Share via

Proteger portas de rede de alto risco com regras de Administração de segurança no Gerenciador de Rede Virtual do Azure

  • Artigo

Neste artigo, aprenda a bloquear portas de rede de alto risco usando o Gerenciador de Rede Virtual do Azure e regras de administrador de segurança. Você percorrerá a criação de uma instância do Gerenciador de Rede Virtual do Azure, agrupará suas redes virtuais (VNets) com grupos de rede e criará e implantará configurações de administração de segurança para sua organização. Implante uma regra de bloco geral para portas de alto risco. Em seguida, crie uma regra de exceção para gerenciar a VNet de um aplicativo específico usando grupos de segurança de rede.

Embora este artigo tenha como foco apenas uma porta, o SSH, você pode proteger qualquer porta de alto risco no seu ambiente com as mesmas etapas. Para saber mais, examine esta lista de portas de alto risco

Importante

O Azure Virtual Network Manager está geralmente disponível para configurações de conectividade hub-and-spoke e configurações de segurança com regras de administração de segurança. As configurações de conectividade de malha permanecem em versão prévia pública.

Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Pré-requisitos

Implantar ambiente de rede virtual

Você precisa de um ambiente de rede virtual que inclua redes virtuais que possam ser segregadas para permitir e bloquear tráfego de rede específico. Você pode usar a tabela a seguir ou sua própria configuração de redes virtuais:

Nome Espaço de endereço IPv4 subnet
vnetA-gen 10.0.0.0/16 padrão: 10.0.0.0/24
vnetB-gen 10.1.0.0/16 padrão: 10.1.0.0/24
vnetC-gen 10.2.0.0/16 padrão: 10.2.0.0/24
vnetD-app 10.3.0.0/16 padrão: 10.3.0.0/24
vnetE-app 10.4.0.0/16 padrão: 10.4.0.0/24
  • Colocar todas as redes virtuais na mesma assinatura, região e grupo de recursos

Não sabe como criar uma rede virtual? Saiba mais em Início Rápido: criar uma rede virtual usando o portal do Azure.

Criar uma instância de gerenciador de rede virtual

Nesta seção, implante uma instância do Gerenciador de Rede Virtual com o recurso administrador de segurança em sua organização.

  1. Selecione + Criar um recurso e pesquise Gerenciador de Rede. Em seguida, selecione Criar para começar a configurar o Gerenciador de Rede Virtual do Azure.

  2. Na guia Básico, insira ou selecione as informações da sua organização:

    Captura de tela da página Noções básicas para Criar um Gerenciador de rede.

    Configuração Valor
    Subscription Selecione a assinatura na qual você deseja implantar o Gerenciador de Rede Virtual do Azure.
    Grupo de recursos Selecione ou crie um grupo de recursos para armazenar o Gerenciador de Rede Virtual do Azure. Este exemplo usa o myAVNMResourceGroup criado anteriormente.
    Nome Insira um nome para esta instância do Gerenciador de Rede Virtual do Azure. Este exemplo usa o nome myAVNM.
    Region Selecione a região para esta implantação. O Gerenciador de Rede Virtual do Azure pode gerenciar redes virtuais em qualquer região. A região selecionada é onde a instância do Gerenciador de Rede Virtual será implantada.
    Descrição (Opcional) Forneça uma descrição sobre essa instância do Gerenciador de Rede Virtual e a tarefa que ele está gerenciando.
    Escopo Defina o escopo para o qual o Gerenciador de Rede Virtual do Azure pode gerenciar. Este exemplo usa um escopo no nível de assinatura.
    Recursos Selecione os recursos que você deseja habilitar para o Gerenciador de Rede Virtual do Azure. Os recursos disponíveis são Conectividade, SecurityAdminou Selecionar tudo.
    Conectividade – Habilita a capacidade de criar uma malha completa, ou uma topologia de rede hub e spoke entre redes virtuais dentro do escopo.
    SecurityAdmin – Habilita a capacidade de criar regras de segurança de rede globais.

  3. Selecione Revisar + criar e, em seguida, selecione Criar quando a validação for aprovada.

  4. Selecione Ir para o recurso quando a implantação for concluída e examine a configuração do gerenciador de rede virtual

Criar um grupo de rede para todas as redes virtuais

Com o gerenciador de rede virtual criado, agora crie um grupo de rede que contenha todas as VNets da organização e adicione manualmente todas as VNets.

