- Article
Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre les ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau contientrègles de sécuritéqui autorisent ou refusent le trafic réseau entrant vers, ou le trafic réseau sortant depuis, plusieurs types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.
Cet article décrit les propriétés d'une règle de groupe de sécurité réseau, lesrègles de sécurité par défautqui sont appliquées et les propriétés de règle que vous pouvez modifier pour créer unrègle de sécurité augmentée.
Règles de sécurité
Un groupe de sécurité réseau contient autant de règles que vous le souhaitez, dans l'abonnement Azurelimites. Chaque règle spécifie les propriétés suivantes :
| Propriété | Explication |
|---|---|
| Nom | Un nom unique au sein du groupe de sécurité réseau. Le nom peut comporter jusqu'à 80 caractères. Il doit commencer par un caractère de mot et se terminer par un caractère de mot ou par '_'. Le nom peut contenir des caractères de mot ou '.', '-', '_'. |
| Priorité | Un nombre compris entre 100 et 4096. Les règles sont traitées par ordre de priorité, les nombres inférieurs étant traités avant les nombres supérieurs, car les nombres inférieurs ont une priorité plus élevée. Une fois que le trafic correspond à une règle, le traitement s'arrête. Par conséquent, toutes les règles qui existent avec des priorités inférieures (nombres plus élevés) qui ont les mêmes attributs que les règles avec des priorités plus élevées ne sont pas traitées. |
| Origine ou destination | Tout ou une adresse IP individuelle, un bloc de routage inter-domaine (CIDR) sans classe (10.0.0.0/24, par exemple), un numéro de service ou un groupe de sécurité d'application. Si vous spécifiez une adresse pour une ressource Azure, spécifiez l'adresse IP privée attribuée à la ressource. Les groupes de sécurité réseau sont traités après qu'Azure traduit une adresse IP publique en adresse IP privée pour le trafic entrant, et avant qu'Azure traduise une adresse IP privée en adresse IP publique pour le trafic sortant. Moins de règles de sécurité sont nécessaires lorsque vous spécifiez une plage, une balise de service ou un groupe de sécurité d'application. La possibilité de spécifier plusieurs adresses IP et plages individuelles (vous ne pouvez pas spécifier plusieurs balises de service ou groupes d'applications) dans une règle est appeléerègles de sécurité augmentées. Les règles de sécurité augmentée ne peuvent être créées que dans des groupes de sécurité réseau créés via le modèle de déploiement Resource Manager. Vous ne pouvez pas spécifier plusieurs adresses IP et plages d'adresses IP dans les groupes de sécurité réseau créés via le modèle de déploiement classique. |
| Protocole | TCP, UDP, ICMP, ESP, AH ou Any. Les protocoles ESP et AH ne sont actuellement pas disponibles via le portail Azure mais peuvent être utilisés via des modèles ARM. |
| Direction | Si la règle s'applique au trafic entrant ou sortant. |
| Plage de ports | Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple, vous pouvez spécifier 80 ou 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité. Les règles de sécurité augmentée ne peuvent être créées que dans des groupes de sécurité réseau créés via le modèle de déploiement Resource Manager. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans la même règle de sécurité dans les groupes de sécurité réseau créés via le modèle de déploiement classique. |
| Action | Autoriser ou refuser |
Les règles de sécurité sont évaluées et appliquées en fonction des informations à cinq tuples (source, port source, destination, port de destination et protocole). Vous ne pouvez pas créer deux règles de sécurité avec la même priorité et la même direction. Un enregistrement de flux est créé pour les connexions existantes. La communication est autorisée ou refusée en fonction de l'état de connexion de l'enregistrement de flux. L'enregistrement de flux permet à un groupe de sécurité réseau d'être avec état. Si vous spécifiez une règle de sécurité sortante à n'importe quelle adresse sur le port 80, par exemple, il n'est pas nécessaire de spécifier une règle de sécurité entrante pour la réponse au trafic sortant. Vous ne devez spécifier une règle de sécurité entrante que si la communication est initiée en externe. L'inverse est également vrai. Si le trafic entrant est autorisé sur un port, il n'est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur le port.
Les connexions existantes peuvent ne pas être interrompues lorsque vous supprimez une règle de sécurité qui a autorisé la connexion. La modification des règles du groupe de sécurité réseau n'affectera que les nouvelles connexions. Lorsqu'une nouvelle règle est créée ou qu'une règle existante est mise à jour dans un groupe de sécurité réseau, elle ne s'appliquera qu'aux nouvelles connexions. Les connexions existantes ne sont pas réévaluées avec les nouvelles règles.
Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité. Pour plus de détails, voirLimites Azure.
Règles de sécurité par défaut
Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :
Entrant
AutoriserVNetInBound
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65000 | Réseau virtuel | 0-65535 | Réseau virtuel | 0-65535 | N'importe quel | Permettre |
AllowAzureLoadBalancerInBound
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancerAzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | N'importe quel | Permettre |
DenyAllInbound
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | N'importe quel | Refuser |
Sortant
AllowVnetOutBound
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65000 | Réseau virtuel | 0-65535 | Réseau virtuel | 0-65535 | N'importe quel | Permettre |
AutoriserInternetSortant
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | l'Internet | 0-65535 | N'importe quel | Permettre |
DenyAllOutBound
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | N'importe quel | Refuser |
Dans leSourceetDestinationColonnes,Réseau virtuel,AzureLoadBalancerAzureLoadBalancer, etl'Internetsontétiquettes de service, plutôt que des adresses IP. Dans la colonne protocole,N'importe quelenglobe TCP, UDP et ICMP. Lors de la création d'une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any.0.0.0.0/0dans leSourceetDestinationles colonnes représentent toutes les adresses. Les clients tels que le portail Azure, Azure CLI ou PowerShell peuvent utiliser * ou any pour cette expression.
Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer en créant des règles avec des priorités plus élevées.
Règles de sécurité augmentées
Les règles de sécurité augmentées simplifient la définition de la sécurité pour les réseaux virtuels, vous permettant de définir des politiques de sécurité réseau plus vastes et complexes, avec moins de règles. Vous pouvez combiner plusieurs ports et plusieurs adresses et plages IP explicites en une seule règle de sécurité facile à comprendre. Utilisez des règles augmentées dans les champs source, destination et port d'une règle. Pour simplifier la maintenance de votre définition de règles de sécurité, combinez des règles de sécurité augmentées avecétiquettes de serviceougroupes de sécurité des applications. Il existe des limites au nombre d'adresses, de plages et de ports que vous pouvez spécifier dans une règle. Pour plus de détails, voirLimites Azure.
Étiquettes de service
Une balise de service représente un groupe de préfixes d'adresse IP d'un service Azure donné. Il aide à minimiser la complexité des mises à jour fréquentes des règles de sécurité du réseau.
Pour plus d'informations, voirBalises de service Azure. Pour un exemple d'utilisation de la balise de service de stockage pour restreindre l'accès au réseau, consultezRestreindre l'accès réseau aux ressources PaaS.
Groupes de sécurité des applications
Les groupes de sécurité d'application vous permettent de configurer la sécurité réseau comme une extension naturelle de la structure d'une application, vous permettant de regrouper des machines virtuelles et de définir des politiques de sécurité réseau basées sur ces groupes. Vous pouvez réutiliser votre politique de sécurité à grande échelle sans maintenance manuelle des adresses IP explicites. Pour en savoir plus, consultezGroupes de sécurité des applications.
Considérations sur la plateforme Azure
IP virtuelle du nœud hôte: Les services d'infrastructure de base tels que DHCP, DNS, IMDS et la surveillance de l'état sont fournis via les adresses IP hôtes virtualisées 168.63.129.16 et 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées dans toutes les régions à cette fin. Par défaut, ces services ne sont pas soumis aux groupes de sécurité réseau configurés, sauf s'ils sont ciblés parétiquettes de servicepropre à chaque service. Pour remplacer cette communication d'infrastructure de base, vous pouvez créer une règle de sécurité pour refuser le trafic en utilisant les balises de service suivantes sur vos règles de groupe de sécurité réseau : AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Apprendre àdiagnostiquer le filtrage du trafic réseauetdiagnostiquer le routage réseau.
Octroi de licences (service de gestion des clés): Les images Windows s'exécutant sur des machines virtuelles doivent être sous licence. Pour garantir la gestion des licences, une demande est envoyée aux serveurs hôtes du service de gestion de clés qui gèrent ces requêtes. La demande est émise via le port 1688. Pour les déploiements utilisantroute par défaut 0.0.0.0/0configuration, cette règle de plate-forme sera désactivée.
Machines virtuelles dans des pools à charge équilibrée: le port source et la plage d'adresses appliqués proviennent de l'ordinateur d'origine, et non de l'équilibreur de charge. Le port de destination et la plage d'adresses concernent l'ordinateur de destination, pas l'équilibreur de charge.
