Implementar o Firewall do Datacenter no Azure Stack HCI

  • 8 minutos

Você está confiante de que os recursos de firewall distribuído SDN (rede definida por software) do Azure Stack HCI podem ajudar a melhorar a segurança da sua infraestrutura de rede. Nesta unidade, você avalia a funcionalidade e a utilidade do Firewall do Datacenter no Azure Stack HCI implementando-o em seu ambiente de prova de conceito.

Implementar Firewall de Datacenter

O procedimento básico para implementar uma política de Firewall de Datacenter consiste nas seguintes etapas. Você pode executar essas etapas usando o PowerShell, o Windows Admin Center ou o System Center Virtual Machine Manager (VMM).

  1. Crie um objeto ACL (Lista de Controle de Acesso).

  2. Na ACL, defina uma ou mais regras de entrada e saída que permitam ou neguem o tráfego de rede Leste-Oeste e Norte-Sul com base em qualquer um dos seguintes critérios:

    • Protocolo que representa o protocolo de camada 4 e definido como TCP, UDP ou ALL. ALL inclui Internet Control Message Protocol (ICMP), além de TCP e UDP.
    • Prefixo de endereço de origem que representa o prefixo de endereço IP da origem de um pacote de rede de entrada ou saída. Um asterisco * é um curinga que indica todos os endereços IP.
    • Intervalo de portas de origem que representa um ou mais números de porta dos quais um pacote de rede de entrada ou saída se origina. Um asterisco * é um curinga que indica todos os números de porta.
    • Prefixo de Endereço de Destino que representa o prefixo de endereço IP do destino de um pacote de rede de entrada ou saída. Um asterisco * é um curinga que indica todos os prefixos de endereço IP.
    • Intervalo de Portas de Destino que representa um ou mais números de porta que um pacote de rede de entrada ou saída tem como destino. Um asterisco * é um curinga que indica todos os números de porta.

  3. Para cada regra, especifique as seguintes configurações:

    • Ação que representa o resultado da regra caso uma correspondência seja encontrada e definida como Permitir ou Negar.
    • Prioridade que representa a precedência da regra em relação a outras regras dentro da mesma ACL. Cada regra dentro da mesma ACL deve ter uma prioridade exclusiva que pode ser definida para qualquer valor entre 100 e 65000. Um valor numérico mais baixo designa uma prioridade mais elevada.

  4. Opcionalmente, habilite o registro em log para regras de firewall individuais.

  5. Aplique as regras definidas no objeto ACL a um escopo de destino, que pode ser qualquer um dos seguintes objetos:

    • Uma sub-rede de rede virtual.
    • Uma sub-rede de rede lógica.
    • Uma interface de rede de uma máquina virtual (VM) conectada a uma sub-rede de rede virtual ou lógica.

    Nota

    A aplicação de ACLs a sub-redes de rede virtuais ou lógicas simplifica a administração, mas às vezes convém tornar as restrições mais granulares. Em caso afirmativo, você pode atribuir uma ACL a uma interface de rede VM individual.

    No caso de várias ACLs entre a origem e o destino, as restrições resultantes dependem da direção do tráfego de rede. Para tráfego de entrada, a ACL de sub-rede aplica-se antes da atribuída à ACL da interface de rede. Para o tráfego de saída, essa sequência é invertida.

Avaliar a funcionalidade do Datacenter Firewall

Sem regras de ACL personalizadas aplicadas, o comportamento padrão de uma interface de rede é permitir todo o tráfego de saída, mas bloquear todo o tráfego de entrada. Para avaliar a funcionalidade do Datacenter Firewall, primeiro crie uma ACL com uma regra que permita todo o tráfego de rede de entrada direcionado ao escopo ao qual a ACL se aplica. Em seguida, identifique e restrinja determinado tráfego de entrada. Finalmente, aplique a ACL à sub-rede de rede virtual de destino.

  1. Depois de criar a ACL, adicione uma regra de permissão de tudo com as seguintes configurações que permitem todo o tráfego de entrada:

    Prefixo do endereço de origem Prefixo do endereço de destino Protocolo Porta de origem Porta de destino Type Ação Prioridade
    * * TODOS * * Interna Permitir 1000

    A captura de tela a seguir mostra o painel de entrada Regra de Controle de Acesso do Windows Admin Center com a regra permitir tudo sendo criada.

    Screenshot of the Windows Admin Center ACL entry pane with an allow-all rule being created.

  2. Depois de permitir todo o tráfego de entrada, identifique os tipos de tráfego que deseja bloquear.

    Por exemplo, talvez você queira restringir a conectividade via Gerenciamento Remoto do Windows (WinRM) entre sub-redes. Esse tipo de restrição pode limitar o impacto de uma exploração que se move lateralmente após um comprometimento de uma única VM. Você ainda permite a conectividade WinRM dentro da mesma sub-rede.

    Aplique as seguintes configurações para criar a nova regra, com base na suposição de que a sub-rede de origem tem o intervalo de endereços IP 192.168.0.0/24.

    Prefixo do endereço de origem Prefixo do endereço de destino Protocolo Porta de origem Porta de destino Type Ação Prioridade
    192.168.0.0/24 * TCP * 5985,5986 Interna Bloquear 500
    * * TODOS * * Interna Permitir 1000

    A captura de tela a seguir mostra o painel de entrada Regra de Controle de Acesso do Windows Admin Center com a regra deny-winrm sendo criada.

    Screenshot of the Windows Admin Center ACL entry pane with a deny-winrm rule being created.

  3. Agora atribua a ACL à sub-rede de rede virtual de destino de exemplo, que tem o prefixo de endereço IP 192.168.100.0 /24.

    Screenshot of the Windows Admin Center virtual networks pane with the virtual subnet ACL assignment being created.

  4. Depois de concluir a avaliação, remova a atribuição de ACL do escopo de destino para reverter para o comportamento de filtragem padrão.