Azure - Visión general del Grupo de Seguridad de Aplicaciones (ASG)

Ashish Patel

Azure - Grupo de Seguridad de Aplicaciones

¿Qué es el ASG?

Normalmente, cuando se despliega un grupo de seguridad de red (NSG) se asigna a un NIC o a una subred (preferentemente). Si despliega ese NSG en una subred, las reglas se aplican a todos los NICs, o máquinas virtuales, en esa subred. Esto está bien cuando estás desplegando un nuevo sistema en el que puedes colocar fácilmente las máquinas virtuales en subredes, y tratar cada subred como su propia zona de seguridad. Pero en el mundo real, las cosas no son siempre tan limpias, y podrías necesitar algo que permita un medio más dinámico o flexible de asignar reglas a algunas máquinas en una subred.

Los ASGs se utilizan dentro de una NSG para aplicar una regla de seguridad de red a una carga de trabajo específica o a un grupo de VMs - definidos por el ASG trabajado como el "objeto de red" y las direcciones IP explícitas se añaden a este objeto. Esto proporciona la capacidad de agrupar VMs en grupos o cargas de trabajo asociadas, simplificando el proceso de definición de reglas NSG. Otro gran uso de esto es para la escalabilidad, la creación de la máquina virtual y la asignación de la máquina virtual recién creada a su ASG le proporcionará todas las reglas NSG en su lugar para ese ASG específico - ¡cero distribución a su servicio!

Puntos clave de ASG

  • Los grupos de seguridad de Azure nos permiten definir políticas de seguridad de red de grano fino basadas en cargas de trabajo, centralizadas en aplicaciones, en lugar de direcciones IP explícitas.
  • Los ASGs proporcionan la capacidad de agrupar las VMs con monitores y asegurar nuestras aplicaciones filtrando el tráfico.
  • Al aplicar controles de tráfico de seguridad granulares, podemos mejorar el aislamiento de las cargas de trabajo y protegerlas individualmente.
  • Si se produce una brecha, este método limita el impacto potencial de la exploración lateral de nuestras redes por parte de los hackers.
  • La definición de seguridad se simplifica cuando se utilizan los ASG.
  • Podemos definir grupos de aplicaciones proporcionando un nombre descriptivo que se ajuste a nuestra arquitectura.
  • Podemos utilizarlo como queramos, es decir, para aplicaciones, sistemas, entornos, tipos de carga de trabajo, niveles o incluso cualquier tipo de función.
  • Podemos definir una única colección de reglas utilizando ASGs y NSGs. Sólo tenemos que aplicar una única NSG a toda nuestra red virtual en todas las subredes.
  • De esta manera, al definir una única NSG, nos da una visibilidad completa de todas las políticas de tráfico y un único lugar para la gestión. Por lo tanto, reduce el tedioso trabajo.

Ventajas del uso de los ASG:

  • Podemos escalar a nuestro propio ritmo. Mientras desplegamos las VMs, podemos hacerlas miembros de los ASGs apropiados.
  • Si la VM está ejecutando más de una carga de trabajo, podemos simplemente asignar múltiples ASGs.
  • El acceso se concede siempre en función de las cargas de trabajo.
  • No tenemos que preocuparnos por la definición de seguridad nunca más.
  • El punto más importante a destacar es que podemos implementar un modelo de confianza cero. Es decir, podemos limitar el acceso a los flujos de aplicaciones que están explícitamente permitidos.
  • Los ASGs introducen la capacidad de desplegar múltiples aplicaciones dentro de la misma subred y también aislar el tráfico basado en los ASGs.
  • Con el uso de los Grupos de Seguridad de Azure, se puede reducir el número de Grupos de Seguridad de Red en nuestra suscripción.
  • En algunos casos, resulta tan útil que puede utilizar una única NSG para varias subredes de su red virtual.

Asociar máquinas virtuales

Un grupo de seguridad de aplicaciones es una colección lógica de máquinas virtuales (NIC). Las máquinas virtuales se unen al grupo de seguridad de aplicaciones y, a continuación, se utiliza el grupo de seguridad de aplicaciones como origen o destino en las reglas de NSG.

La hoja de red de las propiedades de la máquina virtual tiene un nuevo botón llamado Configurar los grupos de seguridad de la aplicación para cada NIC en la máquina virtual. Si hace clic en este botón, aparecerá una hoja emergente y podrá seleccionar a qué grupos de seguridad de aplicaciones (ninguno, uno, varios) debe unirse esta NIC y, a continuación, hacer clic en Guardar para confirmar el cambio.

Una máquina virtual puede estar asociada a más de un grupo de seguridad de aplicaciones. Esto ayuda en los casos de servidores multiaplicación.

Los siguientes requisitos se aplican a la creación y uso de los ASG:

  • Todas las interfaces de red utilizadas en un ASG deben estar dentro de la misma VNet
  • Si se utilizan ASG en el origen y el destino, deben estar dentro de la misma VNet

Creación de reglas NSG

Ahora puede abrir un NSG y crear reglas de entrada o salida que utilicen el grupo de seguridad de aplicaciones como origen o destino, y por lo tanto utilice las NIC de las máquinas virtuales asociadas como orígenes y destinos. El origen y el destino en la nueva hoja de reglas le permiten seleccionar cualquier grupo de seguridad de aplicaciones en la misma región.

A medida que se añaden, eliminan o actualizan máquinas virtuales, la sobrecarga de gestión que se requiere para mantener la NSG puede llegar a ser bastante considerable. Aquí es donde entran en juego los ASG para simplificar la creación de la regla NSG y el mantenimiento continuo de la misma. En lugar de definir prefijos de IP, se crea un ASG y se utiliza dentro de la regla NSG. La plataforma Azure se encarga del resto determinando las IPs que están cubiertas dentro del ASG.

A medida que las interfaces de red de las máquinas virtuales se añaden al ASG, las reglas de seguridad de red efectivas se aplican sin necesidad de actualizar la propia regla NSG.

Resumen

Los grupos de seguridad de aplicaciones facilitan el control de la seguridad de Capa 4 utilizando NSGs para redes planas. Puede unir/eliminar rápida y fácilmente NICs (máquinas virtuales) a/desde un grupo de seguridad de aplicaciones y aplicar/eliminar dinámicamente reglas a esos NICs. Esto debería ser muy útil en escenarios de lift-and-shift y DR en Azure.