Implementar Grupos de Segurança de Aplicativo

Concluído

Você pode implementar grupos de segurança de aplicativo na rede virtual do Azure para agrupar logicamente as máquinas virtuais por carga de trabalho. Depois, você pode definir as regras do grupo de segurança de rede com base nos grupos de segurança do aplicativo.

Informações importantes sobre o uso de grupos de segurança de aplicativo

Os grupos de segurança de aplicativo funcionam da mesma forma que os grupos de segurança de rede, mas são um modo centrada no aplicativo de examinar a infraestrutura. Você ingressa as máquinas virtuais em um grupo de segurança de aplicativo. Depois, usa o grupo de segurança de aplicativo como uma origem ou um destino nas regras do grupo de segurança de rede.

Vamos examinar como implementar grupos de segurança de aplicativo criando uma configuração para um varejista online. No cenário de exemplo, precisamos controlar o tráfego de rede para máquinas virtuais em grupos de segurança de aplicativo.

Requisitos do cenário

Veja os requisitos do cenário da configuração de exemplo:

• Há seis máquinas virtuais na configuração com dois servidores Web e dois servidores de banco de dados.
• Os clientes acessam o catálogo online hospedado nos servidores Web.
• Os servidores Web precisam estar acessíveis na Internet pelas portas HTTP 80 e 443.
• As informações de inventário são armazenadas nos servidores de banco de dados.
• Os servidores de banco de dados precisam estar acessíveis na porta HTTPS 1433.
• Somente os servidores Web devem ter acesso aos servidores de banco de dados.

Solução

Neste cenário, precisamos criar a seguinte configuração:

1. Crie grupos de segurança de aplicativo para as máquinas virtuais.

   1. Crie um grupo de segurança de aplicativo chamado WebASG para agrupar os computadores do servidor Web.

   2. Crie um grupo de segurança de aplicativo chamado DBASG para agrupar os computadores do servidor de banco de dados.

2. Atribua os adaptadores de rede para as máquinas virtuais.

   • Para cada servidor de máquina virtual, atribua o adaptador de rede ao grupo de segurança de aplicativo apropriado.

3. Criar um grupo de segurança de rede e regras de segurança.

   • Regra 1: definir a Prioridade como 100. Permitir o acesso da Internet aos computadores no grupo WebASG das portas HTTP 80 e 443.

     A regra 1 tem o valor de prioridade mais baixo, portanto, tem precedência sobre as outras regras no grupo. O acesso do cliente ao catálogo online é fundamental no design.

   • Regra 2: definir a Prioridade como 110. Permitir o acesso de computadores no grupo WebASGaos computadores no grupo DBASG pela porta HTTPS 1433.

   • Regra 3: definir a Prioridade como 120. Negar (X) qualquer acesso aos computadores no grupo DBASG pela porta HTTPS 1433.

     A combinação da Regra 2 e da Regra 3 garante que apenas nossos servidores Web possam acessar nossos servidores de banco de dados. Essa configuração de segurança protege os bancos de dados de inventário contra ataques externos.

Informações importantes sobre o uso de grupos de segurança de aplicativo

Há várias vantagens em implementar grupos de segurança de aplicativo nas redes virtuais.

• Considere a manutenção do endereço IP. Ao controlar o tráfego de rede usando grupos de segurança de aplicativo, você não precisa configurar o tráfego de entrada e saída de endereços IP específicos. Se você tiver muitas máquinas virtuais na configuração, será difícil especificar todos os endereços IP afetados. À medida que você mantém a configuração, o número de servidores pode ser alterado. Essas alterações podem exigir que você modifique o tipo de suporte a diferentes endereços IP nas regras de segurança.

• Não considere nenhuma sub-rede. Ao organizar as máquinas virtuais em grupos de segurança de aplicativo, você também não precisa distribuir os servidores entre sub-redes específicas. Você pode organizar os servidores por aplicativo e finalidade para obter agrupamentos lógicos.

• Considere regras simplificadas. Os grupos de segurança de aplicativo ajudam a eliminar a necessidade de vários conjuntos de regras. Você não precisa criar uma regra separada para cada máquina virtual. Você pode aplicar dinamicamente novas regras a grupos de segurança de aplicativo designados. As novas regras de segurança são aplicadas automaticamente a todas as máquinas virtuais no grupo de segurança de aplicativo.

• Considere o suporte à carga de trabalho. Uma configuração que implementa grupos de segurança de aplicativo é fácil de manter e entender porque a organização se baseia no uso da carga de trabalho. Os grupos de segurança de aplicativos fornecem disposições lógicas para aplicativos, serviços, armazenamento de dados e cargas de trabalho.