Implementare gruppi di sicurezza delle applicazioni

  • 6 minuti

È possibile implementare gruppi di sicurezza delle applicazioni nella rete virtuale di Azure per raggruppare logicamente le macchine virtuali in base al carico di lavoro. È quindi possibile definire le regole del gruppo di sicurezza di rete in base ai gruppi di sicurezza delle applicazioni.

Informazioni utili sull'uso dei gruppi di sicurezza delle applicazioni

I gruppi di sicurezza delle applicazioni funzionano allo stesso modo dei gruppi di sicurezza di rete, ma offrono un approccio all'infrastruttura incentrato sulle applicazioni. Le macchine virtuali vengono aggiunte a un gruppo di sicurezza delle applicazioni. Si usa quindi il gruppo di sicurezza delle applicazioni come origine o destinazione nelle regole del gruppo di sicurezza di rete.

Verrà ora illustrato come implementare i gruppi di sicurezza delle applicazioni creando una configurazione per un rivenditore online. Nello scenario di esempio è necessario controllare il traffico di rete verso le macchine virtuali nei gruppi di sicurezza delle applicazioni.

Diagramma che mostra il modo in cui i gruppi di sicurezza applicazione si combinano con i gruppi di sicurezza di rete per proteggere le applicazioni.

Annotazioni

Nel diagramma, i server applicazioni stanno gestendo le richieste al SQL Server.

Requisiti dello scenario

Ecco i requisiti dello scenario per la configurazione di esempio:

  • In questo scenario sono disponibili due livelli: server Web e server applicazioni.
  • I server Web gestiscono il traffico INTERNET HTTP e HTTPS.
  • I server applicazioni elaborano le richieste SQL dai server Web.

Soluzione

Per lo scenario, è necessario creare la configurazione seguente:

  1. Creare gruppi di sicurezza delle applicazioni per ogni livello.

  2. Per ogni server di macchine virtuali assegnare la relativa interfaccia di rete al gruppo di sicurezza delle applicazioni appropriato.

  3. Creare il gruppo di sicurezza di rete e le regole di sicurezza.

    • Regola 1: impostare Priorità su 100. Consentire l'accesso da Internet ai computer dei server Web dalla porta HTTP 80 e dalla porta HTTPS 443.

      La regola 1 ha il valore di priorità più basso, quindi ha la precedenza sulle altre regole del gruppo. L'accesso dei clienti al catalogo online è di fondamentale importanza.

    • Regola 2: impostare Priorità su 110. Consentire l'accesso dai server Web ai server applicazioni sulla porta SQL 1433.

    • Regola 3: impostare Priorità su 120. Negare l'accesso da qualsiasi posizione ai computer del server applicazioni nelle porte HTTP e HTTPS.

      La combinazione di Regola 2 e Regola 3 garantisce che solo i server Web possano accedere ai server di database. Questa configurazione di sicurezza protegge i database di inventario da attacchi esterni.

Aspetti da considerare quando si usano i gruppi di sicurezza delle applicazioni

L'implementazione dei gruppi di sicurezza delle applicazioni nelle reti virtuali offre numerosi vantaggi.

  • Gestione degli indirizzi IP. Quando si controlla il traffico di rete usando i gruppi di sicurezza delle applicazioni, non è necessario configurare il traffico in ingresso e in uscita per indirizzi IP specifici. Se nella configurazione sono presenti molte macchine virtuali, può essere difficile specificare tutti gli indirizzi IP interessati. Il numero di server della configurazione potrebbe cambiare. Queste modifiche possono richiedere di modificare il modo in cui si supportano indirizzi IP diversi nelle regole di sicurezza.

  • Nessuna subnet. Organizzando le macchine virtuali in gruppi di sicurezza delle applicazioni, non è necessario distribuire anche i server tra subnet specifiche. È possibile disporre i server in base all'applicazione e allo scopo di ottenere raggruppamenti logici.

  • Regole semplificate. I gruppi di sicurezza delle applicazioni consentono di eliminare la necessità di più set di regole. Non è necessario creare una regola separata per ogni macchina virtuale. È possibile applicare le nuove regole ai gruppi di sicurezza delle applicazioni designati in modo dinamico. Le nuove regole di sicurezza vengono applicate automaticamente a tutte le macchine virtuali nel gruppo di sicurezza delle applicazioni specificato.

  • Supporto dei carichi di lavoro. Una configurazione che implementa i gruppi di sicurezza delle applicazioni è facile da gestire e comprendere perché l'organizzazione è basata sull'utilizzo dei carichi di lavoro. I gruppi di sicurezza delle applicazioni forniscono disposizioni logiche per le applicazioni, i servizi, l'archiviazione dei dati e i carichi di lavoro.

  • Prendere in considerazione i tag di servizio. I tag di servizio rappresentano un gruppo di prefissi di indirizzi IP da un servizio di Azure specifico. Consentono di ridurre al minimo la complessità degli aggiornamenti frequenti sulle regole di sicurezza di rete. Mentre i tag di servizio vengono usati per semplificare la gestione degli indirizzi IP per i servizi di Azure, i gruppi di sicurezza di Azure vengono usati per raggruppare le macchine virtuali e gestire i criteri di sicurezza di rete in base a tali gruppi.