Implementieren von Anwendungssicherheitsgruppen

  • 6 Minuten

Sie können Anwendungssicherheitsgruppen (APPLICATION Security Groups, ASGs) in Ihrem virtuellen Azure-Netzwerk implementieren, um Ihre virtuellen Computer logisch nach Workload zu gruppieren. Anschließend können Sie Netzwerksicherheitsgruppenregeln basierend auf Ihren Anwendungssicherheitsgruppen definieren.

Wichtige Informationen zur Verwendung von Anwendungssicherheitsgruppen

Anwendungssicherheitsgruppen funktionieren auf die gleiche Weise wie Netzwerksicherheitsgruppen, bieten jedoch eine anwendungsbasierte Übersicht über Ihre Infrastruktur. Sie fügen Ihre virtuellen Computer einer Anwendungssicherheitsgruppe hinzu. Anschließend verwenden Sie die Anwendungssicherheitsgruppe als Quelle oder Ziel in den Regeln für Netzwerksicherheitsgruppen.

Sehen wir uns an, wie Sie Anwendungssicherheitsgruppen implementieren, indem Sie eine Konfiguration für einen Onlinehändler erstellen. Im Beispielszenario muss der Netzwerkdatenverkehr an virtuelle Computer in Anwendungssicherheitsgruppen gesteuert werden.

Diagramm, das zeigt, wie Anwendungssicherheitsgruppen mit Netzwerksicherheitsgruppen kombiniert werden, um Anwendungen zu schützen

Hinweis

Im Diagramm bearbeiten die Anwendungsserver SQL Server-Anforderungen.

Anforderungen für das Szenario

Diese Anforderungen gelten für die Beispielkonfiguration:

  • In diesem Szenario gibt es zwei Ebenen: Webserver und Anwendungsserver.
  • Die Webserver verarbeiten HTTP- und HTTPS-Internetdatenverkehr.
  • Die Anwendungsserver verarbeiten SQL-Anforderungen von den Webservern.

Lösung

Für dieses Szenario muss die folgende Konfiguration erstellt werden:

  1. Erstellen Sie Anwendungssicherheitsgruppen für jede Ebene.

  2. Weisen Sie für jeden Server des virtuellen Computers der entsprechenden Anwendungssicherheitsgruppe seine Netzwerkschnittstelle zu.

  3. Erstellen Sie die Netzwerksicherheitsgruppe und die Sicherheitsregeln.

    • Regel 1: Legen Sie die Priorität auf 100 fest. Zugriff vom Internet auf die Webservercomputer über HTTP-Port 80 und HTTPS-Port 443 zulassen.

      Regel 1 hat den niedrigsten Prioritätswert und damit Vorrang vor den anderen Regeln in der Gruppe. Der Kundenzugriff auf den Onlinekatalog ist bei diesem Design von größter Bedeutung.

    • Regel 2: Legen Sie die Priorität auf 110 fest. Zugriff von den Webservern auf Anwendungsserver über SQL-Port 1433 zulassen.

    • Regel 3: Legen Sie die Priorität auf 120 fest. Zugriff von überall auf Anwendungsservercomputer auf den HTTP- und HTTPS-Ports verweigern.

      Die Kombination aus Regel 2 und Regel 3 stellt sicher, dass nur unsere Webserver auf unsere Datenbankserver zugreifen können. Diese Sicherheitskonfiguration schützt unsere Bestandsdatenbanken vor externen Angriffen.

Zu berücksichtigende Punkte bei der Verwendung von Anwendungssicherheitsgruppen

Die Implementierung von Anwendungssicherheitsgruppen in Ihren virtuellen Netzwerken hat mehrere Vorteile.

  • IP-Adressverwaltung: Wenn Sie den Netzwerkdatenverkehr mithilfe von Anwendungssicherheitsgruppen steuern, müssen Sie eingehenden und ausgehenden Datenverkehr nicht für bestimmte IP-Adressen konfigurieren. Wenn viele virtuelle Computer in Ihrer Konfiguration vorhanden sind, kann es schwierig sein, alle betroffenen IP-Adressen anzugeben. Auch die Anzahl der Server in einer bestehenden Konfiguration kann sich ändern. Diese Änderungen erfordern möglicherweise, dass Sie anpassen müssen, wie verschiedene IP-Adressen in Ihren Sicherheitsregeln unterstützt werden.

  • Keine Subnetze: Wenn Sie Ihre virtuellen Computer in Anwendungssicherheitsgruppen organisieren, müssen Sie Ihre Server nicht zusätzlich auf bestimmte Subnetze verteilen. Sie können Ihre Server nach Anwendung und Zweck anordnen, um logische Gruppierungen zu erzielen.

  • Vereinfachte Regeln: Mit Anwendungssicherheitsgruppen entfällt die Notwendigkeit, mehrere Regelsätze zu definieren. Sie müssen nicht für jede VM eine eigene Regel erstellen. Sie können neue Regeln dynamisch auf bestimmte Anwendungssicherheitsgruppen anwenden. Neue Sicherheitsregeln werden automatisch auf alle virtuellen Computer in der angegebenen Anwendungssicherheitsgruppe angewendet.

  • Workloadunterstützung: Eine Konfiguration, die Anwendungssicherheitsgruppen implementiert, ist einfach zu verwalten und nachzuvollziehen, da die Organisation auf der Workloadauslastung basiert. Anwendungssicherheitsgruppen ermöglichen die logische Anordnung Ihrer Anwendungen, Dienste, Datenspeicher und Workloads.

  • Berücksichtigen Sie Service-Tags. Diensttags stellen eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst dar. Sie tragen dazu bei, die Komplexität häufiger Updates für Netzwerksicherheitsregeln zu minimieren. Während Diensttags verwendet werden, um die Verwaltung von IP-Adressen für Azure-Dienste zu vereinfachen, werden ASGs verwendet, um VMs zu gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen zu verwalten.