Grupos de segurança de rede
É possível usar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída em relação a vários tipos de recursos do Azure. Para cada regra, você pode especificar origem e destino, porta e protocolo.
Este artigo descreve as propriedades de uma regra de grupo de segurança de rede, as regras de segurança padrão que são aplicadas e as propriedades da regra que você pode mudar para criar uma regra de segurança aumentada.
Regras de segurança
Um grupo de segurança de rede pode conter quantas regras você desejar, dentro dos limites da assinatura do Azure. Cada regra especifica as seguintes propriedades:
Propriedade | Explicação |
---|---|
Nome | Um nome exclusivo dentro do Grupo de Segurança de Rede. O nome pode ter até 80 caracteres. Ele precisa começar com um caractere de palavra e terminar com um caractere de palavra ou com '_'. O nome pode conter caracteres de palavra ou '.', '-' e '_'. |
Prioridade | Um número entre 100 e 4096. As regras são processadas na ordem de prioridade, com números mais baixos processados antes de números mais altos, pois os números mais baixos têm prioridade mais alta. Depois que o tráfego corresponde a uma regra, o processamento é interrompido. Assim, as regras existentes com baixa prioridade (números mais altos) que têm os mesmos atributos das regras com prioridades mais altas não são processadas. As regras de segurança padrão do Azure recebem o número mais alto com a prioridade mais baixa para garantir que as regras personalizadas sejam sempre processadas primeiro. |
Origem ou destino | Qualquer endereço IP ou um endereço IP individual, bloco CIDR (roteamento entre domínios sem classificação) (10.0.0.0/24, por exemplo), marca de serviço ou grupo de segurança do aplicativo. Se você especificar um endereço para um recurso do Azure, especifique o endereço IP privado atribuído ao recurso. Os grupos de segurança de rede são processados depois que o Azure traduz um endereço IP público em um endereço IP privado para tráfego de entrada e antes que o Azure traduza um endereço IP privado para um endereço IP público para tráfego de saída. Menos regras de segurança são necessárias quando você especifica um intervalo, uma marca de serviço ou um grupo de segurança de aplicativo. A capacidade de especificar vários endereços IP individuais e intervalos (você não pode especificar várias marcas de serviço ou grupos de aplicativos) em uma regra é conhecida como regras de segurança aumentadas. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede criados pelo modelo de implantação do Gerenciador de Recursos. Você não pode especificar vários endereços IP e intervalos de endereços IP em grupos de segurança de rede criados pelo modelo de implantação clássica. Se a origem apontar para a sub-rede 10.0.1.0/24 (onde a VM1 está localizada) e o destino apontar para a sub-rede 10.0.2.0/24 (onde a VM2 está localizada), isso indicará que a finalidade do NSG é filtrar o tráfego de rede na VM2 e o NSG está associado à interface de rede da VM2. |
Protocolo | TCP, UDP, ICMP, ESP, AH ou Qualquer. Os protocolos ESP e AH não estão disponíveis no momento por meio do portal do Azure, mas podem ser usados por meio de modelos do ARM. |
Direção | Se a regra se aplica ao tráfego de entrada ou de saída. |
Intervalo de portas | Você pode especificar uma porta individual ou um intervalo de portas. Por exemplo, você pode especificar 80 ou 10000-10005. A especificação de intervalos permite que você crie menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede criados pelo modelo de implantação do Gerenciador de Recursos. Você não pode especificar várias portas ou intervalos de porta na mesma regra de segurança em grupos de segurança de rede criados pelo modelo de implantação clássica. |
Ação | Permitir ou negar |
As regras de segurança são avaliadas e aplicadas com base nas informações de cinco tuplas (origem, porta de origem, destino, porta de destino e protocolo). Você não pode criar duas regras de segurança com a mesma prioridade e direção. Um registro de fluxo é criado para as conexões existentes. A comunicação é permitida ou negada com base no estado de conexão do registro de fluxo. O registro de fluxo permite que um grupo de segurança de rede seja com estado. Se você especificar uma regra de segurança de saída para algum endereço pela porta 80, por exemplo, não será necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Você precisa especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também é verdadeiro. Se o tráfego de entrada é permitido por uma porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego pela porta.
