Grupos de seguridad de aplicaciones

Los grupos de seguridad de aplicaciones (ASG) permiten configurar la seguridad de red como una extensión natural de la estructura de la aplicación. En lugar de definir reglas de seguridad basadas en direcciones IP explícitas, puede agrupar máquinas virtuales por su rol de aplicación y definir directivas de seguridad de red basadas en esos grupos. Este enfoque simplifica la administración de seguridad y hace que las reglas se vuelvan a usar a escala.

Ventajas de los grupos de seguridad de aplicaciones

• Administración simplificada: agrupar máquinas virtuales (VM) por nivel de aplicación (web, lógica, base de datos) en lugar de administrar direcciones IP individuales
• Seguridad escalable: aplicación de directivas de seguridad coherentes en varias máquinas virtuales sin actualizar reglas
• Organización intuitiva: las reglas de seguridad reflejan la arquitectura de la aplicación
• Complejidad reducida: la plataforma controla automáticamente la administración de direcciones IP.

Ejemplo: Seguridad de aplicaciones de varios niveles

Considere una aplicación de tres niveles con servidores web, servidores de aplicaciones y servidores de bases de datos:

En este ejemplo:

• NIC1 y NIC2 son miembros del grupo de seguridad de aplicaciones AsgWeb (nivel web)
• NIC3 es miembro del grupo de seguridad de aplicaciones AsgLogic (nivel de aplicación)
• NIC4 es miembro del grupo de seguridad de aplicaciones asgDb (nivel de base de datos)

Cada interfaz de red puede ser miembro de varios Grupos de Seguridad de Aplicaciones (hasta los límites de suscripción de Azure). No hay grupos de seguridad de red asociados directamente con las interfaces de red. En su lugar, NSG1 está asociado a ambas subredes y contiene las reglas siguientes:

Allow-HTTP-Inbound-Internet

Esta regla permite que el tráfico HTTP desde Internet llegue al nivel web. La regla de seguridad predeterminada DenyAllInBound bloquea todo el tráfico entrante de Internet, por lo que no se necesitan otras reglas para los grupos AsgLogic o AsgDb.

Deny-Database-All

Esta regla bloquea todo el tráfico al nivel de base de datos de forma predeterminada. Es necesario porque la regla predeterminada AllowVNetInBound permitiría que todos los recursos de la red virtual se comunicaran con la base de datos.

Allow-Database-BusinessLogic

Esta regla permite el tráfico desde el nivel de lógica de la aplicación (AsgLogic) al nivel de base de datos (AsgDb). La regla tiene prioridad 110, que es inferior a la regla Deny-Database-All (prioridad 120). Dado que los números de prioridad más baja se procesan primero, esta regla se evalúa antes de la regla de denegación, lo que permite a AsgLogic acceder a la base de datos mientras bloquea el resto del tráfico.

Aplicación de reglas

Solo las interfaces de red que son miembros de un ASG se ven afectadas por las reglas que especifican que ASG como origen o destino. Si una interfaz de red no es miembro de un ASG al que se hace referencia en una regla, la regla no se aplica a esa interfaz de red, incluso si el NSG está asociado a su subred.

Restricciones y consideraciones

Al trabajar con grupos de seguridad de aplicaciones, tenga en cuenta estas limitaciones:

• Límites de suscripción: hay límites para el número de grupos de escalado automático por suscripción. Revise la documentación sobre los límites de la suscripción de Azure para conocer los valores actuales.
• Mismo requisito de red virtual: todas las interfaces de red de un ASG deben existir en la misma red virtual. Por ejemplo, si la primera NIC asignada a AsgWeb está en VNet1, todas las NIC subsiguientes asignadas a AsgWeb también deben estar en VNet1.
• Reglas entre ASG: al especificar ASGs como origen y destino en una regla de seguridad, todas las interfaces de red de ambos ASGs deben encontrarse en la misma red virtual. Por ejemplo, si AsgLogic tiene NIC de VNet1 y AsgDb tiene NIC de VNet2, no puede crear una regla con AsgLogic como origen y AsgDb como destino.