Grupos de segurança do aplicativoApplication security groups

Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. A plataforma lida com a complexidade de endereços IP explícitos e vários conjuntos de regras, permitindo que você se concentre na sua lógica de negócios.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Para entender melhor os grupos de segurança de aplicativo, considere o exemplo abaixo:To better understand application security groups, consider the following example:

Grupos de segurança do aplicativo

Na figura anterior, NIC1 e NIC2 são membros do grupo de segurança de aplicativo AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 é um membro do grupo de segurança de aplicativo AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 é um membro do grupo de segurança de aplicativo AsgDb.NIC4 is a member of the AsgDb application security group. Embora cada adaptador de rede neste exemplo seja membro de apenas um grupo de segurança de aplicativo, um adaptador de rede pode ser membro de vários grupos de segurança de aplicativo, dentro dos limites do Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Nenhum dos adaptadores de rede tem um grupo de segurança de rede associado.None of the network interfaces have an associated network security group. NSG1 está associado a ambas as sub-redes e contém as seguintes regras:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Essa regra é necessária para permitir o tráfego da Internet para os servidores Web.This rule is needed to allow traffic from the internet to the web servers. Como o tráfego de entrada da Internet é negado pela regra de segurança padrão DenyAllInbound, nenhuma regra adicional é necessária para os grupos de segurança do aplicativo AsgLogic ou AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioridadePriority OrigemSource Portas de origemSource ports DestinationDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Já que a regra de segurança padrão AllowVNetInBound permite toda a comunicação entre recursos na mesma rede virtual, essa regra é necessária para negar o tráfego de todos os recursos.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioridadePriority OrigemSource Portas de origemSource ports DestinationDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 QualquerAny NegarDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Essa regra permite o tráfego do grupo de segurança de aplicativo AsgLogic para o grupo de segurança de aplicativo AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. A prioridade para essa regra é mais alta do que a prioridade para a regra Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Como resultado, essa regra é processada antes da regra Deny-Database-All e, portanto, o tráfego do grupo de segurança de aplicativo AsgLogic é permitido enquanto todos os outros tráfegos são bloqueados.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioridadePriority OrigemSource Portas de origemSource ports DestinationDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

As regras que especificam um grupo de segurança de aplicativo como origem ou destino são aplicadas apenas aos adaptadores de rede que são membros do grupo de segurança de aplicativo.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Se o adaptador de rede não for membro de um grupo de segurança de aplicativo, a regra não será aplicada ao adaptador de rede, mesmo que o grupo de segurança de rede esteja associado à sub-rede.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Os grupos de segurança do aplicativo têm as seguintes restrições:Application security groups have the following constraints:

  • Há limites ao número de grupos de segurança de aplicativo que você pode ter em uma assinatura, bem como outros limites relacionados aos grupos de segurança de aplicativo.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Para obter detalhes, confira Limites do Azure.For details, see Azure limits.
  • Você pode especificar um grupo de segurança do aplicativo como a origem e o destino em uma regra de segurança.You can specify one application security group as the source and destination in a security rule. Você não pode especificar vários grupos de segurança de aplicativos na origem ou no destino.You cannot specify multiple application security groups in the source or destination.
  • Todas as interfaces de rede atribuídas a um grupo de segurança do aplicativo precisam existir na mesma rede virtual que a primeira interface de rede atribuída ao grupo de segurança que o aplicativo está.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Por exemplo, se o primeiro adaptador de rede atribuído a um grupo de segurança de aplicativo chamado AsgWeb estiver na rede virtual denominada VNet1, todos os adaptadores de rede subsequentes atribuídos a ASGWeb deverão existir na VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Você não pode adicionar interfaces de rede de redes virtuais diferentes ao mesmo grupo de segurança do aplicativo.You cannot add network interfaces from different virtual networks to the same application security group.
  • Se você especificar um grupo de segurança do aplicativo como a origem e o destino em uma regra de segurança, as interfaces de rede em ambos os grupos de segurança do aplicativo deverão existir na mesma rede virtual.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Por exemplo, se AsgLogic contiver adaptadores de rede da VNet1 e AsgDb contiver adaptadores de rede da VNet2, você não poderá atribuir AsgLogic como a origem e o AsgDb como o destino em uma regra.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Todos os adaptadores de rede dos grupos de segurança de aplicativo de origem e de destino precisam existir na mesma rede virtual.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Dica

Para minimizar o número de regras de segurança necessárias e a necessidade de alterar as regras, planeje os grupos de segurança do aplicativo que serão necessários e crie regras usando marcas de serviço ou grupos de segurança de aplicativo em vez de endereços IP individuais ou intervalos de endereços IP, sempre que possível.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Próximas etapasNext steps