Proteja portas de rede de alto risco com Regras de Administração de Segurança no Azure Virtual Network Manager

Neste artigo, você aprenderá a bloquear portas de rede de alto risco usando o Gerenciador de Rede Virtual do Azure e as Regras de Administração de Segurança. Você percorre a criação de uma instância do Gerenciador de Rede Virtual do Azure, agrupa suas redes virtuais (VNets) com grupos de rede e cria & implanta configurações de administração de segurança para sua organização. Você implanta uma regra de bloco geral para portas de alto risco. Em seguida, você cria uma regra de exceção para gerenciar a VNet de um aplicativo específico usando grupos de segurança de rede.

Embora este artigo se concentre em uma única porta, SSH, você pode proteger quaisquer portas de alto risco em seu ambiente com as mesmas etapas. Para saber mais, consulte esta lista de portas de alto risco

Pré-requisitos

• Você entende como criar um Gerenciador de Rede Virtual do Azure
• Você entende cada elemento em uma regra de administração de segurança.
• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• Um grupo de redes virtuais que podem ser divididas em grupos de rede para aplicar regras de administração de segurança granulares.
• Para modificar grupos dinâmicos de rede, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização de administrador/herdado clássico

Implantar ambiente de rede virtual

Você precisa de um ambiente de rede virtual que inclua redes virtuais que possam ser segregadas para permitir e bloquear tráfego de rede específico. Você pode usar a tabela a seguir ou sua própria configuração de redes virtuais:

Nome	Espaço de endereçamento IPv4	sub-rede
vnetA-gen	10.0.0.0/16	padrão - 10.0.0.0/24
vnetB-gen	10.1.0.0/16	padrão - 10.1.0.0/24
vnetC-gen	10.2.0.0/16	padrão - 10.2.0.0/24
vnetD-app	10.3.0.0/16	padrão - 10.3.0.0/24
vnetE-app	10.4.0.0/16	padrão - 10.4.0.0/24

• Coloque todas as redes virtuais na mesma assinatura, região e grupo de recursos

Não sabe como construir uma rede virtual? Saiba mais em Guia de início rápido: crie uma rede virtual usando o portal do Azure.

Criar uma instância do gerenciador de rede virtual

Nesta seção, você implanta uma instância do Virtual Network Manager com o recurso Administrador de segurança em sua organização.

1. Selecione + Criar um recurso e procure Network Manager. Em seguida, selecione Criar para começar a configurar o Azure Virtual Network Manager.

2. Na guia Noções básicas, insira ou selecione as informações da sua organização:

   

   Definição	Value
   Subscrição	Selecione a assinatura na qual você deseja implantar o Azure Virtual Network Manager.
   Grupo de recursos	Selecione ou crie um grupo de recursos para armazenar o Azure Virtual Network Manager. Este exemplo usa o myAVNMResourceGroup criado anteriormente.
   Nome	Insira um nome para esta instância do Gerenciador de Rede Virtual do Azure. Este exemplo usa o nome myAVNM.
   País/Região	Selecione a região para esta implantação. O Azure Virtual Network Manager pode gerir redes virtuais em qualquer região. A região selecionada é para onde a instância do Virtual Network Manager será implantada.
   Description	(Opcional) Forneça uma descrição sobre essa instância do Virtual Network Manager e a tarefa que ela está gerenciando.
   Scope	Defina o escopo para o qual o Gerenciador de Rede Virtual do Azure pode gerenciar. Este exemplo usa um escopo de nível de assinatura.
   Funcionalidades	Selecione os recursos que você deseja habilitar para o Gerenciador de Rede Virtual do Azure. Os recursos disponíveis são Conectividade, SecurityAdmin ou Selecionar Tudo. Conectividade - Permite a capacidade de criar uma topologia de rede full mesh ou hub and spoke entre redes virtuais dentro do escopo. SecurityAdmin - Permite a capacidade de criar regras de segurança de rede global.

3. Selecione Rever + criar e, em seguida, selecione Criar depois de aprovada a validação.

4. Selecione Ir para o recurso quando a implantação estiver concluída e revise a configuração do gerenciador de rede virtual

Criar um grupo de rede para todas as redes virtuais

Com o gerenciador de rede virtual criado, você cria um grupo de rede contendo todas as redes virtuais da organização e adiciona manualmente todas as redes virtuais.

