Kelompok keamanan aplikasi
Grup keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, sehingga Anda dapat mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Platform ini menangani kompleksitas alamat IP eksplisit dan beberapa set aturan, sehingga memungkinkan Anda untuk fokus pada logika bisnis Anda. Untuk lebih memahami kelompok keamanan aplikasi, pertimbangkan contoh berikut:
Pada gambar sebelumnya, NIC1 dan NIC2 adalah anggota kelompok keamanan aplikasi AsgWeb. NIC3 adalah anggota kelompok keamanan aplikasi AsgLogic. NIC4 adalah anggota kelompok keamanan aplikasi AsgDb. Meskipun setiap antarmuka jaringan (NIC) dalam contoh ini adalah anggota hanya dari satu kelompok keamanan aplikasi, antarmuka jaringan dapat menjadi anggota beberapa kelompok keamanan aplikasi, hingga batas Azure. Tak satu pun dari antarmuka jaringan memiliki kelompok keamanan jaringan terkait. NSG1 terkait dengan subnet dan berisi aturan berikut:
Allow-HTTP-Inbound-Internet
Aturan ini diperlukan untuk mengizinkan lalu lintas dari internet ke server web. Karena lalu lintas masuk dari internet ditolak oleh aturan keamanan default DenyAllInbound , tidak ada aturan tambahan yang diperlukan untuk kelompok keamanan aplikasi AsgLogic atau AsgDb .
| Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Izinkan |
Deny-Database-All
Karena aturan keamanan default AllowVNetInBound mengizinkan semua komunikasi antara sumber daya dalam jaringan virtual yang sama, aturan Deny-Database-All diperlukan untuk menolak lalu lintas dari semua sumber daya.
| Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Apa pun | Tolak |
Allow-Database-BusinessLogic
Aturan ini memungkinkan lalu lintas dari kelompok keamanan aplikasi AsgLogic ke kelompok keamanan aplikasi AsgDb. Prioritas untuk aturan ini lebih tinggi daripada prioritas untuk aturan Deny-Database-All. Akibatnya, aturan ini diproses sebelum aturan Deny-Database-All, sehingga lalu lintas dari kelompok keamanan aplikasi AsgLogic diizinkan, sedangkan semua lalu lintas lainnya diblokir.
| Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Izinkan |
Antarmuka jaringan yang merupakan anggota kelompok keamanan aplikasi menerapkan aturan yang menentukannya sebagai sumber atau tujuan. Aturan tidak memengaruhi antarmuka jaringan lainnya. Jika antarmuka jaringan bukan anggota grup keamanan aplikasi, aturan tidak diterapkan ke antarmuka jaringan, meskipun kelompok keamanan jaringan dikaitkan dengan subnet.
Kelompok keamanan aplikasi memiliki batasan berikut:
Ada batasan jumlah grup keamanan aplikasi yang dapat Anda miliki dalam langganan, dan batasan lain yang terkait dengan kelompok keamanan aplikasi. Untuk detailnya, lihat Batas Azure.
Semua antarmuka jaringan yang ditetapkan ke kelompok keamanan aplikasi harus berada di jaringan virtual yang sama dengan antarmuka jaringan pertama yang ditugaskan ke kelompok keamanan aplikasi di dalamnya. Misalnya, jika antarmuka jaringan pertama yang ditetapkan ke kelompok keamanan aplikasi bernama AsgWeb berada di jaringan virtual bernama VNet1, maka semua antarmuka jaringan berikutnya yang ditetapkan ke ASGWeb harus berada di VNet1. Anda tidak dapat menambahkan antarmuka jaringan dari jaringan virtual yang berbeda ke grup keamanan aplikasi yang sama.
Jika Anda menentukan kelompok keamanan aplikasi sebagai sumber dan tujuan dalam aturan keamanan, antarmuka jaringan di kedua kelompok keamanan aplikasi harus ada di jaringan virtual yang sama.
- Contohnya adalah jika AsgLogic memiliki antarmuka jaringan dari VNet1 dan AsgDb memiliki antarmuka jaringan dari VNet2. Dalam hal ini, tidak mungkin untuk menetapkan AsgLogic sebagai sumber dan AsgDb sebagai tujuan dalam aturan. Semua antarmuka jaringan untuk kelompok keamanan aplikasi sumber dan tujuan harus berada di jaringan virtual yang sama.
Tip
Untuk meminimalkan jumlah aturan keamanan yang Anda butuhkan, dan kebutuhan untuk mengubah aturan, rencanakan kelompok keamanan aplikasi yang Anda butuhkan dan buat aturan menggunakan tag layanan atau kelompok keamanan aplikasi, bukan alamat IP tersendiri, atau rentang alamat IP, jika memungkinkan.
Langkah berikutnya
- Pelajari cara Membuat kelompok keamanan jaringan.