Grupy zabezpieczeń aplikacji

Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji. Zamiast definiować reguły zabezpieczeń na podstawie jawnych adresów IP, można grupować maszyny wirtualne według ich roli aplikacji i definiować zasady zabezpieczeń sieci na podstawie tych grup. Takie podejście upraszcza zarządzanie zabezpieczeniami i sprawia, że reguły są wielokrotnego użytku na dużą skalę.

Zalety grup zabezpieczeń aplikacji

• Uproszczone zarządzanie: grupowanie maszyn wirtualnych według warstwy aplikacji (sieci Web, logiki, bazy danych) zamiast zarządzania poszczególnymi adresami IP
• Skalowalne zabezpieczenia: stosowanie spójnych zasad zabezpieczeń na wielu maszynach wirtualnych bez aktualizowania reguł
• Intuicyjna organizacja: Reguły zabezpieczeń odzwierciedlają architekturę aplikacji
• Zmniejszona złożoność: platforma automatycznie obsługuje zarządzanie adresami IP

Przykład: Zabezpieczenia aplikacji wielowarstwowych

Rozważ aplikację trójwarstwową z serwerami internetowymi, serwerami aplikacji i serwerami baz danych:

W tym przykładzie:

• Karta sieciowa NIC1 i NIC2 są członkami grupy zabezpieczeń aplikacji AsgWeb (warstwa sieciowa)
• Nic3 jest członkiem grupy zabezpieczeń aplikacji AsgLogic (warstwa aplikacji)
• Nic4 jest członkiem grupy zabezpieczeń aplikacji AsgDb (warstwa bazy danych)

Każdy interfejs sieciowy może być członkiem wielu grup ASG (do limitów subskrypcji platformy Azure). Żadne sieciowe grupy zabezpieczeń nie są skojarzone bezpośrednio z interfejsami sieciowymi. Zamiast tego sieciowa grupa zabezpieczeń1 jest skojarzona z obiem podsieciami i zawiera następujące reguły:

Allow-HTTP-Inbound-Internet

Ta reguła umożliwia ruch HTTP z Internetu do warstwy webowej. Domyślna reguła zabezpieczeń DenyAllInBound blokuje cały inny ruch przychodzący z Internetu, więc żadne inne reguły nie są wymagane dla grup AsgLogic lub AsgDb.

Odmowa –Database-All

Ta reguła domyślnie blokuje cały ruch do warstwy bazy danych. Jest to konieczne, ponieważ reguła domyślna AllowVNetInBound w przeciwnym razie zezwalałaby wszystkim zasobom w sieci wirtualnej na komunikację z bazą danych.

Zezwalaj —Database-BusinessLogic

Ta reguła zezwala na ruch z warstwy logiki aplikacji (AsgLogic) do warstwy bazy danych (AsgDb). Reguła ma priorytet 110, który jest niższy niż reguła Deny-Database-All (priorytet 120). Ponieważ numery niższego priorytetu są przetwarzane jako pierwsze, ta reguła jest oceniana przed regułą odmowy, zezwalając aplikacji AsgLogic na dostęp do bazy danych przy jednoczesnym zablokowaniu całego innego ruchu.

Jak mają zastosowanie reguły

Tylko interfejsy sieciowe, które są członkami grupy ASG, są objęte regułami, które określają tę grupę jako źródło lub miejsce docelowe. Jeśli interfejs sieciowy nie jest członkiem grupy zabezpieczeń, do którego odwołuje się reguła, reguła nie ma zastosowania do tego interfejsu sieciowego, nawet jeśli sieciowa grupa zabezpieczeń jest skojarzona z jej podsiecią.

Ograniczenia i zagadnienia

Podczas pracy z grupami zabezpieczeń aplikacji należy pamiętać o następujących ograniczeniach:

• Limity subskrypcji: istnieją limity liczby grup ASG na subskrypcję. Zapoznaj się z dokumentacją limitów subskrypcji platformy Azure, aby zapoznać się z bieżącymi wartościami.
• To samo wymaganie dotyczące sieci wirtualnej: wszystkie interfejsy sieciowe w usłudze ASG muszą istnieć w tej samej sieci wirtualnej. Jeśli na przykład pierwsza karta sieciowa przypisana do aplikacji AsgWeb znajduje się w sieci VNet1, wszystkie kolejne karty sieciowe przypisane do aplikacji AsgWeb również muszą znajdować się w sieci VNet1.
• Reguły między grupami ASG: podczas definiowania grup ASG równocześnie jako źródła i miejsca docelowego w regule zabezpieczeń, wszystkie interfejsy sieciowe muszą znajdować się w tej samej sieci wirtualnej. Jeśli na przykład AsgLogic ma karty sieciowe z sieci VNet1, a AsgDb ma karty sieciowe z sieci VNet2, nie można utworzyć reguły z AsgLogic jako źródłem i AsgDb jako miejscem docelowym.