Melhores práticas para configurar a rede para cargas de trabalho migradas para o AzureBest practices to set up networking for workloads migrated to Azure

À medida que planeia e concebe a migração, além da migração em si, um dos passos mais críticos é a conceção e implementação da rede do Azure.As you plan and design for migration, in addition to the migration itself, one of the most critical steps is the design and implementation of Azure networking. Este artigo descreve as melhores práticas de networking quando está a migrar para a infraestrutura como um serviço (IaaS) e plataforma como um serviço (PaaS) implementações em Azure.This article describes best practices for networking when you're migrating to infrastructure as a service (IaaS) and platform as a service (PaaS) implementations in Azure.

Importante

As melhores práticas e as opiniões descritas neste artigo baseiam-se na plataforma e nas funcionalidades de serviço do Azure disponíveis no momento da redação.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. As funcionalidades e as capacidades mudam com o passar do tempo.Features and capabilities change over time. Algumas recomendações podem não se aplicar à sua implementação, por isso, selecione aquelas que funcionam no seu caso.Not all recommendations might be applicable for your deployment, so select those that work for you.

Conceber redes virtuaisDesign virtual networks

O Azure fornece redes virtuais com estas capacidades:Azure provides virtual networks with these capabilities:

  • Os recursos Azure comunicam-se de forma privada, direta e segura entre si através de redes virtuais.Azure resources communicate privately, directly, and securely with each other over virtual networks.
  • Pode configurar ligações de ponto final em redes virtuais para VMs e serviços que requerem comunicação à Internet.You can configure endpoint connections on virtual networks for VMs and services that require internet communication.
  • Uma rede virtual é um isolamento lógico da nuvem Azure que é dedicada à sua subscrição.A virtual network is a logical isolation of the Azure cloud that's dedicated to your subscription.
  • Pode implementar várias redes virtuais dentro de cada subscrição do Azure e região do Azure.You can implement multiple virtual networks within each Azure subscription and Azure region.
  • Cada uma das redes virtuais está isolada das restantes.Each virtual network is isolated from other virtual networks.
  • As redes virtuais podem conter endereços IP privados e públicos definidos no RFC 1918,expressos na notação CIDR.Virtual networks can contain private and public IP addresses defined in RFC 1918, expressed in CIDR notation. Os endereços IP públicos especificados no espaço de endereços de uma rede virtual não estão diretamente acessíveis a partir da internet.Public IP addresses specified in a virtual network's address space aren't directly accessible from the internet.
  • As redes virtuais podem ligar-se entre si utilizando o espreitamento de rede virtual.Virtual networks can connect to each other by using virtual network peering. As redes virtuais conectadas podem estar nas mesmas regiões ou em diferentes regiões.Connected virtual networks can be in the same or different regions. Assim, os recursos numa rede virtual podem ligar-se a recursos noutras redes virtuais.Thus, resources in one virtual network can connect to resources in other virtual networks.
  • Por padrão, a Azure encaminha o tráfego entre sub-redes dentro de uma rede virtual, redes virtuais conectadas, redes no local e internet.By default, Azure routes traffic between subnets within a virtual network, connected virtual networks, on-premises networks, and the internet.

Ao planear a sua topologia de rede virtual, deve considerar como organizar espaços de endereço IP, como implementar um hub e falar topologia de rede, como segmentar redes virtuais em sub-redes, configurar DNS e implementar Zonas de Disponibilidade de Azure.When planning your virtual network topology, you should consider how to arrange IP address spaces, how to implement a hub and spoke network topology, how to segment virtual networks into subnets, setting up DNS, and implementing Azure Availability Zones.

Melhores práticas: Endereço IP do planoBest practice: Plan IP addressing

Quando cria redes virtuais como parte da sua migração, é importante planear o seu espaço de endereço IP de rede virtual.When you create virtual networks as part of your migration, it's important to plan out your virtual network IP address space.

Deve atribuir um espaço de endereço que não seja maior do que uma gama CIDR /16 de cada rede virtual.You should assign an address space that isn't larger than a CIDR range of /16 for each virtual network. As redes virtuais permitem a utilização de 65.536 endereços IP.Virtual networks allow for the use of 65,536 IP addresses. A atribuição de um prefixo menor do /16 que , como um , que tem /15 131.072 endereços , resultará na inutilização dos endereços IP em excesso noutros locais.Assigning a smaller prefix than /16, such as a /15, which has 131,072 addresses, will result in the excess IP addresses becoming unusable elsewhere. É importante não desperdiçar endereços IP, mesmo que estejam nos intervalos privados definidos pela RFC 1918.It's important not to waste IP addresses, even if they're in the private ranges defined by RFC 1918.

Outras dicas para o planeamento são:Other tips for planning are:

  • O espaço de endereço de rede virtual não deve sobrepor-se às gamas de rede no local.The virtual network address space shouldn't overlap with on-premises network ranges.
  • Os endereços sobrepostos podem causar redes que não podem ser ligadas, e o encaminhamento que não funciona corretamente.Overlapping addresses can cause networks that can't be connected, and routing that doesn't work properly.
  • Se as redes se sobrepuserem, terá de redesenhar a rede.If networks overlap, you'll need to redesign the network.
  • Se não conseguir redesenhar a rede, a tradução de endereços de rede (NAT) pode ajudar.If you absolutely can't redesign the network, network address translation (NAT) can help. Mas deve ser evitado ou limitado tanto quanto possível.But should be avoid or limited as much as possible.

Saiba mais:Learn more:

Melhores práticas: Implementar um hub e falar topologia de redeBest practice: Implement a hub and spoke network topology

Um hub e uma topologia de rede falada isola cargas de trabalho enquanto partilham serviços, como identidade e segurança.A hub and spoke network topology isolates workloads while sharing services, such as identity and security. O hub é uma rede virtual Azure que funciona como um ponto central de conectividade.The hub is an Azure virtual network that acts as a central point of connectivity. Os porta-vozes são redes virtuais que se conectam à rede virtual do hub através do espreitamento.The spokes are virtual networks that connect to the hub virtual network by using peering. São implementados serviços partilhados no hub, enquanto as cargas de trabalho individuais são implementadas como spokes.Shared services are deployed in the hub, while individual workloads are deployed as spokes.

Considere o seguinte:Consider the following:

  • Implementar um hub e falar topologia em Azure centraliza serviços comuns, tais como ligações a redes no local, firewalls e isolamento entre redes virtuais.Implementing a hub and spoke topology in Azure centralizes common services, such as connections to on-premises networks, firewalls, and isolation between virtual networks. A rede virtual do hub fornece um ponto central de conectividade às redes de instalações, e um local para hospedar serviços utilizados por cargas de trabalho hospedadas em redes virtuais faladas.The hub virtual network provides a central point of connectivity to on-premises networks, and a place to host services used by workloads hosted in spoke virtual networks.
  • Normalmente, uma configuração hub e spoke é utilizada por empresas maiores.A hub and spoke configuration is typically used by larger enterprises. As redes mais pequenas podem considerar uma conceção mais simples para economizar em custos e complexidade.Smaller networks might consider a simpler design to save on costs and complexity.
  • Pode utilizar redes virtuais faladas para isolar cargas de trabalho, com cada porta-voz gerido separadamente de outros porta-vozes.You can use spoke virtual networks to isolate workloads, with each spoke managed separately from other spokes. Cada carga de trabalho pode incluir vários escalões com várias sub-redes ligadas com balanceadores de carga do Azure.Each workload can include multiple tiers, and multiple subnets that are connected with Azure load balancers.
  • Pode implementar redes virtuais e fala-se em diferentes grupos de recursos e até em diferentes subscrições.You can implement hub and spoke virtual networks in different resource groups, and even in different subscriptions. Quando emparelha redes virtuais em subscrições diferentes, as subscrições podem ser associadas aos mesmos, ou a outros, inquilinos do Azure Active Directory (Azure AD).When you peer virtual networks in different subscriptions, the subscriptions can be associated to the same, or different, Azure Active Directory (Azure AD) tenants. Tal permite a gestão descentralizada de cada carga de trabalho, ao mesmo tempo que partilha serviços mantidos na rede do hub.This allows for decentralized management of each workload, while sharing services maintained in the hub network.

Diagrama de hub e topologia falada Figura 1: Hub e topologia falada.Diagram of hub and spoke topology Figure 1: Hub and spoke topology.

