ứng dụng đã được thêm vào VM1.
Bước 4: Tạo và Liên kết Nhóm Bảo Mật Mạng
Nhóm bảo mật mạng (NSG) bảo vệ lưu lượng mạng trong một mạng ảo.
- Trong cổng thông tin, tìm và chọn "Nhóm bảo mật mạng".
- Chọn + Tạo.
- Cấu hình nhóm bảo mật mạng:
- Giá trị thuộc tính
- Đăng ký: Chọn đăng ký của bạn
- Nhóm tài nguyên: RG1
- Tên: app-vnet-nsg
- Vùng: Đông Mỹ
- Giá trị thuộc tính
- Chọn Xem + tạo, sau đó chọn Tạo.
- Nhóm bảo mật mạng đã được tạo thành công.
Bước 5: Liên kết NSG với subnet backend của app-vnet
NSGs có thể được liên kết với các subnet và/hoặc giao diện mạng riêng lẻ gắn với các máy ảo Azure.
- Chọn Đi đến tài nguyên hoặc điều hướng đến tài nguyên app-vnet-nsg.
- Trong phần Settings, chọn Subnets.
- Chọn + Liên kết.
- Chọn app-vnet (RG1) và sau đó là Backend subnet. Chọn OK.
- Backend subnet đã được liên kết với nhóm bảo mật mạng.
Bước 6: Tạo Quy Tắc Nhóm Bảo Mật Mạng
Một NSG sử dụng các quy tắc bảo mật để lọc lưu lượng mạng vào và ra.
- Trong hộp tìm kiếm ở đầu cổng thông tin, nhập "Nhóm bảo mật mạng". Chọn Nhóm bảo mật mạng trong kết quả tìm kiếm.
- Chọn app-vnet-nsg từ danh sách các nhóm bảo mật mạng.
- Trong phần Settings, chọn Quy tắc bảo mật vào.
- Chọn + Thêm và cấu hình một quy tắc bảo mật vào:
- Nguồn: Bất kỳ
- Phạm vi cổng nguồn: *
- Điểm đến: Nhóm bảo mật ứng dụng
- Nhóm bảo mật ứng dụng: app-frontend-asg
- Dịch vụ: SSH
- Hành động: Cho phép
- Ưu tiên: 100
- Tên: AllowSSH
- Quy tắc nhóm bảo mật mạng đã được tạo.
Thực hành tốt nhất
- Luôn kiểm tra các quy tắc bảo mật sau khi cấu hình để đảm bảo chúng hoạt động như mong đợi.
- Ghi chú lại các thay đổi để theo dõi lịch sử cấu hình.
Những cạm bẫy thường gặp
- Không cấu hình đúng quyền truy cập cho các nhóm bảo mật ứng dụng và nhóm bảo mật mạng có thể dẫn đến việc ngăn chặn lưu lượng không mong muốn.
- Quản lý các quy tắc lặp lại có thể gây nhầm lẫn. Hãy đảm bảo quy tắc cụ thể rõ ràng và không mâu thuẫn.
Mẹo hiệu suất
- Sử dụng nhóm bảo mật ứng dụng để nhóm các máy chủ tương tự lại với nhau nhằm đơn giản hóa quản lý và cải thiện hiệu suất.
- Thường xuyên xem xét và cập nhật các quy tắc bảo mật để thích ứng với môi trường mạng thay đổi.
Giải quyết sự cố
Nếu bạn gặp phải vấn đề với lưu lượng truy cập không được phép:
- Kiểm tra lại các quy tắc NSG và ASG để đảm bảo chúng được cấu hình đúng.
- Sử dụng công cụ chẩn đoán mạng của Azure để xác định nguồn gốc của vấn đề.
Kết luận
Bằng cách hoàn thành bài tập này, bạn đã:
- Tạo và cấu hình một Nhóm Bảo Mật Mạng (NSG) để kiểm soát lưu lượng mạng.
- Xây dựng và liên kết một Nhóm Bảo Mật Ứng Dụng (ASG) với các máy ảo phía trước để quản lý dễ dàng hơn.
- Triển khai các máy ảo qua các subnet phía trước và phía sau để kiểm tra giao tiếp an toàn.
- Áp dụng các quy tắc vào tùy chỉnh trong NSG để cho phép truy cập SSH an toàn từ phía trước đến phía sau.
Dự án này chứng minh cách NSGs và ASGs làm việc cùng nhau để thực thi bảo mật mạng chi tiết trong Azure. Bạn giờ đây có thể tự tin thiết kế các chính sách bảo vệ khối lượng công việc, cách ly lưu lượng subnet và đơn giản hóa quản lý truy cập trên các tài nguyên đám mây.
