Группы безопасности приложений
Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение структуры приложения, что позволяет группировать виртуальные машины и определять политики безопасности сети на основе этих групп. Вы можете повторно использовать политику безопасности масштабно, без ручного обслуживания конкретных IP-адресов. Платформа обрабатывает сложность явных IP-адресов и нескольких наборов правил, позволяя сосредоточиться на бизнес-логике. Чтобы лучше понять группы безопасности приложений, рассмотрим следующий пример:
На предыдущем рисунке NIC1 и NIC2 являются членами группы безопасности приложений AsgWeb. NIC3 входит в группу безопасности приложений Asg Logic. NIC4 является членом группы безопасности приложений AsgDb. Хотя каждый сетевой интерфейс (сетевой адаптер) в этом примере является членом только одной группы безопасности сети, сетевой интерфейс может быть членом нескольких групп безопасности приложений до ограничений Azure. Ни один из сетевых интерфейсов не имеет связанной группы безопасности сети. NSG1 связан с обеими подсетями и содержит следующие правила:
Allow-HTTP-Inbound-Internet
Это правило необходимо для разрешения трафика из Интернета на веб-серверы. Так как входящий трафик из Интернета запрещен правилом безопасности DenyAllInbound по умолчанию, дополнительные правила для групп безопасности приложений AsgLogic или AsgDb не требуются.
| приоритет | источник | исходные порты | Пункт назначения | порты назначения | протокол | Доступ |
|---|---|---|---|---|---|---|
| 100 | Интернет | * | AsgWeb | 80 | Протокол tcp | Разрешать |
Запрет—Database-All
Так как правило безопасности AllowVNetInBound по умолчанию разрешает всю связь между ресурсами в одной виртуальной сети, это правило необходимо для запрета трафика со всех ресурсов.
| приоритет | источник | исходные порты | Назначение | порты назначения | протокол | Доступ |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Любой | Отрицать |
Разрешить-Database-BusinessLogic
Это правило позволяет трафику из группы безопасности приложений AsgLogic в группу безопасности приложений AsgDb. Приоритет этого правила выше приоритета для правила Deny-Database-All. В результате это правило обрабатывается до правила Deny-Database-All, поэтому трафик из группы безопасности приложений asgLogic разрешен, в то время как весь остальной трафик блокируется.
| приоритет | источник | исходные порты | Пункт назначения | порты назначения | протокол | Доступ |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | Протокол tcp | Разрешать |
Сетевые интерфейсы, которые являются членами группы безопасности приложений, применяют правила, которые указывают его в качестве источника или назначения. Правила не влияют на другие сетевые интерфейсы. Если сетевой интерфейс не является членом группы безопасности приложений, правило не применяется к сетевому интерфейсу, даже если группа безопасности сети связана с подсетью.
Группы безопасности приложений имеют следующие ограничения:
Существуют ограничения на количество групп безопасности приложений, которые можно использовать в подписке, и другие ограничения, связанные с группами безопасности приложений.
Все сетевые интерфейсы, назначенные группе безопасности приложений, должны существовать в одной виртуальной сети, в которую входит первый сетевой интерфейс, назначенный группе безопасности приложений. Например, если первый сетевой интерфейс, назначенный группе безопасности приложений с именем AsgWeb находится в виртуальной сети с именем VNet1, все последующие сетевые интерфейсы, назначенные ASGWeb должны существовать в VNet1. Сетевые интерфейсы из разных виртуальных сетей нельзя добавлять в одну группу безопасности приложений.
Если вы указываете группу безопасности приложений в качестве источника и назначения в правиле безопасности, сетевые интерфейсы в обеих группах безопасности приложений должны существовать в одной виртуальной сети.
- Примером может быть ситуация, когда у AsgLogic есть сетевые интерфейсы из VNet1, а у AsgDb — сетевые интерфейсы из VNet2. В этом случае невозможно назначить AsgLogic в качестве источника и AsgDb в качестве назначения в правиле. Все сетевые интерфейсы для групп безопасности исходного и целевого приложений должны существовать в одной виртуальной сети.
Совет
Чтобы свести к минимуму количество необходимых правил безопасности и изменить правила, спланируйте нужные группы безопасности приложений и создайте правила с помощью тегов служб или групп безопасности приложений, а не отдельных IP-адресов или диапазонов IP-адресов по возможности.