1. Selecione Grupos de Rede, em Configurações.
2. Selecione + Criar, insira um nome para o grupo de rede e selecione Adicionar.
3. Na página Grupos de rede, selecione o grupo de rede que você criou.
4. Selecione Adicionar em Associação estática para adicionar manualmente todas as redes virtuais.
5. Na página Adicionar membros estáticos, selecione todas as redes virtuais que deseja incluir e selecione Adicionar.

Criar uma configuração de administrador de segurança para todas as redes virtuais

É hora de construir nossas regras de administração de segurança dentro de uma configuração para aplicar essas regras a todas as redes virtuais dentro do seu grupo de rede de uma só vez. Nesta seção, você cria uma configuração de administrador de segurança. Em seguida, você cria uma coleção de regras e adiciona regras para portas de alto risco, como SSH ou RDP. Essa configuração nega o tráfego de rede para todas as redes virtuais no grupo de rede.

1. Retorne ao seu recurso de gerenciador de rede virtual.

2. Selecione Configurações em Configurações e, em seguida, selecione + Criar.

   

3. Selecione Configuração de segurança no menu suspenso.

   

4. Na guia Noções básicas, insira um Nome para identificar essa configuração de segurança e selecione Avançar: coleções de regras.

   

5. Selecione + Adicionar na página Adicionar uma configuração de segurança.

6. Introduza um Nome para identificar esta coleção de regras e, em seguida, selecione os Grupos de rede de destino aos quais pretende aplicar o conjunto de regras. O grupo-alvo é o grupo de rede que contém todas as suas redes virtuais.

   

Adicionar uma regra de segurança para negar tráfego de rede de alto risco

Nesta seção, você define a regra de segurança para bloquear o tráfego de rede de alto risco para todas as redes virtuais. Ao atribuir prioridade, tenha em mente as regras de exceção futuras. Defina a prioridade para que as regras de exceção sejam aplicadas sobre essa regra.

1. Selecione + Adicionar em Regras de administração de segurança.

   

2. Insira as informações necessárias para definir sua regra de segurança e selecione Adicionar para adicionar a regra à coleção de regras.

   

   Definição	Valor
   Nome	Insira um nome de regra.
   Description	Insira uma descrição sobre a regra.
   Prioridade*	Insira um valor entre 1 e 4096 para determinar a prioridade da regra. Quanto menor o valor, maior a prioridade.
   Ação*	Selecione Negar para bloquear o tráfego. Para obter mais informações, consulte Ação
   Direção*	Selecione Entrada como você deseja negar o tráfego de entrada com esta regra.
   Protocolo*	Selecione o protocolo de rede para a porta.
   Source
   Source type	Selecione o tipo de origem do endereço IP ou das tags de serviço.
   Endereços IP de origem	Este campo aparece quando você seleciona o tipo de origem do endereço IP. Insira um endereço IPv4 ou IPv6 ou um intervalo usando a notação CIDR. Ao definir mais de um endereço ou blocos de endereços separados usando uma vírgula. Deixe em branco para este exemplo.
   Etiqueta de serviço de origem	Este campo aparece quando você seleciona o tipo de origem da etiqueta de serviço. Selecione a(s) etiqueta(s) de serviço para os serviços que deseja especificar como origem. Consulte Etiquetas de serviço disponíveis para obter a lista de etiquetas suportadas.
   Porta de origem	Insira um único número de porta ou um intervalo de portas, como (1024-65535). Ao definir mais de uma porta ou intervalos de portas, separe-os usando uma vírgula. Para especificar qualquer porta, digite *. Deixe em branco para este exemplo.
   Destino
   Tipo de destino	Selecione o tipo de destino do endereço IP ou das tags de serviço.
   Endereços IP de destino	Este campo aparece quando você seleciona o tipo de destino do endereço IP. Insira um endereço IPv4 ou IPv6 ou um intervalo usando a notação CIDR. Ao definir mais de um endereço ou blocos de endereços separados usando uma vírgula.
   Etiqueta do serviço de destino	Este campo aparece quando você seleciona o tipo de destino da etiqueta de serviço. Selecione a(s) etiqueta(s) de serviço para os serviços que deseja especificar como destino. Consulte Etiquetas de serviço disponíveis para obter a lista de etiquetas suportadas.
   Porta de destino	Insira um único número de porta ou um intervalo de portas, como (1024-65535). Ao definir mais de uma porta ou intervalos de portas, separe-os usando uma vírgula. Para especificar qualquer porta, digite *. Digite 3389 para este exemplo.

