Grupos de segurança de aplicaçõesApplication security groups

Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. A plataforma lida com a complexidade dos endereços IP explícitos e dos múltiplos conjuntos de regras, permitindo-lhe focar-se na lógica de negócio.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Para compreender melhor os grupos de segurança de rede, considere o exemplo seguinte:To better understand application security groups, consider the following example:

Grupos de segurança de aplicações

Na imagem anterior, NIC1 e NIC2 são membros do grupo de segurança de rede AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 é membro do grupo de segurança de rede AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 é membro do grupo de segurança de rede AsgDb.NIC4 is a member of the AsgDb application security group. Embora cada interface de rede neste exemplo seja membro de apenas um grupo de segurança de rede, uma interface de rede pode ser membro de vários grupos de segurança de aplicações, até aos limites do Azure.Though each network interface in this example is a member of only one network security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Não está associado nenhum grupo de segurança de rede às interfaces de rede.None of the network interfaces have an associated network security group. NSG1 está associado a ambas as sub-redes e contém as seguintes regras:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Esta regra é necessária para permitir o tráfego da Internet para os servidores Web.This rule is needed to allow traffic from the internet to the web servers. Uma vez que o tráfego de entrada a partir da Internet é negado pela regra de segurança DenyAllInbound predefinida, não é necessária qualquer regra adicional para os grupos de segurança de aplicações AsgLogic ou AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP PermitirAllow

Deny-Database-AllDeny-Database-All

Uma vez que a regra de segurança predefinida AllowVNetInBound permite todas as comunicações entre recursos na mesma rede virtual, esta regra é necessária para negar o tráfego de todos os recursos.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 QualquerAny NegarDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Esta regra permite o tráfego do grupo de segurança de aplicações AsgLogic para o grupo de segurança de aplicações AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. A prioridade desta regra é mais alta do que a da regra Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Como resultado, esta regra é processada antes da regra Deny-Database-All, de modo a que o tráfego do grupo de segurança de aplicações AsgLogic seja permitido, ao passo que o restante tráfego é bloqueado.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP PermitirAllow

As regras que especifiquem grupos de segurança de aplicações como a origem ou o destino só são aplicadas às interfaces de rede que são membros do grupo de segurança de aplicações.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Se a interface de rede não for membro de um grupo de segurança de aplicações, a regra não é aplicada à interface de rede, mesmo que o grupo de segurança de rede esteja associado à sub-rede.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Os grupos de segurança de aplicação têm as seguintes restrições:Application security groups have the following constraints:

  • Há limites ao número de grupos de segurança de rede que podem ser incluídos numa subscrição, bem como outros limites relacionados com os grupos de segurança de aplicações.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Para obter mais detalhes, veja Limites do Azure.For details, see Azure limits.
  • No portal Azure, pode especificar apenas um grupo de segurança de aplicação como a fonte e destino numa regra de segurança.In the Azure portal, you can specify only one application security group as the source and destination in a security rule. Na API REST (incluindo PowerShell/Azure CLI), pode especificar vários grupos de segurança de aplicações na fonte ou destino.In the REST API (including PowerShell/Azure CLI), you can specify multiple application security groups in the source or destination.
  • Todas as interfaces de rede atribuídas a um grupo de segurança de aplicações têm de existir na mesma rede virtual em que se encontra a primeira interface de rede atribuída ao grupo de segurança da aplicação.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Por exemplo, se a primeira interface de rede atribuída a um grupo de segurança de aplicações denominado AsgWeb estiver na rede virtual denominada VNet1, todas interfaces de rede subsequentes atribuídas a ASGWeb têm de existir em VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Não é possível adicionar interfaces de rede de redes virtuais diferentes ao mesmo grupo de segurança de aplicação.You cannot add network interfaces from different virtual networks to the same application security group.
  • Se especificar um grupo de segurança de aplicação como a origem e o destino numa regra de segurança, as interfaces de rede em ambos os grupos de segurança de aplicações têm de existir na mesma rede virtual.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Por exemplo, se AsgLogic contivesse interfaces de rede de VNet1 e AsgDb contivesse interfaces de rede de VNet2, não poderia atribuir AsgLogic como a origem e AsgDb como o destino numa regra.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Todas as interfaces de rede para os grupos de segurança de origem e de destino têm de estar na mesma rede virtual.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Dica

Para minimizar o número de regras de segurança de que precisa, bem como a necessidade de as alterar, planei os grupos de segurança de aplicações de que precisa e crie regras com etiquetas de serviço ou grupos de segurança de aplicações em vez de endereços IP individuais ou intervalos de endereços IP, sempre que possível.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Passos seguintesNext steps