Etiquetas de serviço da rede virtual
Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço Azure. A Microsoft gere os prefixos de endereços englobados pela etiqueta de serviço e atualiza automaticamente a etiqueta de serviço à medida que os endereços mudam, minimizando a complexidade das atualizações frequentes às regras de segurança da rede.
Pode utilizar tags de serviço para definir controlos de acesso à rede em grupos de segurança de rede, Azure Firewall e rotas definidas pelo utilizador. Utilize etiquetas de serviço no lugar de endereços IP específicos quando criar regras e rotas de segurança. Ao especificar o nome da etiqueta de serviço, como a ApiManagement, no campo de origem ou destino apropriado de uma regra de segurança, pode permitir ou negar o tráfego para o serviço correspondente. Ao especificar o nome da etiqueta de serviço no prefixo de endereço de uma rota, pode encaminhar o tráfego destinado a qualquer um dos prefixos encapsulados pela etiqueta de serviço para um próximo tipo de lúpulo desejado.
Nota
A partir de março de 2022, a utilização de etiquetas de serviço em vez de prefixos de endereço explícitos nas rotas definidas pelo utilizador está fora de pré-visualização e geralmente disponível.
Pode utilizar tags de serviço para alcançar o isolamento da rede e proteger os seus recursos Azure da Internet geral, ao mesmo tempo que acede aos serviços Azure que têm pontos finais públicos. Crie regras de grupo de segurança de rede de entrada/saída para negar o tráfego de/para a Internet e permitir o tráfego de/para a AzureCloud ou outras tags de serviço disponíveis de serviços específicos da Azure.
Etiquetas de serviço disponíveis
A tabela a seguir inclui todas as etiquetas de serviço disponíveis para utilização nas regras do grupo de segurança da rede .
As colunas indicam se a etiqueta:
- É adequado para regras que cobrem o tráfego de entrada ou saída.
- Apoia o âmbito regional .
- É utilizável em Azure Firewall regras como regra de destino apenas para o tráfego de entrada ou saída.
Por padrão, as etiquetas de serviço refletem as gamas para toda a nuvem. Algumas tags de serviço também permitem um maior controlo granular, limitando as gamas IP correspondentes a uma região especificada. Por exemplo, a etiqueta de serviço Armazenamento representa O Armazenamento Azure para toda a nuvem, mas Storage.WestUS reduz o alcance para apenas o endereço IP de armazenamento que varia da região westus. O quadro seguinte indica se cada etiqueta de serviço suporta esse âmbito regional, e a direção indicada para cada tag é uma recomendação. Por exemplo, a etiqueta AzureCloud pode ser usada para permitir o tráfego de entrada. Na maioria dos cenários, não recomendamos permitir o tráfego de todos os IPs Azure, uma vez que os IPs utilizados por outros clientes da Azure estão incluídos como parte da etiqueta de serviço.
| Etiqueta | Objetivo | Pode usar entrada ou saída? | Pode ser regional? | Pode usar com Azure Firewall? |
|---|---|---|---|---|
| Grupo de Ação | Grupo de Ação. | Entrada | Não | Não |
| ApiManagement | Tráfego de gestão para a Azure Gestão de API implantações dedicadas. Nota: Esta etiqueta representa o ponto final de serviço Azure Gestão de API para o plano de controlo por região. A etiqueta permite que os clientes realizem operações de gestão nas APIs, Operações, Políticas, NomeadosValues configurados no serviço Gestão de API. |
Entrada | Sim | Sim |
| AplicaçõesInsightsAilabilidade | Disponibilidade de Insights de Aplicação. | Entrada | Não | Não |
| Apconfiguration | App Configuration. | Saída | Não | Não |
| AppService | Serviço de Aplicações do Azure. Esta etiqueta é recomendada para regras de segurança de saída para aplicações web e aplicações de função. | Saída | Sim | Sim |
| AppServiceManagement | Tráfego de gestão para implantações dedicadas à Ambiente do Serviço de Aplicações. | Ambos | Não | Sim |
| AzureActiveDirectory | Azure Active Directory. | Saída | Não | Sim |
| AzureActiveDirectoryDomainServices | Tráfego de gestão para implantações dedicadas à Azure Ative Directory Domain Services. | Ambos | Não | Sim |
