Criar, alterar ou excluir um Grupo de Segurança de Rede
As regras de segurança em grupos de segurança de rede permitem filtrar o tipo de tráfego de rede que pode fluir para dentro e fora das sub-redes da rede virtual e dos adaptadores de rede. Para saber mais sobre grupos de segurança de rede, confira Visão geral do grupo de segurança de rede. Em seguida, conclua o tutorial Filtrar tráfego de rede para se familiarizar com grupos de segurança de rede.
Pré-requisitos
Caso você não tenha uma conta do Azure com assinatura ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante do artigo:
Usuários do portal: Entre no portal do Azure com sua conta do Azure.
Usuários do PowerShell: execute os comandos no Azure Cloud Shell ou execute o PowerShell localmente de seu computador. O Azure Cloud Shell é um shell interativo grátis que pode ser usado para executar as etapas neste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta. Na guia do navegador do Azure Cloud Shell, localize a lista suspensa Selecionar ambiente e escolha PowerShell se ainda não estiver selecionado.
Se usar o PowerShell localmente, use a versão 1.0.0 ou posterior do módulo do Azure PowerShell. Execute
Get-Module -ListAvailable Az.Networkpara localizar a versão instalada. Se você precisar instalá-lo ou atualizá-lo, confira Instalar o módulo do Azure PowerShell. ExecuteConnect-AzAccountpara entrar no Azure.Usuários da CLI do Azure: execute os comandos no Azure Cloud Shell ou execute a CLI do Azure localmente de seu computador. O Azure Cloud Shell é um shell interativo grátis que pode ser usado para executar as etapas neste artigo. Ele tem ferramentas do Azure instaladas e configuradas para usar com sua conta. Na guia do navegador do Azure Cloud Shell, localize a lista suspensa Selecionar ambiente e escolha Bash se ainda não estiver selecionado.
Se for executar a CLI do Azure localmente, use a CLI do Azure versão 2.0.28 ou posterior. Execute
az --versionpara localizar a versão instalada. Se você precisa instalar ou atualizar, consulte Instalar a CLI do Azure. Executeaz loginpara entrar no Azure.
Atribua a função de colaborador de rede ou uma função personalizada com as permissões apropriadas.
Trabalhar com grupos de segurança de rede
Você pode criar, exibir todos, exibir os detalhes, alterar e excluir um Grupo de Segurança de Rede. Você também pode associar ou desassociar um grupo de segurança de rede de um adaptador de rede ou sub-rede.
Criar um grupo de segurança de rede
Há um limite para o número de grupos de segurança de rede que podem ser criados para cada região e assinatura do Azure. Para saber mais, consulte Assinatura do Azure e limites de serviços, cotas e restrições.
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione + Criar.
Na página Criar grupo de segurança de rede, na guia Básico, insira ou selecione os seguintes valores:
Configuração Ação Detalhes do projeto Subscription Selecione sua assinatura do Azure. Resource group Selecione um grupo de recursos existente ou crie um selecionando Criar. Este exemplo usa o grupo de recursos myResourceGroup. Detalhes da instância Nome do grupo de segurança de rede Insira um nome para o grupo de segurança de rede que você está criando. Região Selecione a região desejada. 
Selecione Examinar + criar.
Quando a mensagem Validação aprovada for exibida, selecione Criar.
Exibir todos os grupos de segurança de rede
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa para ver a lista de grupos de segurança de rede na assinatura.
Exibir os detalhes de um Grupo de Segurança de Rede
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do seu grupo de segurança de rede.
Em Configurações, é possível exibir as Regras de segurança de entrada, as Regras de segurança de saída, os Adaptadores de rede e as Sub-redes aos quais o grupo de segurança de rede está associado.
Em Monitoramento, você pode habilitar ou desabilitar as Configurações de diagnóstico. Para obter mais informações, consulte Registro em log de recursos para um grupo de segurança de rede.
