Alkalmazásbiztonsági csoportok implementálása

  • 4 perc

Alkalmazásbiztonsági csoportokat implementálhat az Azure-beli virtuális hálózatban, hogy logikailag csoportosítsa a virtuális gépeket számítási feladatok szerint. Ezután meghatározhatja a hálózati biztonsági csoport szabályait az alkalmazásbiztonsági csoportok alapján.

Tudnivalók az alkalmazásbiztonsági csoportok használatáról

Az alkalmazásbiztonsági csoportok ugyanúgy működnek, mint a hálózati biztonsági csoportok, de alkalmazásközpontú módot biztosítanak az infrastruktúra megtekintésére. Csatlakozik a virtuális gépekhez egy alkalmazásbiztonsági csoporthoz. Ezután az alkalmazásbiztonsági csoportot használja forrásként vagy célként a hálózati biztonsági csoport szabályaiban.

Vizsgáljuk meg, hogyan implementálhat alkalmazásbiztonsági csoportokat egy online kereskedő konfigurációjának létrehozásával. Példaforgatókönyvünkben az alkalmazásbiztonsági csoportok virtuális gépei felé irányuló hálózati forgalmat kell szabályoznunk.

Diagram that shows how application security groups combine with network security groups to protect applications.

Forgatókönyv követelményei

Példakonfigurációnk forgatókönyvkövetelményei:

  • A konfigurációnkban hat virtuális gépünk van két webkiszolgálóval és két adatbázis-kiszolgálóval.
  • Az ügyfelek hozzáférhetnek a webkiszolgálóinkon üzemeltetett online katalógushoz.
  • A webkiszolgálóknak elérhetőnek kell lenniük az internetről a 80-s HTTP-porton és a 443-as HTTPS-porton keresztül.
  • A leltáradatok az adatbázis-kiszolgálókon lesznek tárolva.
  • Az adatbázis-kiszolgálóknak elérhetőnek kell lenniük az 1433-at futtató HTTPS-porton keresztül.
  • Csak a webkiszolgálóink férhetnek hozzá az adatbázis-kiszolgálóinkhoz.

Megoldás

A forgatókönyvünkhöz a következő konfigurációt kell létrehoznunk:

  1. Alkalmazásbiztonsági csoportok létrehozása a virtuális gépekhez.

    1. Hozzon létre egy alkalmazásbiztonsági csoportot WebASG a webkiszolgáló-gépek csoportosításához.

    2. Hozzon létre egy alkalmazásbiztonsági csoportot DBASG az adatbázis-kiszolgáló gépek csoportosításához.

  2. Rendelje hozzá a virtuális gépek hálózati adaptereit.

    • Minden virtuálisgép-kiszolgálóhoz rendelje hozzá a hálózati adaptert a megfelelő alkalmazásbiztonsági csoporthoz.

  3. Hozza létre a hálózati biztonsági csoportot és a biztonsági szabályokat.

    • 1. szabály: Állítsa a prioritást 100-ra. Hozzáférés engedélyezése az internetről a csoport gépeihez a WebASG HTTP-port 80-ból és a HTTPS-port 443-ból.

      Az 1. szabály a legalacsonyabb prioritási értékkel rendelkezik, így elsőbbséget élvez a csoport többi szabályával szemben. Az online katalógushoz való ügyfélhozzáférés a tervezésünk során kiemelt fontosságú.

    • 2. szabály: Állítsa a prioritást 110-re. Hozzáférés engedélyezése a WebASG csoport gépeitől a DBASG csoport 1433-ás HTTPS-porton keresztüli gépeihez.

    • 3. szabály: Állítsa a prioritást 120-ra. Tiltsa le az (X) hozzáférést bárhonnan a csoport gépeihez az DBASG 1433-at futtató HTTPS-porton keresztül.

      A 2. szabály és a 3. szabály kombinációja biztosítja, hogy csak a webkiszolgálóink férhessenek hozzá adatbázis-kiszolgálóinkhoz. Ez a biztonsági konfiguráció védi a leltáradatbázisokat a külső támadásoktól.

Az alkalmazásbiztonsági csoportok használatakor megfontolandó szempontok

Az alkalmazásbiztonsági csoportok virtuális hálózatokban való implementálásának számos előnye van.

  • Fontolja meg az IP-címek karbantartását. Ha alkalmazásbiztonsági csoportok használatával szabályozza a hálózati forgalmat, nem kell konfigurálnia a bejövő és kimenő forgalmat adott IP-címekhez. Ha sok virtuális gép van a konfigurációban, nehéz lehet az összes érintett IP-cím megadása. A konfiguráció fenntartása során a kiszolgálók száma változhat. Ezekhez a módosításokhoz módosítania kell, hogyan támogatja a különböző IP-címeket a biztonsági szabályokban.

  • Ne vegye figyelembe az alhálózatokat. A virtuális gépek alkalmazásbiztonsági csoportokba való rendezésével nem kell a kiszolgálókat adott alhálózatok között is elosztania. A kiszolgálókat alkalmazás és cél szerint rendezheti el a logikai csoportosítások érdekében.

  • Fontolja meg az egyszerűsített szabályokat. Az alkalmazásbiztonsági csoportok segítenek kiküszöbölni több szabálykészlet szükségességét. Nem kell külön szabályt létrehoznia minden egyes virtuális géphez. A kijelölt alkalmazásbiztonsági csoportokra dinamikusan alkalmazhat új szabályokat. A rendszer automatikusan alkalmazza az új biztonsági szabályokat a megadott alkalmazásbiztonsági csoport összes virtuális gépére.

  • Fontolja meg a számítási feladatok támogatását. Az alkalmazásbiztonsági csoportokat megvalósító konfiguráció könnyen karbantartható és érthető, mivel a szervezet a számítási feladatok használatán alapul. Az alkalmazásbiztonsági csoportok logikai elrendezéseket biztosítanak az alkalmazásokhoz, szolgáltatásokhoz, adattároláshoz és számítási feladatokhoz.