Groupes de sécurité d’application
Les groupes de sécurité d’application (ASG) vous permettent de configurer la sécurité réseau en tant qu’extension naturelle de la structure de votre application. Au lieu de définir des règles de sécurité basées sur des adresses IP explicites, vous pouvez regrouper des machines virtuelles par leur rôle d’application et définir des stratégies de sécurité réseau basées sur ces groupes. Cette approche simplifie la gestion de la sécurité et rend les règles réutilisables à grande échelle.
Avantages des groupes de sécurité d’application
- Gestion simplifiée : regrouper des machines virtuelles par niveau application (web, logique, base de données) au lieu de gérer des adresses IP individuelles
- Sécurité évolutive : appliquer des stratégies de sécurité cohérentes sur plusieurs machines virtuelles sans mettre à jour les règles
- Organisation intuitive : les règles de sécurité reflètent l’architecture de votre application
- Complexité réduite : la plateforme gère automatiquement la gestion des adresses IP
Exemple : sécurité des applications multiniveau
Considérez une application à trois niveaux avec des serveurs web, des serveurs d’applications et des serveurs de base de données :
Dans cet exemple :
- NIC1 et NIC2 sont membres du groupe de sécurité des applications AsgWeb (couche web)
- NIC3 est membre du groupe de sécurité des applications AsgLogic (couche Application)
- NIC4 est membre du groupe de sécurité des applications AsgDb (couche base de données)
Chaque interface réseau peut être membre de plusieurs ASG (jusqu’aux limites d’abonnement Azure). Aucun groupe de sécurité réseau (NSG) n’est associé directement aux interfaces de réseau. Au lieu de cela, NSG1 est associé aux deux sous-réseaux et contient les règles suivantes :
Allow-HTTP-Inbound-Internet
Cette règle permet au trafic HTTP à partir d’Internet d’atteindre le niveau web. La règle de sécurité DenyAllInBound par défaut bloque tous les autres trafics entrants à partir d’Internet. Par conséquent, aucune autre règle n’est nécessaire pour les groupes AsgLogic ou AsgDb.
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Autoriser |
Deny-Database-All
Cette règle bloque tout le trafic vers le niveau base de données par défaut. Il est nécessaire, car la règle AllowVNetInBound par défaut autorise autrement toutes les ressources du réseau virtuel à communiquer avec la base de données.
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | N'importe lequel | Refuser |
Allow-Database-BusinessLogic
Cette règle autorise le trafic du niveau logique d’application (AsgLogic) vers la couche base de données (AsgDb). La règle a la priorité 110, qui est inférieure à la règle Deny-Database-All (priorité 120). Étant donné que les numéros de priorité inférieurs sont traités en premier, cette règle est évaluée avant la règle de refus, ce qui permet à AsgLogic d’accéder à la base de données tout en bloquant tout autre trafic.
| Priorité | Source | Ports sources | Destination | Ports de destination | Protocole | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Autoriser |
Comment les règles s’appliquent
Seules les interfaces réseau qui sont membres d’un ASG sont affectées par des règles qui spécifient que l’ASG est la source ou la destination. Si une interface réseau n’est pas membre d’un ASG référencé dans une règle, la règle ne s’applique pas à cette interface réseau, même si le groupe de sécurité réseau est associé à son sous-réseau.
Contraintes et considérations
Lorsque vous utilisez des groupes de sécurité d’application, gardez à l’esprit ces limitations :
- Limites d’abonnement : il existe des limites au nombre d’ASG par abonnement. Consultez la documentation relative aux limites d’abonnement Azure pour connaître les valeurs actuelles.
- Même exigence de réseau virtuel : toutes les interfaces réseau d’un ASG doivent exister dans le même réseau virtuel. Par exemple, si la première carte réseau affectée à AsgWeb se trouve dans VNet1, toutes les cartes réseau suivantes affectées à AsgWeb doivent également être dans VNet1.
- Règles inter‑ASG : lorsque vous spécifiez des ASG à la fois comme source et destination dans une règle de sécurité, toutes les interfaces réseau des deux ASG doivent se trouver dans le même réseau virtuel. Par exemple, si AsgLogic a des cartes réseau à partir de VNet1 et AsgDb a des cartes réseau à partir de VNet2, vous ne pouvez pas créer de règle avec AsgLogic comme source et AsgDb comme destination.
Conseil / Astuce
Planifiez votre structure ASG avant d’implémenter des règles de sécurité. L’utilisation des asG et des balises de service au lieu d’adresses IP individuelles ou de plages d’adresses IP réduit le nombre de règles de sécurité dont vous avez besoin pour créer et gérer. Moins de règles, simplifie la gestion et réduit la probabilité d’erreurs de configuration.