Menerapkan kelompok keamanan aplikasi

  • 4 menit

Anda dapat menerapkan grup keamanan aplikasi di jaringan virtual Azure Anda untuk mengelompokkan komputer virtual Anda secara logis berdasarkan beban kerja. Anda kemudian dapat menentukan aturan grup keamanan jaringan berdasarkan kelompok keamanan aplikasi Anda.

Hal-hal yang perlu diketahui tentang menggunakan kelompok keamanan aplikasi

Kelompok keamanan aplikasi bekerja dengan cara yang sama seperti kelompok keamanan jaringan, tetapi mereka menyediakan cara yang berdekatan dengan aplikasi untuk melihat infrastruktur Anda. Anda bergabung dengan komputer virtual Anda ke grup keamanan aplikasi. Kemudian Anda menggunakan grup keamanan aplikasi sebagai sumber atau tujuan dalam aturan kelompok keamanan jaringan.

Mari kita periksa cara menerapkan kelompok keamanan aplikasi dengan membuat konfigurasi untuk pengecer online. Dalam skenario contoh kami, kita perlu mengontrol lalu lintas jaringan ke komputer virtual dalam kelompok keamanan aplikasi.

Diagram that shows how application security groups combine with network security groups to protect applications.

Persyaratan skenario

Berikut adalah persyaratan skenario untuk konfigurasi contoh kami:

  • Kami memiliki enam komputer virtual dalam konfigurasi kami dengan dua server web dan dua server database.
  • Pelanggan mengakses katalog online yang dihosting di server web kami.
  • Server web harus dapat diakses dari internet melalui port HTTP 80 dan port HTTPS 443.
  • Informasi inventori disimpan di server database kami.
  • Server database harus dapat diakses melalui port HTTPS 1433.
  • Hanya server web kami yang harus memiliki akses ke server database kami.

Solution

Untuk skenario kami, kita perlu membangun konfigurasi berikut:

  1. Buat grup keamanan aplikasi untuk komputer virtual.

    1. Buat grup keamanan aplikasi bernama WebASG untuk mengelompokkan komputer server web kami.

    2. Buat grup keamanan aplikasi bernama DBASG untuk mengelompokkan komputer server database kami.

  2. Tetapkan antarmuka jaringan untuk komputer virtual.

    • Untuk setiap server komputer virtual, tetapkan NIC-nya ke kelompok keamanan aplikasi yang sesuai.

  3. Buat kelompok keamanan jaringan dan aturan keamanan.

    • Aturan 1: Atur Prioritas ke 100. Izinkan akses dari internet ke komputer dalam WebASG grup dari port HTTP 80 dan port HTTPS 443.

      Aturan 1 memiliki nilai prioritas terendah, sehingga lebih diutamakan daripada aturan lain dalam grup. Akses pelanggan ke katalog online kami sangat penting dalam desain kami.

    • Aturan 2: Atur Prioritas ke 110. Izinkan akses dari komputer dalam WebASG grup ke komputer dalam DBASG grup melalui port HTTPS 1433.

    • Aturan 3: Atur Prioritas ke 120. Tolak (X) akses dari mana saja ke komputer dalam DBASG grup melalui port HTTPS 1433.

      Kombinasi Aturan 2 dan Aturan 3 memastikan bahwa hanya server web kami yang dapat mengakses server database kami. Konfigurasi keamanan ini melindungi database inventori kami dari serangan luar.

Hal-hal yang perlu dipertimbangkan saat menggunakan kelompok keamanan aplikasi

Ada beberapa keuntungan untuk menerapkan kelompok keamanan aplikasi di jaringan virtual Anda.

  • Pertimbangkan pemeliharaan alamat IP. Saat Anda mengontrol lalu lintas jaringan dengan menggunakan grup keamanan aplikasi, Anda tidak perlu mengonfigurasi lalu lintas masuk dan keluar untuk alamat IP tertentu. Jika Anda memiliki banyak komputer virtual dalam konfigurasi Anda, mungkin sulit untuk menentukan semua alamat IP yang terpengaruh. Saat Anda mempertahankan konfigurasi, jumlah server Anda dapat berubah. Perubahan ini dapat mengharuskan Anda mengubah cara Anda mendukung alamat IP yang berbeda dalam aturan keamanan Anda.

  • Pertimbangkan tidak ada subnet. Dengan mengatur komputer virtual Anda ke dalam grup keamanan aplikasi, Anda tidak perlu juga mendistribusikan server Anda di seluruh subnet tertentu. Anda dapat mengatur server Anda berdasarkan aplikasi dan tujuan untuk mencapai pengelompokan logis.

  • Pertimbangkan aturan yang disederhanakan. Kelompok keamanan aplikasi membantu menghilangkan kebutuhan akan beberapa seperangkat aturan. Anda tidak perlu membuat aturan terpisah untuk setiap komputer virtual. Anda dapat menerapkan aturan baru secara dinamis ke grup keamanan aplikasi yang ditunjuk. Aturan keamanan baru secara otomatis diterapkan ke semua komputer virtual dalam kelompok keamanan aplikasi yang ditentukan.

  • Pertimbangkan dukungan beban kerja. Konfigurasi yang menerapkan kelompok keamanan aplikasi mudah dipertahankan dan dipahami karena organisasi didasarkan pada penggunaan beban kerja. Kelompok keamanan aplikasi menyediakan pengaturan logis untuk aplikasi, layanan, penyimpanan data, dan beban kerja Anda.