| AzureAdvancedThreatProtection | Azure Advanced Threat Protection. | Saída | Não | Não |
| AzureArcInfrastructure | Servidores ativados por Azure Arc, Kubernetes ativados por Azure Arc e tráfego de configuração de hóspedes. Nota: Esta etiqueta tem uma dependência das tags AzureActiveDirectory,AzureTrafficManager e AzureResourceManager. |
Saída | Não | Sim |
| AzureAttestation | Azure Attestation. | Saída | Não | Sim |
| AzureBackup | Azure Backup. Nota: Esta etiqueta tem uma dependência das etiquetas Storage e AzureActiveDirectory . |
Saída | Não | Sim |
| AzureBotService | Azure Bot Service. | Saída | Não | Não |
| AzureCloud | Todos os endereços IP públicos do datacenter. | Saída | Sim | Sim |
| AzureCognitiveSearch | Azure Cognitive Search. Esta etiqueta ou os endereços IP abrangidos por esta etiqueta podem ser utilizados para conceder aos indexantes um acesso seguro a fontes de dados. Para obter mais informações sobre indexantes, consulte a documentação de ligação do indexante. Nota: O IP do serviço de pesquisa não está incluído na lista de gamas IP para esta etiqueta de serviço e também precisa de ser adicionado à firewall IP de fontes de dados. |
Entrada | Não | Não |
| AzureConnectors | Esta etiqueta representa os endereços IP utilizados para conectores geridos que fazem chamadas de webhook de entrada para o serviço Azure Logic Apps e chamadas de saída para os respetivos serviços, por exemplo, Azure Storage ou Hubs de Eventos do Azure. | Ambos | Sim | Sim |
| AzureContainerRegistry | Azure Container Registry. | Saída | Sim | Sim |
| AzureCosmosDB | Azure Cosmos DB. | Saída | Sim | Sim |
| AzureDatabricks | Azure Databricks. | Ambos | Não | Não |
| AzureDataExplorerManagement | Azure Data Explorer Management. | Entrada | Não | Não |
| AzureDataLake | Azure Data Lake Storage Gen1. | Saída | Não | Sim |
| AzureDeviceUpdate | Atualização do dispositivo para Hub IoT. | Ambos | Não | Sim |
| AzureDevSpaces | Espaços Azure Dev. | Saída | Não | Não |
| AzureDevOps | Azure DevOps. | Entrada | Não | Sim |
| AzureDigitalTwins | Gémeos Digitais Azure. Nota: Esta etiqueta ou os endereços IP abrangidos por esta etiqueta podem ser utilizados para restringir o acesso aos pontos finais configurados para as rotas do evento. |
Entrada | Não | Sim |
| AzureEventGrid | Azure Event Grid. | Ambos | Não | Não |
| AzureFrontDoor.Frontend AzureFrontDoor.Backend AzureFrontDoor.FirstParty |
Azure Porta da Frente. | Ambos | Não | Não |
| AzureHealthcareAPIs | Os endereços IP abrangidos por esta etiqueta podem ser utilizados para restringir o acesso aos Serviços de Dados de Saúde do Azure. | Ambos | Não | Sim |
| AzureInformationProtection | Azure Information Protection. Nota: Esta tag tem uma dependência das tags AzureActiveDirectory, AzureFrontDoor.Frontend e AzureFrontDoor.FirstParty . |
Saída | Não | Não |
| AzureIoTHub | Hub IoT do Azure. | Saída | Sim | Não |
| AzureKeyVault | Azure Key Vault. Nota: Esta etiqueta tem uma dependência da etiqueta AzureActiveDirectory . |
Saída | Sim | Sim |
| AzureLoadBalancer | O equilibrador de carga de infraestrutura Azure. A etiqueta traduz-se para o endereço IP virtual do hospedeiro (168.63.129.16) de onde provêm as sondas de saúde Azure. Isto inclui apenas o tráfego de sondas, não o tráfego real para o seu recurso backend. Se não estiver a usar Balanceador de Carga do Azure, pode anular esta regra. | Ambos | Não | Não |
| AzureLoadTestingInstanceManagement | Esta etiqueta de serviço é utilizada para a conectividade de entrada desde o serviço Azure Load Testing até às instâncias de geração de carga injetadas na sua rede virtual no cenário de teste de carga privada. Nota: Esta etiqueta destina-se a ser utilizada em Azure Firewall, NSG, UDR e todos os outros portais para a conectividade de entrada. |
Não | Sim | |
| AzureMachineLearning | Aprendizagem automática Azure. | Ambos | Não | Sim |
| AzureMonitor | Log Analytics, Application Insights, AzMon e métricas personalizadas (pontos finais GiG). Nota: Para o Log Analytics, a etiqueta de armazenamento também é necessária. Se forem utilizados agentes Linux, também é necessária a etiqueta GuestAndHybridManagement . |
