Definition Was ist eine Netzwerksicherheitsgruppe (Network Security Group)?

Mit Netzwerksicherheitsgruppen ist es möglich, Netzwerkverkehr zu kontrollieren und Ressourcen vor unerwünschtem Datenverkehr zu schützen. Eine Network Security Group kann ein oder mehrere Sicherheitsregeln enthalten. Die Gruppen fungieren für die Ressourcen als eine Art virtuelle Firewall. In der Cloud-Computing-Plattform Microsoft Azure werden Network Security Groups eingesetzt, um Datenverkehr von und zu definierten Azure-Ressourcen zuzulassen oder zu blockieren.

Netzwerksicherheitsgruppe ist der deutsche Begriff für Network Security Group. Die Abkürzung lautet NSG. In einer NSG werden für Ressourcen wie Netzwerkstationen, virtuelle Maschinen oder Netze gleiche Sicherheitsrichtlinien angewandt. Mithilfe dieser Sicherheitsrichtlinien lässt sich der ein- oder ausgehende Verkehr kontrollieren. Die Ressourcen können nach verschiedenen Kriterien wie Netzen, Services oder Regionen zusammengefasst werden.

Für die Ressourcen einer Gruppe gelten die gleichen Policies. Die Netzwerksicherheitsgruppe kann ein oder mehrere Sicherheitsregeln enthalten und verhält sich für die Ressourcen wie eine virtuelle Firewall. Microsoft stellt auf seiner Cloud-Computing-Plattform Azure die Möglichkeit zur Verfügung, Netzwerksicherheitsgruppen einzurichten, um den Datenverkehr zu definierten Azure-Ressourcen zuzulassen, zu blockieren oder zu filtern. Für jede Sicherheitsregel einer NSG lassen sich Parameter wie Quelle, Ziel, Port oder Protokoll festlegen.

Einsatzmöglichkeiten der Network Security Group

Eine Network Security Group ist für verschiedene Anwendungsfälle einsetzbar. Mit einer Netzwerksicherheitsgruppe lassen sich Ressourcen gruppieren, vor unerwünschtem ein- oder ausgehendem Verkehr schützen und von anderen Systemen oder Umgebungen entsprechend dem jeweiligen Einsatzzweck trennen. Typische Einsatzbereiche sind die Trennung von Produktiv-, Test- und Entwicklungssystemen, die Isolation von internen und externen Anwendungen, die Trennung von Administrator- und Benutzerumgebungen oder die Trennung von öffentlich bereitgestellten und privat genutzten Ressourcen.

Die Network Security Group in Microsoft Azure

Azure ist die Cloud-Computing-Plattform von Microsoft. Auf der Plattform bietet Microsoft über die Servicemodelle Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) unterschiedliche Cloud-Computing-Leistungen und -Services an. Um den Netzwerkverkehr von und zu den unterschiedlichen Ressourcen der Cloud-Plattform zu kontrollieren, lassen sich individuelle Netzwerksicherheitsgruppen einrichten. Ressourcen wie Netzwerkstationen, virtuelle Netze oder virtuelle Maschinen werden zu einer Ressourcengruppe zusammengefasst, für die selbst definierte Sicherheitsregeln gelten.

Die Regeln sind vergleichbar mit Firewall-Policies. Sie lassen bestimmten Datenverkehr zu oder blockieren ihn. Die Sicherheitsregeln sind virtuell an die Objekte der Netzwerksicherheitsgruppe gebunden und gelten für sie automatisch. Da es sich bei den Netzwerksicherheitsgruppen um eine Standardfunktion in Microsoft Azure handelt, müssen sie nicht gesondert beauftragt werden. Azure Kunden können sie nach eigenen Vorstellungen einrichten und verändern.

Das Einrichten, Konfigurieren und Verwalten von Netzwerksicherheitsgruppen ist in Azure über verschiedene Wege möglich. Neben dem Azure-Webportal kann auch die Azure-Befehlszeilenschnittstelle (Azure CLI) verwendet werden. Eine weitere Möglichkeit bietet sich mit der PowerShell. Über ein Cmdlet wird die Verbindung zu einem Azure-Abonnement hergestellt. Anschließend lassen sich über verschiedene Befehle Netzwerksicherheitsgruppen anlegen, anzeigen, verändern oder löschen.

Bestandteile einer NSG – Eigenschaften und Merkmale der Sicherheitsregeln

Eine NSG umfasst die geografische Region, die Ressourcengruppe und die Sicherheitsregeln für den ein- und ausgehenden Verkehr. Sie hat einen eindeutigen Namen und erlaubt die Festlegung von Einstellungen wie Priorität, Quelle oder Ziel (einzelne IP-Adressen oder Netzbereiche), Portbereich, Protokoll (TCP, UDP, ICMP und andere), Richtung des Datenverkehrs (ein- oder ausgehend) und Aktion (Blockieren oder Zulassen). Die Sicherheitsregeln werden in der Reihenfolge ihrer Priorität verarbeitet. Für jede angelegte Netzwerksicherheitsgruppe erstellt Azure zunächst Standardsicherheitsregeln. Diese Standardregeln können nicht entfernt werden, lassen sich aber durch Regeln höherer Priorität außer Kraft setzen. Die maximale Anzahl der Regeln pro NSG ist über das Azure-Abonnement festgelegt. Wird eine Sicherheitsregel einer NSG verändert, wirkt sich das nur auf neue Verbindungen und Datenflüsse aus. Bereits bestehende Verbindungen werden zunächst unverändert fortgeführt.

(ID:49196075)