實作應用程式安全性群組

  • 4 分鐘

您可以在 Azure 虛擬網路中實作應用程式安全性群組,以邏輯方式依工作負載將虛擬機器分組。 然後,您可以根據應用程式安全性群組定義網路安全性群組規則。

關於使用應用程式安全性群組的事項

應用程式安全性群組的運作方式與網路安全性群組相同,但提供以應用程式為中心的方式查看您的基礎結構。 您會將虛擬機器加入應用程式安全性群組。 然後使用應用程式安全性群組作為網路安全性群組規則中的來源或目的地。

讓我們藉由建立線上零售商的設定,來檢查如何實作應用程式安全性群組。 在我們的範例案例中,我們需要控制應用程式安全性群組中虛擬機器的網路流量。

Diagram that shows how application security groups combine with network security groups to protect applications.

情節需求

下列是範例設定的情節需求:

  • 我們的設定中有六部虛擬機器,其中包含兩部網頁伺服器和兩部資料庫伺服器。
  • 客戶存取裝載於網頁伺服器上的線上目錄。
  • 網頁伺服器必須可透過 HTTP 連接埠 80 和 HTTPS 連接埠 443 從網際網路進行存取。
  • 詳細目錄資訊會儲存在我們的資料庫伺服器上。
  • 資料庫伺服器必須可透過 HTTPS 連接埠 1433 進行存取。
  • 只有我們的網頁伺服器才能存取我們的資料庫伺服器。

解決方案

在我們的情景中,我們需要組建下列組態:

  1. 建立虛擬機器的應用程式安全性群組。

    1. 建立名為 WebASG 的應用程式安全性群組,以將網頁伺服器電腦分組。

    2. 建立名為 DBASG 的應用程式安全性群組,以將資料庫伺服器機器分組。

  2. 指派虛擬機器的網路介面。

    • 針對每個虛擬機器伺服器,將其 NIC 指派給適當的應用程式安全性群組。

  3. 建立網路安全性群組和安全性規則。

    • 規則 1:將優先順序 設定為 100。 允許透過 HTTP 連接埠 80 和 HTTPS 連接埠 443 從網際網路存取群組中的 WebASG 機器。

      規則 1 具有最低優先順序值,因此其優先順序高於群組中的其他規則。 客戶對於線上目錄的存取權,在我們的設計中至關重要。

    • 規則 2:將優先順序 設定為 110。 允許 WebASG 群組中的機器透過 HTTPS 連接埠 1433 存取 DBASG 群組中的機器。

    • 規則 3:將優先順序 設定為 120。 拒絕 (X) 透過 HTTPS 連接埠 1433 從任何位置存取 DBASG 群組中的電腦。

      規則 2 和規則 3 的組合可確保只有網頁伺服器可以存取我們的資料庫伺服器。 此安全性設定可保護詳細目錄資料庫免於遭受外部攻擊。

使用應用程式安全性群組的考量事項

在虛擬網路中實作應用程式安全性群組有數個優點。

  • 請考慮 IP 位址維修。 當您使用應用程式安全性群組控制網路流量時,您不需要設定特定 IP 位址的輸入和輸出流量。 如果您的設定中有許多虛擬機器,則很難指定所有受影響的 IP 位址。 當您維修設定時,伺服器的數量可能會變更。 這些變更可能會要求您修改如何在安全性規則中支援不同的 IP 位址。

  • 請考慮沒有子網路。 藉由將虛擬機器組織成應用程式安全性群組,您不需要也需將伺服器分散到特定子網路。 您可以依應用程式和目的排列伺服器,以達成邏輯群組。

  • 請考慮簡化的規則。 應用程式安全性群組有助於消除多個規則集的需求。 您不需要為每部虛擬機器建立個別規則。 您可以動態將新規則套用至指定的應用程式安全性群組。 新的安全性規則會自動套用至特定應用程式安全性群組中的所有虛擬機器。

  • 請考慮工作負載支援。 實作應用程式安全性群組的組態很容易維修和瞭解,因為組織以工作負載使用量為基礎。 應用程式安全性群組會為您的應用程式、服務、資料儲存體和工作負載提供邏輯安排。