As conexões existentes podem não ser interrompidas quando você remove uma regra de segurança que habilitou o fluxo. A modificação das regras do grupo de segurança de rede afetará apenas as novas conexões. Quando uma regra é criada ou uma regra existente é atualizada em um grupo de segurança de rede, ela só se aplica a novas conexões. As conexões existentes não são atualizadas com as novas regras.
Há limites ao número de regras de segurança que você pode criar em um grupo de segurança de rede. Para obter detalhes, confira Limites do Azure.
Regras de segurança padrão
O Azure cria as seguintes regras padrão em cada grupo de segurança de rede que você criar:
Entrada
AllowVNetInBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Allow |
AllowAzureLoadBalancerInBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Allow |
DenyAllInBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Saída
AllowVnetOutBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Allow |
AllowInternetOutBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualquer | Allow |
DenyAllOutBound
Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Nas colunas Origem e Destino, VirtualNetwork, AzureLoadBalancer e Internet são marcas de serviço em vez de endereços IP. Na coluna de protocolo, a opção Qualquer abrange TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Qualquer. 0.0.0.0/0 nas colunas Origem e Destino representa todos os endereços. Clientes como portal do Azure, CLI do Azure ou PowerShell podem usar * ou Qualquer para essa expressão.
Não é possível remover as regras padrão, mas você pode substituí-las criando regras com prioridades mais altas.
Regras de segurança aumentadas
As regras de segurança aumentada simplificam a definição de segurança para redes virtuais, permitindo que você defina políticas de segurança de rede maiores e mais complexas com menos regras. Você pode combinar várias portas e vários intervalos e endereços IP explícitos em uma única regra de segurança fácil de entender. Use regras aumentadas nos campos de origem, destino e porta de uma regra. Para simplificar a manutenção da sua definição de regra de segurança, combine as regras de segurança aumentadas com marcas de serviço ou grupos de segurança de aplicativo. Há limites para a quantidade de endereços, intervalos e portas que você pode especificar em uma regra. Para obter detalhes, confira Limites do Azure.
Marcas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ajudam a minimizar a complexidade de atualizações frequentes em regras de segurança de rede.
Para obter mais informações, confira Marcas de serviço do Azure. Para ver um exemplo de como usar a marca de serviço de armazenamento para restringir o acesso à rede, confira Restringir o acesso à rede aos recursos de PaaS.
Grupos de segurança do aplicativo
Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. Para saber mais, confira Grupos de segurança de aplicativo.
Considerações sobre a plataforma do Azure
IP virtual do nó do host: serviços básicos de infraestrutura, como DHCP, DNS, IMDS e monitoramento de integridade, são fornecidos pelos endereços IP de host virtualizados 168.63.129.16 e 169.254.169.254. Esses endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados usado em todas as regiões para essa finalidade. Por padrão, esses serviços não estão sujeitos aos grupos de segurança de rede configurados, a menos que sejam direcionados por marcas de serviço específicas para cada serviço. Para substituir essa comunicação de infraestrutura básica, você pode criar uma regra de segurança para negar tráfego usando as seguintes marcas de serviço em suas regras de grupo de segurança de rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem de tráfego de rede e diagnosticar o roteamento de rede.
Licenciamento (Serviço de Gerenciamento de Chaves): as imagens do Windows em execução nas máquinas virtuais devem ser licenciadas. Para garantir o licenciamento, uma solicitação de licenciamento é enviada para os servidores de host do serviço de gerenciamento de chaves que lidar com essas consultas. A solicitação é feita para a saída pela porta 1688. Para implantações usando configuração default route 0.0.0.0/0, esta regra de plataforma será desabilitada.
Máquinas virtuais em pools de carga balanceada: o intervalo de porta e endereço de origem aplicado é do computador de origem, não do balanceador de carga. Os intervalos de porta e endereço de destino são para o computador de destino, não o balanceador de carga.
