Implémenter des groupes de sécurité d’applications

  • 6 minutes

Vous pouvez implémenter des groupes de sécurité d’application (ASG) dans votre réseau virtuel Azure pour regrouper logiquement vos machines virtuelles par charge de travail. Vous pouvez ensuite définir vos règles de groupe de sécurité réseau en fonction de vos groupes de sécurité d’application.

Ce qu’il faut savoir sur l’utilisation des groupes de sécurité d’application

Les groupes de sécurité d’application fonctionnent de la même façon que les groupes de sécurité réseau, mais ils fournissent un moyen centré sur l’application d’examiner votre infrastructure. Vous regroupez vos machines virtuelles dans un groupe de sécurité d’application. Ensuite, vous utilisez le groupe de sécurité d’application comme source ou destination dans les règles de groupe de sécurité réseau.

Examinons comment implémenter des groupes de sécurité d’application en créant une configuration pour un détaillant en ligne. Dans notre exemple de scénario, nous devons contrôler le trafic réseau vers des machines virtuelles dans des groupes de sécurité d’application.

Diagramme montrant comment les groupes de sécurité d’application se combinent avec les groupes de sécurité réseau pour protéger les applications.

Note

Dans le diagramme, les serveurs d’applications exécutent des requêtes SQL Server.

Exigences du scénario

Voici les exigences du scénario pour notre exemple de configuration :

  • Dans ce scénario, il existe deux niveaux : les serveurs web et les serveurs d’applications.
  • Les serveurs web gèrent le trafic HTTP et HTTPS Internet.
  • Les serveurs d’applications traitent les requêtes SQL à partir des serveurs web.

Solution

Pour notre scénario, nous devons créer la configuration suivante :

  1. Créez des groupes de sécurité d’application pour chaque niveau.

  2. Pour chaque serveur de machines virtuelles, affectez son interface réseau au groupe de sécurité d’application approprié.

  3. Créez le groupe de sécurité réseau et les règles associées.

    • Règle 1 : définissez Priorité sur 100. Autorisez l’accès à partir d’Internet aux ordinateurs serveurs web à partir du port HTTP 80 et du port HTTPS 443.

      La règle 1 a la valeur de priorité la plus basse. Elle est donc prioritaire sur les autres règles du groupe. L’accès du client à notre catalogue en ligne est primordial dans notre conception.

    • Règle 2 : définissez Priorité sur 110. Autorisez l’accès des serveurs web aux serveurs d’applications via le port SQL 1433.

    • Règle 3 : définissez Priorité sur 120. Refuser l’accès de n’importe où aux ordinateurs du serveur d’applications sur les ports HTTP et HTTPS.

      La combinaison de la règle 2 et de la règle 3 garantit que seuls nos serveurs web peuvent accéder à nos serveurs de base de données. Cette configuration de sécurité protège nos bases de données d’inventaire contre les attaques externes.

Ce qu’il faut savoir quand vous utilisez des groupes de sécurité d’application

L’implémentation de groupes de sécurité d’application dans vos réseaux virtuels présente plusieurs avantages.

  • Tenez compte de la maintenance des adresses IP. Quand vous contrôlez le trafic réseau en utilisant des groupes de sécurité d’application, vous n’avez pas besoin de configurer le trafic entrant et sortant pour des adresses IP spécifiques. Si vous avez de nombreuses machines virtuelles dans votre configuration, il peut être difficile de spécifier toutes les adresses IP affectées. Quand vous gérez votre configuration, le nombre de vos serveurs peut changer. Ces changements peuvent vous obliger à modifier la prise en charge des différentes adresses IP dans vos règles de sécurité.

  • Tenez compte de l’absence de sous-réseaux. En organisant vos machines virtuelles dans des groupes de sécurité d’application, vous n’avez pas besoin de distribuer aussi vos serveurs dans des sous-réseaux spécifiques. Vous pouvez organiser vos serveurs par application et par objectif pour obtenir des regroupements logiques.

  • Utilisez des règles simplifiées. Les groupes de sécurité d’application évitent d’utiliser plusieurs ensembles de règles. Vous n’avez pas besoin de créer une règle distincte pour chaque machine virtuelle. Vous pouvez appliquer dynamiquement de nouvelles règles à des groupes de sécurité d’application désignés. Les nouvelles règles de sécurité sont automatiquement appliquées à toutes les machines virtuelles du groupe de sécurité d’application spécifié.

  • Tenez compte de la prise en charge de la charge de travail. Une configuration qui implémente des groupes de sécurité d’application est facile à gérer et à comprendre, car l’organisation est basée sur l’utilisation de la charge de travail. Les groupes de sécurité d’application fournissent des dispositions logiques pour vos applications, services, stockage de données et charges de travail.

  • Considérez les étiquettes de service. Les balises de service représentent un groupe de préfixes d’adresses IP à partir d’un service Azure spécifique. Ils permettent de réduire la complexité des mises à jour fréquentes sur les règles de sécurité réseau. Bien que les balises de service soient utilisées pour simplifier la gestion des adresses IP pour les services Azure, les asG sont utilisés pour regrouper des machines virtuelles et gérer des stratégies de sécurité réseau basées sur ces groupes.