Hướng Dẫn Tạo và Cấu Hình Nhóm Bảo Mật Mạng trong Azure

Giới thiệu

Khi phát triển ứng dụng trên Azure, việc bảo mật lưu lượng giữa các khối công việc là rất quan trọng, cũng như việc triển khai chúng. Các mạng ảo cung cấp sự cách ly, nhưng Nhóm Bảo Mật Mạng (NSG) và Nhóm Bảo Mật Ứng Dụng (ASG) cho phép bạn kiểm soát chi tiết cách lưu lượng truyền giữa các subnet, máy chủ và internet.

Trong hướng dẫn này, chúng ta sẽ cùng nhau tìm hiểu cách:

• Tạo một NSG và áp dụng các quy tắc bảo mật.
• Triển khai một ASG để nhóm các máy chủ web phía trước.
• Liên kết NSGs với các subnet và ASGs với giao diện VM.
• Kiểm tra cấu hình với các máy ảo trong subnet phía trước và phía sau.

Cuối cùng, bạn sẽ biết cách kiểm soát truy cập vào và ra trong mạng ảo Azure của bạn bằng NSGs và ASGs.

Mục tiêu học tập

Bạn sẽ học cách:

• Triển khai và cấu hình NSGs.
• Tạo các quy tắc vào cho giao tiếp an toàn.
• Nhóm các khối công việc bằng ASGs để quản lý đơn giản hơn.
• Gắn NSGs vào các subnet và ASGs vào NIC của VM.

Tổng quan kiến trúc

Kiến trúc trong bài tập này bao gồm:

• Subnet phía trước chứa các máy chủ web cần truy cập từ internet. Các máy chủ này được nhóm lại với một Nhóm Bảo Mật Ứng Dụng (ASG) để quản lý quy tắc dễ hơn.

• Subnet phía sau chứa các máy chủ cơ sở dữ liệu chỉ có thể được truy cập bởi các máy chủ phía trước. Một Nhóm Bảo Mật Mạng (NSG) kiểm soát truy cập đến subnet này.

• Hai máy ảo Ubuntu:

  • VM1 trong subnet phía trước.
  • VM2 trong subnet phía sau.

Cấu hình này đảm bảo rằng chỉ có lưu lượng được phê duyệt mới được thông qua, với NSGs và ASGs thực thi các quy tắc ở cả cấp độ subnet và giao diện VM.

Bước 1: Triển khai các Máy Ảo

💡 Tại sao bắt đầu ở đây?
Các VM cần thiết để kiểm tra kết nối giữa các subnet phía trước và phía sau khi NSGs và ASGs đã được cấu hình.

1. Mở Azure Cloud Shell hoặc truy cập shell.azure.com.

2. Chọn PowerShell làm môi trường.

3. Chạy lệnh sau để triển khai VM1 và VM2:

$RGName = "RG1"
New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateUri https://raw.githubusercontent.com/MicrosoftLearning/Configure-secure-access-to-workloads-with-Azure-virtual-networking-services/main/Instructions/Labs/azuredeploy.json

1. Trong portal, tìm kiếm Máy Ảo và xác nhận rằng cả VM1 và VM2 đều ở trạng thái Đang chạy.

✅ Bạn đã có các máy thử nghiệm sẵn sàng để xác thực cấu hình NSG và ASG của bạn.

Bước 2: Tạo Nhóm Bảo Mật Ứng Dụng (ASG)

💡 Tại sao sử dụng ASGs?
Thay vì viết quy tắc cho từng VM, ASGs cho phép bạn nhóm các khối công việc tương tự (ví dụ: tất cả các máy chủ phía trước) và áp dụng các quy tắc bảo mật cho nhóm đó.

1. Trong portal Azure, tìm kiếm nhóm bảo mật ứng dụng.

2. Nhấp vào + Tạo.

3. Cấu hình nhóm với:

• Nhóm tài nguyên: RG1

• Tên: app-frontend-asg

• Khu vực: East US

  1. Chọn Xem + tạo, sau đó Tạo.

✅ Bạn đã tạo một ASG cho các máy chủ web phía trước của mình.

Bước 3: Liên kết ASG với VM phía trước

1. Đi đến VM1 trong portal.

2. Dưới phần Mạng, chọn Nhóm bảo mật ứng dụng.

3. Nhấp vào + Thêm nhóm bảo mật ứng dụng.

4. Chọn app-frontend-asg, sau đó nhấp Thêm.

✅ VM1 hiện là một phần của ASG phía trước.

Bước 4: Tạo Nhóm Bảo Mật Mạng (NSG)

💡 Tại sao sử dụng NSGs?
NSGs hoạt động như các tường lửa ảo, kiểm soát lưu lượng vào và ra ở cấp độ subnet hoặc NIC.

1. Tìm kiếm Nhóm bảo mật mạng trong portal.

2. Nhấp vào + Tạo.

3. Cấu hình với:

• Nhóm tài nguyên: RG1

• Tên: app-vnet-nsg

• Khu vực: East US

  1. Chọn Xem + tạo, sau đó Tạo.

✅ Bạn đã có một NSG sẵn sàng để bảo mật subnet phía sau của mình.