Saiba mais:Learn more:

Melhores práticas: Subesí redes de designBest practice: Design subnets

Para proporcionar isolamento dentro de uma rede virtual, segmenta-o em uma ou mais sub-redes e aloque uma parte do espaço de endereço da rede virtual a cada sub-rede.To provide isolation within a virtual network, you segment it into one or more subnets, and allocate a portion of the virtual network's address space to each subnet.

  • Pode criar várias sub-redes dentro de cada rede virtual.You can create multiple subnets within each virtual network.
  • Por padrão, a Azure liga o tráfego de rede entre todas as sub-redes numa rede virtual.By default, Azure routes network traffic between all subnets in a virtual network.
  • As decisões de sub-rede são baseadas nos seus requisitos técnicos e organizacionais.Your subnet decisions are based on your technical and organizational requirements.
  • Cria sub-redes utilizando a notação CIDR.You create subnets by using CIDR notation.

Quando estiver a decidir sobre a gama de redes para sub-redes, esteja ciente de que o Azure retém cinco endereços IP de cada sub-rede que não podem ser utilizados.When you're deciding on network range for subnets, be aware that Azure retains five IP addresses from each subnet that can't be used. Por exemplo, se criar a sub-rede mais pequena disponível /29 de (com oito endereços IP), o Azure conservará cinco endereços.For example, if you create the smallest available subnet of /29 (with eight IP addresses), Azure will retain five addresses. Neste caso, tem apenas três endereços utilizáveis que podem ser atribuídos aos anfitriões na sub-rede.In this case, you only have three usable addresses that can be assigned to hosts on the subnet. Na maioria dos casos, use /28 como a sub-rede mais pequena.For most cases, use /28 as the smallest subnet.

Exemplo:Example:

A tabela mostra um exemplo de uma rede virtual com um espaço de endereço 10.245.16.0/20 segmentado em sub-redes, para uma migração planeada.The table shows an example of a virtual network with an address space of 10.245.16.0/20 segmented into subnets, for a planned migration.

Sub-redeSubnet CIDRCIDR EndereçosAddresses UtilizaçãoUsage
DEV-FE-EUS2 10.245.16.0/22 10191019 VMs frontais ou de nível webFront-end or web-tier VMs
DEV-APP-EUS2 10.245.20.0/22 10191019 VMs de nível de aplicaçãoApplication-tier VMs
DEV-DB-EUS2 10.245.24.0/23 507507 VMs da base de dadosDatabase VMs

Saiba mais:Learn more:

Melhores práticas: Configurar um servidor DNSBest practice: Set up a DNS server

O Azure adiciona um servidor DNS por padrão quando implementa uma rede virtual.Azure adds a DNS server by default when you deploy a virtual network. Isto permite-lhe construir rapidamente redes virtuais e implementar recursos.This allows you to rapidly build virtual networks and deploy resources. Mas este servidor DNS apenas fornece serviços aos recursos dessa rede virtual.But this DNS server only provides services to the resources on that virtual network. Se pretender ligar várias redes virtuais ou ligar-se a um servidor no local a partir de redes virtuais, necessita de capacidades adicionais de resolução de nomes.If you want to connect multiple virtual networks together, or connect to an on-premises server from virtual networks, you need additional name resolution capabilities. Por exemplo, talvez possa precisar do Active Directory para resolver os nomes DNS entre as redes virtuais.For example, you might need Active Directory to resolve DNS names between virtual networks. Para isso, deve implementar o seu próprio servidor DNS personalizado no Azure.To do this, you deploy your own custom DNS server in Azure.

  • Os servidores DNS numa rede virtual podem encaminhar consultas dns para as correturas recursivas em Azure.DNS servers in a virtual network can forward DNS queries to the recursive resolvers in Azure. Isto permite-lhe resolver os nomes dos anfitriões dentro dessa rede virtual.This enables you to resolve host names within that virtual network. Por exemplo, um controlador de domínio que funciona em Azure pode responder a consultas de DNS para os seus próprios domínios, e encaminhar todas as outras consultas para Azure.For example, a domain controller that runs in Azure can respond to DNS queries for its own domains, and forward all other queries to Azure.

  • O encaminhamento do DNS permite que as VMs vejam os recursos no local (através do controlador de domínio) e os nomes de anfitrião fornecidos pelo Azure (com o reencaminhador).DNS forwarding allows VMs to see both your on-premises resources (via the domain controller) and Azure-provided host names (using the forwarder). Pode aceder aos resolverções recursivas em Azure utilizando o endereço IP 168.63.129.16 virtual.You can access the recursive resolvers in Azure by using the virtual IP address 168.63.129.16.

  • O reencaminhamento de DNS também permite a resolução de DNS entre redes virtuais, e permite que as máquinas no local resolvam os nomes dos anfitriões fornecidos pela Azure.DNS forwarding also enables DNS resolution between virtual networks, and allows on-premises machines to resolve host names provided by Azure.

    • Para resolver um nome de anfitrião VM, o VM do servidor DNS deve residir na mesma rede virtual e ser configurado para encaminhar consultas de nome de anfitrião para Azure.To resolve a VM host name, the DNS server VM must reside in the same virtual network, and be configured to forward host name queries to Azure.
    • Como o sufixo DNS é diferente em cada rede virtual, pode utilizar regras de encaminhamento condicional para enviar consultas dns para a rede virtual correta para resolução.Because the DNS suffix is different in each virtual network, you can use conditional forwarding rules to send DNS queries to the correct virtual network for resolution.
  • Quando utilizar os seus próprios servidores DNS, pode especificar vários servidores DNS para cada rede virtual.When you use your own DNS servers, you can specify multiple DNS servers for each virtual network. Também pode especificar vários servidores DNS por interface de rede (para o Azure Resource Manager) ou por serviço cloud (para o modelo de implementação clássico).You can also specify multiple DNS servers per network interface (for Azure Resource Manager), or per cloud service (for the classic deployment model).

  • Os servidores DNS especificados para uma interface de rede ou serviço na nuvem têm precedência sobre os servidores DNS especificados para a rede virtual.DNS servers specified for a network interface or cloud service take precedence over DNS servers specified for the virtual network.

  • No Azure Resource Manager, é possível especificar servidores DNS para uma rede virtual e uma interface de rede, mas a melhor prática é utilizar a definição apenas em redes virtuais.In Azure Resource Manager, you can specify DNS servers for a virtual network and a network interface, but the best practice is to use the setting only on virtual networks.

    Screenshot dos servidores DNS para uma rede virtual.Screenshot of DNS servers for a virtual network. Figura 2: Servidores DNS para uma rede virtual.Figure 2: DNS servers for a virtual network.

Saiba mais:Learn more:

Melhores práticas: Configurar Zonas de DisponibilidadeBest practice: Set up Availability Zones

Zonas de disponibilidade aumentam a alta disponibilidade para proteger as suas aplicações e dados contra falhas no datacenter.Availability Zones increase high-availability to protect your applications and data from datacenter failures. As Zonas de Disponibilidade são localizações físicas exclusivas numa região do Azure.Availability Zones are unique physical locations within an Azure region. Cada zona é composta por um ou mais datacenters equipados com energia, refrigeração e rede independentes.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões ativadas.To ensure resiliency, there's a minimum of three separate zones in all enabled regions. A separação física das Zonas de Disponibilidade dentro de uma região protege as aplicações e os dados contra falhas do datacenter.The physical separation of Availability Zones within a region protects applications and data from datacenter failures.

Aqui estão alguns pontos adicionais a ter em conta ao configurar Zonas de Disponibilidade:Here are a few additional points to be aware of as you set up Availability Zones:

  • Os serviços redundantes de zona replicam as suas aplicações e dados através das Zonas de Disponibilidade para proteger de pontos únicos de falha.Zone-redundant services replicate your applications and data across Availability Zones to protect from single points of failure.

  • Com Zonas de Disponibilidade, o Azure oferece um SLA de 99,99 por cento de tempo de tempo VM.With Availability Zones, Azure offers an SLA of 99.99 percent VM uptime.

    Diagrama de Zonas de Disponibilidade dentro de uma região de Azure.

    Figura 3: Zonas de disponibilidade.Figure 3: Availability Zones.

