Implementowanie grup zabezpieczeń aplikacji

  • 4 min

Grupy zabezpieczeń aplikacji można zaimplementować w sieci wirtualnej platformy Azure, aby logicznie pogrupować maszyny wirtualne według obciążenia. Następnie można zdefiniować reguły sieciowej grupy zabezpieczeń na podstawie grup zabezpieczeń aplikacji.

Informacje o używaniu grup zabezpieczeń aplikacji

Grupy zabezpieczeń aplikacji działają w taki sam sposób, jak sieciowe grupy zabezpieczeń, ale zapewniają skoncentrowany na aplikacji sposób przeglądania infrastruktury. Maszyny wirtualne są przyłączone do grupy zabezpieczeń aplikacji. Następnie należy użyć grupy zabezpieczeń aplikacji jako źródła lub miejsca docelowego w regułach sieciowej grupy zabezpieczeń.

Sprawdźmy, jak zaimplementować grupy zabezpieczeń aplikacji, tworząc konfigurację dla sprzedawcy internetowego. W naszym przykładowym scenariuszu musimy kontrolować ruch sieciowy do maszyn wirtualnych w grupach zabezpieczeń aplikacji.

Diagram that shows how application security groups combine with network security groups to protect applications.

Wymagania dotyczące scenariusza

Poniżej przedstawiono wymagania dotyczące scenariusza dla naszej przykładowej konfiguracji:

  • Mamy sześć maszyn wirtualnych w naszej konfiguracji z dwoma serwerami internetowymi i dwoma serwerami baz danych.
  • Klienci uzyskują dostęp do katalogu online hostowanego na naszych serwerach internetowych.
  • Serwery internetowe muszą być dostępne z Internetu przez port HTTP 80 i HTTPS 443.
  • Informacje o spisie są przechowywane na naszych serwerach baz danych.
  • Serwery baz danych muszą być dostępne za pośrednictwem portu HTTPS 1433.
  • Tylko nasze serwery internetowe powinny mieć dostęp do naszych serwerów baz danych.

Rozwiązanie

W naszym scenariuszu musimy utworzyć następującą konfigurację:

  1. Utwórz grupy zabezpieczeń aplikacji dla maszyn wirtualnych.

    1. Utwórz grupę zabezpieczeń aplikacji o nazwie WebASG , aby zgrupować nasze maszyny serwera internetowego.

    2. Utwórz grupę zabezpieczeń aplikacji o nazwie DBASG , aby zgrupować maszyny serwera bazy danych.

  2. Przypisz interfejsy sieciowe dla maszyn wirtualnych.

    • Dla każdego serwera maszyny wirtualnej przypisz kartę sieciową do odpowiedniej grupy zabezpieczeń aplikacji.

  3. Utwórz sieciowa grupa zabezpieczeń i reguły zabezpieczeń.

    • Reguła 1. Ustaw priorytet na 100. Zezwalaj na dostęp z Internetu do maszyn w WebASG grupie z portów HTTP 80 i HTTPS 443.

      Reguła 1 ma najniższą wartość priorytetu, dlatego ma pierwszeństwo przed innymi regułami w grupie. Dostęp klienta do naszego katalogu online jest najważniejszy w naszym projekcie.

    • Reguła 2. Ustaw priorytet na 110. Zezwalaj na dostęp z maszyn w WebASG grupie do maszyn w DBASG grupie za pośrednictwem portu HTTPS 1433.

    • Reguła 3. Ustaw priorytet na 120. Odmów dostępu (X) z dowolnego miejsca do maszyn w DBASG grupie za pośrednictwem portu HTTPS 1433.

      Połączenie reguł 2 i Reguła 3 gwarantuje, że tylko nasze serwery internetowe będą mogły uzyskiwać dostęp do naszych serwerów baz danych. Ta konfiguracja zabezpieczeń chroni nasze bazy danych spisu przed atakiem zewnętrznym.

Kwestie, które należy wziąć pod uwagę podczas korzystania z grup zabezpieczeń aplikacji

Zaimplementowanie grup zabezpieczeń aplikacji w sieciach wirtualnych ma kilka zalet.

  • Rozważ konserwację adresów IP. W przypadku kontrolowania ruchu sieciowego przy użyciu grup zabezpieczeń aplikacji nie trzeba konfigurować ruchu przychodzącego i wychodzącego dla określonych adresów IP. Jeśli masz wiele maszyn wirtualnych w konfiguracji, może być trudno określić wszystkie adresy IP, których dotyczy problem. Podczas utrzymywania konfiguracji liczba serwerów może ulec zmianie. Te zmiany mogą wymagać zmodyfikowania sposobu obsługi różnych adresów IP w regułach zabezpieczeń.

  • Rozważ brak podsieci. Organizując maszyny wirtualne w grupy zabezpieczeń aplikacji, nie trzeba również dystrybuować serwerów między określone podsieci. Serwery można rozmieścić według aplikacji i celu w celu osiągnięcia grup logicznych.

  • Rozważ uproszczenie reguł. Grupy zabezpieczeń aplikacji pomagają wyeliminować potrzebę wielu zestawów reguł. Nie musisz tworzyć oddzielnej reguły dla każdej maszyny wirtualnej. Nowe reguły można dynamicznie stosować do wyznaczonych grup zabezpieczeń aplikacji. Nowe reguły zabezpieczeń są automatycznie stosowane do wszystkich maszyn wirtualnych w określonej grupie zabezpieczeń aplikacji.

  • Rozważ obsługę obciążeń. Konfiguracja, która implementuje grupy zabezpieczeń aplikacji, jest łatwa do utrzymania i zrozumienia, ponieważ organizacja jest oparta na użyciu obciążenia. Grupy zabezpieczeń aplikacji zapewniają logiczne rozwiązania dla aplikacji, usług, magazynu danych i obciążeń.