Marcas de serviço de rede virtual

Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede.

Você pode usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede ou Firewall do Azure. Use marcas de serviço em vez de endereços IP específicos ao criar regras de segurança. Ao especificar o nome da marca de serviço, como ApiManagement no campo correto de origem ou destino de uma regra, você poderá permitir ou negar o tráfego para o serviço correspondente.

Observação

A partir de março de 2021, você também pode usar Marcas de Serviço no lugar de intervalos de IP explícitos em rotas definidas pelo usuário. Esse recurso está atualmente em visualização pública.

Você pode usar as marcas de serviço para obter o isolamento da rede e proteger os recursos do Azure da Internet em geral ao acessar os serviços do Azure que tenham pontos de extremidade públicos. Crie regras de entrada/saída para o grupo de segurança de rede a fim de negar o tráfego de/para a Internet e permitir o tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.

Isolamento de rede dos serviços do Azure usando marcas de serviço

Marcas de serviço disponíveis

A tabela a seguir inclui todas as marcas de serviço disponíveis para uso em regras do grupo de segurança de rede.

As colunas indicam se a marca:

  • É adequada para regras que abrangem o tráfego de entrada ou de saída.
  • Dá suporte a um escopo regional.
  • Pode ser usada em regras do Firewall do Azure.

Por padrão, as marcas de serviço refletem os intervalos para toda a nuvem. Algumas marcas de serviço também permitem um controle mais granular ao restringir os intervalos de IP correspondentes a uma região especificada. Por exemplo, a marca de serviço Armazenamento representa o Armazenamento do Azure para toda a nuvem, mas Storage.WestUS limita o intervalo apenas aos intervalos de endereços IP de armazenamento da região do Oeste dos EUA. A tabela a seguir indica se cada marca de serviço dá suporte a esse escopo regional. Observe que a direção listada para cada marca é uma recomendação. Por exemplo, a marca AzureCloud pode ser usada para permitir o tráfego de entrada. No entanto, não recomendamos isso na maioria dos cenários, porque permite o tráfego de todos os IPS do Azure, incluindo os usados por outros clientes do Azure.

Marca Finalidade É possível usar entrada ou saída? Pode ser regional? É possível usar com o Firewall do Azure?
ActionGroup Grupo de ações. Entrada Não Não
ApiManagement Tráfego do gerenciamento de implantações dedicadas do Gerenciamento de API do Azure.

Observação: essa marca representa o ponto de extremidade do serviço de Gerenciamento de API do Azure para o plano de controle por região. Isso permite que os clientes executem operações de gerenciamento nas APIs, Operações, Políticas, NamedValues configurados no serviço de Gerenciamento de API.
Entrada Sim Sim
ApplicationInsightsAvailability Disponibilidade do Application Insights. Entrada Não Não
AppConfiguration Configuração de Aplicativos. Saída Não Não
AppService Serviço de Aplicativo do Azure. Essa marca é recomendada para regras de segurança de saída para aplicativos Web e aplicativos de funções. Saída Sim Sim
AppServiceManagement Tráfego de gerenciamento para implantações dedicadas ao Ambiente do Serviço de Aplicativo. Ambos Não Sim
AzureActiveDirectory Azure Active Directory. Saída Não Sim
AzureActiveDirectoryDomainServices Tráfego de gerenciamento para implantações dedicadas ao Azure Active Directory Domain Services. Ambos Não Sim
AzureAdvancedThreatProtection Proteção Avançada contra Ameaças do Azure. Saída Não Não
AzureArcInfrastructure Servidores habilitados para Azure Arc, Kubernetes habilitado para Azure Arc e tráfego de Configuração de Convidado.

Observação: Essa marca tem uma dependência nas marcas AzureActiveDirectory,AzureTrafficManager e AzureResourceManager. No momento, essa marca não é configurável por meio do portal do Azure.
Saída Não Sim
AzureAttestation Atestado do Azure.

Observação: no momento, essa marca não é configurável por meio do portal do Azure
Saída Não Sim
AzureBackup Backup do Azure.

Observação: essa marca tem uma dependência nas marcas Armazenamento e AzureActiveDirectory.
Saída Não Sim
AzureBotService Serviço de Bot do Azure. Saída Não Não
AzureCloud Todos os endereços IP públicos do datacenter. Saída Sim Sim
AzureCognitiveSearch Azure Cognitive Search.