  • Pode planear e compilar a alta disponibilidade na sua arquitetura de migração ao colocar recursos de computação, armazenamento, rede e dados numa zona e replicando-os noutras zonas.You can plan and build high-availability into your migration architecture by colocating compute, storage, networking, and data resources within a zone, and replicating them in other zones. Os serviços do Azure que suportam as Zonas de Disponibilidade estão divididos em duas categorias:Azure services that support Availability Zones fall into two categories:

    • Serviços zonais: Associa um recurso a uma zona específica, como VMs, discos geridos ou endereços IP.Zonal services: You associate a resource with a specific zone, such as VMs, managed disks, or IP addresses.
    • Serviços redundantes de zona: O recurso replica-se automaticamente em zonas, como o armazenamento redundante de zona ou a Base de Dados Azure SQL.Zone-redundant services: The resource replicates automatically across zones, such as zone-redundant storage or Azure SQL Database.
  • Para fornecer tolerância a falhas zonais, pode implementar uma instância padrão do Balançador de Carga Azure com cargas de trabalho ou níveis de aplicação virados para a Internet.To provide zonal fault tolerance, you can deploy a standard Azure Load Balancer instance with internet-facing workloads or application tiers.

    Diagrama do balançador de carga padrão Figura 4: Balançador de carga.Diagram of standard load balancer Figure 4: Load balancer.

Saiba mais:Learn more:

Conceber uma rede da cloud híbridaDesign hybrid cloud networking

Para uma migração bem-sucedida, é essencial ligar as redes empresariais no local ao Azure.For a successful migration, it's critical to connect on-premises corporate networks to Azure. Tal cria uma ligação contínua conhecida como uma rede da cloud híbrida, na qual os serviços são fornecidos a partir da cloud do Azure para utilizadores empresariais.This creates an always-on connection known as a hybrid-cloud network, where services are provided from the Azure cloud to corporate users. Existem duas opções para criar este tipo de rede:There are two options for creating this type of network:

  • VPN site-to-site: Estabelece uma ligação VPN site-to-site entre o seu dispositivo VPN compatível no local e um gateway VPN Azure que está implantado numa rede virtual.Site-to-Site VPN: You establish a Site-to-Site VPN connection between your compatible on-premises VPN device and an Azure VPN gateway that's deployed in a virtual network. Qualquer recurso autorizado e no local pode aceder a redes virtuais.Any authorized, on-premises resource can access virtual networks. As comunicações site-to-site são enviadas através de um túnel encriptado através da internet.Site-to-Site communications are sent through an encrypted tunnel over the internet.
  • Azure ExpressRoute: Estabelece uma ligação Azure ExpressRoute entre a sua rede no local e a Azure, através de um parceiro ExpressRoute.Azure ExpressRoute: You establish an Azure ExpressRoute connection between your on-premises network and Azure, through an ExpressRoute partner. Esta ligação é privada e o tráfego não passa pela Internet.This connection is private, and traffic doesn't go over the internet.

Saiba mais:Learn more:

Melhores práticas: Implementar uma VPN local-a-local altamente disponívelBest practice: Implement a highly available Site-to-Site VPN

Para implementar uma VPN site-to-site, você configura uma porta de entrada VPN em Azure.To implement a Site-to-Site VPN, you set up a VPN gateway in Azure.

  • Um gateway VPN é um tipo específico de porta de entrada de rede virtual.A VPN gateway is a specific type of virtual network gateway. Envia tráfego encriptado entre uma rede virtual Azure e uma localização no local através da internet pública.It sends encrypted traffic between an Azure virtual network and an on-premises location over the public internet.
  • Um gateway VPN também pode enviar tráfego encriptado entre redes virtuais em Azure sobre a rede Microsoft.A VPN gateway can also send encrypted traffic between virtual networks in Azure over the Microsoft network.
  • Cada rede virtual pode ter apenas um gateway de VPN.Each virtual network can have only one VPN gateway.
  • Pode criar várias ligações para o mesmo gateway de VPN.You can create multiple connections to the same VPN gateway. Quando cria várias ligações, todos os túneis de VPN partilham a largura de banda do gateway disponível.When you create multiple connections, all VPN tunnels share the available gateway bandwidth.

Cada gateway VPN Azure consiste em duas instâncias numa configuração de espera ativa:Every Azure VPN gateway consists of two instances in an active-standby configuration:

  • Para a manutenção planeada ou perturbação não planeada para o caso ativo, ocorre a falha e a instância de espera assume-se automaticamente.For planned maintenance or unplanned disruption to the active instance, failover occurs and the standby instance takes over automatically. Este caso retoma a ligação Site-a-Site ou rede-a-rede.This instance resumes the Site-to-Site or network-to-network connection.
  • A alternância causa uma breve interrupção.The switchover causes a brief interruption.
  • Nas manutenções planeadas, a conectividade deve ser restabelecida ao fim de 10 a 15 segundos.For planned maintenance, connectivity should be restored within 10 to 15 seconds.
  • Para problemas não planeados, a recuperação da ligação demora mais tempo, até 1,5 minutos no pior dos casos.For unplanned issues, the connection recovery takes longer, up to 1.5 minutes in the worst case.
  • As ligações do cliente VPN ponto-a-local ao gateway estão desligadas e os utilizadores precisam de voltar a ligar-se às máquinas do cliente.Point-to-Site VPN client connections to the gateway are disconnected, and users need to reconnect from client machines.

Ao configurar uma VPN site-to-site:When setting up a Site-to-Site VPN:

  • Precisa de uma rede virtual cujo alcance de endereços não se sobreponha à rede no local à qual a VPN se ligará.You need a virtual network whose address range doesn't overlap with the on-premises network to which the VPN will connect.
  • Crie uma sub-rede do gateway na rede.You create a gateway subnet in the network.
  • Você cria um gateway VPN, especifica o tipo de gateway (VPN), e se o gateway é baseado em políticas ou baseado em rotas.You create a VPN gateway, specify the gateway type (VPN), and whether the gateway is policy-based or route-based. Uma VPN baseada em rotas é considerada mais capaz e à prova de futuro.A route-based VPN is considered more capable and future-proof.
  • Crie um gateway de rede local no local e configure o seu dispositivo VPN no local.You create a local network gateway on-premises, and configure your on-premises VPN device.
  • Cria uma ligação VPN local-local entre o gateway de rede virtual e o dispositivo no local.You create a failover Site-to-Site VPN connection between the virtual network gateway and the on-premises device. A utilização da VPN baseada em rotas permite realizar ligações ativo-passivo ou ativo-ativo para o Azure.Using route-based VPN allows for either active-passive or active-active connections to Azure. A opção baseada em rotas também suporta ligações site-to-site (de qualquer computador) e ponto-a-local (a partir de um único computador), simultaneamente.The route-based option also supports both Site-to-Site (from any computer) and Point-to-Site (from a single computer) connections, concurrently.
  • Especifique o SKU do gateway que pretende utilizar.You specify the gateway SKU that you want to use. Isto depende dos seus requisitos de carga de trabalho, produção, funcionalidades e SLAs.This depends on your workload requirements, throughput, features, and SLAs.
  • O Border Gateway Protocol (BGP) é uma característica opcional.Border Gateway Protocol (BGP) is an optional feature. Pode usá-lo com o Azure ExpressRoute e com gateways VPN baseados em rotas para propagar as suas rotas BGP no local para as suas redes virtuais.You can use it with Azure ExpressRoute and route-based VPN gateways to propagate your on-premises BGP routes to your virtual networks.

Diagrama de uma VPN site-to-site. Figura 5: VPN site-to-site.Diagram of a Site-to-Site VPN. Figure 5: Site-to-Site VPN.

Saiba mais:Learn more:

Melhores práticas: Configurar uma porta de entrada para gateways VPNBest practice: Configure a gateway for VPN gateways

Quando criar uma porta VPN em Azure, deve utilizar uma sub-rede especial chamada GatewaySubnet .When you create a VPN gateway in Azure, you must use a special subnet named GatewaySubnet. Ao criar esta sub-rede, observe estas boas práticas:When you create this subnet, note these best practices:

  • GatewaySubnet pode ter um comprimento prefixo máximo de 29 (por exemplo, 10.119.255.248/29 ).GatewaySubnet can have a maximum prefix length of 29 (for example, 10.119.255.248/29). A recomendação atual é que utilize um prefixo de 27 (por exemplo, 10.119.255.224/27 ).The current recommendation is that you use a prefix length of 27 (for example, 10.119.255.224/27).
  • Quando definir o espaço de endereço da sub-rede gateway, utilize a última parte do espaço de endereço de rede virtual.When you define the address space of the gateway subnet, use the very last part of the virtual network address space.
  • Quando estiver a utilizar a sub-rede de gateway Azure, nunca coloque quaisquer VMs ou outros dispositivos, como o Azure Application Gateway, na sub-rede gateway.When you're using the Azure gateway subnet, never deploy any VMs or other devices, such as Azure Application Gateway, to the gateway subnet.
  • Não atribua um grupo de segurança de rede (NSG) a esta sub-rede.Don't assign a network security group (NSG) to this subnet. Tal vai fazer com que o gateway deixe de funcionar.It will cause the gateway to stop functioning.

