Skip to content

Application Security Group (ASG)

Un Application Security Group es como tener etiquetas de colores para organizar tus servidores por función, sin importar dónde estén físicamente. Imagina que tienes varios servidores web, varios servidores de base de datos y varios servidores de aplicación distribuidos en diferentes lugares. En lugar de recordar la dirección IP de cada uno para configurar las reglas de seguridad, simplemente dices "todos los servidores web" o "todos los servidores de base de datos". Es como tener grupos de WhatsApp: no necesitas saber el número de teléfono de cada persona, solo agregas al grupo y todos reciben el mismo mensaje. Así, cuando configuras las reglas de seguridad, solo mencionas el grupo y automáticamente se aplica a todas las máquinas de ese grupo, sin importar si cambian de IP o se mueven a otra subred.

Definición

Un Application Security Group (ASG) es una agrupación lógica de máquinas virtuales que permite administrar reglas de seguridad de red de manera centralizada como una sola unidad.

Permite:

  • Agrupar VMs por función o rol sin importar su dirección IP
  • Referenciar grupos de VMs en reglas de NSG en lugar de IPs individuales
  • Administración centralizada de seguridad sin configurar máquina por máquina
  • Simplificar reglas de NSG usando nombres descriptivos en lugar de rangos de IP
  • Escalar y mover VMs sin modificar reglas de seguridad

Componentes

Agrupación Lógica – Agrupación de VMs basada en función o rol, no en ubicación física

Asociación a NIC – El ASG se asocia a la interfaz de red (NIC) de una VM

Referencia en NSG – El ASG se usa como origen o destino en reglas de NSG

Nombre Descriptivo – Nombre que identifica la función del grupo (ej: WebServers, DatabaseServers)

Sin Reglas Propias – El ASG no contiene reglas, solo agrupa VMs para uso en NSG

Funcionalidad

  1. Se crea un Application Security Group con un nombre descriptivo que identifica su función
  2. Se asocia el ASG a la interfaz de red (NIC) de las VMs que cumplen esa función
  3. En un NSG, se crean reglas que usan el ASG como origen o destino en lugar de direcciones IP
  4. Cuando se evalúa una regla de NSG, Azure resuelve el ASG a todas las IPs de las VMs asociadas
  5. Las reglas se aplican automáticamente a todas las VMs del grupo
  6. Si se agrega o mueve una VM al grupo, las reglas se aplican automáticamente sin modificar el NSG

Casos de Uso

  • Agrupar servidores web para permitir tráfico HTTP/HTTPS desde Internet
  • Agrupar servidores de base de datos para restringir acceso solo desde servidores de aplicación
  • Agrupar servidores de aplicación para permitir comunicación entre capas específicas
  • Simplificar reglas de NSG cuando hay múltiples VMs con la misma función
  • Facilitar escalado horizontal agregando VMs al grupo sin modificar reglas
  • Administrar seguridad basada en roles de aplicación en lugar de direcciones IP

Preguntas

  1. ¿Un Application Security Group contiene reglas de seguridad propias o solo agrupa VMs lógicamente?

  2. ¿Un ASG permite agrupar máquinas virtuales por función sin depender de sus direcciones IP específicas?

  3. ¿Se puede usar un Application Security Group como origen o destino en las reglas de un NSG?

  4. ¿Al agregar una VM a un ASG, las reglas del NSG que referencian ese ASG se aplican automáticamente?

  5. ¿Un ASG simplifica la administración de seguridad al evitar configurar reglas máquina por máquina?