Implementowanie grup zabezpieczeń aplikacji

  • 6 minut

Grupy zabezpieczeń aplikacji (ASG) można zaimplementować w sieci wirtualnej platformy Azure, aby logicznie grupować maszyny wirtualne według obciążenia. Następnie można zdefiniować reguły sieciowej grupy zabezpieczeń na podstawie grup zabezpieczeń aplikacji.

Informacje o używaniu grup zabezpieczeń aplikacji

Grupy zabezpieczeń aplikacji działają w taki sam sposób, jak sieciowe grupy zabezpieczeń, ale zapewniają skoncentrowany na aplikacji sposób przeglądania infrastruktury. Maszyny wirtualne są przyłączone do grupy zabezpieczeń aplikacji. Następnie należy użyć grupy zabezpieczeń aplikacji jako źródła lub miejsca docelowego w regułach sieciowej grupy zabezpieczeń.

Sprawdźmy, jak zaimplementować grupy zabezpieczeń aplikacji, tworząc konfigurację dla sprzedawcy internetowego. W naszym przykładowym scenariuszu musimy kontrolować ruch sieciowy do maszyn wirtualnych w grupach zabezpieczeń aplikacji.

Diagram przedstawiający sposób łączenia grup zabezpieczeń aplikacji z sieciowymi grupami zabezpieczeń w celu ochrony aplikacji.

Uwaga / Notatka

Na diagramie serwery aplikacji przekazują żądania programu SQL Server.

Wymagania dotyczące scenariusza

Poniżej przedstawiono wymagania dotyczące scenariusza dla naszej przykładowej konfiguracji:

  • W tym scenariuszu istnieją dwie warstwy: serwery internetowe i serwery aplikacji.
  • Serwery internetowe obsługują ruch internetowy HTTP i HTTPS.
  • Serwery aplikacji przetwarzają żądania SQL z serwerów internetowych.

Rozwiązanie

W naszym scenariuszu musimy utworzyć następującą konfigurację:

  1. Utwórz grupy zabezpieczeń aplikacji dla każdej warstwy.

  2. Dla każdego serwera maszyny wirtualnej przypisz interfejs sieciowy do odpowiedniej grupy zabezpieczeń aplikacji.

  3. Utwórz sieciowa grupa zabezpieczeń i reguły zabezpieczeń.

    • Reguła 1. Ustaw priorytet na 100. Zezwalaj na dostęp z Internetu do maszyn serwerów internetowych z portów HTTP 80 i HTTPS 443.

      Reguła 1 ma najniższą wartość priorytetu, dlatego ma pierwszeństwo przed innymi regułami w grupie. Dostęp klienta do naszego katalogu online jest najważniejszy w naszym projekcie.

    • Reguła 2. Ustaw priorytet na 110. Zezwalaj na dostęp z serwerów internetowych do serwerów aplikacji za pośrednictwem portu SQL 1433.

    • Reguła 3. Ustaw priorytet na 120. Odmowa dostępu z dowolnego miejsca do maszyn serwera aplikacji na portach HTTP i HTTPS.

      Połączenie reguł 2 i Reguła 3 gwarantuje, że tylko nasze serwery internetowe będą mogły uzyskiwać dostęp do naszych serwerów baz danych. Ta konfiguracja zabezpieczeń chroni nasze bazy danych spisu przed atakiem zewnętrznym.

Kwestie, które należy wziąć pod uwagę podczas korzystania z grup zabezpieczeń aplikacji

Zaimplementowanie grup zabezpieczeń aplikacji w sieciach wirtualnych ma kilka zalet.

  • Rozważ konserwację adresów IP. W przypadku kontrolowania ruchu sieciowego przy użyciu grup zabezpieczeń aplikacji nie trzeba konfigurować ruchu przychodzącego i wychodzącego dla określonych adresów IP. Jeśli masz wiele maszyn wirtualnych w konfiguracji, może być trudno określić wszystkie adresy IP, których dotyczy problem. Podczas utrzymywania konfiguracji liczba serwerów może ulec zmianie. Te zmiany mogą wymagać zmodyfikowania sposobu obsługi różnych adresów IP w regułach zabezpieczeń.

  • Rozważ brak podsieci. Organizując maszyny wirtualne w grupy zabezpieczeń aplikacji, nie trzeba również dystrybuować serwerów między określone podsieci. Serwery można rozmieścić według aplikacji i celu w celu osiągnięcia grup logicznych.

  • Rozważ uproszczenie reguł. Grupy zabezpieczeń aplikacji pomagają wyeliminować potrzebę wielu zestawów reguł. Nie musisz tworzyć oddzielnej reguły dla każdej maszyny wirtualnej. Nowe reguły można dynamicznie stosować do wyznaczonych grup zabezpieczeń aplikacji. Nowe reguły zabezpieczeń są automatycznie stosowane do wszystkich maszyn wirtualnych w określonej grupie zabezpieczeń aplikacji.

  • Rozważ obsługę obciążeń. Konfiguracja, która implementuje grupy zabezpieczeń aplikacji, jest łatwa do utrzymania i zrozumienia, ponieważ organizacja jest oparta na użyciu obciążenia. Grupy zabezpieczeń aplikacji zapewniają logiczne rozwiązania dla aplikacji, usług, magazynu danych i obciążeń.

  • Rozważ tagi usług. Tagi usługi reprezentują grupę prefiksów adresów IP z określonej usługi platformy Azure. Pomagają zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci. Tagi usług służą do upraszczania zarządzania adresami IP dla usług platformy Azure, natomiast grupy asg są używane do grupowania maszyn wirtualnych i zarządzania zasadami zabezpieczeń sieci na podstawie tych grup.