Grupos de segurança de rede

É possível usar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure. Para cada regra, você pode especificar origem e destino, porta e protocolo.

Este artigo descreve as propriedades de uma regra de grupo de segurança de rede, as regras de segurança padrão que são aplicadas e as propriedades da regra que você pode mudar para criar uma regra de segurança aumentada.

Regras de segurança

Um grupo de segurança de rede pode conter nenhuma ou quantas regras você desejar, dentro dos limites da assinatura do Azure. Cada regra especifica as seguintes propriedades:

Propriedade Explicação
Nome Um nome exclusivo dentro do Grupo de Segurança de Rede.
Prioridade Um número entre 100 e 4096. As regras são processadas na ordem de prioridade, com números mais baixos processados antes de números mais altos, pois os números mais baixos têm prioridade mais alta. Depois que o tráfego corresponde a uma regra, o processamento é interrompido. Assim, as regras existentes com baixa prioridade (números mais altos) que têm os mesmos atributos das regras com prioridades mais altas não são processadas.
Origem ou destino Qualquer endereço IP ou um endereço IP individual, bloco CIDR (roteamento entre domínios sem classificação) (10.0.0.0/24, por exemplo), marca de serviço ou grupo de segurança do aplicativo. Se você especificar um endereço para um recurso do Azure, especifique o endereço IP privado atribuído ao recurso. Os grupos de segurança de rede são processados depois que o Azure traduz um endereço IP público em um endereço IP privado para tráfego de entrada e antes que o Azure traduza um endereço IP privado para um endereço IP público para tráfego de saída. Menos regras de segurança são necessárias quando você especifica um intervalo, uma marca de serviço ou um grupo de segurança de aplicativo. A capacidade de especificar vários endereços IP individuais e intervalos (você não pode especificar várias marcas de serviço ou grupos de aplicativos) em uma regra é conhecida como regras de segurança aumentadas. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede criados pelo modelo de implantação do Gerenciador de Recursos. Você não pode especificar vários endereços IP e intervalos de endereços IP em grupos de segurança de rede criados pelo modelo de implantação clássica.
Protocolo TCP, UDP, ICMP, ESP, AH ou Qualquer. Os protocolos ESP e AH não estão disponíveis no momento por meio do Portal do Azure, mas podem ser usados por meio de modelos do ARM.
Direção Se a regra se aplica ao tráfego de entrada ou de saída.
Intervalo de portas Você pode especificar uma porta individual ou um intervalo de portas. Por exemplo, você pode especificar 80 ou 10000-10005. A especificação de intervalos permite que você crie menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede criados pelo modelo de implantação do Gerenciador de Recursos. Você não pode especificar várias portas ou intervalos de porta na mesma regra de segurança em grupos de segurança de rede criados pelo modelo de implantação clássica.
Ação Permitir ou negar

As regras de segurança são avaliadas e aplicadas com base nas informações de cinco tuplas (origem, porta de origem, destino, porta de destino e protocolo). Você não pode criar duas regras de segurança com a mesma prioridade e direção. Um registro de fluxo é criado para as conexões existentes. A comunicação é permitida ou negada com base no estado de conexão do registro de fluxo. O registro de fluxo permite que um grupo de segurança de rede seja com estado. Se você especificar uma regra de segurança de saída para algum endereço pela porta 80, por exemplo, não será necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Você precisa especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também é verdadeiro. Se o tráfego de entrada é permitido por uma porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego pela porta.

As conexões existentes podem não ser interrompidas quando você remove uma regra de segurança que habilitou o fluxo. Os fluxos de tráfego são interrompidos quando as conexões são interrompidas e nenhum tráfego está fluindo em qualquer direção por pelo menos alguns minutos.

Há limites ao número de regras de segurança que você pode criar em um grupo de segurança de rede. Para obter detalhes, confira Limites do Azure.

Regras de segurança padrão

O Azure cria as seguintes regras padrão em cada grupo de segurança de rede que você criar:

Entrada

AllowVNetInBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualquer Allow
AllowAzureLoadBalancerInBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Qualquer Allow
DenyAllInBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualquer Negar

Saída

AllowVnetOutBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualquer Allow
AllowInternetOutBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Qualquer Allow
DenyAllOutBound
Prioridade Fonte Portas de origem Destino Portas de destino Protocolo Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualquer Negar

Nas colunas Origem e Destino, VirtualNetwork, AzureLoadBalancer e Internet são marcas de serviço em vez de endereços IP. Na coluna de protocolo, a opção Qualquer abrange TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Qualquer. 0.0.0.0/0 nas colunas Origem e Destino representa todos os endereços. Clientes como portal do Azure, CLI do Azure ou PowerShell podem usar * ou Qualquer para essa expressão.

Não é possível remover as regras padrão, mas você pode substituí-las criando regras com prioridades mais altas.

Regras de segurança aumentadas

As regras de segurança aumentada simplificam a definição de segurança para redes virtuais, permitindo que você defina políticas de segurança de rede maiores e mais complexas com menos regras. Você pode combinar várias portas e vários intervalos e endereços IP explícitos em uma única regra de segurança fácil de entender. Use regras aumentadas nos campos de origem, destino e porta de uma regra. Para simplificar a manutenção da sua definição de regra de segurança, combine as regras de segurança aumentadas com marcas de serviço ou grupos de segurança de aplicativo. Há limites para a quantidade de endereços, intervalos e portas que você pode especificar em uma regra. Para obter detalhes, confira Limites do Azure.

