Implementar o Firewall do Datacenter no Azure Stack HCI
Você está confiante de que os recursos de firewall distribuído SDN (rede definida por software) do Azure Stack HCI podem ajudar a melhorar a segurança da sua infraestrutura de rede. Nesta unidade, você avalia a funcionalidade e a utilidade do Firewall do Datacenter no Azure Stack HCI implementando-o em seu ambiente de prova de conceito.
Implementar Firewall de Datacenter
O procedimento básico para implementar uma política de Firewall de Datacenter consiste nas seguintes etapas. Você pode executar essas etapas usando o PowerShell, o Windows Admin Center ou o System Center Virtual Machine Manager (VMM).
Crie um objeto ACL (Lista de Controle de Acesso).
Na ACL, defina uma ou mais regras de entrada e saída que permitam ou neguem o tráfego de rede Leste-Oeste e Norte-Sul com base em qualquer um dos seguintes critérios:
- Protocolo que representa o protocolo de camada 4 e definido como TCP, UDP ou ALL. ALL inclui Internet Control Message Protocol (ICMP), além de TCP e UDP.
- Prefixo de endereço de origem que representa o prefixo de endereço IP da origem de um pacote de rede de entrada ou saída. Um asterisco
*
é um curinga que indica todos os endereços IP. - Intervalo de portas de origem que representa um ou mais números de porta dos quais um pacote de rede de entrada ou saída se origina. Um asterisco
*
é um curinga que indica todos os números de porta. - Prefixo de Endereço de Destino que representa o prefixo de endereço IP do destino de um pacote de rede de entrada ou saída. Um asterisco
*
é um curinga que indica todos os prefixos de endereço IP. - Intervalo de Portas de Destino que representa um ou mais números de porta que um pacote de rede de entrada ou saída tem como destino. Um asterisco
*
é um curinga que indica todos os números de porta.
Para cada regra, especifique as seguintes configurações:
- Ação que representa o resultado da regra caso uma correspondência seja encontrada e definida como Permitir ou Negar.
- Prioridade que representa a precedência da regra em relação a outras regras dentro da mesma ACL. Cada regra dentro da mesma ACL deve ter uma prioridade exclusiva que pode ser definida para qualquer valor entre 100 e 65000. Um valor numérico mais baixo designa uma prioridade mais elevada.
Opcionalmente, habilite o registro em log para regras de firewall individuais.
Aplique as regras definidas no objeto ACL a um escopo de destino, que pode ser qualquer um dos seguintes objetos:
- Uma sub-rede de rede virtual.
- Uma sub-rede de rede lógica.
- Uma interface de rede de uma máquina virtual (VM) conectada a uma sub-rede de rede virtual ou lógica.
Nota
A aplicação de ACLs a sub-redes de rede virtuais ou lógicas simplifica a administração, mas às vezes convém tornar as restrições mais granulares. Em caso afirmativo, você pode atribuir uma ACL a uma interface de rede VM individual.
No caso de várias ACLs entre a origem e o destino, as restrições resultantes dependem da direção do tráfego de rede. Para tráfego de entrada, a ACL de sub-rede aplica-se antes da atribuída à ACL da interface de rede. Para o tráfego de saída, essa sequência é invertida.
Avaliar a funcionalidade do Datacenter Firewall
Sem regras de ACL personalizadas aplicadas, o comportamento padrão de uma interface de rede é permitir todo o tráfego de saída, mas bloquear todo o tráfego de entrada. Para avaliar a funcionalidade do Datacenter Firewall, primeiro crie uma ACL com uma regra que permita todo o tráfego de rede de entrada direcionado ao escopo ao qual a ACL se aplica. Em seguida, identifique e restrinja determinado tráfego de entrada. Finalmente, aplique a ACL à sub-rede de rede virtual de destino.
Depois de criar a ACL, adicione uma regra de permissão de tudo com as seguintes configurações que permitem todo o tráfego de entrada:
Prefixo do endereço de origem Prefixo do endereço de destino Protocolo Porta de origem Porta de destino Type Ação Prioridade * * TODOS * * Interna Permitir 1000 A captura de tela a seguir mostra o painel de entrada Regra de Controle de Acesso do Windows Admin Center com a regra permitir tudo sendo criada.
Depois de permitir todo o tráfego de entrada, identifique os tipos de tráfego que deseja bloquear.
Por exemplo, talvez você queira restringir a conectividade via Gerenciamento Remoto do Windows (WinRM) entre sub-redes. Esse tipo de restrição pode limitar o impacto de uma exploração que se move lateralmente após um comprometimento de uma única VM. Você ainda permite a conectividade WinRM dentro da mesma sub-rede.
Aplique as seguintes configurações para criar a nova regra, com base na suposição de que a sub-rede de origem tem o intervalo de endereços IP 192.168.0.0/24.
Prefixo do endereço de origem Prefixo do endereço de destino Protocolo Porta de origem Porta de destino Type Ação Prioridade 192.168.0.0/24 * TCP * 5985,5986 Interna Bloquear 500 * * TODOS * * Interna Permitir 1000 A captura de tela a seguir mostra o painel de entrada Regra de Controle de Acesso do Windows Admin Center com a regra deny-winrm sendo criada.
Agora atribua a ACL à sub-rede de rede virtual de destino de exemplo, que tem o prefixo de endereço IP 192.168.100.0 /24.
Depois de concluir a avaliação, remova a atribuição de ACL do escopo de destino para reverter para o comportamento de filtragem padrão.