Anwendungssicherheitsgruppen
Mithilfe von Anwendungssicherheitsgruppen (ASGs) können Sie die Netzwerksicherheit als natürliche Erweiterung der Struktur Ihrer Anwendung konfigurieren. Anstatt Sicherheitsregeln basierend auf expliziten IP-Adressen zu definieren, können Sie virtuelle Computer anhand ihrer Anwendungsrolle gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen definieren. Dieser Ansatz vereinfacht die Sicherheitsverwaltung und macht Regeln im großen Maßstab wiederverwendbar.
Vorteile von Anwendungssicherheitsgruppen
- Vereinfachte Verwaltung: Gruppieren virtueller Computer (VMs) nach Anwendungsebene (Web, Logik, Datenbank) und nicht nach Verwaltung einzelner IP-Adressen
- Skalierbare Sicherheit: Anwenden konsistenter Sicherheitsrichtlinien auf mehrere VMs ohne Aktualisierung von Regeln
- Intuitive Organisation: Sicherheitsregeln spiegeln Ihre Anwendungsarchitektur wider
- Reduzierte Komplexität: Die Plattform verarbeitet die IP-Adressverwaltung automatisch
Beispiel: Mehrstufige Anwendungssicherheit
Erwägen Sie eine dreistufige Anwendung mit Webservern, Anwendungsservern und Datenbankservern:
In diesem Beispiel:
- NIC1 und NIC2 sind Mitglieder der AsgWeb-Anwendungssicherheitsgruppe (Webebene)
- NIC3 ist Mitglied der AsgLogic-Anwendungssicherheitsgruppe (Anwendungsebene)
- NIC4 ist Mitglied der AsgDb-Anwendungssicherheitsgruppe (Datenbankebene)
Jede Netzwerkschnittstelle kann Mitglied mehrerer ASGs (bis zu Azure-Abonnementbeschränkungen) sein. Es sind keine NSGs direkt den Netzwerkschnittstellen zugeordnet. Stattdessen ist NSG1 beiden Subnetzen zugeordnet und enthält die folgenden Regeln:
Allow-HTTP-Inbound-Internet
Diese Regel ermöglicht es HTTP-Datenverkehr aus dem Internet, die Webebene zu erreichen. Die Standardsicherheitsregel "DenyAllInBound" blockiert alle anderen eingehenden Datenverkehr aus dem Internet, sodass für die AsgLogic- oder AsgDb-Gruppen keine anderen Regeln erforderlich sind.
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Zulassen |
Deny-Database-All
Diese Regel blockiert standardmäßig den gesamten Datenverkehr auf die Datenbankebene. Es ist notwendig, weil die Standardregel "AllowVNetInBound" andernfalls allen Ressourcen im virtuellen Netzwerk die Kommunikation mit der Datenbank ermöglichen würde.
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Beliebig | Leugnen |
Erlauben-Database-BusinessLogic
Diese Regel ermöglicht Datenverkehr von der Anwendungslogikebene (AsgLogic) zur Datenbankebene (AsgDb). Die Regel hat Priorität 110, die niedriger ist als die Sperren-Database-All-Regel (Priorität 120). Da nummern mit niedrigerer Priorität zuerst verarbeitet werden, wird diese Regel vor der Verweigerungsregel ausgewertet, sodass AsgLogic auf die Datenbank zugreifen kann, während der gesamte andere Datenverkehr blockiert wird.
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Zulassen |
Wie Regeln angewendet werden
Nur Netzwerkschnittstellen, die Mitglieder einer ASG sind, sind von Regeln betroffen, die angeben, dass ASG als Quelle oder Ziel gilt. Wenn eine Netzwerkschnittstelle kein Mitglied eines ASG ist, auf das in einer Regel verwiesen wird, gilt die Regel nicht für diese Netzwerkschnittstelle, auch wenn die NSG dem Subnetz zugeordnet ist.
Einschränkungen und Überlegungen
Beachten Sie beim Arbeiten mit Anwendungssicherheitsgruppen die folgenden Einschränkungen:
- Abonnementbeschränkungen: Es gibt Grenzwerte für die Anzahl der ASGs pro Abonnement. Überprüfen Sie die Dokumentation zu Azure-Abonnementbeschränkungen für aktuelle Werte.
- Gleiche Virtuelle Netzwerkanforderung: Alle Netzwerkschnittstellen in einer ASG müssen im selben virtuellen Netzwerk vorhanden sein. Wenn sich beispielsweise die erste NIC, die AsgWeb zugewiesen ist, in VNet1 befindet, müssen alle nachfolgenden NICs, die AsgWeb zugewiesen sind, auch in VNet1 vorhanden sein.
- Asgübergreifende Regeln: Beim Angeben von ASGs als Quelle und Ziel in einer Sicherheitsregel müssen alle Netzwerkschnittstellen in beiden ASGs im selben virtuellen Netzwerk vorhanden sein. Wenn AsgLogic z. B. NICs von VNet1 und AsgDb NICs von VNet2 enthält, können Sie keine Regel mit AsgLogic als Quelle und AsgDb als Ziel erstellen.
Tipp
Planen Sie Ihre ASG-Struktur, bevor Sie Sicherheitsregeln implementieren. Die Verwendung von ASGs und Diensttags anstelle einzelner IP-Adressen oder IP-Bereiche minimiert die Anzahl der Sicherheitsregeln, die Sie erstellen und verwalten müssen. Weniger Regeln vereinfachen die Verwaltung und verringern die Wahrscheinlichkeit von Konfigurationsfehlern.