Marcas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ajudam a minimizar a complexidade de atualizações frequentes em regras de segurança de rede.

Para obter mais informações, confira Marcas de serviço do Azure. Para ver um exemplo de como usar a marca de serviço de armazenamento para restringir o acesso à rede, confira Restringir o acesso à rede aos recursos de PaaS.

Grupos de segurança do aplicativo

Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. Para saber mais, confira Grupos de segurança de aplicativo.

Considerações sobre a plataforma do Azure

  • IP virtual do nó do host: serviços básicos de infraestrutura, como DHCP, DNS, IMDS e monitoramento de integridade, são fornecidos pelos endereços IP de host virtualizados 168.63.129.16 e 169.254.169.254. Esses endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados usado em todas as regiões para essa finalidade. Por padrão, esses serviços não estão sujeitos aos grupos de segurança de rede configurados, a menos que sejam direcionados por marcas de serviço específicas para cada serviço. Para substituir essa comunicação de infraestrutura básica, você pode criar uma regra de segurança para negar tráfego usando as seguintes marcas de serviço em suas regras de grupo de segurança de rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem de tráfego de rede e diagnosticar o roteamento de rede.

  • Licenciamento (Serviço de Gerenciamento de Chaves): as imagens do Windows em execução nas máquinas virtuais devem ser licenciadas. Para garantir o licenciamento, uma solicitação de licenciamento é enviada para os servidores de host do serviço de gerenciamento de chaves que lidar com essas consultas. A solicitação é feita para a saída pela porta 1688. Para implantações usando configuração default route 0.0.0.0/0, esta regra de plataforma será desabilitada.

  • Máquinas virtuais em pools de carga balanceada: o intervalo de porta e endereço de origem aplicado é do computador de origem, não do balanceador de carga. Os intervalos de porta e endereço de destino são para o computador de destino, não o balanceador de carga.

  • Instâncias de serviço do Azure: instâncias de vários serviços do Azure, como o HDInsight, Ambientes de Serviço de Aplicativo e Conjuntos de Dimensionamento de Máquinas Virtuais são implantadas em sub-redes de rede virtual. Para obter uma lista completa de serviços que podem ser implantados em uma rede virtual, confira a Rede virtual para os serviços do Azure. Antes de aplicar um grupo de segurança de rede a uma sub-rede, familiarize-se com os requisitos de porta para cada serviço. Se você negar portas exigidas pelo serviço, o serviço não funcionará corretamente.

  • Enviar um email: a Microsoft recomenda que você utilize os serviços de retransmissão de SMTP autenticados (normalmente conectados via porta TCP 587, mas geralmente outras, também) para enviar email de máquinas virtuais do Azure. Os serviços de retransmissão de SMTP são especializados em reputação do remetente, para minimizar a possibilidade dos provedores de email de terceiros rejeitarem mensagens. Esses serviços de retransmissão de SMTP incluem, mas não estão limitados à proteção do Exchange Online e do SendGrid. O uso de serviços de retransmissão de SMTP não é de modo algum restrito no Azure, independentemente de seu tipo de assinatura.

    Se você criou sua assinatura do Azure antes de 15 de novembro de 2017, além de poder usar os serviços de retransmissão de SMTP, você pode enviar um email diretamente pela porta TCP 25. Se você criou sua assinatura depois do dia 15 de novembro de 2017, não poderá enviar emails diretamente pela porta 25. O comportamento de comunicação de saída pela porta 25 depende do tipo de assinatura que você tem, da seguinte maneira:

    • Enterprise Agreement: para VMs implantadas em assinaturas padrão com Enterprise Agreement, as conexões SMTP de saída na porta TCP 25 não serão bloqueadas. No entanto, não há nenhuma garantia de que os domínios externos aceitarão os emails de entrada das VMs. Se seus emails forem rejeitados ou filtrados pelos domínios externos, você deverá entrar em contato com os provedores de serviço de email dos domínios externos para resolver os problemas. Esses problemas não são cobertos pelo suporte do Azure.

      Para assinaturas do Desenvolvimento/Teste Enterprise, a porta 25 é bloqueada por padrão. É possível que esse bloco seja removido. Para solicitar que o bloco seja removido, vá até a seção Não é possível enviar email (Porta SMTP 25) da folha Diagnosticar e Resolver no recurso da Rede Virtual do Azure no portal do Azure e execute o diagnóstico. Isso isentará automaticamente as assinaturas de desenvolvimento/teste Enterprise qualificadas.

      Depois que uma assinatura for isenta deste bloqueio e as VMs forem interrompidas e reiniciadas, todas as VMs nessa assinatura serão isentas dali em diante. A isenção se aplica apenas à assinatura solicitada e apenas ao tráfego da VM que é roteado diretamente para a Internet.

    • Pré-pago: a comunicação de saída da porta 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.

    • MSDN, Azure Pass, Azure via Open, Educação, BizSpark, e Avaliação gratuita: a comunicação de saída da porta 25 está bloqueada para todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.

    • Provedor de serviços de nuvem: a comunicação na porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.

Próximas etapas