Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendungssicherheitsgruppen in Azure Virtual Network ermöglichen es Ihnen, die Netzwerksicherheit als natürliche Erweiterung der Struktur einer Anwendung zu konfigurieren, sodass Sie virtuelle Computer gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen definieren können. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können. Das folgende Beispiel bietet Ihnen ein besseres Verständnis von Anwendungssicherheitsgruppen:
In der Abbildung oben sind NIC1 und NIC2 Mitglieder der Anwendungssicherheitsgruppe AsgWeb. NIC3 ist ein Mitglied der Anwendungssicherheitsgruppe AsgLogic. NIC4 ist ein Mitglied der Anwendungssicherheitsgruppe AsgDb. Obwohl jede Netzwerkschnittstelle (Network Interface, NIC) in diesem Beispiel nur Mitglied einer Anwendungssicherheitsgruppe ist, kann eine Netzwerkschnittstelle Mitglied mehrerer Anwendungssicherheitsgruppen sein, bis zu den Azure-Grenzwerten. Keiner der Netzwerkschnittstellen ist eine Netzwerksicherheitsgruppe zugeordnet. NSG1 ist beiden Subnetzen zugeordnet und enthält die folgenden Regeln:
Allow-HTTP-Inbound-Internet
Diese Regel ist erforderlich, um Datenverkehr aus dem Internet an die Webserver zuzulassen. Da eingehender Datenverkehr aus dem Internet durch die Standardsicherheitsregel DenyAllInbound verweigert wird, ist keine zusätzliche Regel für die Anwendungssicherheitsgruppen AsgLogic oder AsgDb erforderlich.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Da die Standardsicherheitsregel AllowVNetInBound die gesamte Kommunikation zwischen Ressourcen im selben virtuellen Netzwerk zulässt, benötigen Sie diese Regel, um den Datenverkehr von allen Ressourcen zu verweigern.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
Diese Regel lässt Datenverkehr von der Anwendungssicherheitsgruppe AsgLogic zur Anwendungssicherheitsgruppe AsgDb zu. Die Priorität für diese Regel ist höher als die Priorität für die Regel Deny-Database-All. Daher wird diese Regel vor der Regel Deny-Database-All verarbeitet, sodass Datenverkehr von den Anwendungssicherheitsgruppen AsgLogic zulässig ist, während der andere Datenverkehr blockiert wird.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Netzwerkschnittstellen, die Mitglieder der Anwendungssicherheitsgruppe sind, wenden die Netzwerksicherheitsgruppenregeln an, die sie als Quelle oder Ziel angeben. Die Netzwerksicherheitsgruppenregeln wirken sich nicht auf andere Netzwerkschnittstellen aus. Wenn die Netzwerkschnittstelle kein Mitglied einer Anwendungssicherheitsgruppe ist, gilt die Regel nicht für die Netzwerkschnittstelle, obwohl die Netzwerksicherheitsgruppe dem Subnetz zugeordnet ist.
Constraints
Für Anwendungssicherheitsgruppen gelten folgende Einschränkungen:
Es gibt Grenzwerte für die Anzahl von Anwendungssicherheitsgruppen, die Sie in einem Abonnement haben können, und andere Grenzwerte in Bezug auf Anwendungssicherheitsgruppen. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Alle Einer Anwendungssicherheitsgruppe zugewiesenen Netzwerkschnittstellen müssen in demselben virtuellen Netzwerk vorhanden sein, in dem die erste Netzwerkschnittstelle vorhanden ist, die der Anwendungssicherheitsgruppe zugewiesen ist. Wenn sich die erste Netzwerkschnittstelle, die einer Anwendungssicherheitsgruppe mit dem Namen AsgWeb zugewiesen ist, im virtuellen Netzwerk VNet1 befindet, müssen alle nachfolgenden Netzwerkschnittstellen, die ASGWeb zugewiesen werden, in VNet1 enthalten sein. Sie können der gleichen Anwendungssicherheitsgruppe keine Netzwerkschnittstellen aus verschiedenen virtuellen Netzwerken hinzufügen.
Wenn Sie eine Anwendungssicherheitsgruppe als Quelle und Ziel in einer Netzwerksicherheitsgruppenregel angeben, müssen die Netzwerkschnittstellen in beiden Anwendungssicherheitsgruppen im selben virtuellen Netzwerk vorhanden sein.
- Beispielsweise enthält AsgLogic Netzwerkschnittstellen von VNet1 und AsgDb Netzwerkschnittstellen von VNet2. In diesem Fall wäre es unmöglich, AsgLogic als Quelle und AsgDb als Ziel in derselben Netzwerksicherheitsgruppenregel zuzuweisen. Alle Netzwerkschnittstellen für die Sicherheitsgruppen der Quell- und Zielanwendung müssen im selben virtuellen Netzwerk vorhanden sein.
Tip
Um die Anzahl der benötigten Sicherheitsregeln zu minimieren, planen Sie Ihre erforderlichen Anwendungssicherheitsgruppen. Erstellen Sie Regeln mithilfe von Diensttags oder Anwendungssicherheitsgruppen anstelle einzelner IP-Adressen oder Bereiche von IP-Adressen, wenn möglich.