Azure通過自適應網絡強化,azure網絡平臺

Azure通過自適應網絡強化

自適應網絡強化是 Azure 安全中心的一項無代理功能 無需在計算機上安裝任何額外組件就能受益于這種網絡強化工具。

本頁介紹如何在安全中心配置和管理自適應網絡強化。

可用性

什么是自適應網絡強化？

應用網絡安全組 (NSG)來篩選發往/來自資源的流量，可以改善網絡安全狀況。 但是，仍然可能存在一些這樣的情況：通過 NSG 流動的實際流量是所定義 NSG 規則的子集。 在這些情況下，可以根據實際流量模式強化 NSG 規則，從而進一步改善安全狀況。

自適應網絡強化為進一步強化 NSG 規則提供了建議。 它使用機器學習算法，這種算法會將實際流量、已知受信任的配置、威脅情報和其他泄露標志都考慮在內，然后提供僅允許來自特定 IP/端口元組的流量的建議。

例如，假設現有的 NSG 規則是在端口 22 上允許來自 140.20.30.10/24 流量。 根據流量分析，自適應網絡強化可能建議縮小范圍以允許來自 140.23.30.10/29 的流量，并拒絕所有其他流量流經該端口。 有關受支持端口的完整列表，請參閱常見問題解答項支持哪些端口？。

查看強化警報和建議的規則

從安全中心的菜單中，打開 Azure Defender 儀表板并選擇自適應網絡強化磁貼 (1)，或與自適應網絡強化相關的見解面板項 (2)。

提示

見解面板顯示你當前通過自適應網絡強化進行威脅防御的 VM 百分比。

“應在面向 Internet 的虛擬機上應用自適應網絡強化建議”建議的詳細信息頁面將打開，并且你的網絡 VM 將分組為三個選項卡：

VM 是經典 VM：只有 Azure 資源管理器 VM 受支持。

沒有足夠的數據可用：為了生成準確的流量強化建議，安全中心至少需要 30 天的流量數據。

VM 不受 Azure Defender 保護：只有使用適用于服務器的 Azure Defender保護的 VM 才有資格使用此功能。

不正常的資源：當前具有通過運行自適應網絡強化算法觸發的建議和警報的 VM。

正常的資源：沒有警報和建議的 VM。

未掃描的資源：由于以下原因之一而無法運行自適應網絡強化算法的 VM：

從“不正常的資源”選項卡中，選擇要查看其警報的 VM，并選擇要應用的建議強化規則。

“規則”選項卡列出了自適應網絡強化建議添加的規則

“警報”選項卡列出了由于流量（流向不在建議規則所允許的 IP 范圍內的資源）而生成的警報。

（可選）編輯規則：

修改規則

刪除規則

添加規則

選擇要對 NSG 應用的規則，然后選擇“強制執行”。

提示

如果允許的源 IP 范圍顯示為“無”，則意味著建議的規則是“拒絕”規則，否則，它是“允許”規則 。

備注

強制執行的規則將添加到保護 VM 的 NSG。 （VM 可由關聯到其 NIC 的 NSG 和/或 VM 所在的子網保護）

修改規則

你可能想要修改已建議的規則的參數。 例如，你可能想要更改建議的 IP 范圍。

有關修改自適應網絡強化規則的一些重要準則：

不能將“允許”規則更改為“拒絕”規則 。

只能修改“允許”規則的參數。

創建和修改“拒絕”規則是直接在 NSG 上執行的。 有關詳細信息，請參閱創建、更改或刪除網絡安全組。

拒絕所有流量規則是此處列出的唯一“拒絕”規則類型，并且該規則不能修改。 不過，你可以刪除它（請參閱刪除規則）。 若要了解此類規則，請參閱常見問題解答項何時應使用“拒絕所有流量”規則？。

修改自適應網絡強化規則：

若要修改規則的某些參數，請在“規則”選項卡中選擇規則行末尾的省略號圖標 (...)，然后選擇“編輯” 。

在“編輯規則”窗口中，更新你要更改的詳細信息，然后選擇“保存” 。

備注

選擇“保存”后，即已成功更改規則。 但尚未將其應用到 NSG。 若要應用該規則，必須在列表中選擇該規則，然后選擇“強制執行”（如下一步所述）。

若要應用已更新的規則，請從列表中選擇該規則，然后選擇“強制執行”。

添加新規則

可以添加安全中心未建議的“允許”規則。

備注

在這里只能添加“允許”規則。 如果要添加“拒絕”規則，可以直接在 NSG 上執行此操作。 有關詳細信息，請參閱創建、更改或刪除網絡安全組。

添加自適應網絡強化規則：

在頂部工具欄中，選擇“添加規則”。

在“新建規則”窗口中輸入詳細信息，然后選擇“添加” 。

備注

選擇“添加”后，會成功添加該規則，它將連同其他建議的規則一起列出。 但是，該規則尚未應用到 NSG。 若要激活該規則，必須在列表中選擇該規則，然后選擇“強制執行”（如下一步驟所述）。

若要應用新規則，請從列表中選擇該規則，然后選擇“強制執行”。

刪除規則

必要時，可以刪除當前會話的建議規則。 例如，你可能會確定應用建議的規則會阻止合法的流量。

刪除當前會話的自適應網絡強化規則：

在“規則”選項卡中，選擇規則行末尾的省略號圖標 (...)，然后選擇“刪除” 。

常見問題解答 自適應網絡強化

支持哪些端口？

自適應網絡強化是否要求滿足任何先決條件或安裝 VM 擴展？

支持哪些端口？

自適應網絡強化建議僅在以下特定端口上受支持（適用于 UDP 和 TCP）：

13、17、19、22、23、53、69、81、111、119、123、135、137、138、139、161、162、389、445、512、514、593、636、873、1433、1434、1900、2049、2301、2323、2381、3268、3306、3389、4333、5353、5432、5555、5800、5900、5900、5985、5986、6379、6379、7000、7001、7199、8081、8089、8545、9042、9160、9300、11211、16379、26379、27017、37215

自適應網絡強化是否要求滿足任何先決條件或安裝 VM 擴展？

自適應網絡強化是 Azure 安全中心的一項無代理功能 無需在計算機上安裝任何額外組件就能受益于這種網絡強化工具。

何時應使用“拒絕所有流量”規則？

在運行算法后，如果安全中心根據現有的 NSG 配置未識別出應允許的流量，則會建議執行拒絕所有流量規則。 因此，建議的規則是拒絕發往指定端口的所有流量。 此類型規則的名稱顯示為“系統生成”。 強制執行此規則后，此規則在 NSG 中的實際名稱將是包含協議、流量方向、“DENY”和隨機數字的字符串。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。