Toepassingsbeveiligingsgroepen implementeren

  • 4 minuten

U kunt toepassingsbeveiligingsgroepen in uw virtuele Azure-netwerk implementeren om uw virtuele machines logisch te groeperen op workload. Vervolgens kunt u de regels voor uw netwerkbeveiligingsgroep definiƫren op basis van uw toepassingsbeveiligingsgroepen.

Dingen die u moet weten over het gebruik van toepassingsbeveiligingsgroepen

Toepassingsbeveiligingsgroepen werken op dezelfde manier als netwerkbeveiligingsgroepen, maar ze bieden een toepassingsgerichte manier om uw infrastructuur te bekijken. U koppelt uw virtuele machines aan een toepassingsbeveiligingsgroep. Vervolgens gebruikt u de toepassingsbeveiligingsgroep als bron of doel in de regels voor netwerkbeveiligingsgroepen.

Laten we eens kijken hoe u toepassingsbeveiligingsgroepen implementeert door een configuratie te maken voor een onlinewinkel. In ons voorbeeldscenario moeten we netwerkverkeer naar virtuele machines in toepassingsbeveiligingsgroepen beheren.

Diagram dat laat zien hoe toepassingsbeveiligingsgroepen worden gecombineerd met netwerkbeveiligingsgroepen om toepassingen te beveiligen.

Scenariovereisten

Hier volgen de scenariovereisten voor onze voorbeeldconfiguratie:

  • We hebben zes virtuele machines in onze configuratie met twee webservers en twee databaseservers.
  • Klanten hebben toegang tot de onlinecatalogus die wordt gehost op onze webservers.
  • De webservers moeten toegankelijk zijn vanaf internet via HTTP-poort 80 en HTTPS-poort 443.
  • Inventarisgegevens worden opgeslagen op onze databaseservers.
  • De databaseservers moeten toegankelijk zijn via HTTPS-poort 1433.
  • Alleen onze webservers moeten toegang hebben tot onze databaseservers.

Oplossing

Voor ons scenario moeten we de volgende configuratie bouwen:

  1. Maak toepassingsbeveiligingsgroepen voor de virtuele machines.

    1. Maak een toepassingsbeveiligingsgroep met de naam WebASG om onze webservermachines te groeperen.

    2. Maak een toepassingsbeveiligingsgroep met de naam DBASG om de databaseservermachines te groeperen.

  2. Wijs de netwerkinterfaces voor de virtuele machines toe.

    • Wijs voor elke virtuele-machineserver de NIC toe aan de juiste toepassingsbeveiligingsgroep.

  3. Maak de netwerkbeveiligingsgroep en beveiligingsregels.

    • Regel 1: Prioriteit instellen op 100. Sta toegang vanaf internet toe tot computers in de WebASG groep vanaf HTTP-poort 80 en HTTPS-poort 443.

      Regel 1 heeft de laagste prioriteitswaarde, dus heeft deze voorrang op de andere regels in de groep. Klanttoegang tot onze online catalogus is van cruciaal belang in ons ontwerp.

    • Regel 2: Prioriteit instellen op 110. Sta toegang toe vanaf computers in de WebASG groep naar computers in de DBASG groep via HTTPS-poort 1433.

    • Regel 3: Prioriteit instellen op 120. Toegang via HTTPS-poort 1433 weigeren (X) vanaf elke locatie naar computers in de DBASG groep.

      De combinatie van regel 2 en regel 3 zorgt ervoor dat alleen onze webservers toegang hebben tot onze databaseservers. Deze beveiligingsconfiguratie beschermt onze inventarisdatabases tegen aanvallen buiten de aanval.

Aandachtspunten bij het gebruik van toepassingsbeveiligingsgroepen

Er zijn verschillende voordelen bij het implementeren van toepassingsbeveiligingsgroepen in uw virtuele netwerken.

  • Overweeg onderhoud van IP-adressen. Wanneer u netwerkverkeer bepaalt met behulp van toepassingsbeveiligingsgroepen, hoeft u geen inkomend en uitgaand verkeer te configureren voor specifieke IP-adressen. Als u veel virtuele machines in uw configuratie hebt, kan het lastig zijn om alle betrokken IP-adressen op te geven. Terwijl u uw configuratie onderhoudt, kan het aantal servers worden gewijzigd. Deze wijzigingen kunnen vereisen dat u wijzigt hoe u verschillende IP-adressen in uw beveiligingsregels ondersteunt.

  • Overweeg geen subnetten. Door uw virtuele machines in toepassingsbeveiligingsgroepen te organiseren, hoeft u uw servers niet ook over specifieke subnetten te distribueren. U kunt uw servers op toepassing en doel rangschikken om logische groeperingen te bereiken.

  • Overweeg vereenvoudigde regels. Toepassingsbeveiligingsgroepen helpen bij het elimineren van de noodzaak van meerdere regelsets. U hoeft geen afzonderlijke regel te maken voor elke virtuele machine. U kunt dynamisch nieuwe regels toepassen op aangewezen toepassingsbeveiligingsgroepen. Nieuwe beveiligingsregels worden automatisch toegepast op alle virtuele machines in de opgegeven toepassingsbeveiligingsgroep.

  • Overweeg ondersteuning van workloads. Een configuratie die toepassingsbeveiligingsgroepen implementeert, is eenvoudig te onderhouden en te begrijpen omdat de organisatie is gebaseerd op workloadgebruik. Toepassingsbeveiligingsgroepen bieden logische rangschikkingen voor uw toepassingen, services, gegevensopslag en workloads.