Compartilhar via


Diagnosticar as regras de segurança de rede

Nesse artigo, você aprenderá a usar o Azure Observador de Rede Diagnóstico NSG para verificar e solucionar problemas de regras de segurança aplicadas ao seu tráfego do Azure por meio de Grupos de segurança de rede e Gerenciador de Rede Virtual do Azure. O diagnóstico do NSG verifica se o tráfego é permitido ou negado pelas regras de segurança aplicadas.

O exemplo neste artigo mostra como um grupo de segurança de rede configurado incorretamente pode impedir que você use o Azure Bastion para se conectar a uma máquina virtual.

Pré-requisitos

Criar uma rede virtual e um bastion host

Nesta seção, você criará uma rede virtual com duas sub-redes e um host do Azure Bastion. A primeira sub-rede é usada para a máquina virtual e a segunda sub-rede é usada para o bastion host. Você também pode criar um grupo de segurança de rede e aplicá-lo à primeira sub-rede.

  1. Na caixa de pesquisa na parte superior do portal, digite redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.

    A captura de tela mostra como pesquisar as redes virtuais no portal do Azure.

  2. Selecione + Criar. Em Criar rede virtual, insira ou selecione os valores a seguir na guia Informações Básicas:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione Criar novo.
    Insira myResourceGroup em Nome.
    Selecione OK.
    Detalhes da instância
    Nome da rede virtual Insira MyVnet.
    Região Selecione (EUA) Leste dos EUA.
  3. Selecione a guia Segurança ou clique no botão Avançar na parte inferior da página.

  4. Em Azure Bastion, selecione Habilitar o Azure Bastion e aceite os valores padrão:

    Configuração Valor
    Nome do host do Azure Bastion myVNet-Bastion.
    Endereço IP público do Azure Bastion (Novo) myVNet-bastion-publicIpAddress.
  5. Selecione a guia Endereços IP ou selecione o botão Avançar na parte inferior da página.

  6. Aceite o espaço de endereço IP padrão 10.0.0.0/16 e edite a sub-rede padrão selecionando o ícone de lápis. Na página Editar sub-rede, insira os seguintes valores:

    Configuração Valor
    Detalhes da sub-rede
    Nome Insira mySubnet.
    Segurança
    Grupo de segurança de rede Selecione Criar novo.
    Insira mySubnet-nsg no Nome.
    Selecione
    .
  7. Selecione Examinar + criar.

  8. Examine as configurações e selecione Criar.

Importante

Os preços por hora começam a partir do momento em que o Bastion host é implantado, independentemente do uso de dados de saída. Para saber mais, consulte Preços. Recomendamos que você exclua esse recurso quando terminar de usá-lo.

Criar uma máquina virtual

Nesta seção, você criará uma máquina virtual e um grupo de segurança de rede aplicados ao adaptador de rede.

  1. Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione + Criar e, em seguida, selecione a máquina virtual do Azure.

  3. Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Informações Básicas:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome da máquina virtual Insira a opção myVM.
    Região Selecione (EUA) Leste dos EUA.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Selecione Padrão.
    Imagem Selecione Windows Server 2022 Datacenter: edição do Azure – x64 Gen2.
    Tamanho Escolha um tamanho ou deixe a configuração padrão.
    Conta de administrador
    Nome de Usuário Digite um nome de usuário.
    Senha Digite uma senha.
    Confirmar senha Reinsira a senha.
  4. Selecione a guia Rede ou selecione Avançar: Discos, em seguida, Avançar: Rede.

  5. Na guia Rede, selecione os seguintes valores:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione myVNet.
    Sub-rede Selecione padrão.
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Básico.
    Porta de entrada públicas Selecione Nenhum.
  6. Selecione Examinar + criar.

  7. Examine as configurações e selecione Criar.

Adicionar uma regra de segurança ao grupo de segurança de rede

Nesta seção, você adicionará uma regra de segurança ao grupo de segurança de rede associado ao adaptador de rede de myVM. A regra nega qualquer tráfego de entrada da rede virtual.

  1. Na caixa de pesquisa na parte superior do portal, digite grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Na lista de grupos de segurança de rede, selecione myVM-nsg.

  3. Em Configurações, selecione Regras de segurança de entrada.

  4. Selecione + Adicionar. Na guia Rede, insira ou selecione os seguintes valores:

    Configuração Valor
    Fonte selecione Marca de Serviço.
    Marca de serviço de origem Selecione VirtualNetwork.
    Intervalos de portas de origem Insira *.
    Destino Selecione Qualquer.
    Serviço selecione Personalizado.
    Intervalos de portas de destino Insira *.
    Protocolo Selecione Qualquer.
    Ação Selecione Negar.
    Prioridade Insira 1000.
    Nome Insira DenyVnetInBound.
  5. Selecione Adicionar.

    Captura de tela que mostra como adicionar uma regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

Observação

A marca de serviço VirtualNetwork representa o espaço de endereço da rede virtual, todos os espaços de endereço locais conectados, redes virtuais emparelhadas, redes virtuais conectadas a um gateway de rede virtual, o endereço IP virtual do host e os prefixos de endereço usados em rotas definidas pelo usuário. Para saber mais, confira Marcas de serviço.

Verificar regras de segurança aplicadas a um tráfego de máquina virtual

Use o diagnóstico do NSG para marcar as regras de segurança aplicadas ao tráfego originado da sub-rede do Bastion para a máquina virtual.

