Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
É possível usar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure. Para cada regra, você pode especificar origem e destino, porta e protocolo.
Este artigo explica as propriedades de uma regra de grupo de segurança de rede e as regras de segurança padrão aplicadas pelo Azure. Ele também descreve como modificar as propriedades da regra para criar uma regra de segurança aumentada.
Regras de segurança
Um grupo de segurança de rede pode conter quantas regras você desejar, dentro dos limites da assinatura do Azure. Cada regra especifica as seguintes propriedades:
| Propriedade | Explicação |
|---|---|
| Nome | Um nome exclusivo dentro do Grupo de Segurança de Rede. O nome pode ter até 80 caracteres. Ele deve começar com um caractere de palavra e deve terminar com um caractere de palavra ou com _. O nome pode conter caracteres de palavra ou ., -. \_ |
| Prioridade | Um número entre 100 e 4096. As regras são processadas na ordem de prioridade, com números mais baixos processados antes de números mais altos, pois os números mais baixos têm prioridade mais alta. Depois que o tráfego corresponde a uma regra, o processamento é interrompido. Como resultado, todas as regras que existem com prioridades mais baixas (números mais altos) que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. As regras de segurança padrão do Azure recebem o número mais alto com a prioridade mais baixa para garantir que as regras personalizadas sejam sempre processadas primeiro. |
| Origem ou destino | Você pode especificar Any, um endereço IP individual, um bloco CIDR (por exemplo, 10.0.0.0/24), uma marca de serviço ou um grupo de segurança do aplicativo. Para recursos do Azure, use o endereço IP privado atribuído ao recurso. Os grupos de segurança de rede processam o tráfego depois que o Azure converte endereços IP públicos em endereços IP privados para tráfego de entrada. Eles processam o tráfego antes de traduzir endereços IP privados para endereços IP públicos para tráfego de saída. Insira um intervalo, marca de serviço ou grupo de segurança do aplicativo para reduzir o número de regras de segurança necessárias. As regras de segurança aumentadas permitem especificar vários endereços IP individuais e intervalos em uma única regra. No entanto, você não pode especificar várias marcas de serviço ou grupos de aplicativos em uma única regra. As regras de segurança aumentadas só estão disponíveis em grupos de segurança de rede criados por meio do modelo de implantação do Resource Manager. No modelo de implantação clássico, vários endereços IP e intervalos não podem ser especificados em uma única regra.
Se a origem for a sub-rede 10.0.1.0/24 (onde a VM1 está localizada) e o destino for a sub-rede 10.0.2.0/24 (onde a VM2 está localizada), o grupo de segurança de rede filtrará o tráfego para a VM2. Esse comportamento ocorre porque o NSG está associado ao adaptador de rede da VM2. |
| Protocolo | TCP, UDP, ICMP, ESP, AH ou Qualquer. Os protocolos ESP e AH não estão disponíveis no momento por meio do portal do Azure, mas podem ser usados por meio de modelos do ARM. |
| Direção | Se a regra se aplica ao tráfego de entrada ou de saída. |
| Intervalo de portas | Você pode especificar uma porta individual ou um intervalo de portas. Por exemplo, você pode especificar 80 ou 10000-10005. A especificação de intervalos permite que você crie menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede criados pelo modelo de implantação do Gerenciador de Recursos. Você não pode especificar várias portas ou intervalos de porta na mesma regra de segurança em grupos de segurança de rede criados pelo modelo de implantação clássica. |
| Ação | Permitir ou negar |
As regras de segurança são avaliadas e aplicadas com base nas informações de cinco tuplas (origem, porta de origem, destino, porta de destino e protocolo). Você não pode criar duas regras de segurança com a mesma prioridade e direção. Um registro de fluxo é criado para as conexões existentes. A comunicação é permitida ou negada com base no estado de conexão do registro de fluxo. O registro de fluxo permite que um grupo de segurança de rede seja com estado. Se você especificar uma regra de segurança de saída para algum endereço pela porta 80, por exemplo, não será necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Você precisa especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também é verdadeiro. Se o tráfego de entrada é permitido por uma porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego pela porta.