Melhores práticas: Implementar Azure Virtual WAN para sucursaisBest practice: Implement Azure Virtual WAN for branch offices

Para várias ligações VPN, a Azure Virtual WAN é um serviço de networking que fornece conectividade otimizada e automatizada de ramo-a-ramo através do Azure.For multiple VPN connections, Azure Virtual WAN is a networking service that provides optimized and automated, branch-to-branch connectivity through Azure.

  • A WAN Virtual permite-lhe ligar e configurar dispositivos de ramo para comunicar com o Azure.Virtual WAN allows you to connect and configure branch devices to communicate with Azure. Pode fazê-lo manualmente, ou utilizando dispositivos de fornecedor preferidos através de um parceiro Azure Virtual WAN.You can do this manually, or by using preferred provider devices through an Azure Virtual WAN partner.
  • A utilização de dispositivos do fornecedor preferencial permite uma utilização, conectividade e gestão da configuração simples.Using preferred provider devices allows for simple use, connectivity, and configuration management.
  • O painel de instrumentos incorporado Azure Virtual WAN fornece insights instantâneos de resolução de problemas que poupam tempo e fornecem uma maneira fácil de rastrear a conectividade local-local em larga escala.The Azure Virtual WAN built-in dashboard provides instant troubleshooting insights that save time, and provide an easy way to track large-scale, site-to-site connectivity.

Saiba mais: Saiba mais sobre a Azure Virtual WAN.Learn more: Learn about Azure Virtual WAN.

Melhores práticas: Implementar ExpressRoute para ligações críticas à missãoBest practice: Implement ExpressRoute for mission-critical connections

O serviço Azure ExpressRoute estende a sua infraestrutura no local para a nuvem da Microsoft, criando ligações privadas entre o datacenter virtual Azure e as redes no local.The Azure ExpressRoute service extends your on-premises infrastructure into the Microsoft cloud, by creating private connections between the virtual Azure datacenter and on-premises networks. Aqui estão alguns detalhes de implementação:Here are a few implementation details:

  • As ligações do ExpressRoute podem ser realizadas numa rede qualquer a qualquer (IP VPN), uma rede Ethernet ponto a ponto ou através de um fornecedor de conectividade.ExpressRoute connections can be over an any-to-any (IP VPN) network, a point-to-point Ethernet network, or through a connectivity provider. Estas não passam pela Internet pública.They don't go over the public internet.
  • As ligações do ExpressRoute oferecem maior segurança, fiabilidade e velocidades mais altas (até 10 Gbps), juntamente com uma latência consistente.ExpressRoute connections offer higher security, reliability, and higher speeds (up to 10 Gbps), along with consistent latency.
  • O ExpressRoute é útil para datacenters virtuais, pois os clientes podem obter os benefícios das regras de conformidade associadas a ligações privadas.ExpressRoute is useful for virtual datacenters, as customers can get the benefits of compliance rules associated with private connections.
  • Com o ExpressRoute Direct, pode ligar-se diretamente aos routers da Microsoft a 100 Gbps, para maiores necessidades de largura de banda.With ExpressRoute Direct, you can connect directly to Microsoft routers at 100 Gbps, for larger bandwidth needs.
  • O ExpressRoute utiliza o BGP para trocar rotas entre redes no local, instâncias do Azure e endereços públicos da Microsoft.ExpressRoute uses BGP to exchange routes between on-premises networks, Azure instances, and Microsoft public addresses.

A implementação de ligações do ExpressRoute geralmente envolve interagir com um fornecedor de serviços do ExpressRoute.Deploying ExpressRoute connections usually involves engaging with an ExpressRoute service provider. Para um início rápido, é comum inicialmente usar uma VPN site-to-site para estabelecer conectividade entre o datacenter virtual e os recursos no local.For a rapid start, it's common to initially use a Site-to-Site VPN to establish connectivity between the virtual datacenter and on-premises resources. Em seguida, migra para uma ligação ExpressRoute quando é estabelecida uma interligação física com o seu prestador de serviços.Then you migrate to an ExpressRoute connection when a physical interconnection with your service provider is established.

Saiba mais:Learn more:

Melhores práticas: Otimizar o encaminhamento ExpressRoute com comunidades de BGPBest practice: Optimize ExpressRoute routing with BGP communities

Se tem vários circuitos do ExpressRoute, significa que tem mais do que um caminho para se ligar à Microsoft.When you have multiple ExpressRoute circuits, you have more than one path to connect to Microsoft. Sendo assim, pode ocorrer um encaminhamento inferior e o tráfego pode optar por um caminho mais longo para chegar à Microsoft e da Microsoft à sua rede.As a result, suboptimal routing can happen and your traffic might take a longer path to reach Microsoft, and Microsoft to your network. Quanto mais longo for o caminho de rede, maior será a latência.The longer the network path, the higher the latency. A latência afeta diretamente o desempenho da aplicação e a experiência do utilizador.Latency directly affects application performance and the user experience.

Exemplo:Example:

Vamos analisar um exemplo:Let's review an example:

  • Tem dois escritórios nos EUA, um em Los Angeles e outro em Nova Iorque.You have two offices in the US, one in Los Angeles and one in New York City.
  • Os escritórios estão ligados através de uma WAN, que pode ser a sua própria rede principal ou a VPN de IP do seu fornecedor de serviços.Your offices are connected on a WAN, which can be either your own backbone network or your service provider's IP VPN.
  • Tem dois circuitos ExpressRoute, um dentro West US e outro East US dentro, que também estão ligados no WAN.You have two ExpressRoute circuits, one in West US and one in East US, that are also connected on the WAN. Tem, obviamente, dois caminhos para se ligar à rede da Microsoft.Obviously, you have two paths to connect to the Microsoft network.

Problema:Problem:

Agora imagine que tem uma implementação Azure (por exemplo, Azure App Service) em ambos West US e East US .Now imagine that you have an Azure deployment (for example, Azure App Service) in both West US and East US.

  • Quer que os utilizadores em cada escritório tenham acesso aos seus serviços do Azure mais próximos para obterem uma experiência ideal.You want users in each office to access their nearest Azure services for an optimal experience.
  • Assim, pretende ligar os utilizadores de Los Angeles ao Azure, West US e os utilizadores em Nova Iorque ao Azure. East USThus, you want to connect users in Los Angeles to Azure West US, and users in New York to Azure East US.
  • Isto funciona para os utilizadores da costa leste, mas não para aqueles na costa oeste.This works for east coast users, but not for those on the west coast. O problema é:The problem is:
    • Em cada circuito ExpressRoute, anunciamos ambos os prefixos em Azure: East US ( 23.100.0.0/16 ) e Azure West US 13.100.0.0/16 ().On each ExpressRoute circuit, we advertise both prefixes in Azure: East US (23.100.0.0/16) and Azure West US (13.100.0.0/16).
    • Se não souber qual o prefixo das regiões, os prefixos não são tratados de forma diferente.Without knowing which prefix is from which region, prefixes aren't treated differently.
    • A sua rede WAN pode assumir que ambos os prefixos estão mais próximos East US do que , e assim West US encaminhar os utilizadores de ambos os escritórios para o circuito ExpressRoute em East US .Your WAN network can assume that both prefixes are closer to East US than West US, and thus route users from both offices to the ExpressRoute circuit in East US. Isto proporciona uma experiência pior para os utilizadores no escritório de Los Angeles.This provides a worse experience for users in the Los Angeles office.

Diagrama de VPN com percurso por circuito errado. Figura 6: Comunidades de BGP nãotimizadas.Diagram of VPN with route path through wrong circuit. Figure 6: BGP communities unoptimized connection.