Esta marca ou os endereços IP cobertos por essa marca podem ser usados para conceder aos indexadores o acesso seguro a fontes de dados. Confira a documentação de conexão do indexador para obter mais detalhes.

Observação: o IP do serviço de pesquisa não está incluído na lista de intervalos de IP para essa marca de serviço e também precisa ser adicionado ao firewall de IP de fontes de dados.
Entrada Não Não
AzureConnectors Essa marca representa os endereços IP para conectores gerenciados que fazem retornos de chamada de webhook de entrada para o serviço de Aplicativos Lógicos do Azure e chamadas de saída para os respectivos serviços, por exemplo, o Armazenamento do Microsoft Azure ou os Hubs de Eventos do Azure. Entrada / Saída Sim Sim
AzureContainerRegistry Registro de Contêiner do Azure. Saída Sim Sim
AzureCosmosDB Azure Cosmos DB. Saída Sim Sim
AzureDatabricks Azure Databricks. Ambos Não Não
AzureDataExplorerManagement Gerenciamento do Azure Data Explorer. Entrada Não Não
AzureDataLake Azure Data Lake Storage Gen1. Saída Não Sim
AzureDevSpaces Azure Dev Spaces. Saída Não Não
AzureDevOps Azure Dev Ops.

Observação: no momento, essa marca não é configurável por meio do portal do Azure
Entrada Não Sim
AzureDigitalTwins Gêmeos Digitais do Azure.

Observação: esta marca ou os endereços IP cobertos por essa marca podem ser usados para restringir o acesso a pontos de extremidade configurados para rotas de eventos. No momento, essa marca não é configurável por meio do portal do Azure
Entrada Não Sim
AzureEventGrid Grade de Eventos do Azure. Ambos Não Não
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
Azure Front Door. Ambos Não Não
AzureInformationProtection Proteção de Informações do Azure.

Observação: essa marca tem uma dependência nas marcas AzureActiveDirectory, AzureFrontDoor.Frontend e AzureFrontDoor.FirstParty.
Saída Não Não
AzureIoTHub Hub IoT do Azure. Saída Sim Não
AzureKeyVault Azure Key Vault.

Observação: essa marca tem uma dependência na marca AzureActiveDirectory.
Saída Sim Sim
AzureLoadBalancer O balanceador de carga de infraestrutura do Azure. A marca é traduzida para o endereço IP virtual do host (168.63.129.16), no qual as sondas de integridade do Azure se originam. Isso inclui apenas o tráfego de investigação, não o tráfego real para o recurso de back-end. Se não estiver usando o Azure Load Balancer, você poderá substituir essa regra. Ambos Não Não
AzureMachineLearning Azure Machine Learning. Ambos Não Sim
AzureMonitor Log Analytics, Application Insights, AzMon e métricas personalizadas (pontos de extremidade GiG).

Observação: Para o Log Analytics, a marca de Armazenamento também é necessária. Se os agentes do Linux forem usados, a marca GuestAndHybridManagement também será necessária.
Saída Não Sim
AzureOpenDatasets Conjunto de Dados em Aberto no Azure.

Observação: essa marca tem uma dependência nas marcas AzureFrontDoor.Frontend e Storage.
Saída Não Não
AzurePlatformDNS O serviço DNS de infraestrutura básica (padrão).

Você pode usar essa marca para desabilitar o DNS padrão. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzurePlatformIMDS O IMDS (Serviço de Metadados de Instância do Azure), que é um serviço de infraestrutura básico.

Você pode usar essa marca para desabilitar o DNS padrão. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzurePlatformLKM Serviço de gerenciamento de chaves ou licenciamento do Windows.

Você pode usar essa marca para desabilitar os padrões de licenciamento. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzureResourceManager Azure Resource Manager. Saída Não Não
AzureSignalR Azure SignalR. Saída Não Não
AzureSiteRecovery Azure Site Recovery.

Observação: essa marca tem uma dependência nas marcas AzureActiveDirectory, AzureKeyVault, EventHub,GuestAndHybridManagement e Storage.
Saída Não Não
AzureTrafficManager Endereços IP de investigação do Gerenciador de Tráfego do Azure.

Saiba mais sobre os endereços IP de investigação no Gerenciador de Tráfego nas Perguntas frequentes sobre o Gerenciador de Tráfego do Azure.
Entrada Não Sim
AzureUpdateDelivery Para acessar Windows Updates.

