Grupos de segurança do aplicativo

Os ASGs (grupos de segurança de aplicativo) permitem configurar a segurança de rede como uma extensão natural da estrutura do aplicativo. Em vez de definir regras de segurança com base em endereços IP explícitos, você pode agrupar máquinas virtuais por sua função de aplicativo e definir políticas de segurança de rede com base nesses grupos. Essa abordagem simplifica o gerenciamento de segurança e torna as regras reutilizáveis em escala.

Benefícios dos grupos de segurança de aplicativos

• Gerenciamento simplificado: agrupar VMs (máquinas virtuais) por camada de aplicativo (Web, lógica, banco de dados) em vez de gerenciar endereços IP individuais
• Segurança escalonável: aplicar políticas de segurança consistentes em várias VMs sem atualizar regras
• Organização intuitiva: regras de segurança refletem sua arquitetura de aplicativo
• Complexidade reduzida: a plataforma manipula automaticamente o gerenciamento de endereços IP

Exemplo: segurança de aplicativo de várias camadas

Considere um aplicativo de três camadas com servidores Web, servidores de aplicativos e servidores de banco de dados:

Neste exemplo:

• NIC1 e NIC2 são membros do grupo de segurança do aplicativo AsgWeb (camada Web)
• NIC3 é membro do grupo de segurança de aplicativos AsgLogic (camada de aplicação)
• NIC4 é membro do grupo de segurança do aplicativo AsgDb (camada de banco de dados)

Cada interface de rede pode ser membro de várias ASGs (até os limites da assinatura do Azure). Nenhum NSG está associado diretamente às interfaces de rede. Em vez disso, o NSG1 está associado a ambas as sub-redes e contém as seguintes regras:

Allow-HTTP-Inbound-Internet

Essa regra permite que o tráfego HTTP da Internet alcance a camada da Web. A regra de segurança padrão DenyAllInBound bloqueia todo o tráfego de entrada da Internet, portanto, nenhuma outra regra é necessária para os grupos AsgLogic ou AsgDb.

Deny-Database-All

Essa regra bloqueia todo o tráfego para a camada de banco de dados por padrão. É necessário porque a regra padrão AllowVNetInBound permitiria que todos os recursos na rede virtual se comunicassem com o banco de dados.

Permitir-Database-BusinessLogic

Essa regra permite o tráfego da camada lógica do aplicativo (AsgLogic) para a camada de banco de dados (AsgDb). A regra tem prioridade 110, que é menor que a regra Deny-Database-All (prioridade 120). Como os números de prioridade mais baixos são processados primeiro, essa regra é avaliada antes da regra de negação, permitindo que a AsgLogic acesse o banco de dados enquanto bloqueia todo o outro tráfego.

Como as regras se aplicam

Somente as interfaces de rede que são membros de um ASG são afetadas por regras que especificam esse ASG como a origem ou o destino. Se um adaptador de rede não for membro de um ASG referenciado em uma regra, a regra não se aplicará a esse adaptador de rede, mesmo que o NSG esteja associado à sua sub-rede.

Restrições e considerações

Ao trabalhar com grupos de segurança de aplicativos, tenha essas limitações em mente:

• Limites de assinatura: há limites para o número de ASGs por assinatura. Examine a documentação de limites de assinatura do Azure para obter valores atuais.
• Mesmo requisito de rede virtual: todos os adaptadores de rede em um ASG devem existir na mesma rede virtual. Por exemplo, se a primeira NIC atribuída ao AsgWeb estiver na VNet1, todas as NICs subsequentes atribuídas ao AsgWeb também deverão estar na VNet1.
• Regras entre ASGs: ao especificar ASGs como origem e destino em uma regra de segurança, todas as interfaces de rede em ambos os ASGs devem existir na mesma rede virtual. Por exemplo, se o AsgLogic tiver NICs da VNet1 e o AsgDb tiver NICs da VNet2, você não poderá criar uma regra com AsgLogic como origem e AsgDb como destino.