3. Repita as etapas 1 a 3 novamente se quiser adicionar mais regras à coleção de regras.

4. Quando estiver satisfeito com todas as regras que deseja criar, selecione Adicionar para adicionar a coleção de regras à configuração do administrador de segurança.

   

5. Em seguida, selecione Rever + Criar e Criar para concluir a configuração de segurança.

Implantar uma configuração de administrador de segurança para bloquear o tráfego de rede

Nesta seção, as regras criadas entram em vigor quando você implanta a configuração de administrador de segurança.

1. Selecione Implantações em Configurações e, em seguida, selecione Implantar configuração.

   

2. Marque a caixa de seleção Incluir administrador de segurança no estado da meta e escolha a configuração de segurança criada na última seção no menu suspenso. Em seguida, escolha a(s) região(ões) na qual você gostaria de implantar essa configuração.

   

3. Selecione Avançar e Implantar para implantar a configuração de administrador de segurança.

Criar um grupo de rede para regra de exceção de tráfego

Com o tráfego bloqueado em todas as suas redes virtuais, você precisa de uma exceção para permitir o tráfego para redes virtuais específicas. Você cria um grupo de rede especificamente para as redes virtuais que precisam ser excluídas da outra regra de administração de segurança.

1. No seu gestor de rede virtual, selecione Grupos de Rede, em Definições.
2. Selecione + Criar, insira um nome para o grupo de rede de aplicativos e selecione Adicionar.
3. Em Definir associação dinâmica, selecione Definir.
4. Insira ou selecione os valores para permitir o tráfego para a rede virtual do aplicativo.
5. Selecione Visualizar Recursos para revisar as Redes Virtuais Efetivas incluídas e selecione Fechar.
6. Selecione Guardar.

Criar uma exceção de tráfego, segurança, regra de administração e coleção

Nesta seção, você cria uma nova regra de administração de segurança e coleção de regras que permite tráfego de alto risco para o subconjunto de redes virtuais que você definiu como exceções. Em seguida, adicione-o à configuração de administrador de segurança existente.

Importante

Para que sua regra de administrador de segurança permita o tráfego para as redes virtuais do aplicativo, a prioridade precisa ser definida para um número menor do que as regras existentes que bloqueiam o tráfego.

Por exemplo, uma regra de toda a rede que bloqueia SSH tem uma prioridade de 10, portanto, sua regra de permissão deve ter uma prioridade de 1 a 9.

1. No seu gestor de rede virtual, selecione Configurações e selecione a sua configuração de segurança.
2. Selecione Coleções de regras em Configurações e, em seguida, selecione + Criar para criar uma nova coleção de regras.
3. Na página Adicionar uma coleção de regras, insira um nome para sua coleção de regras de aplicativo e escolha o grupo de rede de aplicativos que você criou.
4. Em Regras de administração de segurança, selecione + Adicionar.
5. Insira ou selecione os valores para permitir tráfego de rede específico para seu grupo de rede de aplicativos e selecione adicionar quando concluído.
6. Repita o processo de adicionar regra para todo o tráfego que precise de uma exceção.
7. Quando terminar, selecione Guardar.

Reimplantar a configuração do administrador de segurança com regra de exceção

Para aplicar a nova coleção de regras, reimplante sua configuração de administrador de segurança uma vez que ela foi modificada adicionando uma coleção de regras.

1. No seu gestor de rede virtual, selecione Configurações.
2. Selecione sua configuração de administrador de segurança e selecione Implantar
3. Na página Implantar Configuração, selecione todas as regiões de destino que recebem a implantação e
4. Selecione Avançar e Implantar.

Próximos passos

• Saiba como criar uma topologia de rede mesh com o Azure Virtual Network Manager usando o portal do Azure

• Consulte as Perguntas frequentes do Azure Virtual Network Manager