Implementar grupos de segurança de aplicativos

  • {númeroDeMinutos} minutos

Você pode implementar grupos de segurança de aplicativo (ASGs) em sua rede virtual do Azure para agrupar logicamente suas máquinas virtuais por carga de trabalho. Em seguida, você pode definir as regras do grupo de segurança de rede com base nos grupos de segurança do aplicativo.

Coisas a saber sobre como usar grupos de segurança de aplicativos

Os grupos de segurança de aplicativos funcionam da mesma forma que os grupos de segurança de rede, mas fornecem uma maneira centrada em aplicativos de examinar sua infraestrutura. Você associa suas máquinas virtuais a um grupo de segurança de aplicativo. Em seguida, use o grupo de segurança do aplicativo como origem ou destino nas regras do grupo de segurança de rede.

Vamos examinar como implementar grupos de segurança de aplicativos criando uma configuração para um varejista online. Em nosso cenário de exemplo, precisamos controlar o tráfego de rede para máquinas virtuais em grupos de segurança de aplicativos.

Diagrama que mostra como os grupos de segurança de aplicativos se combinam com grupos de segurança de rede para proteger aplicativos.

Observação

No diagrama, os servidores de aplicativos estão entregando solicitações do SQL Server.

Requisitos do cenário

Aqui estão os requisitos de cenário para nossa configuração de exemplo:

  • Nesse cenário, há duas camadas: servidores Web e servidores de aplicativos.
  • Os servidores Web lidam com o tráfego de Internet HTTP e HTTPS.
  • Os servidores de aplicativos processam solicitações SQL dos servidores Web.

Solução

Para o nosso cenário, precisamos construir a seguinte configuração:

  1. Crie grupos de segurança de aplicativos para cada camada.

  2. Para cada servidor de máquina virtual, atribua sua interface de rede ao grupo de segurança de aplicativo apropriado.

  3. Crie o grupo de segurança de rede e as regras de segurança.

    • Regra 1: Defina a prioridade para 100. Permitir o acesso da Internet às máquinas dos servidores Web a partir da porta HTTP 80 e da porta HTTPS 443.

      A regra 1 tem o valor de prioridade mais baixo, por isso tem precedência sobre as outras regras do grupo. O acesso do cliente ao nosso catálogo online é primordial no nosso design.

    • Regra 2: Defina a prioridade para 110. Permita o acesso dos servidores Web aos servidores de aplicativos pela porta SQL 1433.

    • Regra 3: Defina a prioridade para 120. Negar acesso de qualquer lugar às máquinas do servidor de aplicativos nas portas HTTP e HTTPS.

      A combinação da Regra 2 e da Regra 3 garante que apenas os nossos servidores Web podem aceder aos nossos servidores de base de dados. Essa configuração de segurança protege nossos bancos de dados de inventário contra ataques externos.

Coisas a considerar ao usar grupos de segurança de aplicativos

Há várias vantagens em implementar grupos de segurança de aplicativos em suas redes virtuais.

  • Considere a manutenção do endereço IP. Quando você controla o tráfego de rede usando grupos de segurança de aplicativos, não precisa configurar o tráfego de entrada e saída para endereços IP específicos. Se você tiver muitas máquinas virtuais em sua configuração, pode ser difícil especificar todos os endereços IP afetados. À medida que você mantém sua configuração, o número de seus servidores pode mudar. Essas alterações podem exigir que você modifique a forma como oferece suporte a diferentes endereços IP em suas regras de segurança.

  • Considere sem sub-redes. Ao organizar suas máquinas virtuais em grupos de segurança de aplicativos, você não precisa também distribuir seus servidores em sub-redes específicas. Você pode organizar seus servidores por aplicativo e finalidade para obter agrupamentos lógicos.

  • Considere regras simplificadas. Os grupos de segurança de aplicativos ajudam a eliminar a necessidade de vários conjuntos de regras. Não é necessário criar uma regra separada para cada máquina virtual. Você pode aplicar dinamicamente novas regras a grupos de segurança de aplicativos designados. Novas regras de segurança são aplicadas automaticamente a todas as máquinas virtuais no grupo de segurança de aplicativo especificado.

  • Considere o suporte à carga de trabalho. Uma configuração que implementa grupos de segurança de aplicativos é fácil de manter e entender porque a organização se baseia no uso da carga de trabalho. Os grupos de segurança de aplicativos fornecem arranjos lógicos para seus aplicativos, serviços, armazenamento de dados e cargas de trabalho.

  • Considere as etiquetas de serviço. As Etiquetas de Serviço representam um grupo de prefixos de endereço IP de um serviço específico do Azure. Eles ajudam a minimizar a complexidade de atualizações frequentes nas regras de segurança de rede. Enquanto as marcas de serviço são usadas para simplificar o gerenciamento de endereços IP para serviços do Azure, os ASGs são usados para agrupar VMs e gerenciar políticas de segurança de rede com base nesses grupos.