Solução:Solution:

Para otimizar o encaminhamento para ambos os escritórios, precisa de saber qual é o prefixo da Azure West US e qual o prefixo da Azure East US .To optimize routing for both offices, you need to know which prefix is from Azure West US and which prefix is from Azure East US. Pode codificar estas informações com os valores das comunidades BGP.You can encode this information by using BGP community values.

  • Atribua um valor exclusivo da comunidade BGP a cada região do Azure.You assign a unique BGP community value to each Azure region. Por exemplo, 12076:51004 para East US ; 12076:51006 para West US .For example, 12076:51004 for East US; 12076:51006 for West US.
  • Agora que está claro qual o prefixo que pertence a qual região do Azure, pode configurar um circuito do ExpressRoute preferencial.Now that it's clear which prefix belongs to which Azure region, you can configure a preferred ExpressRoute circuit.
  • Uma vez que está a utilizar o BGP para trocar informações de encaminhamento, pode utilizar a preferência local do BGP para influenciar o encaminhamento.Because you're using BGP to exchange routing information, you can use BGP's local preference to influence routing.
  • No nosso exemplo, atribui um valor de preferência local mais elevado do 13.100.0.0/16 West US que em East US .In our example, you assign a higher local preference value to 13.100.0.0/16 in West US than in East US. Da mesma forma, atribui um valor de preferência local mais elevado do 23.100.0.0/16 East US que em West US .Similarly, you assign a higher local preference value to 23.100.0.0/16 in East US than in West US.
  • Esta configuração garante que, quando ambos os caminhos para a Microsoft estão disponíveis, os utilizadores em Los Angeles conectam-se à West US região utilizando o circuito oeste, e os utilizadores em Nova Iorque conectam-se à East US região utilizando o circuito leste.This configuration ensures that when both paths to Microsoft are available, users in Los Angeles connect to the West US region by using the west circuit, and users in New York connect to the East US region by using the east circuit.

Diagrama de VPN com percurso de rota através do circuito correto. Figura 7: Comunidades de BGP otimizaram a ligação.Diagram of VPN with route path through correct circuit. Figure 7: BGP communities optimized connection.

Saiba mais:Learn more:

Redes virtuais segurasSecure virtual networks

A responsabilidade de garantir redes virtuais é partilhada entre a Microsoft e você.The responsibility for securing virtual networks is shared between Microsoft and you. A Microsoft fornece muitas funcionalidades de rede, bem como serviços que ajudam a manter os recursos seguros.Microsoft provides many networking features, as well as services that help keep resources secure. Quando você está projetando segurança para redes virtuais, o melhor é implementar uma rede de perímetro, usar grupos de filtragem e segurança, acesso seguro a recursos e endereços IP, e implementar proteção de ataques.When you're designing security for virtual networks, it's best to implement a perimeter network, use filtering and security groups, secure access to resources and IP addresses, and implement attack protection.

Saiba mais:Learn more:

Melhores práticas: Implementar uma rede de perímetro AzureBest practice: Implement an Azure perimeter network

Embora a Microsoft invista fortemente na proteção da infraestrutura de cloud, também deve proteger os seus serviços cloud e grupos de recursos.Although Microsoft invests heavily in protecting the cloud infrastructure, you must also protect your cloud services and resource groups. Uma abordagem multicamadas para a segurança fornece a melhor defesa.A multilayered approach to security provides the best defense. Colocar em vigor uma rede de perímetro é uma parte importante desta estratégia de defesa.Putting a perimeter network in place is an important part of that defense strategy.

  • Uma rede de perímetro protege os recursos de rede internos de uma rede não confiável.A perimeter network protects internal network resources from an untrusted network.
  • A camada mais externa é a que fica exposta à Internet.It's the outermost layer that's exposed to the internet. No geral, esta fica entre a Internet e a infraestrutura empresarial, normalmente com alguma forma de proteção em ambos os lados.It generally sits between the internet and the enterprise infrastructure, usually with some form of protection on both sides.
  • Numa topologia de rede empresarial típica, a infraestrutura principal está fortemente reforçada nos perímetros, com várias camadas de dispositivos de segurança.In a typical enterprise network topology, the core infrastructure is heavily fortified at the perimeters, with multiple layers of security devices. O limite de cada camada é composto por dispositivos e pontos de imposição de políticas.The boundary of each layer consists of devices and policy enforcement points.
  • Cada camada pode incluir uma combinação das soluções de segurança da rede, tais como firewalls, prevenção de negação de serviço (DoS), sistemas de deteção/proteção de intrusões (IDS/IPS) e dispositivos VPN.Each layer can include a combination of the network security solutions, such as firewalls, denial of service (DoS) prevention, intrusion detection/intrusion protection systems (IDS/IPS), and VPN devices.
  • A imposição de políticas na rede do perímetro pode utilizar políticas de firewall, listas de controlo de acesso (ACLs) ou um encaminhamento específico.Policy enforcement on the perimeter network can use firewall policies, access control lists (ACLs), or specific routing.
  • À medida que o tráfego chega da internet, é intercetado e tratado por uma combinação de soluções de defesa.As incoming traffic arrives from the internet, it's intercepted and handled by a combination of defense solutions. As soluções bloqueiam ataques e tráfego prejudicial, ao mesmo tempo que permitem pedidos legítimos para a rede.The solutions block attacks and harmful traffic, while allowing legitimate requests into the network.
  • O tráfego de entrada pode ser encaminhado diretamente para os recursos na rede de perímetro.Incoming traffic can route directly to resources in the perimeter network. O recurso da rede de perímetro pode então comunicar com outros recursos mais profundos na rede, ao deixar o tráfego avançar na rede após a validação.The perimeter network resource can then communicate with other resources deeper in the network, moving traffic forward into the network after validation.

Aqui está um exemplo de uma única rede de perímetro de sub-redes numa rede corporativa, com dois limites de segurança.Here's an example of a single subnet perimeter network in a corporate network, with two security boundaries.

Diagrama da rede de perímetro da Rede Virtual Azure. Figura 8: Implantação da rede de perímetro.Diagram of Azure Virtual Network perimeter network deployment. Figure 8: Perimeter network deployment.

Saiba mais:Learn more:

Melhores práticas: Filtrar o tráfego de rede virtual com NSGsBest practice: Filter virtual network traffic with NSGs

Os grupos de segurança da rede (NSGs) contêm múltiplas regras de segurança de entrada e saída que filtram o tráfego indo e a partir de recursos.Network security groups (NSGs) contain multiple inbound and outbound security rules that filter traffic going to and from resources. A filtragem pode ser por endereço IP, porta e protocolo de origem e de destino.Filtering can be by source and destination IP address, port, and protocol.

  • Os NSGs contêm regras de segurança que permitem ou negam o tráfego de entrada para (ou de saída de) vários tipos de recursos do Azure.NSGs contain security rules that allow or deny inbound network traffic to (or outbound network traffic from) several types of Azure resources. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.For each rule, you can specify source and destination, port, and protocol.
  • As regras do NSG são avaliadas por prioridade utilizando informações de cinco tuples (fonte, porto de origem, destino, porto de destino e protocolo), para permitir ou negar o tráfego.NSG rules are evaluated by priority by using five-tuple information (source, source port, destination, destination port, and protocol), to allow or deny the traffic.
  • É criado um registo de fluxo para as ligações existentes.A flow record is created for existing connections. A comunicação é permitida ou negada com base no estado da ligação do registo do fluxo.Communication is allowed or denied based on the connection state of the flow record.
  • Um registo de fluxo permite que um NSG tenha um estado.A flow record allows an NSG to be stateful. Por exemplo, se especificar uma regra de segurança de saída para qualquer endereço através da porta 80, não precisa de uma regra de segurança de entrada para responder ao tráfego de saída.For example, if you specify an outbound security rule to any address over port 80, you don't need an inbound security rule to respond to the outbound traffic. Só tem de especificar uma regra de segurança de entrada se a comunicação for iniciada externamente.You only need to specify an inbound security rule if communication is initiated externally.
  • O oposto também se aplica.The opposite is also true. Se o tráfego de entrada for permitido numa porta, não precisa de especificar uma regra de segurança de saída para responder ao tráfego através da porta.If inbound traffic is allowed over a port, you don't need to specify an outbound security rule to respond to traffic over the port.
  • As ligações existentes não são interrompidas quando remove uma regra de segurança que ativou o fluxo.Existing connections aren't interrupted when you remove a security rule that enabled the flow. Os fluxos de tráfego são interrompidos quando as ligações são paradas e não há qualquer tráfego a fluir em qualquer direção, pelo menos, durante alguns minutos.Traffic flows are interrupted when connections are stopped, and no traffic is flowing in either direction, for at least a few minutes.
  • Ao criar NSGs, crie o menor número possível, mas o máximo necessário.When creating NSGs, create as few as possible, but as many as necessary.

