Implementace skupin zabezpečení aplikací
Skupiny zabezpečení aplikací ve virtuální síti Azure můžete implementovat k logickému seskupení virtuálních počítačů podle úloh. Pak můžete definovat pravidla skupin zabezpečení sítě na základě skupin zabezpečení aplikace.
Co je potřeba vědět o používání skupin zabezpečení aplikací
Skupiny zabezpečení aplikací fungují stejným způsobem jako skupiny zabezpečení sítě, ale poskytují způsob, jak se podívat na infrastrukturu zaměřenou na aplikaci. Virtuální počítače připojíte ke skupině zabezpečení aplikace. Potom použijete skupinu zabezpečení aplikace jako zdroj nebo cíl v pravidlech skupiny zabezpečení sítě.
Pojďme se podívat, jak implementovat skupiny zabezpečení aplikací vytvořením konfigurace pro online prodejce. V našem ukázkového scénáři potřebujeme řídit síťový provoz do virtuálních počítačů ve skupinách zabezpečení aplikací.
Požadavky na scénář
Tady jsou požadavky na scénář pro naši ukázku konfigurace:
- V konfiguraci máme šest virtuálních počítačů se dvěma webovými servery a dvěma databázovými servery.
- Zákazníci zpřístupní online katalog hostovaný na našich webových serverech.
- Webové servery musí být přístupné z internetu přes port HTTP 80 a https port 443.
- Informace o inventáři jsou uložené na našich databázových serverech.
- Databázové servery musí být přístupné přes port HTTPS 1433.
- K databázovým serverům by měly mít přístup jenom naše webové servery.
Řešení
V našem scénáři musíme vytvořit následující konfiguraci:
Vytvořte skupiny zabezpečení aplikací pro virtuální počítače.
Vytvořte skupinu zabezpečení aplikace s názvem
WebASGseskupit naše počítače s webovým serverem.Vytvořte skupinu zabezpečení aplikace pojmenovanou
DBASGpro seskupení počítačů s databázovým serverem.
Přiřaďte síťová rozhraní pro virtuální počítače.
- Pro každý server virtuálního počítače přiřaďte její síťovou kartu příslušné skupině zabezpečení aplikace.
Vytvořte skupinu zabezpečení sítě a pravidla zabezpečení.
Pravidlo 1: Nastavte prioritu na 100. Povolte přístup z internetu k počítačům ve
WebASGskupině z portu HTTP 80 a portu HTTPS 443.Pravidlo 1 má nejnižší hodnotu priority, takže má přednost před ostatními pravidly ve skupině. Zákaznický přístup k našemu online katalogu je v našem návrhu nejdůležitější.
Pravidlo 2: Nastavte prioritu na 110. Povolí přístup z počítačů ve
WebASGskupině k počítačům veDBASGskupině přes port HTTPS 1433.Pravidlo 3: Nastavte prioritu na 120. Odepřít přístup odkudkoli k počítačům ve
DBASGskupině přes port HTTPS 1433.Kombinace pravidla 2 a pravidla 3 zajišťuje, že k databázovým serverům mají přístup jenom naše webové servery. Tato konfigurace zabezpečení chrání naše databáze inventáře před vnějším útokem.
Co je potřeba vzít v úvahu při používání skupin zabezpečení aplikací
Implementace skupin zabezpečení aplikací ve virtuálních sítích má několik výhod.
Zvažte údržbu IP adres. Pokud řídíte síťový provoz pomocí skupin zabezpečení aplikace, nemusíte konfigurovat příchozí a odchozí provoz pro konkrétní IP adresy. Pokud máte v konfiguraci mnoho virtuálních počítačů, může být obtížné zadat všechny ovlivněné IP adresy. Při údržbě konfigurace se počet serverů může změnit. Tyto změny můžou vyžadovat, abyste upravili způsob, jakým v pravidlech zabezpečení podporujete různé IP adresy.
Zvažte žádné podsítě. Uspořádáním virtuálních počítačů do skupin zabezpečení aplikací nemusíte také distribuovat servery napříč konkrétními podsítěmi. Servery můžete uspořádat podle aplikace a účelu, abyste dosáhli logických seskupení.
Zvažte zjednodušená pravidla. Skupiny zabezpečení aplikací pomáhají eliminovat potřebu více sad pravidel. Pro každý virtuální počítač nemusíte vytvářet samostatné pravidlo. Nová pravidla můžete dynamicky aplikovat na určené skupiny zabezpečení aplikací. Nová pravidla zabezpečení se automaticky použijí na všechny virtuální počítače v zadané skupině zabezpečení aplikace.
Zvažte podporu úloh. Konfigurace, která implementuje skupiny zabezpečení aplikací, se snadno udržuje a rozumí, protože organizace je založená na využití úloh. Skupiny zabezpečení aplikací poskytují logické uspořádání pro vaše aplikace, služby, úložiště dat a úlohy.