Observação: essa tag fornece acesso a serviços de metadados do Windows Update. Para baixar atualizações com êxito, habilite também a tag de serviço AzureFrontDoor.FirstParty e configure as regras de segurança de saída com o protocolo e a porta definidos da seguinte maneira:
  • AzureUpdateDelivery: TCP, porta 443
  • AzureFrontDoor.FirstParty: TCP, porta 80
No momento, essa marca não é configurável por meio do portal do Azure
Saída Não Não
BatchNodeManagement Tráfego de gerenciamento para implantações dedicadas ao Lote do Azure. Ambos Não Sim
CognitiveServicesManagement Os intervalos de endereços para o tráfego dos Serviços Cognitivos do Azure. Ambos Não Não
DataFactory Fábrica de dados do Azure Ambos Não Não
DataFactoryManagement Tráfego de gerenciamento do Azure Data Factory. Saída Não Não
Dynamics365ForMarketingEmail Os intervalos de endereços para o serviço de email de marketing do Dynamics 365. Saída Sim Não
EOPExternalPublishedIPs Essa marca representa os endereços IP usados para o PowerShell do Centro de Conformidade e Segurança. Consulte o Conectar-se ao PowerShell do Centro de Conformidade e Segurança usando o módulo EXO V2 para obter mais detalhes.

Observação: no momento, essa marca não é configurável por meio do portal do Azure.
Ambos Não Sim
EventHub Hubs de Eventos do Azure. Saída Sim Sim
GatewayManager Tráfego de gerenciamento para implantações dedicadas ao Gateway de VPN e ao Gateway de Aplicativo do Azure. Entrada Não Não
GuestAndHybridManagement Configuração de convidado e Automação do Azure. Saída Não Sim
HDInsight Azure HDInsight. Entrada Sim Não
Internet Esse espaço de endereços IP fica fora da rede virtual e que pode ser acessado por meio da Internet pública.

O intervalo de endereços inclui o espaço de endereço IP público de propriedade do Azure.
Ambos Não Não
LogicApps Aplicativos Lógicos. Ambos Não Não
LogicAppsManagement Tráfego de gerenciamento para Aplicativos Lógicos. Entrada Não Não
MicrosoftCloudAppSecurity Microsoft Cloud App Security. Saída Não Não
MicrosoftContainerRegistry Registro de contêiner de imagens de contêiner da Microsoft.

Observação: essa marca tem uma dependência na marca AzureFrontDoor.FirstParty.
Saída Sim Sim
PowerBI PowerBi. Observação: no momento, essa marca não é configurável por meio do portal do Azure. Ambos Não Não
PowerQueryOnline Power Query Online. Ambos Não Não
Barramento de Serviço O tráfego do Barramento de Serviço do Azure que usa a camada de serviço Premium. Saída Sim Sim
ServiceFabric Azure Service Fabric.

Observação: essa marca representa o ponto de extremidade do serviço Service Fabric do plano de controle por região. Ele permite que os clientes executem operações de gerenciamento para os clusters do Service Fabric em sua VNET (ponto de extremidade, por exemplo, https:// westus.servicefabric.azure.com)
Ambos Não Não
Sql Banco de Dados SQL do Azure, Banco de Dados do Azure para MySQL, Banco de Dados do Azure para PostgreSQL, Banco de Dados do Azure para MariaDB e Azure Synapse Analytics.

Observação: essa marca representa o serviço, mas não as instâncias específicas do serviço. Por exemplo, a marca representa o serviço Banco de Dados SQL do Azure, mas não um banco de dados ou servidor SQL específico. Essa marca não se aplica à instância gerenciada do SQL.
Saída Sim Sim
SqlManagement Tráfego de gerenciamento para implantações dedicadas do SQL. Ambos Não Sim
Storage Armazenamento do Microsoft Azure.

