Implementera programsäkerhetsgrupper

  • 4 minuter

Du kan implementera programsäkerhetsgrupper i ditt virtuella Azure-nätverk för att logiskt gruppera dina virtuella datorer efter arbetsbelastning. Du kan sedan definiera reglerna för nätverkssäkerhetsgruppen baserat på dina programsäkerhetsgrupper.

Saker att veta om hur du använder programsäkerhetsgrupper

Programsäkerhetsgrupper fungerar på samma sätt som nätverkssäkerhetsgrupper, men de tillhandahåller ett programcentrerat sätt att titta på infrastrukturen. Du ansluter dina virtuella datorer till en programsäkerhetsgrupp. Sedan använder du programsäkerhetsgruppen som källa eller mål i reglerna för nätverkssäkerhetsgruppen.

Nu ska vi undersöka hur du implementerar programsäkerhetsgrupper genom att skapa en konfiguration för en onlineåterförsäljare. I vårt exempelscenario måste vi styra nätverkstrafiken till virtuella datorer i programsäkerhetsgrupper.

Diagram that shows how application security groups combine with network security groups to protect applications.

Scenariokrav

Här är scenariokraven för vår exempelkonfiguration:

  • Vi har sex virtuella datorer i vår konfiguration med två webbservrar och två databasservrar.
  • Kunder får åtkomst till onlinekatalogen som finns på våra webbservrar.
  • Webbservrarna måste vara tillgängliga från Internet via HTTP-port 80 och HTTPS-port 443.
  • Inventeringsinformation lagras på våra databasservrar.
  • Databasservrarna måste vara tillgängliga via HTTPS-port 1433.
  • Endast våra webbservrar ska ha åtkomst till våra databasservrar.

Lösning

I vårt scenario måste vi skapa följande konfiguration:

  1. Skapa programsäkerhetsgrupper för de virtuella datorerna.

    1. Skapa en programsäkerhetsgrupp med namnet WebASG för att gruppera våra webbserverdatorer.

    2. Skapa en programsäkerhetsgrupp med namnet DBASG för att gruppera våra databasserverdatorer.

  2. Tilldela nätverksgränssnitten för de virtuella datorerna.

    • För varje virtuell datorserver tilldelar du dess nätverkskort till lämplig programsäkerhetsgrupp.

  3. Skapa nätverkssäkerhetsgruppen och säkerhetsreglerna.

    • Regel 1: Ange Prioritet till 100. Tillåt åtkomst från Internet till datorer i WebASG gruppen från HTTP-port 80 och HTTPS-port 443.

      Regel 1 har det lägsta prioritetsvärdet, så den har företräde framför de andra reglerna i gruppen. Kundåtkomst till vår onlinekatalog är av största vikt i vår design.

    • Regel 2: Ange Prioritet till 110. Tillåt åtkomst från datorer i WebASG gruppen till datorer i DBASG gruppen via HTTPS-port 1433.

    • Regel 3: Ange Prioritet till 120. Neka (X) åtkomst var som helst till datorer i DBASG gruppen via HTTPS-port 1433.

      Kombinationen av regel 2 och regel 3 säkerställer att endast våra webbservrar kan komma åt våra databasservrar. Den här säkerhetskonfigurationen skyddar våra inventeringsdatabaser från angrepp utifrån.

Saker att tänka på när du använder programsäkerhetsgrupper

Det finns flera fördelar med att implementera programsäkerhetsgrupper i dina virtuella nätverk.

  • Överväg underhåll av IP-adresser. När du styr nätverkstrafiken med hjälp av programsäkerhetsgrupper behöver du inte konfigurera inkommande och utgående trafik för specifika IP-adresser. Om du har många virtuella datorer i konfigurationen kan det vara svårt att ange alla berörda IP-adresser. När du underhåller konfigurationen kan antalet servrar ändras. Dessa ändringar kan kräva att du ändrar hur du stöder olika IP-adresser i dina säkerhetsregler.

  • Överväg inga undernät. Genom att organisera dina virtuella datorer i programsäkerhetsgrupper behöver du inte heller distribuera dina servrar över specifika undernät. Du kan ordna servrarna efter program och syfte för att uppnå logiska grupperingar.

  • Överväg förenklade regler. Programsäkerhetsgrupper hjälper till att eliminera behovet av flera regeluppsättningar. Du behöver inte skapa en separat regel för varje virtuell dator. Du kan tillämpa nya regler dynamiskt på utsedda programsäkerhetsgrupper. Nya säkerhetsregler tillämpas automatiskt på alla virtuella datorer i den angivna programsäkerhetsgruppen.

  • Överväg arbetsbelastningsstöd. En konfiguration som implementerar programsäkerhetsgrupper är lätt att underhålla och förstå eftersom organisationen baseras på arbetsbelastningsanvändning. Programsäkerhetsgrupper tillhandahåller logiska arrangemang för dina program, tjänster, datalagring och arbetsbelastningar.