Группы безопасности приложений
Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную. Платформа сама обрабатывает явные IP-адреса и множество наборов правил, позволяя вам сосредоточиться на бизнес-логике. Чтобы лучше понять группы безопасности приложений, рассмотрим следующий пример:
На предыдущем рисунке NIC1 и NIC2 — это члены группы безопасности приложений AsgWeb. NIC3 — это член группы безопасности приложений AsgLogic. NIC4 — это член группы безопасности приложений AsgDb. Несмотря на то что в этом примере каждый сетевой интерфейс является членом только одной группы безопасности сети, он может быть членом нескольких групп безопасности приложений в соответствии с ограничениями Azure. Ни один из сетевых интерфейсов не имеет связанных групп безопасности сети. NSG1 связана с обеими подсетями и содержит следующие правила.
Allow-HTTP-Inbound-Internet
Это правило требуется для разрешения трафика из Интернета на веб-серверы. Так как входящий трафик из Интернета запрещен правилом безопасности по умолчанию DenyAllInbound, для групп безопасности приложений AsgLogic или AsgDb дополнительных правил не требуется.
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Access |
|---|---|---|---|---|---|---|
| 100 | Интернет | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Так как правило безопасности по умолчанию AllowVNetInBound разрешает весь обмен данными между ресурсами в одной и той же виртуальной сети, это правило необходимо для запрета трафика из всех ресурсов.
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Любой | Запрет |
Allow-Database-BusinessLogic
Это правило разрешает трафик из группы безопасности приложений AsgLogic в группу безопасности приложений AsgDb. Приоритет для этого правила выше, чем приоритет правила Deny-Database-All. Таким образом, это правило обрабатывается до правила Deny-Database-All, поэтому трафик из группы безопасности приложений AsgLogic разрешен, тогда как весь остальной трафик запрещен.
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Правила, определяющие группу безопасности приложений в качестве источника или назначения, применяются только к сетевым интерфейсам, которые входят в ее состав. Если сетевой интерфейс не является членом группы безопасности приложений, правило не применяется к нему, несмотря на то, что группа безопасности сети связана с подсетью.
Группы безопасности приложений имеют следующие ограничения:
- Есть ограничения на количество групп безопасности приложений в подписке, а также другие ограничения, связанные с группами безопасности приложений. Дополнительные сведения см. в разделе Ограничения сети.
- Все сетевые интерфейсы, назначенные группе безопасности приложений, должны существовать в той же виртуальной сети, где размещался первый сетевой интерфейс, назначенный этой группе безопасности приложений. Например, если группе безопасности приложений был первым назначен сетевой интерфейс с именем AsgWeb в виртуальной сети VNet1, все остальные сетевые интерфейсы, назначаемые ASGWeb, должны существовать в VNet1. Невозможно добавить сетевые интерфейсы из разных виртуальных сетей в одну группу безопасности приложения.
- При указании группы безопасности приложений в качестве источника и назначения в правиле безопасности сетевые интерфейсы в обеих группах безопасности приложения должны существовать в одной виртуальной сети. Например, если AsgLogic содержит сетевые интерфейсы из VNet1, а AsgDb — сетевые интерфейсы из VNet2, вы не сможете назначить AsgLogic в качестве источника и AsgDb в качестве назначения в правиле. Все сетевые интерфейсы для групп безопасности приложений источника и назначения должны существовать в одной и той же виртуальной сети.
Совет
Чтобы свести к минимуму количество требуемых правил безопасности и необходимость изменять правила, составьте план необходимых групп безопасности приложений и создайте правила, по возможности используя теги служб или группы безопасности приложений вместо отдельных IP-адресов или диапазонов IP-адресов.
Дальнейшие действия
- Узнайте, как создать группу безопасности сети.