Observação: essa marca representa o serviço, mas não as instâncias específicas do serviço. Por exemplo, a marca representa o serviço Armazenamento do Azure, mas não uma conta do Armazenamento do Azure específica.
Saída Sim Sim
StorageSyncService Serviço de Sincronização de Armazenamento. Ambos Não Não
WindowsAdminCenter Permita que o serviço de back-end do Windows Admin Center se comunique com a instalação dos clientes do Windows Admin Center. Observação: no momento, essa marca não é configurável por meio do portal do Azure. Saída Não Sim
WindowsVirtualDesktop Área de Trabalho Virtual do Windows. Ambos Não Sim
VirtualNetwork O espaço de endereço de rede virtual (todos os intervalos de endereço IP definidos para a rede virtual), todos os espaços de endereço locais conectados, redes virtuais emparelhadas, redes virtuais conectadas a um gateway de rede virtual, o endereço IP virtual do host e os prefixos de endereços usados em rotas definidas pelo usuário. Essa marca também pode conter rotas padrão. Ambos Não Não

Observação

No modelo de implantação clássico (antes do Azure Resource Manager), há suporte para um subconjunto das marcas listadas na tabela anterior. Essas marcas são escritas de forma diferente:

Grafia clássica Marca equivalente do Resource Manager
BALANCEADORDECARGA_AZURE AzureLoadBalancer
INTERNET Internet
REDE_VIRTUAL VirtualNetwork

Observação

As marcas de serviços do Azure indicam os prefixos de endereços de uma nuvem específica a ser usada. Por exemplo, os intervalos de IP subjacentes que correspondem ao valor da marca SQL na nuvem pública do Azure serão diferentes dos intervalos subjacentes da nuvem do Azure na China.

Observação

Se você implementar um ponto de extremidade de serviço de rede virtual em um serviço, como o Armazenamento do Azure ou o Banco de Dados SQL do Azure, o Azure adicionará uma rota para uma sub-rede de rede virtual para o serviço. Os prefixos de endereços na rota são os mesmos prefixos de endereços, ou intervalos CIDR, aos correspondentes da marca de serviço.

Marcas de serviço locais

Você pode obter as informações da marca de serviço e dos intervalos atuais para incluir como parte das configurações de firewall local. Essas informações estão na lista pontual atual dos intervalos de IP que correspondem a cada marca de serviço. Você pode obter as informações de forma programática ou por meio do download de um arquivo JSON, como descrito nas seções a seguir.

Usar a API de Descoberta de Marca de Serviço (versão prévia pública)

Você pode recuperar de forma programática a lista atual de marcas de serviço com os detalhes dos intervalos de endereços IP:

Observação

Leva até 4 semanas para que novos dados de Marca de Serviço se propaguem nos resultados da API. O número de alteração nos metadados de resposta será incrementado quando isso acontecer. Pode haver diferenças temporárias nos resultados quando valores de localização diferentes são especificados. Ao usar os resultados para criar regras de NSG, você deve definir o parâmetro de localização para corresponder à região do NSG.

Observação

Os dados da API representarão as marcas que podem ser usadas com as regras de NSG, um subconjunto das marcas atualmente no arquivo JSON para download. Enquanto estiver em versão prévia pública, não garantimos que os dados permanecerão os mesmos entre uma atualização e a próxima.

Descobrir marcas de serviço usando download de arquivos JSON

Você pode baixar arquivos JSON que contêm a lista atual de marcas de serviço com detalhes de intervalos de endereços IP. Essas listas são atualizadas e publicadas semanalmente. Os locais de cada nuvem são:

Os intervalos de endereços IP nesses arquivos estão na notação CIDR.

Observação

Um subconjunto com essas informações foi publicado em arquivos XML para o Público do Azure, Azure China e Azure Alemanha. Esses downloads XML serão preteridos até 30 de junho de 2020 e não estarão mais disponíveis após essa data. Você deve migrar usando a API de Descoberta ou os downloads de arquivos JSON, como descrito nas seções anteriores.

Dicas

  • Você pode detectar as atualizações de uma publicação em comparação com a próxima observando os valores changeNumber no arquivo JSON. Cada subseção (por exemplo, Storage.WestUS) tem seu changeNumber, que aumenta conforme ocorrem as alterações. O nível superior do changeNumber do arquivo aumenta quando qualquer uma das subseções é alterada.
  • Para obter exemplos de como analisar as informações de marcas de serviço (por exemplo, para obter todos os intervalos de endereços para Armazenamento no Oeste dos EUA), confira a documentação API de Descoberta de Marca de Serviço do PowerShell.
  • Quando novos endereços IP são adicionados às marcas de serviço, eles não serão usados no Azure por pelo menos uma semana. Isso lhe dá tempo para atualizar todos os sistemas que talvez precisem rastrear os endereços IP associados às marcas de serviço.

Próximas etapas