Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Sanal Ağı'ndaki uygulama güvenlik grupları, ağ güvenliğini bir uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza olanak tanıyarak sanal makineleri gruplandırmanıza ve bu gruplara göre ağ güvenlik ilkeleri tanımlamanıza olanak tanır. Açık IP adreslerinin bakımını el ile yapmanıza gerek kalmadan güvenlik ilkesini farklı ölçeklerde yeniden kullanabilirsiniz. Platform açık IP adreslerinin ve birden fazla kural kümesinin karmaşık süreçlerini üstlenerek iş mantığınıza odaklanmanızı sağlar. Uygulama güvenlik gruplarını daha iyi anlamak için aşağıdaki örneği inceleyin:
Yukarıdaki resimde NIC1 ve NIC2, AsgWeb uygulama güvenlik grubunun üyeleridir. NIC3, AsgLogic uygulama güvenlik grubunun üyesidir. NIC4, AsgDb uygulama güvenlik grubunun üyesidir. Bu örnekteki her ağ arabirimi (NIC) yalnızca bir uygulama güvenlik grubunun üyesi olsa da, ağ arabirimi Azure sınırlarına kadar birden çok uygulama güvenlik grubunun üyesi olabilir. Ağ arabirimlerinin hiçbiri bir ağ güvenlik grubuyla ilişkilendirilmemiştir. NSG1, iki alt ağ ile de ilişkilendirilmiştir ve aşağıdaki kuralları içerir:
Allow-HTTP-Inbound-Internet
Bu kural, internetten Web sunucularına gelen trafiğe izin vermek için kullanılır. İnternet'ten gelen trafik DenyAllInbound varsayılan güvenlik kuralı tarafından reddedildiğinden, AsgLogic veya AsgDb uygulama güvenlik grupları için ek kural gerekmez.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
AllowVNetInBound varsayılan güvenlik kuralı aynı sanal ağdaki kaynaklar arasındaki tüm iletişimlere izin verdiğinden, tüm kaynaklardan gelen trafiği reddetmek için bu kurala ihtiyacınız vardır.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Any | Deny |
Allow-Database-BusinessLogic
Bu kural AsgLogic uygulama güvenlik grubundan AsgDb uygulama güvenlik grubuna gelen trafiğe izin verir. Bu kuralın önceliği, Deny-Database-All kuralının önceliğinden daha yüksektir. Sonuç olarak bu kural, Deny-Database-All kuralından önce işlenir ve böylece AsgLogic uygulama güvenlik grubundan gelen trafiğe izin veriler ve diğer tüm trafik engellenir.
| Priority | Source | Source ports | Destination | Destination ports | Protocol | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Uygulama güvenlik grubunun üyesi olan ağ arabirimleri, bunu kaynak veya hedef olarak belirten ağ güvenlik grubu kurallarını uygular. Ağ güvenlik grubu kuralları diğer ağ arabirimlerini etkilemez. Ağ arabirimi bir uygulama güvenlik grubunun üyesi değilse, ağ güvenlik grubu alt ağ ile ilişkili olsa bile kural ağ arabirimine uygulanmaz.
Constraints
Uygulama güvenlik grupları aşağıdaki sınırlamalara sahiptir:
Bir abonelikte sahip olabileceğiniz uygulama güvenlik gruplarının sayısı ve uygulama güvenlik gruplarıyla ilgili diğer sınırlar vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.
Bir uygulama güvenlik grubuna atanan tüm ağ arabirimleri, uygulama güvenlik grubuna atanan ilk ağ arabiriminin bulunduğu sanal ağda bulunmalıdır. Örneğin, ilk ağ arabirimi VNet1 adlı sanal ağdaki AsgWeb adlı bir uygulama güvenlik grubuna atanmışsa ASGWeb’e atanan sonraki tüm ağ arabirimleri VNet1’de olmalıdır. Farklı sanal ağlardan ağ arabirimlerini aynı uygulama güvenlik grubuna ekleyemezsiniz.
Bir ağ güvenlik grubu kuralında kaynak ve hedef olarak bir uygulama güvenlik grubu belirtirseniz, her iki uygulama güvenlik grubundaki ağ arabirimlerinin aynı sanal ağda bulunması gerekir.
- Örneğin , AsgLogicVNet1'den ağ arabirimlerini, AsgDb ise VNet2'den ağ arabirimlerini içerir. Bu durumda, AsgLogic'i kaynak olarak, AsgDb'yi de aynı ağ güvenlik grubu kuralında hedef olarak atamak mümkün olmaz. Hem kaynak hem de hedef uygulama güvenlik grupları için tüm ağ arabirimlerinin aynı sanal ağda bulunması gerekir.
Tip
İhtiyacınız olan güvenlik kurallarının sayısını en aza indirmek için gerekli uygulama güvenlik gruplarınızı planlayın. Mümkün olduğunda, tek tek IP adresleri veya IP adresi aralıkları yerine hizmet etiketlerini veya uygulama güvenlik gruplarını kullanarak kurallar oluşturun.
Next steps
- Bir ağ güvenlik grubu oluşturmayı öğrenin.