Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Grupy zabezpieczeń aplikacji w usłudze Azure Virtual Network umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Platforma obsługuje złożoność jawnych adresów IP i wiele zestawów reguł, co pozwala skupić się na logice biznesowej. Aby lepiej zrozumieć grupy zabezpieczeń aplikacji, rozważmy następujący przykład:
Na poprzedniej ilustracji interfejsy sieciowe NIC1 i NIC2 są elementami członkowskimi grupy zabezpieczeń aplikacji AsgWeb. NIC3 jest członkiem grupy bezpieczeństwa aplikacji AsgLogic. NIC4 jest członkiem grupy zabezpieczeń aplikacji AsgDb. Mimo że każdy interfejs sieciowy (NIC) w tym przykładzie jest członkiem tylko jednej grupy zabezpieczeń aplikacji, interfejs sieciowy może być członkiem wielu grup zabezpieczeń aplikacji, do limitów platformy Azure. Żaden z interfejsów sieciowych nie ma skojarzonej grupy zabezpieczeń sieci. Grupa NSG1 jest skojarzona z obiema podsieciami i zawiera następujące reguły:
Allow-HTTP-Inbound-Internet
Ta reguła jest potrzebna w celu zezwolenia na ruch z Internetu do serwerów internetowych. Ponieważ ruch przychodzący z Internetu jest blokowany przez domyślną regułę zabezpieczeń DenyAllInbound , nie jest wymagana dodatkowa reguła dla grup zabezpieczeń aplikacji AsgLogic lub AsgDb .
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Ponieważ domyślna reguła zabezpieczeń AllowVNetInBound zezwala na komunikację między zasobami w tej samej sieci wirtualnej, ta reguła wymaga odmowy ruchu ze wszystkich zasobów.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
Ta reguła zezwala na ruch z grupy zabezpieczeń aplikacji AsgLogic do grupy zabezpieczeń aplikacji AsgDb. Priorytet tej reguły jest wyższy niż priorytet reguły Deny-Database-All. W rezultacie ta reguła jest przetwarzana przed regułą Deny-Database-All, a więc ruch z grupy zabezpieczeń aplikacji AsgLogic jest dozwolony, natomiast cały pozostały ruch jest blokowany.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Interfejsy sieciowe należące do grupy zabezpieczeń aplikacji stosują reguły sieciowej grupy zabezpieczeń, które określają je jako źródło lub miejsce docelowe. Reguły sieciowej grupy zabezpieczeń nie mają wpływu na inne interfejsy sieciowe. Jeśli interfejs sieciowy nie jest członkiem grupy zabezpieczeń aplikacji, reguła nie ma zastosowania do interfejsu sieciowego, mimo że sieciowa grupa zabezpieczeń jest skojarzona z podsiecią.
Constraints
Grupy zabezpieczeń aplikacji mają następujące ograniczenia:
Istnieją ograniczenia liczby grup zabezpieczeń aplikacji, które można mieć w subskrypcji, oraz inne limity związane z grupami zabezpieczeń aplikacji. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Wszystkie interfejsy sieciowe przypisane do grupy zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej, w której znajduje się pierwszy interfejs sieciowy przypisany do grupy zabezpieczeń aplikacji. Na przykład jeśli pierwszy interfejs sieciowy przypisany do grupy zabezpieczeń aplikacji o nazwie AsgWeb istnieje w sieci wirtualnej o nazwie VNet1, wszystkie kolejne interfejsy sieciowe przypisane do grupy AsgWeb muszą istnieć w sieci VNet1. Nie można dodawać interfejsów sieciowych z różnych sieci wirtualnych do tej samej grupy zabezpieczeń aplikacji.
Jeśli określisz grupę zabezpieczeń aplikacji jako źródło i miejsce docelowe w regule sieciowej grupy zabezpieczeń, interfejsy sieciowe w obu grupach zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej.
- Na przykład usługa AsgLogic zawiera interfejsy sieciowe z sieci VNet1 i AsgDb zawiera interfejsy sieciowe z sieci VNet2. W tym przypadku nie można przypisać AsgLogic jako źródła i AsgDb jako miejsca docelowego w tej samej regule grupy zabezpieczeń sieciowych. Wszystkie interfejsy sieciowe dla źródłowych i docelowych grup zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej.
Tip
Aby zminimalizować wymaganą liczbę reguł zabezpieczeń, zaplanuj wymagane grupy zabezpieczeń aplikacji. Utwórz reguły przy użyciu tagów usługi lub grup zabezpieczeń aplikacji, a nie poszczególnych adresów IP lub zakresów adresów IP, jeśli to możliwe.
Next steps
- Dowiedz się, jak utworzyć sieciową grupę zabezpieczeń.