Grupos de segurança do aplicativo

Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. A plataforma lida com a complexidade de endereços IP explícitos e vários conjuntos de regras, permitindo que você se concentre na sua lógica de negócios. Para entender melhor os grupos de segurança de aplicativo, considere o exemplo abaixo:

Diagrama de Aplicativos de grupos de segurança.

Na figura anterior, NIC1 e NIC2 são membros do grupo de segurança de aplicativo AsgWeb. NIC3 é um membro do grupo de segurança de aplicativo AsgLogic. NIC4 é um membro do grupo de segurança de aplicativo AsgDb. Embora cada interface de rede (NIC) neste exemplo seja membro de apenas um grupo de segurança de rede, uma interface de rede pode ser membro de vários grupos de segurança de aplicativos, até os limites do Azure. Nenhum dos adaptadores de rede tem um grupo de segurança de rede associado. NSG1 está associado a ambas as sub-redes e contém as seguintes regras:

Allow-HTTP-Inbound-Internet

Essa regra é necessária para permitir o tráfego da Internet para os servidores Web. Como o tráfego de entrada da Internet é negado pela regra de segurança padrão DenyAllInbound, nenhuma regra extra é necessária para os grupos de segurança de aplicativosAsgLogic ou AsgDb.

Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
100 Internet * AsgWeb 80 TCP Allow

Deny-Database-All

Já que a regra de segurança padrão AllowVNetInBound permite toda a comunicação entre recursos na mesma rede virtual, essa regra é necessária para negar o tráfego de todos os recursos.

Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
120 * * AsgDb 1433 Qualquer Negar

Allow-Database-BusinessLogic

Essa regra permite o tráfego do grupo de segurança de aplicativo AsgLogic para o grupo de segurança de aplicativo AsgDb. A prioridade para essa regra é mais alta do que a prioridade para a regra Deny-Database-All. Como resultado, essa regra é processada antes da regra Deny-Database-All e, portanto, o tráfego do grupo de segurança de aplicativo AsgLogic é permitido enquanto todos os outros tráfegos são bloqueados.

Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
110 AsgLogic * AsgDb 1433 TCP Allow

As interfaces de rede membros do grupo de segurança do aplicativo aplicam as regras que as especificam como origem ou destino. As regras não afetam outros adaptadores de rede. Se a interface de rede não for membro de um grupo de segurança de aplicativos, a regra não será aplicada à interface de rede, mesmo que o grupo de segurança de rede esteja associado à sub-rede.

Os grupos de segurança do aplicativo têm as seguintes restrições:

  • Há limites para o número de grupos de segurança de aplicativos que você pode ter em uma assinatura e outros limites relacionados aos grupos de segurança de aplicativos. Para obter detalhes, confira Limites do Azure.

  • Todas as interfaces de rede atribuídas a um grupo de segurança do aplicativo precisam existir na mesma rede virtual que a primeira interface de rede atribuída ao grupo de segurança que o aplicativo está. Por exemplo, se o primeiro adaptador de rede atribuído a um grupo de segurança de aplicativo chamado AsgWeb estiver na rede virtual denominada VNet1, todos os adaptadores de rede subsequentes atribuídos a ASGWeb deverão existir na VNet1. Não é possível adicionar interfaces de rede a partir de redes virtuais diferentes ao mesmo grupo de segurança de aplicativos.

  • Se você especificar um grupo de segurança do aplicativo como a origem e o destino em uma regra de segurança, as interfaces de rede em ambos os grupos de segurança do aplicativo deverão existir na mesma rede virtual.

    • Um exemplo seria se AsgLogic tivesse interfaces de rede de VNet1 e AsgDb tivesse interfaces de rede de VNet2. Neste caso, seria impossível atribuir AsgLogic como a origem e AsgDb como o destino em uma regra. Todos os adaptadores de rede dos grupos de segurança de aplicativo de origem e de destino precisam existir na mesma rede virtual.

Dica

Para minimizar o número de regras de segurança necessárias e a necessidade de alterar as regras, planeje os grupos de segurança do aplicativo que serão necessários e crie regras usando marcas de serviço ou grupos de segurança de aplicativo em vez de endereços IP individuais ou intervalos de endereços IP, sempre que possível.

Próximas etapas