Uygulama güvenliği grupları

Uygulama güvenlik grupları ağ güvenliğini uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza imkan vererek sanal makineleri gruplamanızı ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanızı sağlar. Açık IP adreslerinin bakımını el ile yapmanıza gerek kalmadan güvenlik ilkesini farklı ölçeklerde yeniden kullanabilirsiniz. Platform açık IP adreslerinin ve birden fazla kural kümesinin karmaşık süreçlerini üstlenerek iş mantığınıza odaklanmanızı sağlar. Uygulama güvenlik gruplarını daha iyi anlamak için aşağıdaki örneği inceleyin:

Uygulama güvenlik gruplarının diyagramı.

Yukarıdaki resimde NIC1 ve NIC2, AsgWeb uygulama güvenlik grubunun üyeleridir. NIC3, AsgLogic uygulama güvenlik grubunun üyesidir. NIC4, AsgDb uygulama güvenlik grubunun üyesidir. Bu örnekteki her ağ arabirimi (NIC) yalnızca bir uygulama güvenlik grubunun üyesi olsa da, ağ arabirimi Azure sınırlarına kadar birden çok uygulama güvenlik grubunun üyesi olabilir. Ağ arabirimlerinin hiçbiri bir ağ güvenlik grubuyla ilişkilendirilmemiştir. NSG1, iki alt ağ ile de ilişkilendirilmiştir ve aşağıdaki kuralları içerir:

Allow-HTTP-Inbound-Internet

Bu kural, internetten Web sunucularına gelen trafiğe izin vermek için kullanılır. İnternet'ten gelen trafik DenyAllInbound varsayılan güvenlik kuralı tarafından reddedildiğinden, AsgLogic veya AsgDb uygulama güvenlik grupları için ek kural gerekmez.

Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
100 İnternet * AsgWeb 80 TCP İzin Ver

Deny-Database-All

AllowVNetInBound varsayılan güvenlik kuralı aynı sanal ağ içinde bulunan kaynaklar arasındaki tüm iletişime izin verdiğinden, tüm kaynaklardan gelen trafiği reddetmek için bu kurala ihtiyaç duyulur.

Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
120 * * AsgDb 1433 Herhangi biri Reddet

Allow-Database-BusinessLogic

Bu kural AsgLogic uygulama güvenlik grubundan AsgDb uygulama güvenlik grubuna gelen trafiğe izin verir. Bu kuralın önceliği, Deny-Database-All kuralının önceliğinden daha yüksektir. Sonuç olarak bu kural, Deny-Database-All kuralından önce işlenir ve böylece AsgLogic uygulama güvenlik grubundan gelen trafiğe izin veriler ve diğer tüm trafik engellenir.

Öncelik Kaynak Kaynak bağlantı noktaları Hedef Hedef bağlantı noktaları Protokol Access
110 AsgLogic * AsgDb 1433 TCP İzin Ver

Uygulama güvenlik grubunun üyesi olan ağ arabirimleri, bunu kaynak veya hedef olarak belirten kuralları uygular. Kurallar diğer ağ arabirimlerini etkilemez. Ağ arabirimi bir uygulama güvenlik grubunun üyesi değilse, ağ güvenlik grubu alt ağ ile ilişkili olsa bile kural ağ arabirimine uygulanmaz.

Uygulama güvenlik grupları aşağıdaki sınırlamalara sahiptir:

  • Bir abonelikte sahip olabileceğiniz uygulama güvenlik gruplarının sayısı ve uygulama güvenlik gruplarıyla ilgili diğer sınırlar vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.

  • Bir uygulama güvenlik grubuna atanan tüm ağ arabirimleri, uygulama güvenlik grubuna atanmış ilk ağ arabirimiyle aynı sanal ağda olmalıdır. Örneğin, ilk ağ arabirimi VNet1 adlı sanal ağdaki AsgWeb adlı bir uygulama güvenlik grubuna atanmışsa ASGWeb’e atanan sonraki tüm ağ arabirimleri VNet1’de olmalıdır. Farklı sanal ağlardan ağ arabirimlerini aynı uygulama güvenlik grubuna ekleyemezsiniz.

  • Uygulama güvenlik grubunu bir güvenlik kuralında kaynak ve hedef olarak belirtirseniz iki uygulama güvenlik grubundaki ağ arabirimlerinin de aynı sanal ağda bulunması gerekir.

    • AsgLogic'in VNet1'den ağ arabirimleri, AsgDb'nin ise VNet2'den ağ arabirimleri olması buna örnek olabilir. Bu durumda, asgLogic'i kaynak olarak, AsgDb'yi de bir kuralda hedef olarak atamak mümkün değildir. Hem kaynak hem de hedef uygulama güvenlik gruplarının tüm ağ arabirimlerinin aynı sanal ağ içinde bulunması gerekir.

İpucu

İhtiyacınız olan güvenlik kuralı sayısını ve kural değiştirme gereksinimini en aza indirmek için, gereken uygulama güvenlik gruplarını planlarken ve kuralları oluştururken tek IP adreslerini veya IP adresi aralıklarını kullanmak yerine hizmet etiketlerini ya da uygulama güvenlik gruplarını kullanın.

Sonraki adımlar