Saída | Não | Sim |
| AzureOpenDatasets | Conjuntos de dados Azure Open. Nota: Esta etiqueta tem uma dependência da etiqueta AzureFrontDoor.Frontend e Armazenamento . |
Saída | Não | Não |
| AzurePlatformDNS | O serviço DNS de infraestrutura básica (padrão). Pode utilizar esta etiqueta para desativar o DNS predefinido. Tenha cuidado quando usar esta etiqueta. Recomendamos que leia considerações da plataforma Azure. Recomendamos também que efetue testes antes de utilizar esta etiqueta. |
Saída | Não | Não |
| AzurePlatformIMDS | Azure Instance Medata Service (IMDS), que é um serviço básico de infraestrutura. Pode utilizar esta etiqueta para desativar o IMDS predefinido. Tenha cuidado quando usar esta etiqueta. Recomendamos que leia considerações da plataforma Azure. Recomendamos também que efetue testes antes de utilizar esta etiqueta. |
Saída | Não | Não |
| AzurePlatformLKM | Serviço de licenciamento do Windows ou serviço de gestão de chaves. Pode utilizar esta etiqueta para desativar os predefinidos para licenciamento. Tenha cuidado quando usar esta etiqueta. Recomendamos que leia considerações da plataforma Azure. Recomendamos também que efetue testes antes de utilizar esta etiqueta. |
Saída | Não | Não |
| AzureResourceManager | Azure Resource Manager. | Saída | Não | Não |
| AzureSignalr | Sinaleiro Azure. | Saída | Não | Não |
| AzureSiteRecovery | Azure Site Recovery. Nota: Esta etiqueta tem uma dependência das etiquetas AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement e Storage. |
Saída | Não | Não |
| AzureSphere | Esta etiqueta ou os endereços IP abrangidos por esta etiqueta podem ser utilizados para restringir o acesso aos Serviços de Segurança da Esfera Azure. | Ambos | Não | Sim |
| AzureStack | Serviços da Ponte Azure Stack. Esta etiqueta representa o ponto final de serviço da Ponte Azure Stack por região. | Saída | Não | Sim |
| AzureTrafficManager | Azure Traffic Manager sonda endereços IP. Para obter mais informações sobre endereços IP da sonda Traffic Manager, consulte o Azure Traffic Manager FAQ. |
Entrada | Não | Sim |
| AzureUpdateDelivery | Para aceder ao Windows Atualizações. Nota: Esta etiqueta fornece acesso a Windows Update serviços de metadados. Para descarregar com sucesso as atualizações, também deve ativar a etiqueta de serviço AzureFrontDoor.FirstParty e configurar as regras de segurança de saída com o protocolo e a porta definidos da seguinte forma:
|
Saída | Não | Não |
| BatchNodeManagement | Tráfego de gestão para implantações dedicadas à Azure Batch. | Ambos | Não | Sim |
| CognitiveServicesManagement | Os intervalos de endereços para o tráfego dos Serviços Cognitivos Azure. | Ambos | Não | Não |
| DataFactory | Azure Data Factory | Ambos | Não | Não |
| DataFactoryManagement | Tráfego de gestão para Azure Data Factory. | Saída | Não | Não |
| Dynamics365ForMarketingEmail | As gamas de endereços para o serviço de e-mail de marketing da Dynamics 365. | Saída | Sim | Não |
| EOPExternal PublicadoIPs | Esta etiqueta representa os endereços IP utilizados para o Centro de Conformidade de Segurança & PowerShell. Consulte o PowerShell do Centro de Conformidade de Segurança Connect to Security & Compliance utilizando o módulo EXO V2 para obter mais detalhes. | Ambos | Não | Sim |
| EventHub | Hubs de Eventos do Azure. | Saída | Sim | Sim |
| GatewayManager | Tráfego de gestão para implantações dedicadas à Azure Gateway de VPN e Gateway de Aplicação. | Entrada | Não | Não |
| GuestAndHybridManagement | Automatização do Azure e Configuração de Hóspedes. | Saída | Não | Sim |
| HDInsight | Azure HDInsight. | Entrada | Sim | Não |
| Internet | O espaço de endereço IP que está fora da rede virtual e acessível pela internet pública. O intervalo de endereços inclui o espaço de endereço IP público propriedade do Azure. |
Ambos | Não | Não |
| LogicApps | Aplicativos lógicos. | Ambos | Não | Não |
| LogicAppsManagement | Tráfego de gestão para Apps Lógicas. | Entrada | Não | Não |