Em Ajuda, você pode exibir as Regras de segurança em vigor. Para obter mais informações, consulte Diagnosticar um problema no filtro de tráfego de máquina virtual.
Para saber mais sobre as configurações comuns do Azure listadas, veja as seguintes informações:
Criar um Grupo de Segurança de Rede
As alterações mais comuns em um grupo de segurança de rede são:
Associar ou desassociar um grupo de segurança de rede de uma sub-rede ou adaptador de rede
Associar ou desassociar um grupo de segurança de rede de uma sub-rede
Associar ou desassociar um grupo de segurança de rede de uma sub-rede ou adaptador de rede
Para obter mais informações sobre a associação e a desassociação de um grupo de segurança de rede, consulte Associar ou desassociar um grupo de segurança de rede.
Associar ou desassociar um grupo de segurança de rede de uma sub-rede
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede e, em seguida, Sub-redes.
Para associar um grupo de segurança de rede à sub-rede, selecione + Associar, selecione sua rede virtual e a sub-rede à qual deseja associar o grupo de segurança de rede. Selecione OK.
Para desassociar um grupo de segurança de rede da sub-rede, selecione os três pontos ao lado da sub-rede da qual deseja desassociar o grupo de segurança de rede e selecione Desassociar. Selecione Sim.
Excluir um Grupo de Segurança de Rede
Se um grupo de segurança de rede estiver associado a sub-redes ou adaptadores de rede, ele não poderá ser excluído. Desassocie um grupo de segurança de rede de todas as sub-redes e adaptadores de rede antes de tentar excluí-lo.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o grupo de segurança de rede que você deseja excluir.
Selecione Excluir e, em seguida, selecione Sim na caixa de diálogo de confirmação.
Trabalhar com regras de segurança
Um Grupo de Segurança de Rede contém zero ou mais regras de segurança. Você pode criar, exibir todas, exibir os detalhes, alterar e excluir uma regra de segurança.
Criar uma regra de segurança
Há um limite para o número de regras por grupo de segurança de rede que podem ser criados para cada local e assinatura do Azure. Para saber mais, consulte Assinatura do Azure e limites de serviços, cotas e restrições.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede ao qual você deseja adicionar uma regra de segurança.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Várias regras existentes são listadas, incluindo algumas que você pode não ter adicionado. Quando um grupo de segurança de rede é criado, várias regras de segurança padrão são criadas nele. Para saber mais, consulte regras de segurança padrão. Não é possível excluir as regras de segurança padrão, porém você pode substituí-las por regras com prioridade mais alta.
Selecione + Adicionar. Selecione ou adicione valores para as seguintes configurações e clique em Adicionar:
Configuração Valor Detalhes Origem Um destes: - Qualquer
- Endereços IP
- Meu endereço IP
- Marca de serviço
- Grupo de segurança do aplicativo
Se você selecionar Endereços IP, precisará especificar os Endereços IP/intervalos de CIDR de origem.
Se você escolher a Marca de serviço, também precisará escolher uma Marca de serviço de origem.
Se você escolher Grupo de segurança de aplicativo, precisará escolher um grupo já existente. Se você selecionar Grupo de segurança do aplicativo para Origem e Destino, os adaptadores de rede de ambos os grupos de segurança do aplicativo precisarão estar na mesma rede virtual. Saiba como criar um grupo de segurança do aplicativo.
Endereços IP de origem/Intervalos de CIDR Uma lista delimitada por vírgula de endereços IP e intervalos CIDR (roteamento entre domínios sem classificação) Essa configuração aparecerá se você alterar a Origem para Endereços IP. Você deve especificar um único valor ou uma lista separada por vírgulas com vários valores. Um exemplo de vários valores é
10.0.0.0/16, 192.188.1.1. Há limites para o número de valores que podem ser especificados. Para obter mais informações, confira Limites do Azure.Se o endereço IP especificado for atribuído a uma VM do Azure, especifique o endereço IP privado, não o público. O Azure processa as regras de segurança depois que traduz o endereço IP público em um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e Endereços IP privados.
