Реализация групп безопасности приложений

Завершено

Группы безопасности приложений (ASG) можно реализовать в виртуальной сети Azure, чтобы логически группировать виртуальные машины по рабочей нагрузке. Затем можно определить правила группы безопасности сети на основе групп безопасности приложений.

Сведения об использовании групп безопасности приложений

Группы безопасности приложений предоставляют ориентированный на приложение способ просмотра инфраструктуры. Вы присоединяете виртуальные машины к группе безопасности приложений. Затем вы используете группу безопасности приложений как источник или пункт назначения в правилах сетевой безопасности.

Давайте рассмотрим, как реализовать группы безопасности приложений, создав конфигурацию для интернет-магазина. В нашем примере необходимо управлять сетевым трафиком виртуальных машин в группах безопасности приложений.

Схема, на котором показано, как группы безопасности приложений объединяются с группами безопасности сети для защиты приложений.

Замечание

На схеме серверы приложений обрабатывают запросы SQL Server.

Требования к сценарию

Ниже приведены требования к сценарию для нашей примерной конфигурации:

  • В этом сценарии существует два уровня: веб-серверы и серверы приложений.
  • Веб-серверы обрабатывают интернет-трафик HTTP и HTTPS.
  • Серверы приложений обрабатывают SQL-запросы с веб-серверов.

Решение

Для нашего сценария необходимо создать следующую конфигурацию:

  1. Создайте группы безопасности приложений для каждого уровня.

  2. Для каждого сервера виртуальной машины назначьте сетевой интерфейс соответствующей группе безопасности приложений.

  3. Создайте группу безопасности сети и правила безопасности.

    • Правило 1. Задайте приоритет 100. Разрешить доступ из Интернета к компьютерам с веб-серверов из HTTP-порта 80 и порта HTTPS 443.

      Правило 1 имеет наименьшее значение приоритета, поэтому он имеет приоритет над другими правилами в группе. Доступ клиентов к нашему интернет-каталогу имеет первостепенное значение в нашем дизайне.

    • Правило 2. Задайте приоритет 110. Разрешить доступ с веб-серверов к серверам приложений через порт SQL 1433.

    • Правило 3. Задайте приоритет 120. Запретить доступ из любого места на компьютеры сервера приложений на портах HTTP и HTTPS.

      Сочетание правила 2 и правила 3 гарантирует, что только наши веб-серверы могут получить доступ к нашим серверам базы данных. Эта конфигурация безопасности защищает базы данных инвентаризации от внешней атаки.

Вопросы, которые следует учитывать при использовании групп безопасности приложений

Существует несколько преимуществ реализации групп безопасности приложений в виртуальных сетях.

  • Рассмотрим обслуживание IP-адресов. При управлении сетевым трафиком с помощью групп безопасности приложений не требуется настраивать входящий и исходящий трафик для определенных IP-адресов. Если в конфигурации имеется множество виртуальных машин, может быть трудно указать все затронутые IP-адреса. При сохранении конфигурации количество серверов может измениться. Эти изменения могут потребовать изменить способ поддержки различных IP-адресов в правилах безопасности.

  • Учитывайте отсутствие подсетей. Организуя виртуальные машины в группы безопасности приложений, вам не нужно распределять серверы по конкретным подсетям. Вы можете упорядочить серверы по приложениям и целям для достижения логических групп.

  • Рассмотрим упрощенные правила. Группы безопасности приложений помогают устранить необходимость в нескольких наборах правил. Вам не нужно создавать отдельное правило для каждой виртуальной машины. Вы можете динамически применять новые правила к назначенным группам безопасности приложений. Новые правила безопасности автоматически применяются ко всем виртуальным машинам в указанной группе безопасности приложений.

  • Рассмотрите поддержку рабочей нагрузки. Конфигурация, реализующая группы безопасности для приложений, легко поддерживается и понимается, так как организация основана на использовании рабочей нагрузки. Группы безопасности приложений предоставляют логические механизмы для приложений, служб, хранилища данных и рабочих нагрузок.

  • Рассмотрим теги службы. Теги служб представляют собой группу префиксов IP-адресов из определенной службы Azure. Они помогают свести к минимуму сложность частых обновлений правил безопасности сети. Хотя теги служб используются для упрощения управления IP-адресами для служб Azure, ASG используются для группирования виртуальных машин и управления политиками безопасности сети на основе этих групп.