Melhores práticas: Tráfego seguro norte/sul e leste/oesteBest practice: Secure north/south and east/west traffic

Para proteger redes virtuais, considere vetores de ataque.To secure virtual networks, consider attack vectors. Tenha em atenção os seguintes pontos:Note the following points:

  • A utilização exclusiva de NSGs de sub-rede simplifica o seu ambiente, mas protege apenas o tráfego para a sub-rede.Using only subnet NSGs simplifies your environment, but only secures traffic into your subnet. Isto é conhecido como tráfego norte/sul.This is known as north/south traffic.
  • O tráfego entre as VMs na mesma sub-rede é conhecido como tráfego este/oeste.Traffic between VMs on the same subnet is known as east/west traffic.
  • É importante usar ambas as formas de proteção, para que se um hacker tiver acesso a partir do exterior, eles serão parados ao tentar atacar máquinas localizadas na mesma sub-rede.It's important to use both forms of protection, so that if a hacker gains access from the outside, they'll be stopped when trying to attack machines located in the same subnet.

Utilizar etiquetas de serviço em NSGsUse service tags on NSGs

Uma etiqueta de serviço representa um grupo de prefixos de endereço IP.A service tag represents a group of IP address prefixes. A utilização de uma etiqueta de serviço ajuda a minimizar a complexidade quando cria regras de NSG.Using a service tag helps minimize complexity when you create NSG rules.

  • Ao criar regras, pode utilizar etiquetas de serviço em vez de endereços IP específicos.You can use service tags instead of specific IP addresses when you create rules.
  • A Microsoft gere os prefixos de endereços associados a uma etiqueta de serviço e atualiza automaticamente a mesma à medida que os endereços são alterados.Microsoft manages the address prefixes associated with a service tag, and automatically updates the service tag as addresses change.
  • Não pode criar as suas próprias etiquetas de serviço nem especificar que endereços IP estão incluídos nas mesmas.You can't create your own service tag, or specify which IP addresses are included within a tag.

As etiquetas de serviço retiram o trabalho manual de atribuição de uma regra para grupos dos serviços do Azure.Service tags take the manual work out of assigning a rule to groups of Azure services. Por exemplo, se pretender permitir que uma sub-rede que contenha servidores web aceda à Base de Dados Azure SQL, pode criar uma regra de saída para a porta 1433 e utilizar a etiqueta de serviço Sql.For example, if you want to allow a subnet containing web servers to access to Azure SQL Database, you can create an outbound rule to port 1433, and use the Sql service tag.

  • Esta etiqueta Sql denota os prefixos de endereços dos serviços Base de Dados SQL do Azure e Azure SQL Data Warehouse.This Sql tag denotes the address prefixes of the Azure SQL Database and Azure SQL Data Warehouse services.
  • Se especificar o Sql como o valor, o tráfego é permitido ou negado ao SQL.If you specify Sql as the value, traffic is allowed or denied to SQL.
  • Se quiser apenas permitir o acesso ao Sql numa determinada região, pode especificá-la.If you only want to allow access to Sql in a specific region, you can specify that region. Por exemplo, se pretender permitir o acesso apenas à Base de Dados Azure SQL na região leste dos EUA, pode especificar sql.EastUS para a etiqueta de serviço.For example, if you want to allow access only to Azure SQL Database in the East US region, you can specify Sql.EastUS for the service tag.
  • A etiqueta representa o serviço, mas não instâncias específicas do mesmos.The tag represents the service, but not specific instances of the service. Por exemplo, a etiqueta representa o serviço de base de dados Azure SQL, mas não representa uma base de dados ou servidor SQL em particular.For example, the tag represents the Azure SQL Database service, but doesn't represent a particular SQL Database or server.
  • Todos os prefixos de endereço representados por esta etiqueta também são representados pela etiqueta Internet.All address prefixes represented by this tag are also represented by the Internet tag.

Saiba mais:Learn more:

Melhores práticas: Utilize grupos de segurança de aplicaçõesBest practice: Use application security groups

Os grupos de segurança de aplicações permitem-lhe configurar a segurança da rede como uma extensão natural de uma estrutura de aplicação.Application security groups enable you to configure network security as a natural extension of an application structure.

  • Pode agrupar VMs e definir políticas de segurança de rede com base nos grupos de segurança de aplicações.You can group VMs and define network security policies based on application security groups.
  • Os grupos de segurança de aplicações permitem-lhe reutilizar a sua política de segurança em escala, sem a manutenção manual de endereços IP explícitos.Application security groups enable you to reuse your security policy at scale, without manual maintenance of explicit IP addresses.
  • Os grupos de segurança de aplicações lidam com a complexidade dos endereços IP explícitos e dos vários conjuntos de regras, permitindo-lhe focar-se na lógica de negócio.Application security groups handle the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic.

Exemplo:Example:

Diagrama do grupo de segurança de aplicações Figura 9: Exemplo do grupo de segurança de aplicações.Diagram of application security group Figure 9: Application security group example.

Interface de redeNetwork interface Grupo de segurança de aplicaçõesApplication security group
NIC1 AsgWeb
NIC2 AsgWeb
NIC3 AsgLogic
NIC4 AsgDb

No nosso exemplo, cada interface de rede pertence a apenas um grupo de segurança de aplicações, mas, de facto, uma interface pode pertencer a vários grupos, de acordo com os limites do Azure.In our example, each network interface belongs to only one application security group, but in fact an interface can belong to multiple groups, in accordance with Azure limits. Não está associado nenhum NSG às interfaces de rede.None of the network interfaces have an associated NSG. NSG1 está associado a ambas as subredes e contém as seguintes regras:NSG1 is associated with both subnets, and contains the following rules:

Nome da regraRule name ObjetivoPurpose DetalhesDetails
Allow-HTTP-Inbound-Internet Permite o tráfego da Internet para os servidores Web.Allow traffic from the internet to the web servers. O tráfego de entrada da internet é negado pela DenyAllInbound regra de segurança por defeito, pelo que não é necessária nenhuma regra adicional para os AsgLogic grupos de segurança ou AsgDb aplicações.Inbound traffic from the internet is denied by the DenyAllInbound default security rule, so no additional rule is needed for the AsgLogic or AsgDb application security groups. Prioridade: 100Priority: 100

Fonte: internetSource: internet

Porta de origem: *Source port: *

Destino: AsgWebDestination: AsgWeb

Porto de destino: 80Destination port: 80

Protocolo: TCPProtocol: TCP

Acesso: AllowAccess: Allow
Deny-Database-All AllowVNetInBound a regra de segurança padrão permite toda a comunicação entre recursos na mesma rede virtual.AllowVNetInBound default security rule allows all communication between resources in the same virtual network. Esta regra é necessária para negar o tráfego de todos os recursos.This rule is needed to deny traffic from all resources. Prioridade: 120Priority: 120

Fonte: *Source: *

Porta de origem: *Source port: *

Destino: AsgDbDestination: AsgDb

Porto de destino: 1433Destination port: 1433

Protocolo: AllProtocol: All

Acesso: DenyAccess: Deny
Allow-Database-BusinessLogic Permitir o tráfego do grupo de segurança de AsgLogic aplicações para o grupo de segurança de AsgDb aplicações.Allow traffic from the AsgLogic application security group to the AsgDb application security group. A prioridade para esta regra é maior do que a Deny-Database-All regra, por isso esta regra é processada primeiro.The priority for this rule is higher than the Deny-Database-All rule, so this rule is processed first. Portanto, o tráfego do grupo de segurança de AsgLogic aplicações é permitido, e todo o outro tráfego está bloqueado.Therefore, traffic from the AsgLogic application security group is allowed, and all other traffic is blocked. Prioridade: 110Priority: 110

Fonte: AsgLogicSource: AsgLogic

Porta de origem: *Source port: *

Destino: AsgDbDestination: AsgDb

Porto de destino: 1433Destination port: 1433

Protocolo: TCPProtocol: TCP

Acesso: AllowAccess: Allow

As regras que especifiquem grupos de segurança de aplicações como a origem ou o destino só são aplicadas às interfaces de rede que são membros do grupo de segurança de aplicações.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Se a interface de rede não for membro de um grupo de segurança de aplicações, a regra não é aplicada à interface de rede, mesmo que o grupo de segurança da rede esteja associado à sub-rede.If the network interface isn't a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated with the subnet.

