Programsäkerhetsgrupper
Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Plattformen hanterar komplexiteten hos explicita IP-adresser och flera regeluppsättningar, så att du kan fokusera på din affärslogik. Tänk på följande exempel för att bättre förstå programsäkerhetsgrupper:
I föregående bild är NIC1 och NIC2 medlemmar i programsäkerhetsgruppen AsgWeb. NIC3 är medlem i programsäkerhetsgruppen AsgLogic. NIC4 är medlem i AsgDb programsäkerhetsgrupp. Även om varje nätverksgränssnitt (NIC) i det här exemplet bara är medlem i en nätverkssäkerhetsgrupp, kan ett nätverksgränssnitt vara medlem i flera programsäkerhetsgrupper, upp till Azure-gränserna. Inget av nätverksgränssnitten har en associerad nätverkssäkerhetsgrupp. NSG1- är associerad med båda undernäten och innehåller följande regler:
Allow-HTTP-Inbound-Internet
Den här regeln krävs för att tillåta trafik från Internet till webbservrarna. Eftersom inkommande trafik från Internet nekas av standardsäkerhetsregeln DenyAllInbound krävs ingen extra regel för AsgLogic eller AsgDb programsäkerhetsgrupper.
| Prioritet | Källa | Källportar | mål | Målportar | Protocol | Access |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Tillåta |
NekaDatabase-All
Eftersom standardsäkerhetsregeln AllowVNetInBound tillåter all kommunikation mellan resurser i samma virtuella nätverk krävs den här regeln för att neka trafik från alla resurser.
| Prioritet | Källa | Källportar | mål | Målportar | Protocol | Åtkomst |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | Någon | Neka |
TillåtDatabase-BusinessLogic
Den här regeln tillåter trafik från AsgLogic programsäkerhetsgrupp till AsgDb programsäkerhetsgrupp. Prioriteten för den här regeln är högre än prioriteten för regeln Neka databas-Alla. Därför bearbetas den här regeln före regeln Neka-databas-alla, så att trafik från AsgLogic applikationssäkerhetsgrupp tillåts, medan all annan trafik blockeras.
| Prioritet | Källa | Källportar | mål | Målportar | Protokoll | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Tillåta |
Nätverksgränssnitt som är medlemmar i programsäkerhetsgruppen tillämpar de regler som anger det som källa eller mål. Reglerna påverkar inte andra nätverksgränssnitt. Om nätverksgränssnittet inte är medlem i en programsäkerhetsgrupp tillämpas inte regeln på nätverksgränssnittet, även om nätverkssäkerhetsgruppen är associerad med undernätet.
Programsäkerhetsgrupper har följande begränsningar:
Det finns gränser för hur många programsäkerhetsgrupper du kan ha i en prenumeration och andra begränsningar som rör programsäkerhetsgrupper.
Alla nätverksgränssnitt som tilldelats en programsäkerhetsgrupp måste finnas i samma virtuella nätverk som det första nätverksgränssnittet som tilldelats programsäkerhetsgruppen finns i. Om det första nätverksgränssnittet som tilldelats en programsäkerhetsgrupp med namnet AsgWeb finns i det virtuella nätverket med namnet VNet1måste alla efterföljande nätverksgränssnitt som tilldelats ASGWeb finnas i VNet1. Du kan inte lägga till nätverksgränssnitt från olika virtuella nätverk i samma programsäkerhetsgrupp.
Om du anger en programsäkerhetsgrupp som källa och mål i en säkerhetsregel måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk.
- Ett exempel skulle vara om AsgLogic hade nätverksgränssnitt från VNet1 och AsgDb hade nätverksgränssnitt från VNet2. I det här fallet skulle det vara omöjligt att tilldela AsgLogic- som källa och AsgDb som mål i en regel. Alla nätverksgränssnitt för både käll- och målprogramsäkerhetsgrupperna måste finnas i samma virtuella nätverk.
Tips
För att minimera antalet säkerhetsregler som du behöver och behovet av att ändra reglerna planerar du de programsäkerhetsgrupper du behöver och skapar regler med hjälp av tjänsttaggar eller programsäkerhetsgrupper, i stället för enskilda IP-adresser eller INTERVALL med IP-adresser, när det är möjligt.