Configurar um grupo de segurança de aplicativo com um ponto de extremidade privado

Os pontos de extremidade privados do Azure Private Link dão suporte a grupos de segurança de aplicativos (ASGs) para segurança de rede. Você pode associar pontos de extremidade privados a um ASG existente em sua infraestrutura atual ao lado de máquinas virtuais e outros recursos de rede.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma conta do Azure, crie uma conta gratuitamente.

• Um aplicativo Web do Azure com uma camada Premium V2 ou um plano de serviço de aplicativo superior implantado em sua assinatura do Azure.

  • Para obter mais informações e um exemplo, consulte Guia de início rápido: criar um aplicativo Web ASP.NET Core no Azure.
  • O aplicativo Web de exemplo neste artigo é chamado myWebApp1979. Substitua o exemplo pelo nome do aplicativo Web.

• Um ASG existente na sua subscrição. Para obter mais informações sobre ASGs, consulte Grupos de segurança de aplicativos.

  • O exemplo ASG usado neste artigo é chamado myASG. Substitua o exemplo pelo security group do aplicativo.

• Uma rede virtual e uma sub-rede do Azure existentes na sua subscrição. Para obter mais informações sobre como criar uma rede virtual, consulte Guia de início rápido: criar uma rede virtual usando o portal do Azure.

  • O exemplo de rede virtual usado neste artigo é chamado myVNet. Substitua o exemplo pela sua rede virtual.

• A versão mais recente da CLI do Azure, instalada.

  • Verifique sua versão da CLI do Azure em um terminal ou janela de comando executando az --version. Para obter a versão mais recente, consulte as notas de versão mais recentes.
  • Se não tiver a versão mais recente da CLI do Azure, atualize-a seguindo o guia de instalação do seu sistema operativo ou plataforma.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 5.4.1 ou posterior. Para localizar a versão instalada, execute Get-Module -ListAvailable Az. Se precisar de atualizar, veja Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure.

Criar um ponto de extremidade privado com um ASG

Você pode associar um ASG a um ponto de extremidade privado quando ele é criado. Os procedimentos a seguir demonstram como associar um ASG a um ponto de extremidade privado quando ele é criado.

Portal

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados nos resultados da pesquisa.

3. Selecione + Criar em pontos de extremidade privados.

4. Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as seguintes informações:

   valor	Definição
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione o seu grupo de recursos. Neste exemplo, é myResourceGroup.
   Detalhes da instância
   Nome	Insira myPrivateEndpoint.
   País/Região	Selecione E.U.A. Leste.

5. Selecione Next: Resource na parte inferior da página.

6. Na guia Recurso, insira ou selecione as seguintes informações:

   valor	Definição
   Método de ligação	Selecione Conectar a um recurso do Azure em meu diretório.
   Subscrição	Selecione a sua subscrição.
   Tipo de recurso	Selecione Microsoft.Web/sites.
   Resource	Selecione mywebapp1979.
   Subrecurso de destino	Selecione sites.

7. Selecione Next: Virtual Network na parte inferior da página.

8. Na guia Rede Virtual, insira ou selecione as seguintes informações:

   valor	Definição
   Rede
   Rede virtual	Selecione myVNet.
   Sub-rede	Selecione sua sub-rede. Neste exemplo, é myVNet/myBackendSubnet(10.0.0.0/24).
   Habilite políticas de rede para todos os pontos de extremidade privados nesta sub-rede.	Deixe o padrão selecionado.
   Grupo de segurança de aplicações
   Grupo de segurança de aplicações	Selecione myASG.

   

9. Selecione Next: DNS na parte inferior da página.

10. Selecione Next: Tags na parte inferior da página.

11. Selecione Seguinte: Rever + criar.

12. Selecione Criar.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Associar um ASG a um ponto de extremidade privado existente

Você pode associar um ASG a um ponto de extremidade privado existente. Os procedimentos a seguir demonstram como associar um ASG a um ponto de extremidade privado existente.

Importante

Você deve ter um ponto de extremidade privado implantado anteriormente para prosseguir com as etapas nesta seção. O ponto de extremidade de exemplo usado nesta seção é chamado myPrivateEndpoint. Substitua o exemplo pelo seu ponto de extremidade privado.

Portal

1. Inicie sessão no portal do Azure.

2. Na caixa de pesquisa na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados nos resultados da pesquisa.

3. Em Pontos de extremidade privados, selecione myPrivateEndpoint.

4. Em myPrivateEndpoint, em Configurações, selecione Grupos de segurança de aplicativos.

5. Em Grupos de segurança de aplicativos, selecione myASG na caixa suspensa.

   

6. Selecione Guardar.

PowerShell

No momento, não há suporte para associar um ASG a um ponto de extremidade privado existente ao Azure PowerShell.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Próximos passos

Para obter mais informações sobre o Azure Private Link, consulte:

• O que é a Ligação Privada do Azure?