Implémenter des groupes de sécurité d’applications

Effectué

Vous pouvez implémenter des groupes de sécurité d’application dans votre réseau virtuel Azure pour regrouper logiquement vos machines virtuelles par charge de travail. Vous pouvez ensuite définir vos règles de groupe de sécurité réseau en fonction de vos groupes de sécurité d’application.

Ce qu’il faut savoir sur l’utilisation des groupes de sécurité d’application

Les groupes de sécurité d’application fonctionnent de la même façon que les groupes de sécurité réseau, mais ils fournissent un moyen centré sur l’application d’examiner votre infrastructure. Vous regroupez vos machines virtuelles dans un groupe de sécurité d’application. Ensuite, vous utilisez le groupe de sécurité d’application comme source ou destination dans les règles de groupe de sécurité réseau.

Examinons comment implémenter des groupes de sécurité d’application en créant une configuration pour un détaillant en ligne. Dans notre exemple de scénario, nous devons contrôler le trafic réseau vers des machines virtuelles dans des groupes de sécurité d’application.

Diagramme montrant comment les groupes de sécurité d’application se combinent avec les groupes de sécurité réseau pour protéger les applications.

Exigences du scénario

Voici les exigences du scénario pour notre exemple de configuration :

  • Nous avons six machines virtuelles dans notre configuration avec deux serveurs web et deux serveurs de base de données.
  • Les clients accèdent au catalogue en ligne hébergé sur nos serveurs web.
  • Les serveurs web doivent être accessibles à partir d’Internet sur le port HTTP 80 et le port HTTPS 443.
  • Les informations d’inventaire sont stockées sur nos serveurs de base de données.
  • Les serveurs de base de données doivent être accessibles sur le port HTTPS 1433.
  • Seuls nos serveurs web doivent avoir accès à nos serveurs de base de données.

Solution

Pour notre scénario, nous devons créer la configuration suivante :

  1. Créez des groupes de sécurité d’application pour les machines virtuelles.

    1. Créez un groupe de sécurité d’application nommé WebASG pour regrouper nos machines de serveur web.

    2. Créez un groupe de sécurité d’application nommé DBASG pour regrouper nos machines de serveur de base de données.

  2. Attribuez les interfaces réseau des machines virtuelles.

    • Pour chaque serveur de machine virtuelle, attribuez la carte réseau au groupe de sécurité d’application approprié.
  3. Créez le groupe de sécurité réseau et les règles associées.

    • Règle 1 : définissez Priorité sur 100. Autorisez l’accès à partir d’Internet aux machines du groupe WebASG sur le port HTTP 80 et le port HTTPS 443.

      La règle 1 a la valeur de priorité la plus basse. Elle est donc prioritaire sur les autres règles du groupe. L’accès du client à notre catalogue en ligne est primordial dans notre conception.

    • Règle 2 : définissez Priorité sur 110. Autorisez l’accès des machines du groupe WebASG aux machines du groupe DBASG sur le port HTTPS 1433.

    • Règle 3 : définissez Priorité sur 120. Refusez (X) l’accès aux machines du groupe DBASG sur le port HTTPS 1433.

      La combinaison de la règle 2 et de la règle 3 garantit que seuls nos serveurs web peuvent accéder à nos serveurs de base de données. Cette configuration de sécurité protège nos bases de données d’inventaire contre les attaques externes.

Ce qu’il faut savoir quand vous utilisez des groupes de sécurité d’application

L’implémentation de groupes de sécurité d’application dans vos réseaux virtuels présente plusieurs avantages.

  • Tenez compte de la maintenance des adresses IP. Quand vous contrôlez le trafic réseau en utilisant des groupes de sécurité d’application, vous n’avez pas besoin de configurer le trafic entrant et sortant pour des adresses IP spécifiques. Si vous avez de nombreuses machines virtuelles dans votre configuration, il peut être difficile de spécifier toutes les adresses IP affectées. Quand vous gérez votre configuration, le nombre de vos serveurs peut changer. Ces changements peuvent vous obliger à modifier la prise en charge des différentes adresses IP dans vos règles de sécurité.

  • Tenez compte de l’absence de sous-réseaux. En organisant vos machines virtuelles dans des groupes de sécurité d’application, vous n’avez pas besoin de distribuer aussi vos serveurs dans des sous-réseaux spécifiques. Vous pouvez organiser vos serveurs par application et par objectif pour obtenir des regroupements logiques.

  • Utilisez des règles simplifiées. Les groupes de sécurité d’application évitent d’utiliser plusieurs ensembles de règles. Vous n’avez pas besoin de créer une règle distincte pour chaque machine virtuelle. Vous pouvez appliquer dynamiquement de nouvelles règles à des groupes de sécurité d’application désignés. Les nouvelles règles de sécurité sont automatiquement appliquées à toutes les machines virtuelles du groupe de sécurité d’application spécifié.

  • Tenez compte de la prise en charge de la charge de travail. Une configuration qui implémente des groupes de sécurité d’application est facile à gérer et à comprendre, car l’organisation est basée sur l’utilisation de la charge de travail. Les groupes de sécurité d’application fournissent des dispositions logiques pour vos applications, services, stockage de données et charges de travail.