  1. Selecione Grupos de Rede, em Configurações.
  2. Selecione + Criar, insira um nome para o grupo de rede e selecione Adicionar.
  3. Na página Grupos de rede, selecione o grupo de rede que você criou.
  4. Selecione Adicionar, em Associação Estática para adicionar manualmente todas as VNets.
  5. Na página Adicionar membros estáticos, selecione todas as redes virtuais que você deseja incluir e selecione Adicionar. Captura de tela da página Adicionar membros estáticos mostrando a seleção manual de redes virtuais.

Criar uma configuração de administração de segurança para todas as redes virtuais

É hora de construir nossas regras de administrador de segurança dentro de uma configuração para aplicar essas regras a todas as VNets em seu grupo de rede de uma só vez. Nesta seção, crie uma configuração de administrador de segurança. Em seguida, crie uma coleção de regras e adicione regras para portas de alto risco, como SSH ou RDP. Essa configuração nega o tráfego de rede a todas as redes virtuais no grupo de rede.

  1. Retorne ao recurso do gerenciador de rede virtual.

  2. Selecione Configurações em Definições e, em seguida, + Criar.

    Captura de tela de adição de uma configuração de administrador de segurança.

  3. Selecione Configuração de segurança no menu suspenso.

    Captura de tela de adição de um menu suspenso de configuração.

  4. Na guia Básico, insira um Nome para identificar essa configuração de segurança e selecione Avançar: coleções de regras.

    Captura de tela do campo Nome de campo da configuração de segurança.

  5. Selecione + Adicionar na página Adicionar uma configuração de segurança.

  6. Insira um Nome para identificar essa coleção de regras e selecione os Grupos de rede de destino aos quais deseja aplicar o conjunto de regras. O grupo de destino é o grupo de rede que contém todas as suas redes virtuais.

    Captura de tela do nome da coleção de regras e dos grupos de rede de destino.

Adicionar uma regra de segurança para negar o tráfego de rede de alto risco

Nesta seção, você define a regra de segurança para bloquear o tráfego de rede de alto risco para todas as redes virtuais. Ao atribuir prioridade, tenha em mente regras futuras de exceção. Defina a prioridade para que as regras de exceção sejam aplicadas sobre essa regra.

  1. Selecione + Adicionar em Regras de administrador de segurança.

    Captura de tela do botão Adicionar uma regra.

  2. Insira as informações necessárias para definir sua regra de segurança e, em seguida, selecione Adicionar para adicionar a regra à coleção de regras.

    Captura de tela da página Adicionar uma regra.

    Configuração Valor
    Nome Insira um nome de regra.
    Descrição Insira uma descrição da regra.
    Prioridade* Insira um valor entre 1 e 4096 para determinar a prioridade da regra. Quanto menor o número, mais alta será a prioridade.
    Ação* Selecione Negar para bloquear o tráfego. Para obter mais informações, consulte Ação.
    Direção* Selecione Entrada, pois você quer negar o tráfego de entrada com essa regra.
    Protocolo* Selecione o protocolo de rede para a porta.
    Origem
    Tipo de origem Selecione o tipo de origem Endereço IP ou Marcas de serviço.
    Endereços IP da fonte Esse campo aparece ao selecionar o tipo de origem de Endereço IP. Insira um endereço IPv4, IPv6 ou um intervalo, usando a notação CIDR. Ao definir mais de um endereço ou bloco de endereços, separe-os com vírgula. Neste tutorial, deixe em branco.
    Marca de serviço de origem Esse campo aparece ao selecionar o tipo de origem de Marca de serviço. Selecione as marcas de serviço para os serviços que você deseja especificar como origem. Consulte Marcas de serviço disponíveispara ver a lista de marcas com suporte.
    Porta de origem Insira um único número de porta ou intervalo de portas, como (1024-65535). Ao definir mais de uma porta (ou de um intervalo de portas), separe-os com vírgula. Para especificar qualquer porta, insira *. Neste tutorial, deixe em branco.
    Destino
    Tipo de destino Selecione o tipo de destino Endereço IP ou Marcas de serviço.
    Endereços IP de destino Esse campo aparece ao selecionar o tipo de destino de Endereço IP. Insira um endereço IPv4, IPv6 ou um intervalo, usando a notação CIDR. Ao definir mais de um endereço ou bloco de endereços, separe-os com vírgula.
    Marca de serviço de destino Esse campo aparece ao selecionar o tipo de destino de Marca de serviço. Selecione marcas de serviço para os serviços que você deseja especificar como destino. Consulte Marcas de serviço disponíveispara ver a lista de marcas com suporte.
    Porta de destino Insira um único número de porta ou intervalo de portas, como (1024-65535). Ao definir mais de uma porta (ou de um intervalo de portas), separe-os com vírgula. Para especificar qualquer porta, insira *. Neste exemplo, insira 3389.

