Implantar grupos de segurança de rede usando o portal do Azure
Um NSG (Grupo de Segurança de Rede) no Azure permite filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.
Regras de segurança NSG
Os grupos de segurança de rede contêm zero ou tantas regras conforme pretender, dentro dos limites das subscrições do Azure. Cada regra tem essas propriedades.
- Nome. Deve ser um nome exclusivo dentro do grupo de segurança de rede.
- Prioridade. Pode ser qualquer número entre 100 e 4096. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior. Quando o tráfego corresponder a uma regra, o processamento para. A
- Origem ou destino. Pode ser definido como Qualquer ou um endereço IP individual, ou bloco de roteamento entre domínios sem classe (CIDR) (10.0.0.0/24, por exemplo), etiqueta de serviço ou grupo de segurança de aplicativo.
- Protocolo. Pode ser TCP, UDP, ICMP, ESP, AH ou Qualquer.
- Direção. Pode ser configurado para ser aplicado ao tráfego de entrada ou de saída.
- Intervalo de portas. Pode ser especificado como uma porta individual ou um intervalo de portas. Por exemplo, pode indicar 80 ou 10000-10005. Especificar intervalos permite-lhe criar menos regras de segurança.
- Ação. Pode ser configurado para permitir ou negar.
O firewall avalia as regras usando a origem, a porta de origem, o destino, a porta de destino e o protocolo.
Regras de segurança predefinidas
O Azure cria essas regras padrão.
| Direção | Nome | Prioridade | Source | Portas de origem | Destino | Portos de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|---|---|
| Interna | AllowVNetInBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Qualquer | Permitir |
| Interna | AllowAzureLoadBalancerInBound |
65001 | AzureLoadBalancer |
0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
| Interna | DenyAllInbound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
| De Saída | AllowVnetOutBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Qualquer | Permitir |
| De Saída | AllowInternetOutBound |
65001 | 0.0.0.0/0 | 0-65535 | Internet |
0-65535 | Qualquer | Permitir |
| De Saída | DenyAllOutBound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Este diagrama e marcadores ilustram diferentes cenários de como os grupos de segurança de rede podem ser implantados.
Para tráfego de entrada, o Azure processa primeiro as regras em um grupo de segurança de rede associado a uma sub-rede, se houver, e, em seguida, as regras em um grupo de segurança de rede associado à interface de rede, se houver.
- VM1:
Subnet1está associado ao NSG1, portanto, as regras de segurança são processadas e o VM1 está noSubnet1. A menos que você tenha criado uma regra que permita a entrada da porta 80, aDenyAllInboundregra de segurança padrão nega o tráfego e nunca é avaliada pelo NSG2, já que o NSG2 está associado à interface de rede. Se o NSG1 tiver uma regra de segurança que permita a porta 80, o NSG2 processará o tráfego. Para permitir a porta 80 na máquina virtual, tanto NSG1, como NSG2, têm de ter uma regra que permite a porta 80 a partir da Internet. - VM2: As regras no NSG1 são processadas porque o VM2 também está no
Subnet1. Como o VM2 não tem um grupo de segurança de rede associado à sua interface de rede, ele recebe todo o tráfego permitido pelo NSG1 ou é negado todo o tráfego negado pelo NSG1. O tráfego é permitido ou negado para todos os recursos na mesma sub-rede se um grupo de segurança de rede estiver associado a uma sub-rede. - VM3: Como não há nenhum grupo de segurança de rede associado ao
Subnet2, o tráfego é permitido na sub-rede e processado pelo NSG2, porque o NSG2 está associado à interface de rede conectada ao VM3. - VM4: O tráfego é permitido para VM4, porque um grupo de segurança de rede não está associado ao
Subnet3, ou à interface de rede na máquina virtual. Todo o tráfego de rede é permitido através de uma sub-rede e de uma interface de rede se não houver nenhum grupo de segurança de rede associado às mesmas.
Para o tráfego de saída, o Azure processa primeiro as regras em um grupo de segurança de rede associado a uma interface de rede, se houver, e depois as regras em um grupo de segurança de rede associado à sub-rede, se houver.
- VM1: As regras de segurança no NSG2 são processadas. A menos que você crie uma regra de segurança que negue a porta 80 de saída para a Internet, a regra de segurança padrão AllowInternetOutbound permite o tráfego no NSG1 e no NSG2. Se o NSG2 tiver uma regra de segurança que negue a porta 80, o tráfego será negado e o NSG1 nunca o avaliará. Para negar a porta 80 a partir da máquina virtual, um ou ambos os grupos de segurança de rede têm de ter uma regra que negue a porta 80 para a Internet.
- VM2: Todo o tráfego é enviado através da interface de rede para a sub-rede, uma vez que a interface de rede ligada ao VM2 não tem um grupo de segurança de rede associado a ela. As regras em NSG1 são processadas.
- VM3: Se o NSG2 tiver uma regra de segurança que negue a porta 80, o tráfego será negado. Se o NSG2 tiver uma regra de segurança que permita a porta 80, a porta 80 terá permissão para sair para a Internet, já que um grupo de segurança de rede não está associado ao
Subnet2. - VM4: Todo o tráfego de rede é permitido a partir do VM4, porque um grupo de segurança de rede não está associado à interface de rede conectada à máquina virtual ou ao
Subnet3.
Grupos de Segurança de Aplicações
Um Grupo de Segurança de Aplicativo (ASG) permite configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo agrupar máquinas virtuais e definir políticas de segurança de rede com base nesses grupos. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos. A plataforma lida com a complexidade dos endereços IP explícitos e dos múltiplos conjuntos de regras, permitindo-lhe focar-se na lógica de negócio.
Para minimizar o número de regras de segurança necessárias, crie regras usando tags de serviço ou grupos de segurança de aplicativos. Evite regras com endereços IP individuais ou intervalos de endereços IP.
Filtrar o tráfego de rede com um NSG usando o portal do Azure
Você pode usar um grupo de segurança de rede para filtrar o tráfego de entrada e saída de rede de uma sub-rede de rede virtual. Os grupos de segurança de rede contêm regras de segurança que filtram o tráfego de rede por endereço IP, porta e protocolo. As regras de segurança são aplicadas a recursos implementados numa sub-rede.
Os principais estágios para filtrar o tráfego de rede com um NSG são:
- Crie um grupo de recursos.
- Crie uma rede virtual.
- Crie grupos de segurança de aplicativos.
- Criar um grupo de segurança de rede.
- Associe um grupo de segurança de rede a uma sub-rede.
- Crie regras de segurança.
- Associe NICs a um ASG.
- Teste filtros de tráfego.
Para exibir as etapas detalhadas de todas essas tarefas, consulte Tutorial: Filtrar o tráfego de rede com um grupo de segurança de rede usando o portal do Azure.