Implementer programsikkerhedsgrupper

  • 5 minutter

Du kan implementere sikkerhedsgrupper for programmer i dit virtuelle Azure-netværk for at gruppere dine virtuelle maskiner logisk efter arbejdsbelastning. Du kan derefter definere reglerne for netværkssikkerhedsgruppen baseret på dine programsikkerhedsgrupper.

Ting, du skal vide om brug af programsikkerhedsgrupper

Programsikkerhedsgrupper fungerer på samme måde som netværkssikkerhedsgrupper, men de giver en programcentreret måde at se på din infrastruktur på. Du slutter dine virtuelle maskiner til en programsikkerhedsgruppe. Derefter skal du bruge programsikkerhedsgruppen som en kilde eller destination i reglerne for netværkssikkerhedsgruppen.

Lad os undersøge, hvordan du implementerer sikkerhedsgrupper for programmer ved at oprette en konfiguration for en onlineforhandler. I vores eksempelscenarie skal vi styre netværkstrafik til virtuelle maskiner i sikkerhedsgrupper for programmer.

diagram, der viser, hvordan programsikkerhedsgrupper kombineres med netværkssikkerhedsgrupper for at beskytte programmer.

Scenariekrav

Her er scenariekravene til vores eksempelkonfiguration:

  • Vi har seks virtuelle maskiner i vores konfiguration med to webservere og to databaseservere.
  • Kunder får adgang til onlinekataloget, der hostes på vores webservere.
  • Webserverne skal være tilgængelige fra internettet via HTTP-port 80 og HTTPS-port 443.
  • Lageroplysninger gemmes på vores databaseservere.
  • Databaseserverne skal være tilgængelige via HTTPS-port 1433.
  • Kun vores webservere skal have adgang til vores databaseservere.

Opløsning

I vores scenarie skal vi oprette følgende konfiguration:

  1. Opret programsikkerhedsgrupper for de virtuelle maskiner.

    1. Opret en programsikkerhedsgruppe med navnet WebASG for at gruppere vores webservercomputere.

    2. Opret en programsikkerhedsgruppe med navnet DBASG for at gruppere vores databaseservercomputere.

  2. Tildel netværksgrænsefladerne for de virtuelle maskiner.

    • For hver virtuel maskines server skal du tildele netværksgrænsefladen til den relevante sikkerhedsgruppe for programmet.

  3. Opret netværkssikkerhedsgruppen og sikkerhedsreglerne.

    • artikel 1: Angiv prioritet til 100. Tillad adgang fra internettet til computere i gruppen WebASG fra HTTP-port 80 og HTTPS-port 443.

      Regel 1 har den laveste prioritetsværdi, så den har forrang for de andre regler i gruppen. Kundeadgang til vores online katalog er altafgørende i vores design.

    • artikel 2: Angiv prioritet til 110. Tillad adgang fra computere i gruppen WebASG til computere i den DBASG gruppe via HTTPS-port 1433.

    • artikel 3: Angiv prioritet til 120. Afvis (X) adgang overalt til computere i DBASG-gruppen via HTTPS-port 1433.

      Kombinationen af regel 2 og regel 3 sikrer, at kun vores webservere kan få adgang til vores databaseservere. Denne sikkerhedskonfiguration beskytter vores lagerdatabaser mod angreb udefra.

Ting, du skal overveje, når du bruger programsikkerhedsgrupper

Der er flere fordele ved at implementere programsikkerhedsgrupper i dine virtuelle netværk.

  • Overvej vedligeholdelse af IP-adresse. Når du styrer netværkstrafik ved hjælp af programsikkerhedsgrupper, behøver du ikke at konfigurere indgående og udgående trafik for bestemte IP-adresser. Hvis du har mange virtuelle maskiner i din konfiguration, kan det være svært at angive alle de berørte IP-adresser. Når du vedligeholder din konfiguration, kan antallet af servere ændres. Disse ændringer kan kræve, at du ændrer, hvordan du understøtter forskellige IP-adresser i dine sikkerhedsregler.

  • Overvej ingen undernet. Når du organiserer dine virtuelle maskiner i programsikkerhedsgrupper, behøver du ikke også at distribuere dine servere på tværs af bestemte undernet. Du kan arrangere dine servere efter program og formål for at opnå logiske grupperinger.

  • Overvej forenklede regler. Programsikkerhedsgrupper hjælper med at fjerne behovet for flere regelsæt. Du behøver ikke at oprette en separat regel for hver virtuel maskine. Du kan dynamisk anvende nye regler på angivne programsikkerhedsgrupper. Nye sikkerhedsregler anvendes automatisk på alle virtuelle maskiner i den angivne sikkerhedsgruppe for programmet.

  • Overvej understøttelse af arbejdsbelastninger. En konfiguration, der implementerer programsikkerhedsgrupper, er let at vedligeholde og forstå, fordi organisationen er baseret på arbejdsbelastningsforbrug. Programsikkerhedsgrupper giver logiske ordninger for dine programmer, tjenester, datalager og arbejdsbelastninger.