Toepassingsbeveiligingsgroepen
Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen. U kunt het beveiligingsbeleid op grote schaal opnieuw gebruiken zonder handmatig onderhoud van expliciete IP-adressen. Het platform verwerkt de complexiteit van expliciete IP-adressen en meerdere regelsets, zodat u zich kunt richten op uw bedrijfslogica. Kijk eens naar de volgende voorbeelden voor een beter begrip van toepassingsbeveiligingsgroepen:
In de vorige afbeelding zijn NIC1 en NIC2 leden van de toepassingsbeveiligingsgroep AsgWeb. NIC3 is een lid van de toepassingsbeveiligingsgroep AsgLogic. NIC4 is een lid van de toepassingsbeveiligingsgroep AsgDb. Hoewel elke netwerkinterface (NIC) in dit voorbeeld lid is van slechts één toepassingsbeveiligingsgroep, kan een netwerkinterface lid zijn van meerdere toepassingsbeveiligingsgroepen, tot aan de Limieten van Azure. Aan geen van de netwerkinterfaces is een netwerkbeveiligingsgroep gekoppeld. NSG1 is gekoppeld aan beide subnetten en bevat de volgende regels:
Allow-HTTP-Inbound-Internet
Deze regel is vereist om verkeer van internet naar de webservers te laten lopen. Omdat binnenkomend verkeer van internet wordt geweigerd door de standaardbeveiligingsregel DenyAllInbound , is er geen extra regel nodig voor de AsgLogic - of AsgDb-toepassingsbeveiligingsgroepen .
| Prioriteit | Bron | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Toestaan |
Deny-Database-All
De standaardbeveiligingsregel AllowVNetInBound staat communicatie toe tussen resources in hetzelfde virtuele netwerk. Daarom is deze regel vereist voor het weigeren van verkeer dat van een willekeurige resource afkomstig is.
| Prioriteit | Bron | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Alle | Weigeren |
Allow-Database-BusinessLogic
Deze regel staat verkeer toe van de toepassingsbeveiligingsgroep AsgLogic naar de toepassingsbeveiligingsgroep AsgDb. De prioriteit voor deze regel is hoger dan de prioriteit voor de regel Deny-Database-All. Als gevolg hiervan wordt deze regel verwerkt vóór de regel Deny-Database-All, zodat verkeer van de toepassingsbeveiligingsgroep AsgLogic wordt toegestaan, terwijl al het andere verkeer wordt geblokkeerd.
| Prioriteit | Bron | Bronpoorten | Doel | Doelpoorten | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Toestaan |
Netwerkinterfaces die lid zijn van de toepassingsbeveiligingsgroep passen de regels toe die deze opgeven als de bron of bestemming. De regels zijn niet van invloed op andere netwerkinterfaces. Als de netwerkinterface geen lid is van een toepassingsbeveiligingsgroep, wordt de regel niet toegepast op de netwerkinterface, ook al is de netwerkbeveiligingsgroep gekoppeld aan het subnet.
Toepassingsbeveiligingsgroepen hebben de volgende beperkingen:
Er gelden limieten voor het aantal toepassingsbeveiligingsgroepen dat u in een abonnement kunt hebben en andere limieten met betrekking tot toepassingsbeveiligingsgroepen. Zie Netwerkenlimieten voor meer informatie.
Alle netwerkinterfaces die zijn toegewezen aan een toepassingsbeveiligingsgroep, moeten zich in hetzelfde virtuele netwerk bevinden als de eerste netwerkinterface die aan de toepassingsbeveiligingsgroep is toegewezen. Bijvoorbeeld, als de eerste netwerkinterface die aan een toepassingsbeveiligingsgroep met de naam AsgWeb is toegewezen, zich in het virtuele netwerk met de naam VNet1 bevindt, moeten alle volgende netwerkinterfaces die zijn toegewezen aan AsgWeb, aanwezig zijn in VNet1. U kunt geen netwerkinterfaces van verschillende virtuele netwerken toevoegen aan dezelfde toepassingsbeveiligingsgroep.
Als u in een beveiligingsregel een toepassingsbeveiligingsgroep als bron en doel opgeeft, moeten de netwerkinterfaces in beide toepassingsbeveiligingsgroepen zich in hetzelfde virtuele netwerk bevinden.
- Een voorbeeld hiervan is als AsgLogic netwerkinterfaces had van VNet1 en AsgDb netwerkinterfaces van VNet2. In dit geval is het onmogelijk om AsgLogic toe te wijzen als de bron en AsgDb als de bestemming in een regel. Alle netwerkinterfaces voor zowel de bron- als de doeltoepassingsbeveiligingsgroepen moeten aanwezig zijn in hetzelfde virtuele netwerk.
Tip
Als u het gewenste aantal beveiligingsregels wilt verminderen en tevens het wijzigen van de regels wilt beperken, plant u de toepassingsbeveiligingsgroepen die u nodig hebt en maakt u, indien mogelijk, regels met behulp van servicetags of toepassingsbeveiligingsgroepen in plaats van afzonderlijke IP-adressen of -bereiken.
Volgende stappen
- Meer informatie over Een netwerkbeveiligingsgroep maken.