Bước 5: Liên kết NSG với Subnet phía sau

1. Mở tài nguyên app-vnet-nsg.
2. Dưới phần Cài đặt, chọn Subnets.
3. Nhấp vào + Liên kết.
4. Chọn mạng ảo app-vnet và chọn Subnet phía sau.
5. Nhấp vào OK.

✅ Lưu lượng đến subnet phía sau hiện được quản lý bởi các quy tắc NSG của bạn.

Bước 6: Tạo Quy Tắc NSG

💡 Tại sao cần quy tắc?
Các quy tắc xác định lưu lượng nào được cho phép hoặc từ chối. Theo mặc định, NSGs chặn lưu lượng vào trừ khi được phép rõ ràng.

1. Mở app-vnet-nsg.
2. Dưới phần Cài đặt, chọn Quy tắc bảo mật vào.
3. Nhấp vào + Thêm.
4. Cấu hình quy tắc như sau:

• Nguồn: Bất kỳ

• Phạm vi cổng nguồn: *

• Điểm đến: Nhóm bảo mật ứng dụng

• ASG điểm đến: app-frontend-asg

• Dịch vụ: SSH

• Hành động: Cho phép

• Độ ưu tiên: 100

• Tên: AllowSSH

  1. Nhấp Thêm để lưu quy tắc.

✅ Quy tắc này cho phép các máy chủ phía trước trong ASG kết nối an toàn đến các máy chủ phía sau bằng SSH.

Kết luận

Trong hướng dẫn thực hành này, bạn đã xây dựng một cấu trúc mạng an toàn với NSGs và ASGs:

• Hai máy thử nghiệm được triển khai trong các subnet phía trước và phía sau.
• Một Nhóm Bảo Mật Ứng Dụng (ASG) được tạo cho các máy chủ phía trước.
• Một Nhóm Bảo Mật Mạng (NSG) được tạo và áp dụng cho subnet phía sau.
• Các quy tắc bảo mật cho phép lưu lượng SSH được kiểm soát giữa các khối công việc phía trước và phía sau.

Bằng cách kết hợp NSGs và ASGs, bạn đạt được kiểm soát chi tiết hơn đối với lưu lượng trong khi giữ cho môi trường Azure của bạn an toàn và dễ quản lý.

Thiết kế này là một kế hoạch thực tiễn cho các tình huống thực tế khi các ứng dụng web phải giao tiếp với cơ sở dữ liệu trong khi giảm thiểu sự tiếp xúc với internet.

Thực hành tốt nhất

• Thường xuyên kiểm tra và cập nhật quy tắc NSG: Đảm bảo rằng các quy tắc bảo mật luôn cập nhật với các yêu cầu hiện tại của ứng dụng.
• Sử dụng ASGs để quản lý quy tắc dễ dàng hơn: Nhóm các ứng dụng tương tự lại với nhau giúp việc quản lý quy tắc nhanh chóng và hiệu quả hơn.

Cạm bẫy thường gặp

• Bỏ qua việc kiểm tra quy tắc: Không kiểm tra các quy tắc NSG và ASG có thể dẫn đến việc không được truy cập cần thiết hoặc lỗ hổng bảo mật.
• Đặt độ ưu tiên không chính xác cho quy tắc: Quy tắc bảo mật với độ ưu tiên thấp hơn có thể không được thực thi khi có quy tắc với độ ưu tiên cao hơn.

Mẹo hiệu suất

• Giảm số lượng quy tắc NSG: Sử dụng ASGs để giảm số lượng quy tắc trong NSG có thể cải thiện hiệu suất mạng.
• Theo dõi lưu lượng mạng: Sử dụng Azure Monitor để theo dõi lưu lượng và điều chỉnh quy tắc khi cần.

Khắc phục sự cố

• Không thể kết nối đến máy chủ: Kiểm tra các quy tắc NSG và ASG để đảm bảo rằng lưu lượng được cho phép giữa các subnet.
• Lưu lượng không được kiểm soát: Đảm bảo rằng không có quy tắc nào mâu thuẫn với nhau trong NSG.

Câu hỏi thường gặp

1. ASG là gì?
   ASG (Nhóm Bảo Mật Ứng Dụng) cho phép bạn nhóm các máy chủ tương tự lại với nhau để áp dụng quy tắc bảo mật dễ dàng hơn.

2. NSG hoạt động như thế nào?
   NSG (Nhóm Bảo Mật Mạng) kiểm soát lưu lượng vào và ra từ subnet hoặc NIC bằng cách áp dụng các quy tắc bảo mật.

3. Tôi có thể sử dụng NSG cho nhiều subnet không?
   Có, bạn có thể liên kết một NSG với nhiều subnet trong cùng một mạng ảo.

4. ASG có thể thay thế NSG không?
   Không, ASG là công cụ bổ trợ cho NSG, giúp quản lý quy tắc dễ dàng hơn.

5. Làm thế nào để kiểm tra quy tắc NSG hoạt động không?
   Sử dụng Azure Network Watcher để kiểm tra và theo dõi lưu lượng mạng.