  1. Na caixa de pesquisa na parte superior do portal, pesquise e selecione Observador de Rede.

  2. Em Ferramentas de diagnóstico de rede, selecione Diagnóstico de NSG.

  3. Na página Diagnóstico do NSG, insira ou selecione os seguintes valores:

    Configuração Valor
    Recurso de destino
    Tipo de recurso de destino Selecione Máquina virtual.
    Máquina virtual Selecione a máquina virtual myVM.
    Detalhes do Tráfego
    Protocolo selecione TCP. Outras opções disponíveis são: Todas, UDP e ICMP.
    Direção Selecione Entrada. Outra opção disponível é: Saída.
    Tipo de origem Selecione Endereço IPv4/CIDR. Outra opção disponível é: Marca de serviço.
    Endereço IPv4/CIDR Insira 10.0.1.0/26, que é o intervalo de endereços IP da sub-rede do Bastion. Os valores aceitáveis são: endereço IP único, vários endereços IP, prefixo IP único, vários prefixos IP.
    Endereço IP de destino Deixe o padrão de 10.0.0.4, que é o endereço IP de myVM.
    Porta de destino Insira * para incluir todas as portas.

    Captura de tela mostrando os valores necessários para o diagnóstico do NSG para testar conexões de entrada para uma máquina virtual no portal do Azure.

  4. Selecione Executar diagnóstico NSG para executar o teste. Depois que o diagnóstico do NSG concluir a verificação de todas as regras de segurança, ele exibirá o resultado.

    Captura de tela mostrando o resultado Negado em conexões de entrada para a máquina virtual.

    O resultado mostra que há três regras de segurança avaliadas para a conexão de entrada da sub-rede do Bastion:

    • GlobalRules: essa regra de administrador de segurança é aplicada no nível da rede virtual usando o Gerenciador de Rede Virtual do Azure. A regra permite o tráfego TCP de entrada da sub-rede do Bastion para a máquina virtual.
    • mySubnet-nsg: esse grupo de segurança de rede é aplicado no nível da sub-rede (sub-rede da máquina virtual). A regra permite o tráfego TCP de entrada da sub-rede do Bastion para a máquina virtual.
    • myVM-nsg: esse grupo de segurança de rede é aplicado no nível do adaptador de rede (NIC). A regra nega o tráfego TCP de entrada da sub-rede do Bastion para a máquina virtual.
  5. Selecione Exibir detalhes de myVM-nsg para ver detalhes sobre as regras de segurança que esse grupo de segurança de rede tem e qual regra negou o tráfego.

    Captura de tela mostrando os detalhes do grupo de segurança de rede que negou o tráfego para a máquina virtual.

    No grupo de segurança de rede myVM-nsg, a regra de segurança DenyVnetInBound nega qualquer tráfego proveniente do espaço de endereço da marca de serviço VirtualNetwork para a máquina virtual. O bastion host usa endereços IP do intervalo de endereços: 10.0.1.0/26, que estão incluídos na marca de serviço VirtualNetwork, para se conectar à máquina virtual. Portanto, a conexão do bastion host é negada pela regra de segurança DenyVnetInBound .

Adicionar uma regra de segurança para permitir o tráfego da sub-rede do Bastion

Para se conectar à myVM usando o Azure Bastion, o tráfego da sub-rede do Bastion deve ser permitido pelo grupo de segurança de rede. Para permitir o tráfego de 10.0.1.0/26, adicione uma regra de segurança com uma prioridade mais alta (número de prioridade mais baixa) do que a regra DenyVnetInBound ou edite a regra DenyVnetInBound para permitir o tráfego da sub-rede do Bastion.

Você pode adicionar a regra de segurança ao grupo de segurança de rede na página Observador de Rede que mostrou os detalhes sobre a regra de segurança negando o tráfego para a máquina virtual.

  1. Para adicionar a regra de segurança de dentro do Observador de Rede, selecione + Adicionar regra de segurança e insira ou selecione os seguintes valores:

    Configuração Valor
    Fonte Selecione Endereços IP.
    Endereços IP de origem/Intervalos de CIDR Insira 10.0.1.0/26, que é o intervalo de endereços IP da sub-rede do Bastion.
    Intervalos de portas de origem Insira *.
    Destino Selecione Qualquer.
    Serviço selecione Personalizado.
    Intervalos de portas de destino Insira *.
    Protocolo Selecione Qualquer.
    Ação selecione Permitir.
    Prioridade Insira 900, que é a prioridade mais alta que 1000 usada para a regra DenyVnetInBound.
    Nome Insira AllowBastionConnections.

    Captura de tela mostrando como adicionar uma nova regra de segurança ao grupo de segurança de rede para permitir o tráfego para a máquina virtual a partir da sub-rede do Bastion.

  2. Selecione Verificar novamente para executar a sessão de diagnóstico novamente. A sessão de diagnóstico agora deve mostrar que o tráfego da sub-rede do Bastion é permitido.

    Captura de tela mostrando os detalhes do grupo de segurança de rede após adicionar uma regra de segurança que permite o tráfego para a máquina virtual a partir da sub-rede Bastion.

    A regra de segurança AllowBastionConnections permite o tráfego de qualquer endereço IP em 10.0.1.0/26 para a máquina virtual. Como o bastion host usa endereços IP de 10.0.1.0/26, sua conexão com a máquina virtual é permitida pela regra de segurança AllowBastionConnections .

Limpar os recursos

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos que ele contém:

  1. Na caixa Pesquisar na parte superior do portal, insira myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

  2. Selecione Excluir grupo de recursos.

  3. Em Nome do grupo de recursos, digite myResourceGroup e selecione Excluir.

  4. Selecione Excluir para confirmar a exclusão do grupo de recursos e todos os seus recursos.