Marca de serviço de origem Uma marca de serviço da lista suspensa Essa configuração será exibida se você definir a Origem como a Marca de serviço para uma regra de segurança. Uma marcação de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre marcas de serviço disponível e o que cada uma delas representa, consulte Marcas de serviço. Grupo de segurança do aplicativo de origem Grupo de segurança do aplicativo já existente Essa configuração será exibida se você definir Origem como Grupo de segurança de aplicativo. Selecione um grupo de segurança do aplicativo existente na mesma região que o adaptador de rede. Saiba como criar um grupo de segurança do aplicativo. Intervalos de portas de origem Um destes: - Uma única porta, como
80 - Um intervalo de portas, como
1024-65535 - Uma lista separada por vírgulas de portas únicas e/ou intervalos de porta, como
80, 1024-65535 - Um asterisco (
*) para permitir o tráfego em qualquer porta
Essa configuração especifica as portas nas quais a regra permite ou nega o tráfego. Há limites para o número de portas que podem ser especificadas. Para obter mais informações, confira Limites do Azure. Destino Um destes: - Qualquer
- Endereços IP
- Marca de serviço
- Grupo de segurança do aplicativo
Se você selecionar Endereços IP, também precisará especificar Endereços IP/intervalos de CIDR de destino.
Se você escolher a Marca de serviço, também precisará escolher uma Marca de serviço de destino.
Se você escolher Grupo de segurança de aplicativo, também precisará selecionar um grupo de segurança de aplicativo existente. Se você selecionar Grupo de segurança do aplicativo para Origem e Destino, os adaptadores de rede de ambos os grupos de segurança do aplicativo precisarão estar na mesma rede virtual. Saiba como criar um grupo de segurança do aplicativo.
Intervalos de CIDR /endereço IP de destino Uma lista delimitada por vírgula de endereços IP e intervalos CIDR Essa configuração será exibida se você alterar a Destino para Endereços IP. Semelhante à Origem e aos Endereços IP/intervalos de CIDR de origem, você pode especificar um, vários ou intervalos de endereços. Há limites para o número que podem ser especificados. Para obter mais informações, confira Limites do Azure.
Se o endereço IP especificado for atribuído a uma VM do Azure, lembre-se de especificar o endereço IP privado, não o público. O Azure processa as regras de segurança depois que traduz o endereço IP público em um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e Endereços IP privados.
Marca de serviço de destino Uma marca de serviço da lista suspensa Essa configuração será exibida se você definir a Destino como a Marca de serviço para uma regra de segurança. Uma marcação de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre marcas de serviço disponível e o que cada uma delas representa, consulte Marcas de serviço. Grupo de segurança do aplicativo de destino Grupo de segurança do aplicativo já existente Essa configuração será exibida se você definir Destino como Grupo de segurança de aplicativo. Selecione um grupo de segurança do aplicativo existente na mesma região que o adaptador de rede. Saiba como criar um grupo de segurança do aplicativo. Serviço Um protocolo de destino da lista suspensa Essa configuração especifica o protocolo de destino e o intervalo de portas para a regra de segurança. Você pode escolher um serviço predefinido, como RDP, ou escolher Personalizado e fornecer o intervalo de portas em Intervalos de portas de destino. Intervalos de portas de destino Um destes: - Uma única porta, como
80 - Um intervalo de portas, como
1024-65535 - Uma lista separada por vírgulas de portas únicas e/ou intervalos de porta, como
80, 1024-65535 - Um asterisco (
*) para permitir o tráfego em qualquer porta