Instâncias de serviço do Azure: instâncias de vários serviços do Azure, como o HDInsight, Ambientes de Serviço de Aplicativo e Conjuntos de Dimensionamento de Máquinas Virtuais são implantadas em sub-redes de rede virtual. Para obter uma lista completa de serviços que podem ser implantados em uma rede virtual, confira a Rede virtual para os serviços do Azure. Antes de aplicar um grupo de segurança de rede a uma sub-rede, familiarize-se com os requisitos de porta para cada serviço. Se você negar portas exigidas pelo serviço, o serviço não funcionará corretamente.
Enviar um email: a Microsoft recomenda que você utilize os serviços de retransmissão de SMTP autenticados (normalmente conectados via porta TCP 587, mas geralmente outras, também) para enviar email de máquinas virtuais do Azure. Os serviços de retransmissão de SMTP são especializados em reputação do remetente, para minimizar a possibilidade dos provedores de email de terceiros rejeitarem mensagens. Esses serviços de retransmissão de SMTP incluem, mas não estão limitados à proteção do Exchange Online e do SendGrid. O uso de serviços de retransmissão de SMTP não é de modo algum restrito no Azure, independentemente de seu tipo de assinatura.
Se você criou sua assinatura do Azure antes de 15 de novembro de 2017, além de poder usar os serviços de retransmissão de SMTP, você pode enviar um email diretamente pela porta TCP 25. Se você criou sua assinatura depois do dia 15 de novembro de 2017, não poderá enviar emails diretamente pela porta 25. O comportamento de comunicação de saída pela porta 25 depende do tipo de assinatura que você tem, da seguinte maneira:
Enterprise Agreement: para VMs implantadas em assinaturas padrão com Enterprise Agreement, as conexões SMTP de saída na porta TCP 25 não serão bloqueadas. No entanto, não há nenhuma garantia de que os domínios externos aceitarão os emails de entrada das VMs. Se seus emails forem rejeitados ou filtrados pelos domínios externos, você deverá entrar em contato com os provedores de serviço de email dos domínios externos para resolver os problemas. Esses problemas não são cobertos pelo Suporte do Azure.
Para assinaturas do Desenvolvimento/Teste Enterprise, a porta 25 é bloqueada por padrão. É possível que esse bloco seja removido. Para solicitar que o bloco seja removido, vá até a seção Não é possível enviar email (Porta SMTP 25) da página de configurações de Diagnosticar e Resolver no recurso da Rede Virtual do Azure no portal do Azure e execute o diagnóstico. Isso isentará automaticamente as assinaturas de desenvolvimento/teste Enterprise qualificadas.
Depois que uma assinatura for isenta deste bloqueio e as VMs forem interrompidas e reiniciadas, todas as VMs nessa assinatura serão isentas dali em diante. A isenção se aplica apenas à assinatura solicitada e apenas ao tráfego da VM que é roteado diretamente para a Internet.
Pré-pago: a comunicação de saída da porta 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
MSDN, Azure Pass, Azure via Open, Azure para Educação, e Avaliação gratuita: A comunicação pela porta 25 de saída está bloqueada para todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
Provedor de serviços de nuvem: a comunicação na porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição poderá ser feita, pois as solicitações não foram concedidas. Se você tiver que enviar um email de sua máquina virtual, deverá usar um serviço de retransmissão de SMTP.
Próximas etapas
- Para saber mais sobre quais recursos do Azure podem ser implantados em uma rede virtual e ter grupos de segurança de rede associados a eles, confira Integração de rede virtual para serviços do Azure
- Para saber como o tráfego é avaliado com grupos de segurança de rede, confira Como os grupos de segurança de rede funcionam.
- Se você nunca criou um grupo de segurança de rede, pode concluir um tutorial rápido para obter alguma experiência.
- Se você estiver familiarizado com os grupos de segurança de rede e a necessidade de gerenciá-los, consulte Gerenciar um grupo de segurança de rede.
- Se você estiver tendo problemas de comunicação e precisa solucionar problemas de grupos de segurança de rede, consulte Diagnosticar um problema de filtro de tráfego de rede em máquina virtual.
- Saiba como habilitar logs de fluxo do grupo de segurança de rede para analisar a entrada e a saída do tráfego nos recursos com grupo de segurança de rede associado.