Grupos de seguridad de aplicacionesApplication security groups

Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La plataforma controla la complejidad de las direcciones IP explícitas y de varios conjuntos de reglas, lo que le permite centrarse en su lógica de negocios.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Para entender mejor los grupos de seguridad de aplicaciones, considere el ejemplo siguiente:To better understand application security groups, consider the following example:

Grupos de seguridad de aplicaciones

En la imagen anterior, NIC1 y NIC2 son miembros del grupo de seguridad de aplicaciones AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 es miembro del grupo de seguridad de aplicaciones AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 es miembro del grupo de seguridad de aplicaciones AsgDb.NIC4 is a member of the AsgDb application security group. Aunque cada interfaz de red de este ejemplo solo es miembro de un grupo de seguridad de aplicaciones, una interfaz de red puede ser miembro de varios grupos de seguridad de aplicaciones, hasta los límites de Azure.Though each network interface in this example is a member of only one network security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ninguna de las interfaces de red tiene un grupo de seguridad de red asociado.None of the network interfaces have an associated network security group. NSG1 está asociado a ambas subredes y contiene las siguientes reglas:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Esta regla es necesaria para permitir el tráfico de Internet a los servidores web.This rule is needed to allow traffic from the internet to the web servers. Dado que la regla de seguridad predeterminada DenyAllInbound deniega el tráfico entrante desde Internet, no es necesaria ninguna regla adicional para los grupos de seguridad de aplicaciones AsgLogic y AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Dado que la regla de seguridad predeterminada AllowVNetInBound permite todas las comunicaciones entre los recursos de la misma red virtual, se necesita esta regla para denegar el tráfico desde todos los recursos.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
120120 * * AsgDbAsgDb 14331433 AnyAny DenegarDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Esta regla permite el tráfico desde el grupo de seguridad de aplicaciones AsgLogic al grupo de seguridad de aplicaciones AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. La prioridad de esta regla es mayor que la prioridad de la regla Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Como resultado, esta regla se procesa antes que la regla Deny-Database-All, por lo que se permite el tráfico del grupo de seguridad de aplicaciones AsgLogic, mientras que el resto del tráfico es bloqueado.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Las reglas que especifican un grupo de seguridad de aplicaciones como origen o destino solo se aplican a las interfaces de red que son miembros del grupo de seguridad de aplicaciones.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Si la interfaz de red no es miembro de un grupo de seguridad de aplicaciones, la regla no se aplica a la interfaz de red aunque el grupo de seguridad de red esté asociado a la subred.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Los grupos de seguridad de aplicaciones presentan las siguientes restricciones:Application security groups have the following constraints:

  • Hay límites en el número de grupos de seguridad de aplicaciones que puede tener en una suscripción, así como otros límites relacionados con los grupos de seguridad de aplicaciones.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.
  • En Azure Portal, puede especificar solo un grupo de seguridad de aplicaciones como el origen y el destino en una regla de seguridad.In the Azure portal, you can specify only one application security group as the source and destination in a security rule. En la API REST (incluido PowerShell/CLI de Azure), puede especificar varios grupos de seguridad de aplicaciones en el origen o el destino.In the REST API (including PowerShell/Azure CLI), you can specify multiple application security groups in the source or destination.
  • Todas las interfaces de red asignadas a un grupo de seguridad de aplicaciones deben existir en la misma red virtual en la que se encuentra la primera interfaz de red asignada a dicho grupo.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Por ejemplo, si la primera interfaz de red asignada a un grupo de seguridad de aplicaciones llamado AsgWeb está en la red virtual llamada VNet1, todas las sucesivas interfaces de red asignadas a ASGWeb deben existir en VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. No se pueden agregar interfaces de red de distintas redes virtuales al mismo grupo de seguridad de aplicaciones.You cannot add network interfaces from different virtual networks to the same application security group.
  • Si especifica grupos de seguridad de aplicaciones como origen y destino de una regla de seguridad, las interfaces de red de ambos grupos de seguridad de aplicaciones deben existir en la misma red virtual.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Por ejemplo, si AsgLogic contiene interfaces de red de VNet1 y AsgDb contiene interfaces de red de VNet2, no puede asignar AsgLogic como origen y AsgDb como destino en una regla.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Todas las interfaces de red para los grupos de seguridad de aplicaciones de origen y de destino deben existir en la misma red virtual.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Sugerencia

Para minimizar el número de reglas de seguridad que necesita y la necesidad de cambiar las reglas, planee los grupos de seguridad de aplicaciones que necesita y cree reglas mediante etiquetas de servicio o grupos de seguridad de aplicaciones en lugar de direcciones IP individuales o intervalos de direcciones IP siempre que sea posible.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Pasos siguientesNext steps