Instances de service Azure: les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d'application et les groupes de machines virtuelles identiques sont déployées dans des sous-réseaux de réseau virtuel. Pour une liste complète des services que vous pouvez déployer dans des réseaux virtuels, voirRéseau virtuel pour les services Azure. Avant d'appliquer un groupe de sécurité réseau au sous-réseau, familiarisez-vous avec les exigences de port pour chaque service. Si vous refusez les ports requis par le service, le service ne fonctionnera pas correctement.
Envoi d'e-mails sortants: Microsoft vous recommande d'utiliser des services de relais SMTP authentifiés (généralement connectés via le port TCP 587, mais souvent d'autres également) pour envoyer des e-mails à partir de machines virtuelles Azure. Les services de relais SMTP se spécialisent dans la réputation de l'expéditeur, afin de minimiser la possibilité que les fournisseurs de messagerie tiers rejettent les messages. Ces services de relais SMTP incluent, mais sans s'y limiter, Exchange Online Protection et SendGrid. L'utilisation des services de relais SMTP n'est en aucun cas limitée dans Azure, quel que soit votre type d'abonnement.
Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, en plus de pouvoir utiliser les services de relais SMTP, vous pouvez envoyer des e-mails directement sur le port TCP 25. Si vous avez créé votre abonnement après le 15 novembre 2017, vous ne pourrez peut-être pas pour envoyer des e-mails directement sur le port 25. Le comportement de la communication sortante sur le port 25 dépend du type d'abonnement dont vous disposez, comme suit :
Accord d'entreprise : pour les machines virtuelles déployées dans des abonnements Enterprise Agreement standard, les connexions SMTP sortantes sur le port TCP 25 ne seront pas bloquées. Cependant, rien ne garantit que les domaines externes accepteront les e-mails entrants des machines virtuelles. Si vos e-mails sont rejetés ou filtrés par les domaines externes, vous devez contacter les fournisseurs de services de messagerie des domaines externes pour résoudre les problèmes. Ces problèmes ne sont pas couverts par le support Azure.
Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il est possible de supprimer ce bloc. Pour demander la suppression du blocage, rendez-vous surImpossible d'envoyer un e-mail (SMTP-Port 25)partie de laDiagnostiquer et résoudrepage des paramètres de la ressource de réseau virtuel Azure dans le portail Azure et exécutez le diagnostic. Cela exemptera automatiquement les abonnements de développement/test d'entreprise qualifiés.
Une fois que l'abonnement est exempté de ce blocage et que les machines virtuelles sont arrêtées et redémarrées, toutes les machines virtuelles de cet abonnement sont exemptées à l'avenir. L'exemption s'applique uniquement à l'abonnement demandé et uniquement au trafic de la machine virtuelle acheminé directement vers Internet.
Paiement à l'utilisation :La communication sortante du port 25 est bloquée de toutes les ressources. Aucune demande de suppression de la restriction ne peut être effectuée, car les demandes ne sont pas accordées. Si vous devez envoyer des e-mails depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
MSDN, Azure Pass, Azure dans Open, Education, BizSpark et essai gratuit: La communication sortante du port 25 est bloquée de toutes les ressources. Aucune demande de suppression de la restriction ne peut être effectuée, car les demandes ne sont pas accordées. Si vous devez envoyer des e-mails depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
Fournisseur de services infonuagiques: La communication sortante du port 25 est bloquée de toutes les ressources. Aucune demande de suppression de la restriction ne peut être effectuée, car les demandes ne sont pas accordées. Si vous devez envoyer des e-mails depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
Prochaines étapes
- Pour savoir quelles ressources Azure peuvent être déployées dans un réseau virtuel et auxquelles sont associés des groupes de sécurité réseau, consultezIntégration de réseau virtuel pour les services Azure
- Pour savoir comment le trafic est évalué avec les groupes de sécurité réseau, consultezFonctionnement des groupes de sécurité réseau.
- Si vous n'avez jamais créé de groupe de sécurité réseau, vous pouvez effectuer uneDidacticielpour acquérir de l'expérience en en créant un.
- Si vous connaissez les groupes de sécurité réseau et que vous devez les gérer, consultezGérer un groupe de sécurité réseau.
- Si vous rencontrez des problèmes de communication et devez dépanner les groupes de sécurité réseau, consultezDiagnostiquer un problème de filtre de trafic réseau de machine virtuelle.
- Découvrez comment activerjournaux de flux du groupe de sécurité réseaupour analyser le trafic réseau vers et depuis les ressources qui ont un groupe de sécurité réseau associé.