Quando você remove uma regra de segurança que permitia uma conexão, as conexões existentes permanecem ininterruptas. As regras do grupo de segurança de rede afetam apenas novas conexões. Regras novas ou atualizadas em um grupo de segurança de rede se aplicam exclusivamente a novas conexões, deixando as conexões existentes não afetadas pelas alterações.
Há limites ao número de regras de segurança que você pode criar em um grupo de segurança de rede. Para obter detalhes, confira Limites do Azure.
Regras de segurança padrão
O Azure cria as seguintes regras padrão em cada grupo de segurança de rede que você criar:
Entrada
AllowVNetInBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Permitir |
AllowAzureLoadBalancerInBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | Balanceador de Carga do Azure | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
DenyAllInbound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Saída
AllowVnetOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Permitir |
AllowInternetOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualquer | Permitir |
DenyAllOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Nas colunas Origem e Destino, VirtualNetwork, AzureLoadBalancer e Internet são marcas de serviço em vez de endereços IP. Na coluna de protocolo, a opção Qualquer abrange TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Qualquer. 0.0.0.0/0 nas colunas Origem e Destino representa todos os endereços. Clientes como Portal do Azure, CLI do Azure ou Azure PowerShell podem usar * ou any para essa expressão.
Não é possível remover as regras padrão, mas você pode substituí-las criando regras com prioridades mais altas.
Regras de segurança aumentadas
As regras de segurança aumentada simplificam a definição de segurança para redes virtuais, permitindo que você defina políticas de segurança de rede maiores e mais complexas com menos regras. Você pode combinar várias portas e vários intervalos e endereços IP explícitos em uma única regra de segurança fácil de entender. Use regras aumentadas nos campos de origem, destino e porta de uma regra. Para simplificar a manutenção da sua definição de regra de segurança, combine as regras de segurança aumentadas com marcas de serviço ou grupos de segurança de aplicativo. Há limites para a quantidade de endereços, intervalos e portas que você pode especificar em uma regra. Para obter detalhes, confira Limites do Azure.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ajudam a minimizar a complexidade de atualizações frequentes em regras de segurança de rede.
Para obter mais informações, confira Marcas de serviço do Azure. Para ver um exemplo de como usar a marca de serviço de armazenamento para restringir o acesso à rede, confira Restringir o acesso à rede aos recursos de PaaS.
Grupos de segurança do aplicativo
Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. Para saber mais, confira Grupos de segurança de aplicativo.
Tempo limite do fluxo
As configurações de tempo limite de fluxo determinam por quanto tempo um registro de fluxo permanece ativo antes de expirar. Você pode definir essa configuração usando o portal do Azure ou por meio da linha de comando. Para obter mais detalhes, consulte a visão geral dos logs de fluxo do NSG.
Considerações sobre a plataforma do Azure
IP virtual do nó do host: serviços básicos de infraestrutura, como DHCP, DNS, IMDS e monitoramento de integridade, são fornecidos pelos endereços IP de host virtualizados 168.63.129.16 e 169.254.169.254. Esses endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados usado em todas as regiões para essa finalidade. Por padrão, esses serviços não estão sujeitos aos grupos de segurança de rede configurados, a menos que sejam direcionados por marcas de serviço específicas para cada serviço. Para substituir essa comunicação de infraestrutura básica, você pode criar uma regra de segurança para negar tráfego usando as seguintes marcas de serviço em suas regras de grupo de segurança de rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem de tráfego de rede e diagnosticar o roteamento de rede.
Licenciamento (Serviço de Gerenciamento de Chaves): as imagens do Windows em execução nas máquinas virtuais devem ser licenciadas. Para garantir o licenciamento, uma solicitação é enviada para os servidores host do serviço de gerenciamento de chaves que lidam com essas consultas. A solicitação é feita para a saída pela porta 1688. Para implantações que usam a configuração padrão da rota 0.0.0.0/0 , essa regra de plataforma está desabilitada.
Máquinas virtuais em pools de carga balanceada: o intervalo de porta e endereço de origem aplicado é do computador de origem, não do balanceador de carga. Os intervalos de porta e endereço de destino são para o computador de destino, não o balanceador de carga.
