Implementar Grupos de Segurança de Aplicativo
Você pode implementar ASGs (grupos de segurança de aplicativos) em sua rede virtual do Azure para agrupar logicamente suas máquinas virtuais por carga de trabalho. Depois, você pode definir as regras do grupo de segurança de rede com base nos grupos de segurança do aplicativo.
Informações importantes sobre o uso de grupos de segurança de aplicativo
Os grupos de segurança de aplicativo funcionam da mesma forma que os grupos de segurança de rede, mas são um modo centrada no aplicativo de examinar a infraestrutura. Você ingressa as máquinas virtuais em um grupo de segurança de aplicativo. Depois, usa o grupo de segurança de aplicativo como uma origem ou um destino nas regras do grupo de segurança de rede.
Vamos examinar como implementar grupos de segurança de aplicativo criando uma configuração para um varejista online. No cenário de exemplo, precisamos controlar o tráfego de rede para máquinas virtuais em grupos de segurança de aplicativo.
Observação
No diagrama, os servidores de aplicativos estão entregando solicitações do SQL Server.
Requisitos do cenário
Veja os requisitos do cenário da configuração de exemplo:
- Nesse cenário, há duas camadas: servidores Web e servidores de aplicativos.
- Os servidores Web lidam com o tráfego de Internet HTTP e HTTPS.
- Os servidores de aplicativos processam solicitações SQL dos servidores Web.
Solução
Neste cenário, precisamos criar a seguinte configuração:
Crie grupos de segurança de aplicativos para cada camada.
Para cada servidor de máquina virtual, atribua sua interface de rede ao grupo de segurança de aplicativo apropriado.
Criar um grupo de segurança de rede e regras de segurança.
Regra 1: definir a Prioridade como 100. Permitir o acesso da Internet aos computadores de servidores Web das portas HTTP 80 e HTTPS 443.
A regra 1 tem o valor de prioridade mais baixo, portanto, tem precedência sobre as outras regras no grupo. O acesso do cliente ao catálogo online é fundamental no design.
Regra 2: definir a Prioridade como 110. Permitir o acesso dos servidores Web aos servidores de aplicativos pela porta SQL 1433.
Regra 3: definir a Prioridade como 120. Negar acesso de qualquer lugar aos computadores do servidor de aplicativos nas portas HTTP e HTTPS.
A combinação da Regra 2 e da Regra 3 garante que apenas nossos servidores Web possam acessar nossos servidores de banco de dados. Essa configuração de segurança protege os bancos de dados de inventário contra ataques externos.
Informações importantes sobre o uso de grupos de segurança de aplicativo
Há várias vantagens em implementar grupos de segurança de aplicativo nas redes virtuais.
Considere a manutenção do endereço IP. Ao controlar o tráfego de rede usando grupos de segurança de aplicativo, você não precisa configurar o tráfego de entrada e saída de endereços IP específicos. Se você tiver muitas máquinas virtuais na configuração, será difícil especificar todos os endereços IP afetados. À medida que você mantém a configuração, o número de servidores pode ser alterado. Essas alterações podem exigir que você modifique o tipo de suporte a diferentes endereços IP nas regras de segurança.
Não considere nenhuma sub-rede. Ao organizar as máquinas virtuais em grupos de segurança de aplicativo, você também não precisa distribuir os servidores entre sub-redes específicas. Você pode organizar os servidores por aplicativo e finalidade para obter agrupamentos lógicos.
Considere regras simplificadas. Os grupos de segurança de aplicativo ajudam a eliminar a necessidade de vários conjuntos de regras. Você não precisa criar uma regra separada para cada máquina virtual. Você pode aplicar dinamicamente novas regras a grupos de segurança de aplicativo designados. As novas regras de segurança são aplicadas automaticamente a todas as máquinas virtuais no grupo de segurança de aplicativo.
Considere o suporte à carga de trabalho. Uma configuração que implementa grupos de segurança de aplicativo é fácil de manter e entender porque a organização se baseia no uso da carga de trabalho. Os grupos de segurança de aplicativos fornecem disposições lógicas para aplicativos, serviços, armazenamento de dados e cargas de trabalho.
Considere as marcas de serviço. As Marcas de Serviço representam um grupo de prefixos de endereço IP de um serviço específico do Azure. Eles ajudam a minimizar a complexidade das atualizações frequentes nas regras de segurança de rede. Embora as marcas de serviço sejam usadas para simplificar o gerenciamento de endereços IP para serviços do Azure, os ASGs são usados para agrupar VMs e gerenciar políticas de segurança de rede com base nesses grupos.