Grupos de segurança de aplicativos

Os grupos de segurança de aplicações (ASGs) permitem-lhe configurar a segurança da rede como uma extensão natural da estrutura da sua aplicação. Em vez de definir regras de segurança baseadas em endereços IP explícitos, pode agrupar máquinas virtuais pelo seu papel de aplicação e definir políticas de segurança de rede com base nesses grupos. Esta abordagem simplifica a gestão de segurança e torna as regras reutilizáveis em grande escala.

Benefícios dos grupos de segurança de aplicações

• Gestão simplificada: Agrupar máquinas virtuais (VMs) por nível de aplicação (web, lógica, base de dados) em vez de gerir endereços IP individuais
• Segurança escalável: Aplicar políticas de segurança consistentes em várias VMs sem atualizar regras
• Organização intuitiva: As regras de segurança refletem a arquitetura da sua aplicação
• Complexidade reduzida: A plataforma gere automaticamente a gestão de endereços IP

Exemplo: Segurança de aplicações em múltiplos níveis

Considere uma aplicação de três níveis com servidores web, servidores de aplicações e servidores de bases de dados:

Neste exemplo:

• O NIC1 e o NIC2 são membros do grupo de segurança de aplicações AsgWeb (nível web)
• O NIC3 é membro do grupo de segurança de aplicações AsgLogic (nível de aplicação)
• O NIC4 é membro do grupo de segurança de aplicações AsgDb (nível de base de dados)

Cada interface de rede pode ser membro de múltiplos grupos de segurança de aplicações (ASGs), de acordo com os limites da subscrição Azure. Nenhum NSG está diretamente associado às interfaces de rede. Em vez disso, o NSG1 está associado a ambas as sub-redes e contém as seguintes regras:

Permitir-HTTP-Entrada-Internet

Esta regra permite que o tráfego HTTP da internet chegue à camada web. A regra de segurança padrão DenyAllInBound bloqueia todo o tráfego de entrada da internet, pelo que não são necessárias outras regras para os grupos AsgLogic ou AsgDb.

Negar-Database-All

Esta regra bloqueia todo o tráfego para o nível da base de dados por defeito. É necessário porque a regra padrão AllowVNetInbound permitiria, de outra forma, que todos os recursos da rede virtual comuniquem com a base de dados.

Permitir-Database-BusinessLogic

Esta regra permite o tráfego da camada lógica da aplicação (AsgLogic) para a camada da base de dados (AsgDb). A regra tem prioridade 110, que é inferior à regra Deny-Database-All (prioridade 120). Como os números de prioridade inferior são processados primeiro, esta regra é avaliada antes da regra de recusa, permitindo ao AsgLogic aceder à base de dados enquanto bloqueia todo o restante tráfego.

Como se aplicam as regras

Apenas interfaces de rede que são membros de um ASG são afetadas por regras que especificam esse ASG como origem ou destino. Se uma interface de rede não for membro de um ASG referenciado numa regra, a regra não se aplica a essa interface de rede, mesmo que o NSG esteja associado à sua sub-rede.

Restrições e considerações

Ao trabalhar com grupos de segurança de aplicações, tenha em mente estas limitações:

• Limites de subscrição: Existem limites para o número de ASGs por subscrição. Consulte a documentação dos limites de subscrição do Azure para os valores atuais.
• Mesmo requisito de rede virtual: Todas as interfaces de rede num ASG devem existir na mesma rede virtual. Por exemplo, se a primeira NIC atribuída ao AsgWeb estiver no VNet1, todas as NIC subsequentes atribuídas ao AsgWeb também devem estar no VNet1.
• Regras de Cruzamento de ASG: Ao especificar ASG como fonte e destino numa regra de segurança, todas as interfaces de rede em ambas as ASG devem existir na mesma rede virtual. Por exemplo, se o AsgLogic tem NICs do VNet1 e o AsgDb tem NICs do VNet2, não podes criar uma regra com o AsgLogic como fonte e o AsgDb como destino.