Implementación de grupos de seguridad de aplicaciones

  • 4 minutos

Puede implementar grupos de seguridad de aplicaciones en la red virtual de Azure para agrupar lógicamente las máquinas virtuales por carga de trabajo. Después, puede definir las reglas del grupo de seguridad de red en función de los grupos de seguridad de aplicaciones.

Aspectos que se deben saber sobre el uso de grupos de seguridad de aplicaciones

Los grupos de seguridad de aplicaciones funcionan de la misma manera que los grupos de seguridad de red, pero proporcionan una manera centrada en la aplicación de examinar la infraestructura. Las máquinas virtuales se unen a un grupo de seguridad de aplicaciones. A continuación, use el grupo de seguridad de aplicaciones como origen o destino en las reglas del grupo de seguridad de red.

Vamos a examinar cómo implementar grupos de seguridad de aplicaciones mediante la creación de una configuración para un minorista en línea. En nuestro escenario de ejemplo, es necesario controlar el tráfico de red a las máquinas virtuales en los grupos de seguridad de aplicaciones.

Diagrama que muestra cómo se combinan los grupos de seguridad de aplicaciones con grupos de seguridad de red para proteger las aplicaciones.

Requisitos del escenario

Estos son los requisitos del escenario para nuestra configuración de ejemplo:

  • Tenemos seis máquinas virtuales en nuestra configuración con dos servidores web y dos servidores de bases de datos.
  • Los clientes acceden al catálogo en línea hospedado en nuestros servidores web.
  • Los servidores web deben ser accesibles desde Internet mediante el puerto HTTP 80 y el puerto HTTPS 443.
  • La información de inventario se almacena en nuestros servidores de bases de datos.
  • Los servidores de bases de datos deben ser accesibles desde el puerto HTTPS 1433.
  • Solo nuestros servidores web deben tener acceso a nuestros servidores de bases de datos.

Solución

Para nuestro escenario, es necesario crear la siguiente configuración:

  1. Cree grupos de seguridad de aplicaciones para las máquinas virtuales.

    1. Cree un grupo de seguridad de aplicaciones denominado WebASG para agrupar las máquinas del servidor web.

    2. Cree un grupo de seguridad de aplicaciones denominado DBASG para agrupar las máquinas del servidor de bases de datos.

  2. Asigne las interfaces de red para las máquinas virtuales.

    • En cada servidor de máquinas virtuales, asigne su NIC al grupo de seguridad de aplicaciones adecuado.

  3. Cree un grupo de seguridad de red y reglas de seguridad.

    • Regla 1: establezca Prioridad en 100. Permita el acceso desde Internet a las máquinas del grupo WebASG desde el puerto HTTP 80 y el puerto HTTPS 443.

      La regla 1 tiene el valor de prioridad más bajo, por lo que tiene prioridad sobre las demás reglas del grupo. El acceso de los clientes a nuestro catálogo en línea es primordial en nuestro diseño.

    • Regla 2: establezca Prioridad en 110. Permita el acceso desde máquinas del grupo WebASG a máquinas del grupo DBASG desde el puerto HTTPS 1433.

    • Regla 3: establezca Prioridad en 120. Deniegue el acceso (X) desde cualquier lugar a las máquinas del grupo DBASG desde el puerto HTTPS 1433.

      La combinación de la Regla 2 y la Regla 3 garantiza que solo nuestros servidores web puedan acceder a nuestros servidores de bases de datos. Esta configuración de seguridad protege nuestras bases de datos de inventario frente a ataques externos.

Cosas que hay que tener en cuenta al usar grupos de seguridad de aplicaciones

Hay varias ventajas al implementar grupos de seguridad de aplicaciones en las redes virtuales.

  • Considere el mantenimiento de direcciones IP. Al controlar el tráfico de red mediante grupos de seguridad de aplicaciones, no es necesario configurar el tráfico entrante y saliente para direcciones IP específicas. Si tiene muchas máquinas virtuales en la configuración, puede ser difícil especificar todas las direcciones IP afectadas. A medida que mantiene la configuración, el número de servidores puede cambiar. Estos cambios pueden requerir que modifique cómo se admiten diferentes direcciones IP en las reglas de seguridad.

  • Considere la posibilidad de no usar subredes. Al organizar las máquinas virtuales en grupos de seguridad de aplicaciones, no es necesario distribuir también los servidores entre subredes específicas. Puede organizar los servidores por aplicación y propósito para lograr agrupaciones lógicas.

  • Considere la posibilidad de usar reglas simplificadas. Los grupos de seguridad de aplicaciones ayudan a eliminar la necesidad de varios conjuntos de reglas. No tiene que crear una regla independiente para cada máquina virtual. Puede aplicar dinámicamente nuevas reglas a los grupos de seguridad de aplicaciones designados. Las nuevas reglas de seguridad se aplican automáticamente a todas las máquinas virtuales del grupo de seguridad de aplicaciones especificado.

  • Considere la compatibilidad con cargas de trabajo. Una configuración que implementa grupos de seguridad de aplicaciones es fácil de mantener y comprender porque la organización se basa en el uso de la carga de trabajo. Los grupos de seguridad de aplicaciones proporcionan organizaciones lógicas para las aplicaciones, los servicios, el almacenamiento de datos y las cargas de trabajo.