Kelompok keamanan aplikasi

Kelompok keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, mengizinkan Anda mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Platform ini menangani kompleksitas alamat IP eksplisit dan beberapa set aturan, sehingga memungkinkan Anda untuk fokus pada logika bisnis Anda. Untuk lebih memahami kelompok keamanan aplikasi, pertimbangkan contoh berikut:

Application security groups

Pada gambar sebelumnya, NIC1 dan NIC2 adalah anggota kelompok keamanan aplikasi AsgWeb. NIC3 adalah anggota kelompok keamanan aplikasi AsgLogic. NIC4 adalah anggota kelompok keamanan aplikasi AsgDb. Meskipun setiap antarmuka jaringan dalam contoh ini hanya merupakan anggota dari satu kelompok keamanan jaringan, antarmuka jaringan dapat menjadi anggota dari beberapa kelompok keamanan aplikasi, hingga memenuhi batas Azure. Tak satu pun dari antarmuka jaringan memiliki kelompok keamanan jaringan terkait. NSG1 terkait dengan subnet dan berisi aturan berikut:

Allow-HTTP-Inbound-Internet

Aturan ini diperlukan untuk mengizinkan lalu lintas dari internet ke server web. Karena lalu lintas masuk dari internet ditolak oleh aturan keamanan default DenyAllInbound, tidak ada aturan tambahan yang diperlukan untuk kelompok keamanan aplikasi AsgLogic atau AsgDb.

Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
100 Internet * AsgWeb 80 TCP Izinkan

Deny-Database-All

Karena aturan keamanan default AllowVNetInBound mengizinkan semua komunikasi antara sumber daya dalam jaringan virtual yang sama, aturan Deny-Database-All diperlukan untuk menolak lalu lintas dari semua sumber daya.

Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
120 * * AsgDb 1433 Apa pun Tolak

Allow-Database-BusinessLogic

Aturan ini memungkinkan lalu lintas dari kelompok keamanan aplikasi AsgLogic ke kelompok keamanan aplikasi AsgDb. Prioritas untuk aturan ini lebih tinggi daripada prioritas untuk aturan Deny-Database-All. Akibatnya, aturan ini diproses sebelum aturan Deny-Database-All, sehingga lalu lintas dari kelompok keamanan aplikasi AsgLogic diizinkan, sedangkan semua lalu lintas lainnya diblokir.

Prioritas Sumber Port sumber Tujuan Port tujuan Protokol Access
110 AsgLogic * AsgDb 1433 TCP Izinkan

Aturan yang menentukan kelompok keamanan aplikasi sebagai sumber atau tujuan hanya diterapkan pada antarmuka jaringan yang menjadi anggota kelompok keamanan aplikasi. Jika antarmuka jaringan bukan merupakan anggota kelompok keamanan aplikasi, aturan tidak diterapkan ke antarmuka jaringan, meskipun kelompok keamanan jaringan dikaitkan dengan subnet.

Kelompok keamanan aplikasi memiliki batasan berikut:

  • Ada batasan jumlah kelompok keamanan aplikasi yang dapat Anda miliki dalam langganan, serta batasan lain yang terkait dengan kelompok keamanan aplikasi. Untuk detailnya, lihat Batas Azure.
  • Semua antarmuka jaringan yang ditetapkan ke kelompok keamanan aplikasi harus berada di jaringan virtual yang sama dengan antarmuka jaringan pertama yang ditugaskan ke kelompok keamanan aplikasi di dalamnya. Misalnya, jika antarmuka jaringan pertama yang ditetapkan ke kelompok keamanan aplikasi bernama AsgWeb berada di jaringan virtual bernama VNet1, maka semua antarmuka jaringan berikutnya yang ditetapkan ke ASGWeb harus berada di VNet1. Anda tidak dapat menambahkan antarmuka jaringan dari jaringan virtual yang berbeda ke kelompok keamanan aplikasi yang sama.
  • Jika Anda menentukan kelompok keamanan aplikasi sebagai sumber dan tujuan dalam aturan keamanan, antarmuka jaringan di kedua kelompok keamanan aplikasi harus ada di jaringan virtual yang sama. Misalnya, jika AsgLogic berisi antarmuka jaringan dari VNet1, dan AsgDb berisi antarmuka jaringan dari VNet2, Anda tidak dapat menetapkan AsgLogic sebagai sumber dan AsgDb sebagai tujuan dalam aturan. Semua antarmuka jaringan untuk kelompok keamanan aplikasi sumber dan tujuan harus berada di jaringan virtual yang sama.

Tip

Untuk meminimalkan jumlah aturan keamanan yang Anda butuhkan, dan kebutuhan untuk mengubah aturan, rencanakan kelompok keamanan aplikasi yang Anda butuhkan dan buat aturan menggunakan tag layanan atau kelompok keamanan aplikasi, bukan alamat IP tersendiri, atau rentang alamat IP, jika memungkinkan.

Langkah berikutnya