| M365ManagementActivityApi | A API de Atividade de Gestão de Office 365 fornece informações sobre vários registos de atividades de utilizadores, administração, sistema e políticas de Office 365 e Azure Ative Directory. Os clientes e parceiros podem utilizar esta informação para criar novas ou potenciar as soluções de monitorização de operações, segurança e conformidade existentes para a empresa. Nota: Esta etiqueta tem uma dependência da etiqueta AzureActiveDirectory . |
Saída | Sim | Não |
| M365ManagementActivityApiWebhook | As notificações são enviadas para o webhook configurado para uma subscrição à medida que novos conteúdos ficam disponíveis. | Entrada | Sim | Não |
| MicrosoftAzureFluidRelay | Esta etiqueta representa os endereços IP utilizados para o Azure Microsoft Fluid Relay Server. | Saída | Não | Não |
| MicrosoftCloudAppSecurity | Microsoft Defender for Cloud Apps. | Saída | Não | Não |
| MicrosoftContainerRegistry | Registo de contentores para imagens de contentores da Microsoft. Nota: Esta etiqueta tem uma dependência da tag AzureFrontDoor.FirstParty . |
Saída | Sim | Sim |
| PowerBI | Power BI. | Ambos | Não | Não |
| PowerPlatformInfra | Esta etiqueta representa os endereços IP utilizados pela infraestrutura para acolher serviços da Plataforma De Energia. | Saída | Sim | Sim |
| PowerPlatformPlex | Esta etiqueta representa os endereços IP utilizados pela infraestrutura para acolher a execução da extensão da Plataforma de Energia em nome do cliente. | Entrada | Sim | Sim |
| PowerQueryOnline | Power Query Online. | Ambos | Não | Não |
| ServiceBus | Azure Service Bus tráfego que utiliza o nível de serviço Premium. | Saída | Sim | Sim |
| ServiceFabric | Tecido de Serviço Azure. Nota: Esta etiqueta representa o ponto final de serviço do Service Fabric para o plano de controlo por região. Isto permite que os clientes realizem operações de gestão para os seus clusters de Tecido de Serviço a partir do seu ponto final VNET. (Por exemplo, https:// westus.servicefabric.azure.com). |
Ambos | Não | Não |
| Sql | SQL do Azure Base de Dados, Base de Dados do Azure para MySQL, Base de Dados do Azure para PostgreSQL, Azure Database for MariaDB e Azure Synapse A análise. Nota: Esta etiqueta representa o serviço, mas não instâncias específicas do serviço. Por exemplo, representa o serviço da Base de Dados SQL do Azure, mas não uma base de dados ou um servidor SQL. Esta etiqueta não se aplica a caso gerido pela SQL. |
Saída | Sim | Sim |
| SqlManagement | Tráfego de gestão para implantações dedicadas ao SQL. | Ambos | Não | Sim |
| Armazenamento | Armazenamento do Azure. Nota: Esta etiqueta representa o serviço, mas não instâncias específicas do serviço. Por exemplo, representa o serviço Armazenamento do Azure, mas não uma conta do Armazenamento do Azure específica. |
Saída | Sim | Sim |
| ArmazenamentoSyncService | Serviço de Sincronização de Armazenamento. | Ambos | Não | Não |
| WindowsAdminCenter | Permitir que o serviço de backend Windows Admin Center comunique com a instalação de Windows Admin Center dos clientes. | Saída | Não | Sim |
| WindowsVirtualDesktop | Azure Virtual Desktop (anteriormente Windows Virtual Desktop). | Ambos | Não | Sim |
| VirtualNetwork | O espaço de endereço de rede virtual (todos os intervalos de endereços IP definidos para a rede virtual), todos os espaços de endereços conectados no local, redes virtuais , redes virtuais ligadas a um gateway de rede virtual, o endereço IP virtual do anfitrião e prefixos de endereços utilizados nas rotas definidas pelo utilizador. Esta etiqueta também pode conter rotas padrão. | Ambos | Não | No |
Nota
Ao utilizar etiquetas de serviço com Azure Firewall, só pode criar regras de destino no tráfego de entrada e saída. As regras de origem não são apoiadas. Para mais informações, consulte o Azure Firewall Service Tags doc.
As etiquetas de serviço dos serviços Azure denotam os prefixos do endereço a partir da nuvem específica que está a ser utilizada. Por exemplo, as gamas IP subjacentes que correspondem ao valor da etiqueta Sql na nuvem pública Azure serão diferentes das gamas subjacentes na nuvem Azure China.
Se implementar um ponto final de serviço de rede virtual relativo a um serviço, como o Armazenamento do Azure ou a Base de Dados SQL do Azure, o Azure adiciona uma rota para uma sub-rede da rede virtual do serviço. Os prefixos de endereço na rota são os mesmos prefixos de endereço, ou gamas CIDR, que as da etiqueta de serviço correspondente.
Tags suportadas na versão clássica modelo
A implantação clássica modelo (antes de Azure Resource Manager) suporta um pequeno subconjunto das tags listadas na tabela anterior. As etiquetas na versão clássica modelo são escritas de forma diferente, como mostra a seguinte tabela:
| Resource Manager tag | Etiqueta correspondente em modelo de implantação clássica |
|---|---|
| AzureLoadBalancer | AZURE_LOADBALANCER |
| Internet | INTERNET |
| VirtualNetwork | VIRTUAL_NETWORK |
Etiquetas de serviço no local
Pode obter a etiqueta de serviço atual e as informações de alcance para incluir como parte das configurações de firewall no local. Esta informação é a lista atual de pontos a tempo das gamas IP que correspondem a cada tag de serviço. Pode obter a informação programáticamente ou através de um download de ficheiros JSON, conforme descrito nas seguintes secções.
Utilize a API de Descoberta de Marca de Serviço
Pode recuperar programáticamente a lista atual de tags de serviço juntamente com detalhes do intervalo de endereços IP:
Por exemplo, para recuperar todos os prefixos para a Etiqueta de Serviço de Armazenamento, pode utilizar os seguintes cmdlets PowerShell:
$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes
Nota
- Os dados da API representam as etiquetas que podem ser usadas com as regras da NSG na sua região. Utilize os dados da API como fonte de verdade para as Tags de Serviço disponíveis, uma vez que podem ser diferentes do ficheiro descarregável JSON.
- Leva até 4 semanas para que novos dados de Marca de Serviço se propaguem nos resultados da API em todas as regiões do Azure. Devido a este processo, os resultados dos seus dados da API podem estar dessincronizados com o ficheiro JSON transferível, uma vez que os dados da API representam um subconjunto das tags atualmente no ficheiro JSON transferível.
- Tem de ser autenticado e ter um papel com permissões de leitura para a sua subscrição atual.
Descubra tags de serviço utilizando ficheiros JSON transferíveis
Pode descarregar ficheiros JSON que contenham a lista atual de tags de serviço, juntamente com detalhes do intervalo de endereços IP. Estas listas são atualizadas e publicadas semanalmente. As localizações para cada nuvem são:
Os intervalos de endereços IP nestes ficheiros estão na notação CIDR.
As seguintes tags AzureCloud não têm nomes regionais formatados de acordo com o esquema normal:
- AzureCloud.centralfrance (FranceCentral)
- AzureCloud.southfrance (FranceSouth)
- AzureCloud.germanywc (GermanyWestCentral)
- AzureCloud.germanyn (AlemanhaNorth)
- AzureCloud.norwaye (NorwayEast)
- AzureCloud.norwayw (NoruegaWest)
- AzureCloud.switzerlandn (SuíçaNorth)
- AzureCloud.switzerlandw (SuíçaWest)
- AzureCloud.usstagee (EastUSSTG)
- AzureCloud.usstagec (SouthCentralUSSTG)
Nota
Um subconjunto desta informação foi publicado em ficheiros XML para Azure Public, Azure China e Azure Germany. Estes downloads XML serão depreciados até 30 de junho de 2020 e deixarão de estar disponíveis após essa data. Deverá migrar para utilizar os downloads de ficheiros Discovery API ou JSON, conforme descrito nas secções anteriores.
Dica
Pode detetar atualizações de uma publicação para outra, observando valores de alteração aumentados no ficheiro JSON. Cada subsecção (por exemplo, Storage.WestUS) tem a sua própria alteração Número de números que é incrementada à medida que as mudanças ocorrem. O nível superior da alteração do ficheiro Número de alterações é incrementado quando qualquer uma das subsecções é alterada.
Por exemplo, como analisar as informações da etiqueta de serviço (por exemplo, obter todas as gamas de endereços para armazenamento em WestUS), consulte a documentação da API PowerShell da Marca de Serviço .
Quando forem adicionados novos endereços IP às tags de serviço, não serão utilizados em Azure durante pelo menos uma semana. Isto dá-lhe tempo para atualizar quaisquer sistemas que possam necessitar para rastrear os endereços IP associados às tags de serviço.
Passos seguintes
- Saiba como criar um grupo de segurança de rede.