Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os grupos de segurança de aplicativos na Rede Virtual do Azure permitem configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo que você agrupe máquinas virtuais e defina políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. A plataforma lida com a complexidade de endereços IP explícitos e vários conjuntos de regras, permitindo que você se concentre na sua lógica de negócios. Para entender melhor os grupos de segurança de aplicativo, considere o exemplo abaixo:
Na figura anterior, NIC1 e NIC2 são membros do grupo de segurança de aplicativo AsgWeb. NIC3 é um membro do grupo de segurança de aplicativo AsgLogic. NIC4 é um membro do grupo de segurança de aplicativo AsgDb. Embora cada NIC (interface de rede) neste exemplo seja membro de apenas um grupo de segurança de aplicativo, uma interface de rede pode ser membro de vários grupos de segurança de aplicativos, até os limites do Azure. Nenhum dos adaptadores de rede tem um grupo de segurança de rede associado. NSG1 está associado a ambas as sub-redes e contém as seguintes regras:
Allow-HTTP-Inbound-Internet
Essa regra é necessária para permitir o tráfego da Internet para os servidores Web. Como o tráfego de entrada da Internet é negado pela regra de segurança padrão DenyAllInbound, nenhuma regra extra é necessária para os grupos de segurança de aplicativosAsgLogic ou AsgDb.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Como a regra de segurança padrão AllowVNetInBound permite toda a comunicação entre recursos na mesma rede virtual, você precisa dessa regra para negar o tráfego de todos os recursos.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
Essa regra permite o tráfego do grupo de segurança de aplicativo AsgLogic para o grupo de segurança de aplicativo AsgDb. A prioridade para essa regra é mais alta do que a prioridade para a regra Deny-Database-All. Como resultado, essa regra é processada antes da regra Deny-Database-All e, portanto, o tráfego do grupo de segurança de aplicativo AsgLogic é permitido enquanto todos os outros tráfegos são bloqueados.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Interfaces de rede que são membros do grupo de segurança do aplicativo aplicam as regras do grupo de segurança de rede que as especificam como origem ou destino. As regras do grupo de segurança de rede não afetam outras interfaces de rede. Se o adaptador de rede não for membro de um grupo de segurança de aplicativo, a regra não se aplicará ao adaptador de rede, mesmo que o grupo de segurança de rede esteja associado à sub-rede.
Constraints
Os grupos de segurança do aplicativo têm as seguintes restrições:
Há limites para o número de grupos de segurança de aplicativos que você pode ter em uma assinatura e outros limites relacionados aos grupos de segurança de aplicativos. Para obter detalhes, confira Limites do Azure.
Todas as interfaces de rede atribuídas a um grupo de segurança de aplicativos devem existir na mesma rede virtual em que a primeira interface de rede atribuída ao grupo de segurança de aplicativos está. Por exemplo, se o primeiro adaptador de rede atribuído a um grupo de segurança de aplicativo chamado AsgWeb estiver na rede virtual denominada VNet1, todos os adaptadores de rede subsequentes atribuídos a ASGWeb deverão existir na VNet1. Não é possível adicionar interfaces de rede a partir de redes virtuais diferentes ao mesmo grupo de segurança de aplicativos.
Se você especificar um grupo de segurança do aplicativo como a origem e o destino em uma regra de segurança, as interfaces de rede em ambos os grupos de segurança do aplicativo deverão existir na mesma rede virtual.
- Por exemplo, o AsgLogic contém interfaces de rede da VNet1 e o AsgDb contém interfaces de rede da VNet2. Nesse caso, seria impossível atribuir AsgLogic como origem e AsgDb como o destino na mesma regra de grupo de segurança de rede. Todas as interfaces de rede para os grupos de segurança do aplicativo de origem e de destino devem existir na mesma rede virtual.
Tip
Para minimizar o número de regras de segurança necessárias, planeje seus grupos de segurança de aplicativo necessários. Crie regras usando marcas de serviço ou grupos de segurança de aplicativo, em vez de endereços IP individuais ou intervalos de endereços IP, quando possível.
Next steps
- Aprenda a Criar um grupo de segurança de rede.