Assim como acontece com os Intervalos de porta de origem, você pode especificar uma ou várias portas e intervalos. Há limites para o número que podem ser especificados. Para obter mais informações, confira Limites do Azure. Protocolo Qualquer, TCP, UDP ou ICMP Você pode restringir a regra a protocolos TCP (protocolo de controle de transmissão), UDP (protocolo de datagrama do usuário) ou ICMP (protocolo de mensagem de controle da Internet). O padrão é que a regra seja aplicada a todos os protocolos (Qualquer). Ação Permitir ou Negar Essa configuração especifica se essa regra permite ou nega o acesso para a configuração de origem e destino fornecida. Prioridade Um valor entre 100 e 4096 que seja exclusivo para todas as regras de segurança dentro do grupo de segurança de rede O Azure processa as regras de segurança em ordem de prioridade. Quanto menor o número, maior a prioridade. É recomendável deixar uma lacuna entre os números de prioridade ao criar regras, como 100, 200 e 300. Deixar essas lacunas torna mais fácil adicionar regras no futuro que podem precisar ter prioridade maior ou menor do que as regras existentes. Nome Um nome exclusivo para a regra dentro do grupo de segurança de rede O nome pode ter até 80 caracteres. Deve começar com uma letra ou um número e terminar com uma letra, um número ou um sublinhado. Só pode conter letras, números, sublinhados, pontos ou hifens. Descrição Uma descrição de texto Opcionalmente, você pode especificar uma descrição de texto para a regra de segurança. A descrição não pode ter mais de 140 caracteres. 
Exibir todas as regras de segurança
Um grupo de segurança de rede contém zero ou várias regras. Para saber mais sobre as informações listadas ao exibir regras, consulte Regras de segurança.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede cujas regras você deseja exibir.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
A lista contém todas as regras que você criou e as regras de segurança padrão de seu grupo de segurança de rede.
Exibir os detalhes de uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede cujas regras você deseja exibir.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione a regra cujos detalhes você deseja exibir. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.
Observação
Este procedimento se aplica somente a uma regra de segurança personalizada. Ele não funcionará se você escolher uma regra de segurança padrão.
Alterar uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede cujas regras você deseja exibir.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione a regra que deseja alterar.
Altere as configurações conforme a necessidade e, em seguida, selecione Salvar. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.
Observação
Este procedimento se aplica somente a uma regra de segurança personalizada. Você não tem permissão para alterar uma regra de segurança padrão.
Excluir uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do grupo de segurança de rede cujas regras você deseja exibir.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione as regras que deseja excluir.
Selecione Excluir e, em seguida, selecione Sim.
Observação
Este procedimento se aplica somente a uma regra de segurança personalizada. Você não tem permissão para excluir uma regra de segurança padrão.
Trabalhar com grupos de segurança de aplicativo
Um grupo de segurança de aplicativo contém zero ou mais adaptadores de rede. Para saber mais, consulte grupos de segurança de aplicativo. Todos os adaptadores de rede em um grupo de segurança do aplicativo precisam existir na mesma rede virtual. Para saber como adicionar um adaptador de rede a um grupo de segurança de aplicativo, consulte Adicionar um adaptador de rede a um grupo de segurança de aplicativo.
Criar um grupo de segurança de aplicativo
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione + Criar.
Na página Criar um grupo de segurança de aplicativo, na guia Básico, insira ou selecione os seguintes valores:
Configuração Ação Detalhes do projeto Subscription Selecione sua assinatura do Azure. Resource group Selecione um grupo de recursos existente ou crie um selecionando Criar. Este exemplo usa o grupo de recursos myResourceGroup. Detalhes da instância Nome Insira um nome para o grupo de segurança de aplicativo que você está criando. Região Selecione a região na qual deseja criar o grupo de segurança do aplicativo. 
Selecione Examinar + criar.
Quando a mensagem Validação aprovada for exibida, selecione Criar.
Exibir todos os grupos de segurança de aplicativo
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Selecione Grupos de segurança do aplicativo nos resultados da pesquisa. O portal do Azure exibe uma lista dos seus grupos de segurança do aplicativo.
