Descrever grupos de segurança de rede do Azure

Concluído

No ambiente de trabalho moderno, no qual mais usuários estão trabalhando remotamente, o gerenciamento de acesso a ativos e recursos em sua VNet (rede virtual) do Azure é essencial.

Aqui, você aprenderá como os grupos de segurança de rede do Azure podem permitir ou negar automaticamente o tráfego para seus recursos e ativos baseados em nuvem.

Uma rede virtual do Azure é semelhante à rede que você encontraria em sua organização. Ele permite diferentes recursos do Azure, por exemplo, uma VM (máquina virtual) do Azure, para se comunicar com segurança com outros VNets, a Internet ou sua rede local. Uma VNet pode ser dividida em várias sub-redes (sub-redes), cada uma com recursos específicos atribuídos a elas. Você pode proteger os recursos em uma sub-rede usando grupos de segurança de rede.

Grupos de segurança de rede

NSGs (grupos de segurança de rede) permitem permitir ou negar o tráfego de rede de e para recursos do Azure que existem em sua rede virtual do Azure; por exemplo, uma máquina virtual. Quando você cria um NSG, ele pode ser associado a várias sub-redes ou interfaces de rede em sua VNet. Um NSG consiste em regras que definem como o tráfego é filtrado.

As regras de segurança do NSG são avaliadas por prioridade usando cinco pontos de informações: origem, porta de origem, destino, porta de destino e protocolo para permitir ou negar o tráfego. Como diretriz, você não deve criar duas regras de segurança com a mesma prioridade e direção.

Diagrama mostrando uma rede virtual simplificada com duas sub-redes, cada uma com um recurso de máquina virtual dedicado, a primeira sub-rede tem um grupo de segurança de rede e a segunda sub-rede não.

No diagrama acima, altamente simplificado, você pode ver uma rede virtual do Azure com duas sub-redes que estão conectadas à Internet e cada sub-rede tem uma máquina virtual. A sub-rede 1 tem um NSG atribuído a ela que está filtrando o acesso de entrada e de saída ao VM1, que precisa de um nível mais alto de acesso. Por outro lado, o VM2 poderia representar uma máquina voltada ao público que não requer um NSG.

Regras de segurança de entrada e saída

Como você viu, um NSG controla o acesso aos recursos em sua rede virtual e em todas as sub-redes. Um NSG é composto de regras de segurança de entrada e saída. Para cada regra, você pode especificar uma origem e um destino, porta, protocolo e a ação necessária se ela for disparada. Conforme mencionado anteriormente, as regras são processadas com base em sua prioridade. Por padrão, o Azure cria uma série de regras, três regras de entrada e três de saída, para fornecer um nível de linha de base de segurança. Você não pode remover as regras padrão, mas pode substituí-las criando regras com prioridades mais altas.

Cada regra especifica uma ou mais das seguintes propriedades:

  • Nome: cada regra de NSG precisa ter um nome exclusivo que descreva sua finalidade. Por exemplo, AdminAccessOnlyFilter.
  • Prioridade: um número entre 100 e 4096. As regras são processadas em ordem de prioridade, sendo os números menores processados antes dos números maiores. Quando o tráfego corresponde a uma regra, o processamento é interrompido. Isso significa que qualquer outra regra com prioridade mais baixa (números mais altos) não será processada.
  • Origem ou destino: especifique o endereço IP individual ou um intervalo de endereços IP, a marca de serviço (um grupo de prefixos de endereço IP de um determinado serviço do Azure) ou grupo de segurança de aplicativo. A especificação de um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicativos permite que você crie menos regras de segurança.
  • Protocolo: qual protocolo de rede a regra vai verificar? O protocolo pode ser qualquer: TCP, UDP, ICMP ou any.
  • Direção: se a regra deve ser aplicada ao tráfego de entrada ou de saída.
  • Intervalo de portas: você pode especificar um indivíduo ou um intervalo de portas. Por exemplo, você pode especificar 80 ou 10000-10005. A especificação de intervalos permite que você crie menos regras de segurança. Você não pode especificar várias portas ou intervalos de porta na mesma regra de segurança em NSG criados pelo modelo de implantação clássica.
  • Ação: por fim, você precisa decidir o que acontecerá quando essa regra for disparada.

Há limites para o número de regras de segurança que você pode criar em um NSG. Use o Azure NSGs para permitir ou negar automaticamente o tráfego para seus recursos e ativos baseados em nuvem.