Uygulama güvenlik gruplarını uygulama

  • 4 dakika

Sanal makinelerinizi iş yüküne göre mantıksal olarak gruplandırmak için Azure sanal ağınızda uygulama güvenlik grupları uygulayabilirsiniz. Ardından ağ güvenlik grubu kurallarınızı uygulama güvenlik gruplarınıza göre tanımlayabilirsiniz.

Uygulama güvenlik gruplarını kullanma hakkında bilinmesi gerekenler

Uygulama güvenlik grupları ağ güvenlik gruplarıyla aynı şekilde çalışır, ancak altyapınıza bakmak için uygulama merkezli bir yol sağlar. Sanal makinelerinizi bir uygulama güvenlik grubuna eklersiniz. Ardından uygulama güvenlik grubunu ağ güvenlik grubu kurallarında kaynak veya hedef olarak kullanırsınız.

Şimdi çevrimiçi bir satıcı için yapılandırma oluşturarak uygulama güvenlik gruplarının nasıl uygulanduğunu inceleyelim. Örnek senaryomuzda, uygulama güvenlik gruplarındaki sanal makinelere yönelik ağ trafiğini denetlememiz gerekir.

Diagram that shows how application security groups combine with network security groups to protect applications.

Senaryo gereksinimleri

Örnek yapılandırmamız için senaryo gereksinimleri şunlardır:

  • Yapılandırmamızda iki web sunucusu ve iki veritabanı sunucusu bulunan altı sanal makinemiz var.
  • Müşteriler web sunucularımızda barındırılan çevrimiçi kataloğa erişmektedir.
  • Web sunucularına HTTP bağlantı noktası 80 ve HTTPS bağlantı noktası 443 üzerinden İnternet'ten erişilebilir olmalıdır.
  • Envanter bilgileri veritabanı sunucularımızda depolanır.
  • Veritabanı sunucularına HTTPS bağlantı noktası 1433 üzerinden erişilebilir olmalıdır.
  • Veritabanı sunucularımıza yalnızca web sunucularımızın erişimi olmalıdır.

Çözüm

Senaryomuz için aşağıdaki yapılandırmayı derlememiz gerekir:

  1. Sanal makineler için uygulama güvenlik grupları oluşturun.

    1. Web sunucusu makinelerimizi gruplandırmak için adlı WebASG bir uygulama güvenlik grubu oluşturun.

    2. Veritabanı sunucu makinelerimizi gruplandırmak için adlı DBASG bir uygulama güvenlik grubu oluşturun.

  2. Sanal makineler için ağ arabirimlerini atayın.

    • Her sanal makine sunucusu için NIC'sini uygun uygulama güvenlik grubuna atayın.

  3. Ağ güvenlik grubunu ve güvenlik kurallarını oluşturun.

    • Kural 1: Önceliği 100 olarak ayarlayın. HTTP bağlantı noktası 80 ve HTTPS bağlantı noktası 443'ten gruptaki WebASG makinelere İnternet'ten erişim izni verin.

      Kural 1 en düşük öncelik değerine sahip olduğundan gruptaki diğer kurallardan önceliklidir. Çevrimiçi kataloğumuza müşteri erişimi tasarımımızda çok önemlidir.

    • Kural 2: Önceliği 110 olarak ayarlayın. Https bağlantı noktası 1433 üzerinden gruptaki WebASG makinelerden gruptaki DBASG makinelere erişime izin verin.

    • Kural 3: Önceliği 120 olarak ayarlayın. HTTPS bağlantı noktası 1433 üzerinden gruptaki DBASG makinelere her yerden (X) erişimi reddedin.

      Kural 2 ve Kural 3'ün birleşimi, veritabanı sunucularımıza yalnızca web sunucularımızın erişebilmesini sağlar. Bu güvenlik yapılandırması, envanter veritabanlarımızı dış saldırılara karşı korur.

Uygulama güvenlik gruplarını kullanırken dikkat edilmesi gerekenler

Sanal ağlarınızda uygulama güvenlik gruplarını uygulamanın çeşitli avantajları vardır.

  • IP adresi bakımını göz önünde bulundurun. Ağ trafiğini uygulama güvenlik gruplarını kullanarak denetlediğinizde, belirli IP adresleri için gelen ve giden trafiği yapılandırmanız gerekmez. Yapılandırmanızda çok sayıda sanal makine varsa, etkilenen tüm IP adreslerini belirtmek zor olabilir. Yapılandırmanızı sürdürürken sunucularınızın sayısı değişebilir. Bu değişiklikler, güvenlik kurallarınızda farklı IP adreslerini nasıl desteklediğinizi değiştirmenizi gerektirebilir.

  • Alt ağ olmadığını göz önünde bulundurun. Sanal makinelerinizi uygulama güvenlik grupları halinde düzenleyerek sunucularınızı belirli alt ağlara dağıtmanız da gerekmez. Mantıksal gruplandırmalar elde etmek için sunucularınızı uygulamaya ve amaca göre düzenleyebilirsiniz.

  • Basitleştirilmiş kuralları göz önünde bulundurun. Uygulama güvenlik grupları, birden çok kural kümesi gereksinimini ortadan kaldırmaya yardımcı olur. Her sanal makine için ayrı bir kural oluşturmanız gerekmez. Belirlenen uygulama güvenlik gruplarına dinamik olarak yeni kurallar uygulayabilirsiniz. Yeni güvenlik kuralları, belirtilen uygulama güvenlik grubundaki tüm sanal makinelere otomatik olarak uygulanır.

  • İş yükü desteğini göz önünde bulundurun. Uygulama güvenlik gruplarını uygulayan bir yapılandırmanın bakımı ve anlaşılması kolaydır çünkü kuruluş iş yükü kullanımını temel alır. Uygulama güvenlik grupları uygulamalarınız, hizmetleriniz, veri depolamanız ve iş yükleriniz için mantıksal düzenlemeler sağlar.