Saiba mais:Learn more:

Boas práticas: Acesso seguro ao PaaS utilizando pontos finais de serviço de rede virtualBest practice: Secure access to PaaS by using virtual network service endpoints

Os pontos finais do serviço de rede virtual estendem o espaço e identidade de endereço privado da sua rede virtual aos serviços Azure através de uma ligação direta.Virtual network service endpoints extend your virtual network private address space and identity to Azure services over a direct connection.

  • Os pontos finais permitem-lhe garantir recursos críticos de serviço Azure apenas para as suas redes virtuais.Endpoints allow you to secure critical Azure service resources to your virtual networks only. O tráfego da sua rede virtual para o serviço Azure permanece sempre na rede de espinha dorsal Azure.Traffic from your virtual network to the Azure service always remains on the Azure backbone network.
  • O espaço de endereços privados de rede virtual pode ser sobreposto, e assim não pode ser usado para identificar de forma única o tráfego originário de uma rede virtual.Virtual network private address space can be overlapping, and thus can't be used to uniquely identify traffic originating from a virtual network.
  • Depois de ativar os pontos finais do serviço na sua rede virtual, pode garantir os recursos de serviço do Azure adicionando uma regra de rede virtual aos recursos de serviço.After you enable service endpoints in your virtual network, you can secure Azure service resources by adding a virtual network rule to the service resources. Isto proporciona uma segurança melhorada, removendo totalmente o acesso público à Internet aos recursos, e permitindo o tráfego apenas a partir da sua rede virtual.This provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

Diagrama de pontos finais de serviço. Figura 10: Pontos finais de serviço.Diagram of service endpoints. Figure 10: Service endpoints.

Saiba mais:Learn more:

Melhores práticas: Controlar endereços IP públicosBest practice: Control public IP addresses

Os endereços IP públicos no Azure podem ser associados a VMs, balanceadores de carga, gateways de aplicações e gateways de VPN.Public IP addresses in Azure can be associated with VMs, load balancers, application gateways, and VPN gateways.

  • Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet.Public IP addresses allow internet resources to communicate inbound to Azure resources, and Azure resources to communicate outbound to the internet.
  • Os endereços IP públicos são criados com um SKU básico ou padrão, que têm várias diferenças.Public IP addresses are created with a basic or Standard SKU, which have several differences. Os SKUs standard podem ser atribuídos a qualquer serviço, mas são geralmente configurados em VMs, balanceadores de carga e gateways de aplicações.Standard SKUs can be assigned to any service, but are most usually configured on VMs, load balancers, and application gateways.
  • É importante observar que um endereço IP público básico não tem um NSG configurado automaticamente.It's important to note that a basic public IP address doesn't have an NSG automatically configured. Tens de configurar os teus e atribuir regras para controlar o acesso.You need to configure your own, and assign rules to control access. Os endereços IP Standard SKU têm um NSG, e regras atribuídas por padrão.Standard SKU IP addresses have an NSG, and rules assigned by default.
  • Como melhor prática, as VMs não devem ser configuradas com um endereço IP público.As a best practice, VMs shouldn't be configured with a public IP address.
    • Se precisar de um porto aberto, deve ser apenas para serviços web, como o porto 80 ou 443.If you need a port opened, it should only be for web services, such as port 80 or 443.
    • As portas de gestão remota padrão, tais como SSH (22) e RDP (3389), juntamente com todas as outras portas, devem ser definidas para serem consideradas como sendo necóplias através da utilização de NSGs.Standard remote management ports, such as SSH (22) and RDP (3389), along with all other ports, should be set to deny by using NSGs.
  • Uma melhor prática é colocar VMs atrás do Azure Load Balancer ou do Azure Application Gateway.A better practice is to put VMs behind Azure Load Balancer or Azure Application Gateway. Em seguida, se precisar de acesso a portas de gestão remota, pode utilizar o acesso VM just-in-time no Azure Security Center.Then, if you need access to remote management ports, you can use just-in-time VM access in Azure Security Center.

Saiba mais:Learn more:

Aproveite as funcionalidades de segurança do Azure para a redeTake advantage of Azure security features for networking

O Azure tem funcionalidades de segurança ao nível da plataforma, incluindo Azure Firewall, Web Application Firewall e Network Watcher.Azure has platform-level security features, including Azure Firewall, Web Application Firewall, and Network Watcher.

Melhores práticas: Implementar firewall AzureBest practice: Deploy Azure Firewall

O Azure Firewall é um serviço de segurança de rede gerido, baseado na nuvem, que ajuda a proteger os seus recursos de rede virtuais.Azure Firewall is a managed, cloud-based, network security service that helps protect your virtual network resources. É uma firewall totalmente imponente e gerida, com alta disponibilidade incorporada e escalabilidade de nuvens sem restrições.It's a fully stateful, managed firewall, with built-in high availability and unrestricted cloud scalability.

Diagrama de Azure Firewall. Figura 11: Firewall Azure.Diagram of Azure Firewall. Figure 11: Azure Firewall.

Aqui estão alguns pontos a ter em conta se implementar o serviço:Here are a few points to be aware of if you deploy the service:

  • O Azure Firewall pode criar, impor e registar políticas de aplicação e conectividade de rede em subscrições e redes virtuais.Azure Firewall can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.
  • O Azure Firewall utiliza um endereço IP público estático para os seus recursos de rede virtual.Azure Firewall uses a static, public IP address for your virtual network resources. Isto permite que firewalls externos identifiquem tráfego originário da sua rede virtual.This allows outside firewalls to identify traffic originating from your virtual network.
  • O Azure Firewall está totalmente integrado no Azure Monitor para fins de registo e análise.Azure Firewall is fully integrated with Azure Monitor for logging and analytics.
  • Quando estiver a criar regras do Azure Firewall, o melhor é usar as etiquetas FQDN.When you're creating Azure Firewall rules, it's best to use the FQDN tags.
    • Uma etiqueta FQDN representa um grupo de FQDNs associado aos serviços da Microsoft conhecidos.An FQDN tag represents a group of FQDNs associated with well-known Microsoft services.
    • Pode utilizar uma etiqueta FQDN para permitir o tráfego de saída necessário através da firewall.You can use an FQDN tag to allow the required outbound network traffic through the firewall.
  • Por exemplo, para permitir manualmente o tráfego do Windows Update através da sua firewall, precisaria de criar várias regras de aplicações.For example, to manually allow Windows Update network traffic through your firewall, you would need to create multiple application rules. Ao utilizar tags FQDN, cria uma regra de aplicação e inclui a etiqueta De Atualização do Windows.By using FQDN tags, you create an application rule, and include the Windows Update tag. Com essa regra em vigor, o tráfego para os pontos finais do Microsoft Windows Update pode fluir pela sua firewall.With this rule in place, network traffic to Microsoft Windows Update endpoints can flow through your firewall.

Saiba mais:Learn more:

Melhores práticas: Implementar firewall de aplicação webBest practice: Deploy Web Application Firewall

Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns.Web applications are increasingly targets of malicious attacks that exploit commonly known vulnerabilities. As exploits incluem ataques de injeção de SQL e scripting entre sites.Exploits include SQL injection attacks and cross-site scripting attacks. Prevenir tais ataques no código de aplicação pode ser um desafio, e pode exigir manutenção rigorosa, remendação e monitorização em várias camadas da topologia da aplicação.Preventing such attacks in application code can be challenging, and can require rigorous maintenance, patching, and monitoring at multiple layers of the application topology.

Web Application Firewall (WAF), uma funcionalidade do Azure Application Gateway, ajuda a tornar a gestão de segurança muito mais simples, e ajuda os administradores de aplicações a protegerem-se contra ameaças ou intrusões.Web Application Firewall (WAF), a feature of Azure Application Gateway, helps make security management much simpler, and helps application administrators guard against threats or intrusions. Pode reagir a ameaças de segurança mais rapidamente, remendando vulnerabilidades conhecidas num local central, em vez de garantir aplicações web individuais.You can react to security threats faster, by patching known vulnerabilities at a central location, instead of securing individual web applications. Pode converter facilmente os gateways de aplicações existentes para o Application Gateway que está ativado para firewall de aplicação web.You can easily convert existing application gateways to Application Gateway that is enabled for Web Application Firewall.

