PProfessNet Academy
Microsoft Azure — fundamenty/02core13 min

Sieci w Azure (VNet, NSG, Private Link, Bastion)

Sieć w Azure to Virtual Network (VNet) — odizolowana przestrzeń adresowa, w której żyją Twoje zasoby. Zrozumienie VNet, segmentacji i prywatnego dostępu jest kluczowe dla bezpieczeństwa — i to właśnie te konfiguracje ZEUS sprawdza pod kątem ekspozycji.

VNet i podsieci

VNet ma zakres adresów (np. 10.0.0.0/16) podzielony na podsieci. Zasoby w tej samej VNet komunikują się prywatnie; różne VNet łączymy przez peering.

# Utwórz VNet z podsiecią
az network vnet create \
  --resource-group rg-zeus-net \
  --name vnet-zeus-weu \
  --address-prefix 10.0.0.0/16 \
  --subnet-name snet-app \
  --subnet-prefix 10.0.1.0/24

NSG — firewall na poziomie podsieci/NIC

Network Security Group to zestaw reguł filtrujących ruch (5-tuple: źródło, cel, port, protokół, kierunek). Reguły mają priorytety; pierwsza pasująca wygrywa.

PriorytetNazwaŹródłoPortAkcja
100Allow-HTTPS-InInternet443Allow
4096DenyAllInbound (domyślna)**Deny
# Reguła: zezwól na HTTPS z internetu
az network nsg rule create \
  --resource-group rg-zeus-net --nsg-name nsg-app \
  --name Allow-HTTPS --priority 100 \
  --access Allow --protocol Tcp --direction Inbound \
  --destination-port-ranges 443 --source-address-prefixes Internet

Wskazówka: najczęstszy misconfig, jaki wyłapuje ZEUS, to reguła NSG z source = Internet (*) na porcie 22 (SSH) lub 3389 (RDP). Nigdy nie wystawiaj zarządzania bezpośrednio do internetu.

Usługi PaaS (Azure SQL, Storage, Key Vault) domyślnie mają publiczny endpoint. Private Endpoint nadaje im prywatny adres IP wewnątrz Twojej VNet — ruch nie opuszcza sieci Microsoftu i nie idzie przez internet. To podstawa architektury zero-trust dla PaaS.

az network private-endpoint create \
  --resource-group rg-zeus-net --name pe-sql \
  --vnet-name vnet-zeus-weu --subnet snet-app \
  --private-connection-resource-id "<sql-server-id>" \
  --group-id sqlServer --connection-name conn-sql

Azure Bastion — dostęp administracyjny bez publicznych IP

Bastion to zarządzana usługa, która daje dostęp RDP/SSH do VM przez przeglądarkę (port 443), bez nadawania maszynom publicznych adresów i bez otwierania portów 22/3389. Wdraża się w dedykowanej podsieci AzureBastionSubnet.

Jak to widzi ZEUS

Przez Azure Resource Graph ZEUS odczytuje topologię sieci: VNet, podsieci, reguły NSG, publiczne IP i konfigurację Private Endpoint. Na tej podstawie oznacza zasoby wystawione publicznie (np. VM z publicznym IP i otwartym portem zarządzania) oraz bazy PaaS bez Private Link. To jeden z najważniejszych sygnałów postawy bezpieczeństwa (posture).

Następna lekcja: compute — kiedy wybrać VM, kiedy Container Apps, a kiedy AKS.