Skupiny zabezpečení aplikace

Dokončeno

Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres. O složitost explicitních IP adres a několika skupin pravidel se stará platforma a vy se tak můžete zaměřit na obchodní logiku. Pro lepší pochopení skupin zabezpečení aplikací si představte následující příklad:

Diagram showing an example of Azure Network Security Groups and Application Security Groups.

Na předchozím obrázku jsou NIC1 a NIC2 členy skupiny zabezpečení aplikace AsgWeb. NIC3 je členem skupiny zabezpečení aplikace AsgLogic. NIC4 je členem skupiny zabezpečení aplikace AsgDb. I když každé síťové rozhraní (NIC) v tomto příkladu je členem pouze jedné skupiny zabezpečení sítě, síťové rozhraní může být členem více skupin zabezpečení aplikací až do limitů Azure. Žádné ze síťových rozhraní nemá přidruženou skupinu zabezpečení sítě. Skupina NSG1 je přidružená k oběma podsítím a obsahuje následující pravidla:

Allow-HTTP-Inbound-Internet

Toto pravidlo je potřeba k povolení provozu směřujícího z internetu na webové servery. Vzhledem k tomu, že příchozí provoz z internetu je odepřen výchozím pravidlem zabezpečení DenyAllInbound, není pro skupiny zabezpečení aplikací AsgLogic nebo AsgDb potřeba žádné další pravidlo.

Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
100 Internet * AsgWeb 80 TCP Povolit

Deny-Database-All

Vzhledem k tomu, že výchozí pravidlo zabezpečení AllowVNetInBound povoluje veškerou komunikaci mezi prostředky ve stejné virtuální síti, je toto pravidlo potřeba k odepření provozu ze všech prostředků.

Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
120 * * AsgDb 1433 Všechny Odepřít

Allow-Database-BusinessLogic

Toto pravidlo povoluje provoz ze skupiny zabezpečení aplikace AsgLogic do skupiny zabezpečení aplikace AsgDb. Priorita tohoto pravidla je vyšší než priorita pravidla Deny-Database-All. Díky tomu se toto pravidlo zpracuje před pravidlem Deny-Database-All, takže se povolí provoz ze skupiny zabezpečení aplikace AsgLogic, zatímco veškerý ostatní provoz se zablokuje.

Priorita Source Zdrojové porty Cíl Cílové porty Protokol Přístup
110 AsgLogic * AsgDb 1433 TCP Povolit

Síťová rozhraní, která jsou členy skupiny zabezpečení aplikace, používají pravidla, která určují jako zdroj nebo cíl. Pravidla nemají vliv na jiná síťová rozhraní. Pokud síťové rozhraní není členem skupiny zabezpečení aplikace, pravidlo se nepoužije na síťové rozhraní, i když je skupina zabezpečení sítě přidružená k podsíti.

Pro skupiny zabezpečení aplikací platí následující omezení:

  • Existuje omezení počtu skupin zabezpečení aplikací, které můžete mít v předplatném, a dalších omezení souvisejících se skupinami zabezpečení aplikací.

  • Všechna síťová rozhraní přiřazená ke skupině zabezpečení aplikace musí existovat ve stejné virtuální síti jako první síťové rozhraní přiřazené ke skupině zabezpečení aplikace. Pokud se například první síťové rozhraní přiřazené ke skupině zabezpečení aplikace AsgWeb nachází ve virtuální síti VNet1, pak všechna další síťová rozhraní přiřazená ke skupině zabezpečení aplikace ASGWeb musí existovat ve virtuální síti VNet1. Do stejné skupiny zabezpečení aplikace nemůžete přidat síťová rozhraní z různých virtuálních sítí.

  • Pokud zadáte skupinu zabezpečení aplikací jako zdroj a cíl v pravidle zabezpečení, síťová rozhraní v obou skupinách zabezpečení aplikací musí existovat ve stejné virtuální síti.

    • Příkladem by bylo, kdyby asgLogic měla síťová rozhraní z virtuální sítě VNet1 a AsgDb měla síťová rozhraní z virtuální sítě VNet2. V tomto případě by nebylo možné přiřadit AsgLogic jako zdroj a AsgDb jako cíl v pravidle. Všechna síťová rozhraní pro zdrojové i cílové skupiny zabezpečení aplikací musí existovat ve stejné virtuální síti.

Tip

Pokud chcete minimalizovat počet potřebných pravidel zabezpečení a nutnost jejich změn, naplánujte potřebné skupiny zabezpečení aplikací a vytvářejte pravidla s použitím značek služeb nebo skupin zabezpečení aplikací, a ne jednotlivých IP adres nebo rozsahů IP adres, pokud je to možné.