Aqui estão algumas notas adicionais sobre a WAF:Here are some additional notes about WAF:

  • A WAF fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns.WAF provides centralized protection of your web applications from common exploits and vulnerabilities.
  • Não precisa modificar o seu código para fazer uso da WAF.You don't need to modify your code to make use of WAF.
  • Pode proteger várias aplicações web ao mesmo tempo, atrás do Application Gateway.It can protect multiple web apps at the same time, behind Application Gateway.
  • A WAF é integrada com o Centro de Segurança do Azure.WAF is integrated with Azure Security Center.
  • Pode personalizar as regras e grupos de regras da WAF de acordo com os seus requisitos de aplicação.You can customize WAF rules and rule groups to suit your application requirements.
  • Como uma boa prática, você deve usar um WAF em frente a qualquer aplicação virada para a web, incluindo aplicações em VMs Azure ou no Azure App Service.As a best practice, you should use a WAF in front of any web-facing application, including applications on Azure VMs or in Azure App Service.

Saiba mais:Learn more:

Melhores práticas: Implementar o Observador de Redes AzureBest practice: Implement Azure Network Watcher

O Azure Network Watcher fornece ferramentas para monitorizar recursos e comunicações numa rede virtual Azure.Azure Network Watcher provides tools to monitor resources and communications in an Azure virtual network. Por exemplo, pode monitorizar as comunicações entre um VM e um ponto final, como outro VM ou FQDN.For example, you can monitor communications between a VM and an endpoint, such as another VM or FQDN. Também pode ver recursos e relações de recursos numa rede virtual ou diagnosticar problemas de tráfego de rede.You can also view resources and resource relationships in a virtual network, or diagnose network traffic issues.

Screenshot do Observador de Rede. Figura 12: Observador de Rede.Screenshot of Network Watcher. Figure 12: Network Watcher.

Aqui estão mais alguns detalhes:Here are a few more details:

  • Com o Network Watcher, pode monitorizar e diagnosticar problemas de networking sem iniciar sessão em VMs.With Network Watcher, you can monitor and diagnose networking issues without signing into VMs.
  • Pode definir alertar para acionar a captura de pacotes e ganhar acesso a informações de desempenho em tempo real ao nível do pacote.You can trigger packet capture by setting alerts, and gain access to real-time performance information at the packet level. Quando se deparar com um problema, pode investigar em pormenor.When you see an issue, you can investigate it in detail.
  • Como melhor prática, utilize o Observador de Rede para analisar os registos de fluxo do NSG.As a best practice, use Network Watcher to review NSG flow logs.
    • Os registos de fluxo do NSG no Observador de Rede permitem que visualize informações sobre o tráfego IP de entrada e saída através de um NSG.NSG flow logs in Network Watcher allow you to view information about ingress and egress IP traffic through an NSG.
    • Os registos de fluxo são escritos no formato JSON.Flow logs are written in JSON format.
    • Os registos de fluxo mostram fluxos de saída e de entrada numa base por regra, e a interface de rede (NIC) à qual o fluxo se aplica.Flow logs show outbound and inbound flows on a per-rule basis, and the network interface (NIC) to which the flow applies. Também mostram informações de 5 tuple sobre o fluxo (IP de origem/destino, porta de origem/destino e protocolo), e se o tráfego foi permitido ou negado.They also show 5-tuple information about the flow (source/destination IP, source/destination port, and protocol), and whether the traffic was allowed or denied.

Saiba mais:Learn more:

Use ferramentas parceiras no Azure MarketplaceUse partner tools in Azure Marketplace

Para topologias de rede mais complexas, pode utilizar produtos de segurança de parceiros da Microsoft, em especial, aplicações virtuais de rede (NVAs).For more complex network topologies, you might use security products from Microsoft partners, in particular network virtual appliances (NVAs).

  • Uma NVA é uma VM que executa uma função de rede, como uma firewall, a otimização de WAN ou outra função de rede.An NVA is a VM that performs a network function, such as a firewall, WAN optimization, or other network function.
  • Os NVAs reforçam as funções de segurança de rede e rede virtuais.NVAs bolster virtual network security and network functions. Podem ser implantados para firewalls altamente disponíveis, prevenção de intrusões, deteção de intrusões, WAFs, otimização WAN, encaminhamento, equilíbrio de carga, VPN, gestão de certificados, Diretório Ativo e autenticação de vários fatores.They can be deployed for highly available firewalls, intrusion prevention, intrusion detection, WAFs, WAN optimization, routing, load balancing, VPN, certificate management, Active Directory, and multi-factor authentication.
  • Os NVAs estão disponíveis em inúmeros fornecedores no Azure Marketplace.NVAs are available from numerous vendors in Azure Marketplace.

Melhores práticas: Implementar firewalls e NVAs em redes de hubBest practice: Implement firewalls and NVAs in hub networks

No centro, normalmente gere a rede de perímetro (com acesso à internet) através do Azure Firewall, uma fazenda de firewall ou um WAF.In the hub, you normally manage the perimeter network (with access to the internet) through Azure Firewall, a firewall farm, or a WAF. A tabela a seguir fornece comparações destes.The following table provides comparisons of these.

Tipo de firewallFirewall type DetalhesDetails
WAFsWAFs As aplicações Web são comuns e tendem a sofrer de vulnerabilidades e potenciais exploits.Web applications are common, and tend to suffer from vulnerabilities and potential exploits. Os WAFs são projetados para detetar ataques contra aplicações web (HTTP/HTTPS).WAFs are designed to detect attacks against web applications (HTTP/HTTPS). Em comparação com a tecnologia de firewall tradicional, as WAFs possuem um conjunto de funções específicas que protegem os servidores Web internos contra ameaças.Compared with traditional firewall technology, WAFs have a set of specific features that protect internal web servers from threats.
Azure FirewallAzure Firewall Tal como as explorações de firewall da NVA, a Azure Firewall utiliza um mecanismo de administração comum e um conjunto de regras de segurança para proteger as cargas de trabalho acolhidas em redes de raios.Like NVA firewall farms, Azure Firewall uses a common administration mechanism and a set of security rules to protect workloads hosted in spoke networks. O Azure Firewall também ajuda a controlar o acesso a redes no local.Azure Firewall also helps control access to on-premises networks. A Azure Firewall tem escalabilidade incorporada.Azure Firewall has built-in scalability.
Firewalls NVANVA firewalls Tal como o Azure Firewall, as explorações de firewall da NVA têm um mecanismo de administração comum e um conjunto de regras de segurança para proteger as cargas de trabalho acolhidas em redes de raios.Like Azure Firewall, NVA firewall farms have a common administration mechanism and a set of security rules to protect workloads hosted in spoke networks. As firewalls da NVA também ajudam a controlar o acesso a redes no local.NVA firewalls also help control access to on-premises networks. As firewalls da NVA podem ser manualmente dimensionadas atrás de um balanceador de carga.NVA firewalls can be manually scaled behind a load balancer.

Apesar de uma firewall NVA ter menos software especializado do que uma WAF, oferece um espectro de aplicação mais amplo para filtrar e inspecionar qualquer tipo de tráfego de entrada e saída.Though an NVA firewall has less specialized software than a WAF, it has broader application scope to filter and inspect any type of traffic in egress and ingress.

Recomendamos a utilização de um conjunto de firewalls Azure (ou NVAs) para tráfego originário da internet, e outro para tráfego originário do local.We recommend using one set of Azure firewalls (or NVAs) for traffic originating on the internet, and another for traffic originating on-premises. A utilização de apenas um conjunto de firewalls para ambos é um risco de segurança, uma vez que não proporciona qualquer perímetro de segurança entre os dois conjuntos de tráfego.Using only one set of firewalls for both is a security risk, as it provides no security perimeter between the two sets of network traffic. A utilização de camadas de firewall separadas reduz a complexidade das regras de segurança de verificação e revela as regras que correspondem a cada pedido de rede recebido.Using separate firewall layers reduces the complexity of checking security rules, and it's clear which rules correspond to which incoming network request.

Saiba mais:Learn more:

Passos seguintesNext steps

Veja outras melhores práticas:Review other best practices: