Descrever os Grupos de Segurança de Rede do Azure

  • 6 minutos

Os NSGs (grupos de segurança de rede) permitem filtrar o tráfego de rede de e para os recursos do Azure em uma rede virtual do Azure; por exemplo, uma máquina virtual. Um NSG consiste em regras que definem como o tráfego é filtrado. Você pode associar apenas um grupo de segurança de rede a cada sub-rede de rede virtual e interface de rede em uma máquina virtual. O mesmo grupo de segurança de rede, no entanto, pode ser associado a tantas sub-redes e interfaces de rede diferentes quanto você escolher.

No diagrama altamente simplificado a seguir, você pode ver uma rede virtual do Azure com duas sub-redes conectadas à Internet e cada sub-rede tem uma máquina virtual. A sub-rede 1 tem um NSG atribuído a ela que filtra o acesso de entrada e saída ao VM1, que precisa de um nível mais alto de acesso. Em contraste, o VM2 pode representar uma máquina voltada para o público que não requer um NSG.

Diagram showing a simplified virtual network with two subnets each with a dedicated virtual machine resource, the first subnet has a network security group and the second subnet doesn't.

Regras de segurança de entrada e saída

Um NSG é composto por regras de segurança de entrada e saída. As regras de segurança do NSG são avaliadas por prioridade usando cinco pontos de informação: origem, porta de origem, destino, porta de destino e protocolo para permitir ou negar o tráfego. Por padrão, o Azure cria uma série de regras, três regras de entrada e três de saída, para fornecer um nível de segurança de linha de base. Não pode remover as regras predefinidas, mas pode substituí-las ao criar novas regras com prioridades mais altas.

Cada regra especifica uma ou mais das seguintes propriedades:

  • Nome: Cada regra NSG precisa ter um nome exclusivo que descreva sua finalidade. Por exemplo, AdminAccessOnlyFilter.
  • Prioridade: As regras são processadas em ordem de prioridade, com números mais baixos processados antes de números maiores. Quando o tráfego corresponde a uma regra, o processamento é interrompido. Isto significa que quaisquer outras regras com uma prioridade mais baixa (números mais elevados) não serão processadas.
  • Origem ou destino: especifique um endereço IP individual ou um intervalo de endereços IP, uma etiqueta de serviço (um grupo de prefixos de endereço IP de um determinado serviço do Azure) ou um grupo de segurança de aplicação. Especificar um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicações permite-lhe criar menos regras de segurança.
  • Protocolo: Qual protocolo de rede a regra verificará? O protocolo pode ser qualquer um: TCP, UDP, ICMP ou Qualquer.
  • Direção: Se a regra deve ser aplicada ao tráfego de entrada ou de saída.
  • Intervalo de portas: você pode especificar um indivíduo ou um intervalo de portas. A especificação de intervalos permite que você seja mais eficiente ao criar regras de segurança.
  • Ação: Finalmente, você precisa decidir o que acontecerá quando essa regra for acionada.

A captura de tela a seguir mostra as regras de entrada e saída padrão, que estão incluídas em todos os NSGs.

Screenshot showing the default inbound and outbound rules for an Azure network security group.

As descrições para as regras de entrada padrão são as seguintes:.

  • AllowVNetInBound - A regra AllowVNetInBound é processada primeiro, pois tem o menor valor de prioridade. Lembre-se de que as regras com o menor valor de prioridade são processadas primeiro. Esta regra permite o tráfego de uma origem com a tag de serviço VirtualNetwork para um destino com a tag de serviço VirtualNetwork em qualquer porta, usando qualquer protocolo. Se for encontrada uma correspondência para esta regra, nenhuma outra regra será processada. Se nenhuma correspondência for encontrada, a próxima regra será processada.

  • AllowAzureLoadBalancerInBound - A regra AllowAzureLoadBalancerInBound é processada em segundo lugar, pois seu valor de prioridade é maior do que a regra AllowVNetInBound. Esta regra permite o tráfego de uma origem com a marca de serviço AzureLoadBalancer para um destino com a marca de serviço AzureLoadBalancer em qualquer porta para qualquer endereço IP em qualquer porta, usando qualquer protocolo. Se for encontrada uma correspondência para esta regra, nenhuma outra regra será processada. Se nenhuma correspondência for encontrada, a próxima regra será processada.

  • DenyAllInBound - A última regra neste NSG é a regra DenyAllInBound. Esta regra nega todo o tráfego de qualquer endereço IP de origem em qualquer porta para qualquer outro endereço IP em qualquer porta, usando qualquer protocolo.

Em resumo, qualquer sub-rede de rede virtual ou placa de interface de rede à qual este NSG seja atribuído permitirá apenas o tráfego de entrada de uma Rede Virtual do Azure ou de um balanceador de carga do Azure (conforme definido por suas respetivas tags de serviço). Todo o outro tráfego de rede de entrada é negado. Não é possível remover as regras padrão, mas substituí-las criando novas regras com prioridades mais altas (valor de prioridade mais baixo).

Qual é a diferença entre NSGs (Grupos de Segurança de Rede) e o Firewall do Azure?

Agora que você aprendeu sobre os Grupos de Segurança de Rede e o Firewall do Azure, pode estar se perguntando como eles diferem, já que ambos protegem os recursos da Rede Virtual. O serviço Firewall do Azure complementa a funcionalidade do grupo de segurança de rede. Juntos, eles fornecem melhor segurança de rede de "defesa em profundidade". Os grupos de segurança de rede fornecem filtragem de tráfego de camada de rede distribuída para limitar o tráfego a recursos dentro de redes virtuais em cada assinatura. O Firewall do Azure é um firewall de rede como serviço totalmente centralizado e com monitoração de estado, que fornece proteção em nível de rede e aplicativo em diferentes assinaturas e redes virtuais.