實作應用程式安全性群組
您可以在 Azure 虛擬網路中實作 應用程式安全組 (ASG), 以邏輯方式依工作負載將虛擬機分組。 然後,您可以根據應用程式安全性群組定義網路安全性群組規則。
關於使用應用程式安全性群組的事項
應用程式安全性群組的運作方式與網路安全性群組相同,但提供以應用程式為中心的方式查看您的基礎結構。 您會將虛擬機器加入應用程式安全性群組。 然後使用應用程式安全性群組作為網路安全性群組規則中的來源或目的地。
讓我們藉由建立線上零售商的設定,來檢查如何實作應用程式安全性群組。 在我們的範例案例中,我們需要控制應用程式安全性群組中虛擬機器的網路流量。
備註
在圖表中,應用程式伺服器正在處理 SQL Server 要求。
情節需求
下列是範例設定的情節需求:
- 在此案例中,有兩層:Web 伺服器和應用程式伺服器。
- 網頁伺服器會處理 HTTP 和 HTTPS 因特網流量。
- 應用程式伺服器會處理來自網頁伺服器的 SQL 要求。
解決方案
在我們的情景中,我們需要組建下列組態:
為每個層級建立應用程式安全組。
針對每個虛擬機伺服器,將其網路介面指派給適當的應用程式安全組。
建立網路安全性群組和安全性規則。
規則 1:將優先順序 設定為 100。 允許從因特網存取來自 HTTP 埠 80 和 HTTPS 連接埠 443 的 Web 伺服器機器。
規則 1 具有最低優先順序值,因此其優先順序高於群組中的其他規則。 客戶對於線上目錄的存取權,在我們的設計中至關重要。
規則 2:將優先順序 設定為 110。 允許透過 SQL 連接埠 1433 從 Web 伺服器存取應用程式伺服器。
規則 3:將優先順序 設定為 120。 拒絕 從任何地方存取 HTTP 和 HTTPS 埠上的應用程式伺服器機器。
規則 2 和規則 3 的組合可確保只有網頁伺服器可以存取我們的資料庫伺服器。 此安全性設定可保護詳細目錄資料庫免於遭受外部攻擊。
使用應用程式安全性群組的考量事項
在虛擬網路中實作應用程式安全性群組有數個優點。
請考慮 IP 位址維修。 當您使用應用程式安全性群組控制網路流量時,您不需要設定特定 IP 位址的輸入和輸出流量。 如果您的設定中有許多虛擬機器,則很難指定所有受影響的 IP 位址。 當您維修設定時,伺服器的數量可能會變更。 這些變更可能會要求您修改如何在安全性規則中支援不同的 IP 位址。
請考慮沒有子網路。 藉由將虛擬機器組織成應用程式安全性群組,您不需要也需將伺服器分散到特定子網路。 您可以依應用程式和目的排列伺服器,以達成邏輯群組。
請考慮簡化的規則。 應用程式安全性群組有助於消除多個規則集的需求。 您不需要為每部虛擬機器建立個別規則。 您可以動態將新規則套用至指定的應用程式安全性群組。 新的安全性規則會自動套用至特定應用程式安全性群組中的所有虛擬機器。
請考慮工作負載支援。 實作應用程式安全性群組的組態很容易維修和瞭解,因為組織以工作負載使用量為基礎。 應用程式安全性群組會為您的應用程式、服務、資料儲存體和工作負載提供邏輯安排。
請考慮服務標籤。 服務標籤代表來自特定 Azure 服務的 IP 位址前綴群組。 它們有助於將網路安全性規則上頻繁更新的複雜度降到最低。 雖然服務標籤可用來簡化 Azure 服務的 IP 位址管理,但 ASG 會用來根據這些群組將 VM 分組和管理網路安全策略。