Implementación de grupos de seguridad de aplicaciones

  • 6 minutos

Puede implementar grupos de seguridad de aplicaciones (ASG) en la red virtual de Azure para agrupar lógicamente las máquinas virtuales por carga de trabajo. Después, puede definir las reglas del grupo de seguridad de red en función de los grupos de seguridad de aplicaciones.

Aspectos que se deben saber sobre el uso de grupos de seguridad de aplicaciones

Los grupos de seguridad de aplicaciones funcionan de la misma manera que los grupos de seguridad de red, pero proporcionan una manera centrada en la aplicación de examinar la infraestructura. Las máquinas virtuales se unen a un grupo de seguridad de aplicaciones. A continuación, use el grupo de seguridad de aplicaciones como origen o destino en las reglas del grupo de seguridad de red.

Vamos a examinar cómo implementar grupos de seguridad de aplicaciones mediante la creación de una configuración para un minorista en línea. En nuestro escenario de ejemplo, es necesario controlar el tráfico de red a las máquinas virtuales en los grupos de seguridad de aplicaciones.

Diagrama que muestra cómo se combinan los grupos de seguridad de aplicaciones con grupos de seguridad de red para proteger las aplicaciones.

Requisitos del escenario

Estos son los requisitos del escenario para nuestra configuración de ejemplo:

  • En este escenario, hay dos niveles: servidores web y servidores de aplicaciones.
  • Los servidores web controlan el tráfico HTTP y HTTPS de Internet.
  • Los servidores de aplicaciones procesan solicitudes SQL desde los servidores web.

Solución

Para nuestro escenario, es necesario crear la siguiente configuración:

  1. Cree grupos de seguridad de aplicaciones para cada nivel.

  2. Para cada servidor de máquina virtual, asigne su interfaz de red al grupo de seguridad de aplicaciones adecuado.

  3. Cree un grupo de seguridad de red y reglas de seguridad.

    • Regla 1: Establezca Prioridad en 100. Permitir el acceso desde Internet a las máquinas de servidores web desde el puerto HTTP 80 y el puerto HTTPS 443.

      La regla 1 tiene el valor de prioridad más bajo, por lo que tiene prioridad sobre las demás reglas del grupo. El acceso de los clientes a nuestro catálogo en línea es primordial en nuestro diseño.

    • Regla 2: Establezca Prioridad en 110. Permitir el acceso desde los servidores web a los servidores de aplicaciones a través del puerto HTTPS 1433.

    • Regla 3: Establezca Prioridad en 120. Deniegue el acceso desde cualquier lugar a las máquinas del servidor de aplicaciones a través del puerto HTTPS 1433.

      La combinación de la Regla 2 y la Regla 3 garantiza que solo nuestros servidores web puedan acceder a nuestros servidores de bases de datos. Esta configuración de seguridad protege nuestras bases de datos de inventario frente a ataques externos.

Cosas que hay que tener en cuenta al usar grupos de seguridad de aplicaciones

Hay varias ventajas al implementar grupos de seguridad de aplicaciones en las redes virtuales.

  • Considere la posibilidad de mantenimiento de direcciones IP. Al controlar el tráfico de red mediante grupos de seguridad de aplicaciones, no es necesario configurar el tráfico entrante y saliente para direcciones IP específicas. Si tiene muchas máquinas virtuales en la configuración, puede ser difícil especificar todas las direcciones IP afectadas. A medida que mantiene la configuración, el número de servidores puede cambiar. Estos cambios pueden requerir que modifique cómo se admiten diferentes direcciones IP en las reglas de seguridad.

  • Considere la posibilidad de no usar subredes. Al organizar las máquinas virtuales en grupos de seguridad de aplicaciones, no es necesario distribuir también los servidores entre subredes específicas. Puede organizar los servidores por aplicación y propósito para lograr agrupaciones lógicas.

  • Considere las reglas simplificadas. Los grupos de seguridad de aplicaciones ayudan a eliminar la necesidad de varios conjuntos de reglas. No tiene que crear una regla independiente para cada máquina virtual. Puede aplicar dinámicamente nuevas reglas a los grupos de seguridad de aplicaciones designados. Las nuevas reglas de seguridad se aplican automáticamente a todas las máquinas virtuales del grupo de seguridad de aplicaciones especificado.

  • Considere el soporte de cargas de trabajo. Una configuración que implementa grupos de seguridad de aplicaciones es fácil de mantener y comprender porque la organización se basa en el uso de la carga de trabajo. Los grupos de seguridad de aplicaciones proporcionan organizaciones lógicas para las aplicaciones, los servicios, el almacenamiento de datos y las cargas de trabajo.

  • Considere la posibilidad de usar etiquetas de servicio. Las etiquetas de servicio representan un grupo de prefijos de dirección IP de un servicio de Azure específico. Ayudan a minimizar la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red. Aunque las etiquetas de servicio se usan para simplificar la administración de direcciones IP para los servicios de Azure, los ASG se usan para agrupar máquinas virtuales y administrar directivas de seguridad de red basadas en esos grupos.