  3. Se quiser adicionar mais regras à coleção de regras, repita as etapas 1 a 3.

  4. Quando tiver criado todas as regras desejadas, selecione Adicionar para adicionar a coleção de regras à configuração de administrador de segurança.

    Captura de tela de uma coleção de regras.

  5. Em seguida, selecione Examinar + Criar e Criar para concluir a configuração de segurança.

Implementar uma configuração de administração de segurança para bloquear o tráfego de rede

Nesta seção, as regras criadas entram em vigor ao implantar a configuração de administrador de segurança.

  1. Selecione Implantações em Configurações, depois escolha Implantar configurações.

    Captura de tela do botão Implantar uma configuração.

  2. Marque a caixa de seleção Incluir administrador de segurança em seu estado de meta e selecione a configuração de segurança que você criou na última seção no menu suspenso. Em seguida, escolha as regiões nas quais deseja implantar a configuração.

    Captura de tela da página de implantação de uma configuração de segurança.

  3. Selecione Avançar e Implantar para implantar a configuração de administrador de segurança.

Criar um grupo de rede para a regra de exceção de tráfego

Com o tráfego bloqueado em todas as suas VNets, você precisa de uma exceção para permitir o tráfego para redes virtuais específicas. Crie um grupo de rede especificamente para as VNets que precisam de exclusão da outra regra de administrador de segurança.

  1. No gerenciador de rede virtual, selecione Grupos de Rede, em Configurações.
  2. Selecione + Criar, insira um nome para o grupo de rede e selecione Adicionar.
  3. Em Definir Associação Dinâmica, selecione Definir.
  4. Insira ou selecione os valores para permitir o tráfego para a rede virtual do aplicativo. Captura de tela da página Definir grupo de rede com uma condição para selecionar redes virtuais para associação ao grupo.
  5. Selecione Recursos de Visualização para examinar as Redes Virtuais Efetivas incluídas e selecione Fechar. Captura de tela da página Redes Virtuais Efetivas mostrando as redes virtuais incluídas dinamicamente no grupo de rede.
  6. Selecione Salvar.

Criar uma regra e uma coleção de administração de segurança de exceção de tráfego

Nesta seção, crie uma nova coleção de regras e uma regra de administrador de segurança que permitirá o tráfego de alto risco para o subconjunto de redes virtuais que você definiu como exceções. Em seguida, adicione-a à configuração de administrador de segurança existente.

Importante

Para que sua regra de administrador de segurança permita o tráfego para as redes virtuais do aplicativo, a prioridade precisa ser definida como um número menor do que as regras existentes que bloqueiam o tráfego.

Por exemplo, um SSH de bloqueio de todas as regras de rede tem uma prioridade de 10, portanto, sua regra de permissão deve ter uma prioridade de 1 a 9.

  1. No gerenciador de rede virtual, selecione Configurações e selecione a configuração de segurança.
  2. Selecione Coleções de regras em Configurações e, em seguida, selecione + Criar para criar uma nova coleção de regras.
  3. Na página Adicionar uma coleção de regras, insira um nome para sua coleção de regras de aplicativo e escolha o grupo de rede de aplicativos que você criou.
  4. Nas regras de administrador de segurança, selecione + Adicionar.
  5. Insira ou selecione os valores para permitir o tráfego de rede específico para o grupo de rede do aplicativo e selecione adicionar quando concluído.
  6. Repita o processo de adicionar regra para todo o tráfego que precisa de uma exceção.
  7. Selecione Salvar ao terminar.

Reimplantar a configuração da administração de segurança com regra de exceção

Para aplicar a nova coleção de regras, reimplante sua configuração de administrador de segurança desde que ela foi modificada adicionando uma coleção de regras.

  1. No gerenciador de rede virtual, selecione Configurações.
  2. Selecione a configuração do administrador de segurança e selecione Implantar
  3. Na página Implantar Configuração, selecione todas as regiões de destino que recebem a implantação e
  4. Selecione Próximo e Implantar.

Próximas etapas