Implementar grupos de segurança de aplicativos

  • 4 minutos

Você pode implementar grupos de segurança de aplicativos em sua rede virtual do Azure para agrupar logicamente suas máquinas virtuais por carga de trabalho. Em seguida, você pode definir as regras do grupo de segurança de rede com base nos grupos de segurança do aplicativo.

Coisas a saber sobre como usar grupos de segurança de aplicativos

Os grupos de segurança de aplicativos funcionam da mesma forma que os grupos de segurança de rede, mas fornecem uma maneira centrada em aplicativos de examinar sua infraestrutura. Você associa suas máquinas virtuais a um grupo de segurança de aplicativo. Em seguida, use o grupo de segurança do aplicativo como origem ou destino nas regras do grupo de segurança de rede.

Vamos examinar como implementar grupos de segurança de aplicativos criando uma configuração para um varejista online. Em nosso cenário de exemplo, precisamos controlar o tráfego de rede para máquinas virtuais em grupos de segurança de aplicativos.

Diagrama que mostra como os grupos de segurança de aplicativos se combinam com grupos de segurança de rede para proteger aplicativos.

Requisitos do cenário

Aqui estão os requisitos de cenário para nossa configuração de exemplo:

  • Temos seis máquinas virtuais em nossa configuração com dois servidores web e dois servidores de banco de dados.
  • Os clientes acedem ao catálogo online alojado nos nossos servidores web.
  • Os servidores Web devem ser acessíveis a partir da Internet através da porta HTTP 80 e da porta HTTPS 443.
  • As informações de inventário são armazenadas em nossos servidores de banco de dados.
  • Os servidores de banco de dados devem estar acessíveis pela porta HTTPS 1433.
  • Apenas os nossos servidores web devem ter acesso aos nossos servidores de base de dados.

Solução

Para o nosso cenário, precisamos construir a seguinte configuração:

  1. Crie grupos de segurança de aplicativos para as máquinas virtuais.

    1. Crie um grupo de segurança de aplicativos nomeado WebASG para agrupar nossas máquinas de servidor web.

    2. Crie um grupo de segurança de aplicativo nomeado DBASG para agrupar nossas máquinas de servidor de banco de dados.

  2. Atribua as interfaces de rede para as máquinas virtuais.

    • Para cada servidor de máquina virtual, atribua sua NIC ao grupo de segurança de aplicativo apropriado.

  3. Crie o grupo de segurança de rede e as regras de segurança.

    • Regra 1: Defina a prioridade para 100. Permitir o acesso da Internet a máquinas do grupo a WebASG partir da porta HTTP 80 e da porta HTTPS 443.

      A regra 1 tem o valor de prioridade mais baixo, por isso tem precedência sobre as outras regras do grupo. O acesso do cliente ao nosso catálogo online é primordial no nosso design.

    • Regra 2: Defina a prioridade para 110. Permita o acesso de máquinas do WebASG grupo a máquinas do DBASG grupo pela porta HTTPS 1433.

    • Regra 3: Defina a prioridade para 120. Negar (X) acesso de qualquer lugar às máquinas do DBASG grupo pela porta HTTPS 1433.

      A combinação da Regra 2 e da Regra 3 garante que apenas os nossos servidores Web podem aceder aos nossos servidores de base de dados. Essa configuração de segurança protege nossos bancos de dados de inventário contra ataques externos.

Coisas a considerar ao usar grupos de segurança de aplicativos

Há várias vantagens em implementar grupos de segurança de aplicativos em suas redes virtuais.

  • Considere a manutenção do endereço IP. Quando você controla o tráfego de rede usando grupos de segurança de aplicativos, não precisa configurar o tráfego de entrada e saída para endereços IP específicos. Se você tiver muitas máquinas virtuais em sua configuração, pode ser difícil especificar todos os endereços IP afetados. À medida que você mantém sua configuração, o número de seus servidores pode mudar. Essas alterações podem exigir que você modifique a forma como oferece suporte a diferentes endereços IP em suas regras de segurança.

  • Não considere sub-redes. Ao organizar suas máquinas virtuais em grupos de segurança de aplicativos, você não precisa também distribuir seus servidores em sub-redes específicas. Você pode organizar seus servidores por aplicativo e finalidade para obter agrupamentos lógicos.

  • Considere regras simplificadas. Os grupos de segurança de aplicativos ajudam a eliminar a necessidade de vários conjuntos de regras. Não é necessário criar uma regra separada para cada máquina virtual. Você pode aplicar dinamicamente novas regras a grupos de segurança de aplicativos designados. Novas regras de segurança são aplicadas automaticamente a todas as máquinas virtuais no grupo de segurança de aplicativo especificado.

  • Considere o suporte à carga de trabalho. Uma configuração que implementa grupos de segurança de aplicativos é fácil de manter e entender porque a organização se baseia no uso da carga de trabalho. Os grupos de segurança de aplicativos fornecem arranjos lógicos para seus aplicativos, serviços, armazenamento de dados e cargas de trabalho.