مجموعات أمان التطبيقات
تتيح لك مجموعات أمان التطبيقات تكوين أمان الشبكة كامتداد طبيعي لهيكل التطبيق، ما يسمح لك بتجميع الأجهزة الظاهرية وتحديد نُهج أمان الشبكة بناءً على تلك المجموعات. يمكنك إعادة استخدام نهج الأمان الخاص بك على نطاق واسع دون الصيانة اليدوية لعناوين IP الصريحة. يُعالج النظام الأساسي تعقيد عناوين IP الصريحة ومجموعات القواعد المتعددة، ما يسمح لك بالتركيز على منطق تسلسل عملك. لفهم مجموعات أمان التطبيقات بشكلٍ أفضل، ضع في اعتبارك المثال التالي:
في الصورة السابقة، NIC1 وNIC2 هم أعضاء في مجموعة أمان التطبيق AsgWeb. NIC3 هو عضو في مجموعة أمان التطبيقات AsgLogic. NIC4 هو عضو في مجموعة أمان التطبيقات AsgDb. على الرغم من أن كل واجهة شبكة (NIC) في هذا المثال عضو في مجموعة أمان تطبيق واحدة فقط، يمكن أن تكون واجهة الشبكة عضوا في مجموعات أمان تطبيقات متعددة، حتى حدود Azure. لا يوجد لدى أي من واجهات الشبكة مجموعة أمان شبكة مقترنة. NSG1 مقترنة بكل شبكة من الشبكات الفرعية ويحتوي على القواعد التالية:
السماح بـ HTTP-Inbound-Internet
هذه القاعدة ضرورية للسماح بنسبة استخدام الشبكة من الإنترنت إلى خوادم الويب. نظرا لأن نسبة استخدام الشبكة الواردة من الإنترنت مرفوضة بواسطة قاعدة الأمان الافتراضية DenyAllInbound ، فلا يلزم وجود قاعدة إضافية لمجموعات أمان تطبيق AsgLogic أو AsgDb .
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 100 | الإنترنت | * | AsgWeb | 80 | TCP | السماح |
رفض جميع قواعد البيانات
نظراً لأن قاعدة الأمان الافتراضية AllowVNetInBound تسمح بكافة الاتصالات بين الموارد في نفس الشبكة الظاهرية، فإن هذه القاعدة مطلوبة لرفض نسبة استخدام الشبكة من كافة الموارد.
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | أي | الرفض |
السماح بقاعدة بيانات-BusinessLogic
تسمح هذه القاعدة بحركة المرور من مجموعة أمان تطبيق AsgLogic إلى مجموعة أمان تطبيق AsgDb. الأولوية لهذه القاعدة أعلى من أولوية قاعدة Deny-Database-All. ونتيجة لذلك، تتم معالجة هذه القاعدة قبل قاعدة Deny-Database-All، بحيث يسمح بنسبة استخدام الشبكة من مجموعة أمان تطبيق AsgLogic بينما يتم حظر جميع نسب استخدام الشبكة الأخرى.
| أولوية | المصدر | منافذ المصدر | الوجهة | منافذ الوجهة | البروتوكول | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | السماح |
تطبق واجهات الشبكة الأعضاء في مجموعة أمان التطبيق القواعد التي تحددها كمصدر أو وجهة. لا تؤثر القواعد على واجهات الشبكة الأخرى. إذا لم تكن واجهة الشبكة عضوا في مجموعة أمان التطبيقات، فلن يتم تطبيق القاعدة على واجهة الشبكة، على الرغم من أن مجموعة أمان الشبكة مقترنة بالشبكة الفرعية.
مجموعات أمان التطبيقات لها القيود التالية:
هناك حدود لعدد مجموعات أمان التطبيقات التي يمكن أن يكون لديك في اشتراك، وحدود أخرى تتعلق بمجموعات أمان التطبيقات. للحصول على التفاصيل، راجع حدود Azure.
يجب أن تكون جميع واجهات الشبكة المعينة إلى مجموعة أمان التطبيق موجودة في الشبكة الظاهرية نفسها التي توجد بها واجهة الشبكة الأولى المعينة إلى مجموعة أمان التطبيقات. على سبيل المثال، إذا كانت واجهة الشبكة الأولى المعينة إلى مجموعة أمان التطبيقات المسمَّى AsgWeb موجودة في شبكة الاتصال الظاهرية المسماة VNet1، يجب أن توجد جميع واجهات الشبكة اللاحقة المعينة إلى ASGWeb في VNet1. لا يمكنك إضافة واجهات شبكة اتصال من شبكات ظاهرية مختلفة إلى نفس مجموعة أمان التطبيق.
إذا قمت بتحديد مجموعة أمان تطبيق كمصدر وجهة في قاعدة أمان، يجب أن تكون واجهات الشبكة في مجموعتي أمان التطبيق موجودة في الشبكة الظاهرية نفسها.
- مثال على ذلك هو إذا كان لدى AsgLogic واجهات شبكة من VNet1 وكان لدى AsgDb واجهات شبكة من VNet2. في هذه الحالة، سيكون من المستحيل تعيين AsgLogic كمصدر وAsgDb كوجهة في قاعدة. تحتاج جميع واجهات شبكة الاتصال لكل من مجموعة أمان التطبيقات المورّد والوجهة إلى الوجود في نفس الشبكة الظاهرية.
تلميح
لتقليل عدد قواعد الأمان التي تحتاجها والحاجة إلى تغيير القواعد، خطط لمجموعات أمان التطبيقات التي تحتاجها ثم أنشئ قواعد باستخدام علامات الخدمة أو مجموعات أمان التطبيقات بدلًا من عناوين IP الفردية أو نطاقات عناوين IP كلما أمكن ذلك.
الخطوات التالية
- تعرّف على كيفية إنشاء مجموعة أمان شبكة.