Gruppi di sicurezza delle applicazioniApplication security groups

I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La piattaforma gestisce la complessità degli indirizzi IP espliciti e di più set di regole, consentendo all'utente di concentrarsi sulla logica di business.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Per comprendere meglio i gruppi di sicurezza delle applicazioni, considerare l'esempio seguente:To better understand application security groups, consider the following example:

Gruppi di sicurezza delle applicazioni

Nell'immagine precedente, NIC1 e NIC2 sono membri del gruppo di sicurezza delle applicazioni AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 è un membro del gruppo di sicurezza delle applicazioni AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 è un membro del gruppo di sicurezza delle applicazioni AsgDb.NIC4 is a member of the AsgDb application security group. Sebbene ogni interfaccia di rete in questo esempio sia un membro di un solo gruppo di sicurezza di rete, un'interfaccia di rete può essere un membro di più gruppi di sicurezza delle applicazioni, fino ai limiti di Azure.Though each network interface in this example is a member of only one network security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Nessuna delle interfacce di rete ha un gruppo di sicurezza di rete associato.None of the network interfaces have an associated network security group. NSG1 è associato a entrambe le subnet e contiene le regole seguenti:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Questa regola è necessaria per consentire il traffico da Internet verso i server Web.This rule is needed to allow traffic from the internet to the web servers. Dato che il traffico in ingresso da Internet viene negato dalla regola di sicurezza predefinita DenyAllInbound, non sono necessarie regole aggiuntive per i gruppi di sicurezza delle applicazioni AsgLogic o AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Dato che la regola di sicurezza predefinita AllowVNetInBound consente tutte le comunicazioni tra le risorse nella stessa rete virtuale, questa regola è necessaria per negare il traffico da tutte le risorse.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 QualsiasiAny NegaDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Questa regola consente il traffico dal gruppo di sicurezza delle applicazioni AsgLogic al gruppo di sicurezza delle applicazioni AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. La priorità di questa regola è superiore a quella della regola Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Di conseguenza, questa regola viene elaborata prima della regola Deny-Database-All, quindi il traffico dal gruppo di sicurezza delle applicazioni AsgLogic è consentito, mentre tutto il resto del traffico è bloccato.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioritàPriority Source (Sorgente)Source Porte di origineSource ports DestinationDestination Porte di destinazioneDestination ports ProtocolloProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Le regole che specificano un gruppo di sicurezza delle applicazioni come origine o destinazione vengono applicate solo alle interfacce di rete che sono membri del gruppo di sicurezza delle applicazioni.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Se l'interfaccia di rete non è membro di un gruppo di sicurezza delle applicazioni, la regola non viene applicata all'interfaccia di rete, anche se il gruppo di sicurezza di rete è associato alla subnet.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

I gruppi di sicurezza delle applicazioni hanno i vincoli seguenti:Application security groups have the following constraints:

  • Esistono limiti al numero di gruppi di sicurezza delle applicazioni in una sottoscrizione, oltre ad altri limiti correlati ai gruppi di sicurezza delle applicazioni.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Per informazioni dettagliate, vedere Limiti di Azure.For details, see Azure limits.
  • Nella portale di Azure è possibile specificare un solo gruppo di sicurezza delle applicazioni come origine e destinazione in una regola di sicurezza.In the Azure portal, you can specify only one application security group as the source and destination in a security rule. Nell'API REST (incluso PowerShell/interfaccia della riga di comando di Azure) è possibile specificare più gruppi di sicurezza delle applicazioni nell'origine o nella destinazione.In the REST API (including PowerShell/Azure CLI), you can specify multiple application security groups in the source or destination.
  • Tutte le interfacce di rete assegnate a un gruppo di sicurezza delle applicazioni devono esistere nella stessa rete virtuale in cui si trova la prima interfaccia di rete assegnata al gruppo di sicurezza delle applicazioni.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Se ad esempio la prima interfaccia di rete assegnata a un gruppo di sicurezza delle applicazioni denominato AsgWeb si trova nella rete virtuale denominata VNet1, tutte le interfacce di rete successive assegnate a ASGWeb devono trovarsi in VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Non è possibile aggiungere interfacce di rete da reti virtuali diverse allo stesso gruppo di sicurezza delle applicazioni.You cannot add network interfaces from different virtual networks to the same application security group.
  • Se si specifica un gruppo di sicurezza delle applicazioni come origine e destinazione in una regola di sicurezza, le interfacce di rete in entrambi i gruppi di sicurezza delle applicazioni devono trovarsi nella stessa rete virtuale.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Se ad esempio AsgLogic contenesse interfacce di rete di VNet1 e AsgDb contenesse interfacce di rete di VNet2, non sarebbe possibile assegnare AsgLogic come origine e AsgDb come destinazione in una regola.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Tutte le interfacce di rete per i gruppi di sicurezza delle applicazioni di origine e di destinazione devono esistere nella stessa rete virtuale.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Suggerimento

Per ridurre al minimo il numero di regole di sicurezza e la necessità di modificarle, pianificare i gruppi di sicurezza delle applicazioni necessari e creare regole usando tag di servizio o gruppi di sicurezza delle applicazioni, anziché singoli indirizzi IP o intervalli di indirizzi IP, quando possibile.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Passaggi successiviNext steps