مجموعات أمان التطبيقات

تتيح لك مجموعات أمان التطبيقات تكوين أمان الشبكة كامتداد طبيعي لهيكل التطبيق، ما يسمح لك بتجميع الأجهزة الظاهرية وتحديد نُهج أمان الشبكة بناءً على تلك المجموعات. يمكنك إعادة استخدام نهج الأمان الخاص بك على نطاق واسع دون الصيانة اليدوية لعناوين IP الصريحة. يُعالج النظام الأساسي تعقيد عناوين IP الصريحة ومجموعات القواعد المتعددة، ما يسمح لك بالتركيز على منطق تسلسل عملك. لفهم مجموعات أمان التطبيقات بشكلٍ أفضل، ضع في اعتبارك المثال التالي:

Application security groups

في الصورة السابقة، NIC1 وNIC2 هم أعضاء في مجموعة أمان التطبيق AsgWeb. NIC3 هو عضو في مجموعة أمان التطبيقات AsgLogic. NIC4 هو عضو في مجموعة أمان التطبيقات AsgDb. على الرغم من أن كل واجهة شبكة اتصال في هذا المثال هي عضو واحد فقط في مجموعة أمان الشبكة، يمكن أن تكون واجهة شبكة الاتصال عضواً في مجموعات أمان التطبيقات المتعددة، حتى حدود Azure. لا يوجد لدى أي من واجهات الشبكة مجموعة أمان شبكة مقترنة. NSG1 مقترنة بكل شبكة من الشبكات الفرعية ويحتوي على القواعد التالية:

السماح بـ HTTP-Inbound-Internet

هذه القاعدة ضرورية للسماح بنسبة استخدام الشبكة من الإنترنت إلى خوادم الويب. نظراً لرفض نسبة استخدام الشبكة الواردة من الإنترنت بواسطة قاعدة الأمان الافتراضية DenyAllInbound، لا يلزم وجود قاعدة إضافية لمجموعات أمان تطبيق AsgLogic أو AsgDb.

أولوية المصدر منافذ المصدر الوجهة منافذ الوجهة البروتوكول Access
100 الإنترنت * AsgWeb 80 بروتوكول تحكم الإرسال السماح

رفض جميع قواعد البيانات

نظراً لأن قاعدة الأمان الافتراضية AllowVNetInBound تسمح بكافة الاتصالات بين الموارد في نفس الشبكة الظاهرية، فإن هذه القاعدة مطلوبة لرفض نسبة استخدام الشبكة من كافة الموارد.

أولوية المصدر منافذ المصدر الوجهة منافذ الوجهة البروتوكول Access
120 * * AsgDb 1433 أي رفض

السماح بقاعدة بيانات-BusinessLogic

تسمح هذه القاعدة بحركة المرور من مجموعة أمان تطبيق AsgLogic إلى مجموعة أمان تطبيق AsgDb. الأولوية لهذه القاعدة أعلى من أولوية قاعدة Deny-Database-All. ونتيجة لذلك، تتم معالجة هذه القاعدة قبل قاعدة Deny-Database-All، بحيث يسمح بنسبة استخدام الشبكة من مجموعة أمان تطبيق AsgLogic بينما يتم حظر جميع نسب استخدام الشبكة الأخرى.

أولوية المصدر منافذ المصدر الوجهة منافذ الوجهة البروتوكول Access
110 AsgLogic * AsgDb 1433 بروتوكول تحكم الإرسال السماح

يتم تطبيق القواعد التي تحدد مجموعة أمان تطبيق كمصدر أو وجهة فقط على واجهات الشبكة التي هي أعضاء في مجموعة أمان التطبيقات. إذا لم تكن واجهة الشبكة عضواً في مجموعة أمان التطبيقات، فلا يتم تطبيق القاعدة على واجهة الشبكة على الرغم من أن مجموعة أمان الشبكة مقترنة بالشبكة الفرعية.

مجموعات أمان التطبيقات لها القيود التالية:

  • ثمة حدود لعدد مجموعات أمان التطبيقات التي يمكنك الحصول عليها في الاشتراك، بالإضافة إلى حدود أخرى تتعلق بمجموعات أمان التطبيقات. للحصول على التفاصيل، راجع حدود Azure.
  • يجب أن تكون جميع واجهات الشبكة المعينة إلى مجموعة أمان التطبيق موجودة في الشبكة الظاهرية نفسها التي توجد بها واجهة الشبكة الأولى المعينة إلى مجموعة أمان التطبيقات. على سبيل المثال، إذا كانت واجهة الشبكة الأولى المعينة إلى مجموعة أمان التطبيقات المسمَّى AsgWeb موجودة في شبكة الاتصال الظاهرية المسماة VNet1، يجب أن توجد جميع واجهات الشبكة اللاحقة المعينة إلى ASGWeb في VNet1. لا يمكنك إضافة واجهات شبكة الاتصال من شبكات ظاهرية مختلفة إلى نفس مجموعة أمان التطبيقات.
  • إذا قمت بتحديد مجموعة أمان تطبيق كمصدر وجهة في قاعدة أمان، يجب أن تكون واجهات الشبكة في مجموعتي أمان التطبيق موجودة في الشبكة الظاهرية نفسها. على سبيل المثال، إذا احتوت AsgLogic على واجهات شبكة من VNet1، واحتوت AsgDb على واجهات شبكة من VNet2، فلا يمكنك تعيين AsgLogic كمورّد وقاعدة بيانات AsgDb كوجهة في القاعدة. تحتاج جميع واجهات شبكة الاتصال لكل من مجموعة أمان التطبيقات المورّد والوجهة إلى الوجود في نفس الشبكة الظاهرية.

تلميح

لتقليل عدد قواعد الأمان التي تحتاجها والحاجة إلى تغيير القواعد، خطط لمجموعات أمان التطبيقات التي تحتاجها ثم أنشئ قواعد باستخدام علامات الخدمة أو مجموعات أمان التطبيقات بدلًا من عناوين IP الفردية أو نطاقات عناوين IP كلما أمكن ذلك.

الخطوات التالية