Instâncias de serviço do Azure: instâncias de vários serviços do Azure, como o HDInsight, Ambientes de Serviço de Aplicativo e Conjuntos de Dimensionamento de Máquinas Virtuais são implantadas em sub-redes de rede virtual. Para obter uma lista completa de serviços que podem ser implantados em uma rede virtual, confira a Rede virtual para os serviços do Azure. Antes de aplicar um grupo de segurança de rede a uma sub-rede, familiarize-se com os requisitos de porta para cada serviço. Se você negar as portas exigidas pelo serviço, o serviço não funcionará corretamente.
Enviar um email: a Microsoft recomenda que você utilize os serviços de retransmissão de SMTP autenticados (normalmente conectados via porta TCP 587, mas geralmente outras, também) para enviar email de máquinas virtuais do Azure. Os serviços de retransmissão SMTP são especializados em reputação de remetente, para minimizar a possibilidade de que os provedores de email parceiros rejeitem mensagens. Esses serviços de retransmissão de SMTP incluem, mas não estão limitados à proteção do Exchange Online e do SendGrid. O uso de serviços de retransmissão de SMTP não é de modo algum restrito no Azure, independentemente de seu tipo de assinatura.
Se você criou sua assinatura do Azure antes de 15 de novembro de 2017, além de poder usar serviços de retransmissão SMTP, poderá enviar emails diretamente pela porta TCP 25. Se você criou sua assinatura após 15 de novembro de 2017, talvez não consiga enviar emails diretamente pela porta 25. O comportamento de comunicação de saída pela porta 25 depende do tipo de assinatura que você tem, da seguinte maneira:
Contrato Enterprise: para VMs implantadas em assinaturas padrão do Contrato Enterprise, as conexões SMTP de saída na porta TCP 25 não são bloqueadas. No entanto, não há garantia de que os domínios externos aceitem os emails de entrada das VMs. Se os domínios externos rejeitarem ou filtrarem emails, entre em contato com os provedores de serviços de email dos domínios externos para resolver os problemas. Esses problemas não são cobertos pelo Suporte do Azure.
Para assinaturas do Desenvolvimento/Teste Enterprise, a porta 25 é bloqueada por padrão. É possível que esse bloco seja removido. Para solicitar que o bloco seja removido, vá até a seção Não é possível enviar email (Porta SMTP 25) da página de configurações de Diagnosticar e Resolver no recurso da Rede Virtual do Azure no portal do Azure e execute o diagnóstico. Esse processo isenta automaticamente as assinaturas qualificadas de desenvolvimento/teste da empresa.
Depois que uma assinatura for isenta deste bloqueio e as VMs forem interrompidas e reiniciadas, todas as VMs nessa assinatura serão isentas dali em diante. A isenção se aplica apenas à assinatura solicitada e apenas ao tráfego da VM que é roteado diretamente para a Internet.
Pré-pago: a comunicação de saída da porta 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
MSDN, Azure Pass, Azure via Open, Azure para Educação, e Avaliação gratuita: A comunicação pela porta 25 de saída está bloqueada para todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
Provedor de serviços de nuvem: a comunicação na porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
Próximas etapas
Saiba quais recursos do Azure podem ser implantados em uma rede virtual. Consulte a integração de rede virtual para os serviços do Azure para entender como os grupos de segurança de rede podem ser associados a eles.
Para saber como o tráfego é avaliado com grupos de segurança de rede, confira Como os grupos de segurança de rede funcionam.
Crie um grupo de segurança de rede seguindo este tutorial rápido.
Se você estiver familiarizado com os grupos de segurança de rede e a necessidade de gerenciá-los, consulte Gerenciar um grupo de segurança de rede.
Se você estiver tendo problemas de comunicação e precisa solucionar problemas de grupos de segurança de rede, consulte Diagnosticar um problema de filtro de tráfego de rede em máquina virtual.
Saiba como habilitar logs de fluxo do grupo de segurança de rede para analisar a entrada e a saída do tráfego nos recursos com grupo de segurança de rede associado.