Implementare gruppi di sicurezza delle applicazioni

  • 4 minuti

È possibile implementare i gruppi di sicurezza delle applicazioni nella rete virtuale di Azure per raggruppare logicamente le macchine virtuali in base al carico di lavoro. È quindi possibile definire le regole del gruppo di sicurezza di rete in base ai gruppi di sicurezza delle applicazioni.

Informazioni utili sull'uso dei gruppi di sicurezza delle applicazioni

I gruppi di sicurezza delle applicazioni funzionano allo stesso modo dei gruppi di sicurezza di rete, ma offrono un approccio all'infrastruttura incentrato sulle applicazioni. Le macchine virtuali vengono aggiunte a un gruppo di sicurezza delle applicazioni. Si usa quindi il gruppo di sicurezza delle applicazioni come origine o destinazione nelle regole del gruppo di sicurezza di rete.

Verrà ora illustrato come implementare i gruppi di sicurezza delle applicazioni creando una configurazione per un rivenditore online. Nello scenario di esempio è necessario controllare il traffico di rete verso le macchine virtuali nei gruppi di sicurezza delle applicazioni.

Diagram that shows how application security groups combine with network security groups to protect applications.

Requisiti dello scenario

Ecco i requisiti dello scenario per la configurazione di esempio:

  • Nella configurazione sono presenti sei macchine virtuali con due server Web e due server di database.
  • I clienti accedono al catalogo online ospitato nei server Web.
  • I server Web devono essere accessibili da Internet tramite la porta HTTP 80 e la porta HTTPS 443.
  • Le informazioni sull'inventario sono archiviate nei server di database.
  • I server di database devono essere accessibili sulla porta HTTPS 1433.
  • Solo i server Web devono avere accesso ai server di database.

Soluzione

Per lo scenario, è necessario creare la configurazione seguente:

  1. Creare gruppi di sicurezza delle applicazioni per le macchine virtuali.

    1. Creare un gruppo di sicurezza delle applicazioni denominato WebASG per raggruppare i server Web.

    2. Creare un gruppo di sicurezza delle applicazioni denominato DBASG per raggruppare i server di database.

  2. Assegnare le interfacce di rete per le macchine virtuali.

    • Per ogni server di macchine virtuali, assegnare la relativa scheda di interfaccia di rete al gruppo di sicurezza delle applicazioni appropriato.

  3. Creare il gruppo di sicurezza di rete e le regole di sicurezza.

    • Regola 1: impostare Priorità su 100. Consentire l'accesso da Internet ai computer nel gruppo WebASG dalla porta HTTP 80 e dalla porta HTTPS 443.

      La regola 1 ha il valore di priorità più basso, quindi ha la precedenza sulle altre regole del gruppo. L'accesso dei clienti al catalogo online è di fondamentale importanza.

    • Regola 2: impostare Priorità su 110. Consentire l'accesso dai computer nel gruppo WebASG ai computer nel gruppo DBASG sulla porta HTTPS 1433.

    • Regola 3: impostare Priorità su 120. Negare l'accesso (X) da qualsiasi posizione ai computer nel gruppo DBASG sulla porta HTTPS 1433.

      La combinazione di Regola 2 e Regola 3 garantisce che solo i server Web possano accedere ai server di database. Questa configurazione di sicurezza protegge i database di inventario da attacchi esterni.

Aspetti da considerare quando si usano i gruppi di sicurezza delle applicazioni

L'implementazione dei gruppi di sicurezza delle applicazioni nelle reti virtuali offre numerosi vantaggi.

  • Gestione degli indirizzi IP. Quando si controlla il traffico di rete usando i gruppi di sicurezza delle applicazioni, non è necessario configurare il traffico in ingresso e in uscita per indirizzi IP specifici. Se nella configurazione sono presenti molte macchine virtuali, può essere difficile specificare tutti gli indirizzi IP interessati. Il numero di server della configurazione potrebbe cambiare. Queste modifiche possono richiedere di modificare il modo in cui si supportano indirizzi IP diversi nelle regole di sicurezza.

  • Nessuna subnet. Organizzando le macchine virtuali in gruppi di sicurezza delle applicazioni, non è necessario distribuire anche i server tra subnet specifiche. È possibile disporre i server in base all'applicazione e allo scopo di ottenere raggruppamenti logici.

  • Regole semplificate. I gruppi di sicurezza delle applicazioni consentono di eliminare la necessità di più set di regole. Non è necessario creare una regola separata per ogni macchina virtuale. È possibile applicare le nuove regole ai gruppi di sicurezza delle applicazioni designati in modo dinamico. Le nuove regole di sicurezza vengono applicate automaticamente a tutte le macchine virtuali nel gruppo di sicurezza delle applicazioni specificato.

  • Supporto dei carichi di lavoro. Una configurazione che implementa i gruppi di sicurezza delle applicazioni è facile da gestire e comprendere perché l'organizzazione è basata sull'utilizzo dei carichi di lavoro. I gruppi di sicurezza delle applicazioni forniscono disposizioni logiche per le applicazioni, i servizi, l'archiviazione dei dati e i carichi di lavoro.