Exibir detalhes de um grupo de segurança de aplicativo específico
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo do qual deseja exibir os detalhes.
Alterar um grupo de segurança de aplicativo
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo que deseja alterar.
Selecione mover ao lado de Grupo de recursos ou Assinatura para alterar o grupo de recursos ou a assinatura, respectivamente.
Selecione Editar ao lado de Marcas para adicionar ou remover marcas. Para saber mais, consulte Usar marcas para organizar os recursos do Azure e a hierarquia de gerenciamento
Observação
Você não pode alterar o local de um grupo de segurança de aplicativo.
Selecione IAM (controle de acesso) para atribuir ou remover permissões para o grupo de segurança do aplicativo.
Excluir um grupo de segurança de aplicativo
Não será possível excluir um grupo de segurança de aplicativo se ele tiver algum adaptador de rede associado. Para remover todos os adaptadores de rede do grupo de segurança do aplicativo, exclua ou alterne as configurações dos adaptadores de rede. Para mais informações, confira Adicionar ou remover de grupos de segurança de aplicativo ou Excluir um adaptador de rede.
Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo que deseja excluir.
Selecione Excluir e, em seguida, selecione Sim para excluir o grupo de segurança do aplicativo.
Permissões
Para gerenciar grupos de segurança de rede, regras de segurança e grupos de segurança do aplicativo, sua conta deve receber a função de colaborador de rede. Uma função personalizada também pode ser usada com as permissões apropriadas, conforme listado nas seguintes tabelas:
Observação
Talvez NÃO seja possível ver a lista completa de marcas de serviço se a função Colaborador da rede tiver sido atribuída em um nível de Grupo de Recursos. Para exibir a lista completa, é possível atribuir essa função em um escopo de Assinatura. Se só for possível permitir o Colaborador da Rede para o Grupo de Recursos, você também poderá criar uma função personalizada para as permissões "Microsoft.Network/locations/serviceTags/read" e "Microsoft.Network/locations/serviceTagDetails/read" e atribuí-las em um escopo de Assinatura junto com o Colaborador da Rede no escopo do Grupo de Recursos.
Grupo de segurança de rede
| Ação | Nome |
|---|---|
| Microsoft.Network/networkSecurityGroups/read | Obter Grupo de Segurança de Rede |
| Microsoft.Network/networkSecurityGroups/write | Criar ou atualizar um Grupo de Segurança de Rede |
| Microsoft.Network/networkSecurityGroups/delete | Excluir Grupo de Segurança de Rede |
| Microsoft.Network/networkSecurityGroups/join/action | Associar um grupo de segurança de rede a uma interface de sub-rede ou rede |
Observação
Para executar operações write em um grupo de segurança de rede, a conta de assinatura deve ter pelo menos permissões read para o grupo de recursos junto com a permissão Microsoft.Network/networkSecurityGroups/write.
Regra do grupo de segurança de rede
| Ação | Nome |
|---|---|
| Microsoft.Network/networkSecurityGroups/securityRules/read | Obter regra |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Criar ou atualizar regra |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Excluir regra |
Grupo de segurança do aplicativo
| Ação | Nome |
|---|---|
| Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action | Entrar uma configuração IP a um grupo de segurança do aplicativo |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Entrar em uma regra de segurança aos grupos de segurança de aplicativo |
| Microsoft.Network/applicationSecurityGroups/read | Obter um grupo de segurança de aplicativo |
| Microsoft.Network/applicationSecurityGroups/write | Criar ou atualizar um grupo de segurança de aplicativo |
| Microsoft.Network/applicationSecurityGroups/delete | Excluir um grupo de segurança de aplicativo |
Próximas etapas
Adicione ou remova um adaptador de rede de um grupo de segurança de aplicativo.
Criar e atribuir definições de Azure Policy para redes virtuais