Configurar grupos de segurança de rede com etiquetas no Windows Admin Center
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2
Este artigo descreve como configurar grupos de segurança de rede com etiquetas de segurança de rede no Windows Admin Center.
Com etiquetas de segurança de rede, pode criar etiquetas personalizadas definidas pelo utilizador, anexar essas etiquetas às interfaces de rede da máquina virtual (VM) e aplicar políticas de acesso à rede (com grupos de segurança de rede) com base nestas etiquetas.
Simplificar a segurança com etiquetas de segurança de rede
Os grupos de segurança de rede permitem-lhe configurar políticas de acesso com base em construções de rede, como prefixos de rede e sub-redes. Por exemplo, se quiser restringir a comunicação entre as VMs do Servidor Web e as VMs da base de dados, tem de identificar as sub-redes de rede correspondentes e criar uma política para negar a comunicação entre essas sub-redes. No entanto, existem algumas limitações com esta abordagem:
As políticas de segurança estão associadas a construções de rede, o que significa que precisa de saber quais as aplicações que residem em segmentos de rede específicos. Compreender a infraestrutura de rede e a arquitetura tornam-se cruciais.
Ao criar políticas para aplicações, poderá querer reutilizá-las em diferentes cenários. Por exemplo, se a sua aplicação Web de produção só puder ser alcançada através da porta 80 a partir da Internet e não puder ser acedida por outras aplicações em ambientes de produção ou outros ambientes, teria uma política semelhante para qualquer nova aplicação. No entanto, com a segmentação de rede, a recriação de políticas torna-se necessária devido a elementos de rede exclusivos para cada aplicação.
Se desativar uma aplicação antiga e aprovisionar uma nova no mesmo segmento de rede, são necessários ajustes de política.
Com a funcionalidade de etiquetas de segurança de rede, já não precisa de controlar os segmentos de rede onde as suas aplicações estão alojadas. Isto simplifica a gestão de políticas e evita as complexidades associadas às construções de rede. Vamos reconsiderar o exemplo com O Servidor Web e as VMs da base de dados: etiquetar as VMs correspondentes com etiquetas de segurança de rede "Web" e "Base de Dados" e, em seguida, criar uma regra para restringir a comunicação entre etiquetas "Web" e "Base de Dados".
Criar grupos de segurança de rede baseados em etiquetas de segurança de rede
Para criar grupos de segurança de rede baseados em etiquetas de segurança de rede, siga estes passos:
Crie uma regra de segurança de rede para o grupo de segurança de rede.
Aplique o grupo de segurança de rede a uma VM, sub-rede de rede, etiqueta de segurança de rede.
Criar etiquetas de segurança de rede
No ecrã principal Windows Admin Center, em Todas as ligações, selecione o cluster no qual pretende criar o grupo de segurança de rede.
Em Ferramentas, desloque-se para baixo até à área Rede e selecione Grupos de segurança de rede.
Em Grupos de segurança de rede, selecione o separador Etiquetas de Segurança de Rede e, em seguida, selecione Novo.
No painel Criar Etiqueta de Segurança de Rede , introduza um nome para a etiqueta de segurança de rede no campo Nome .
(Opcional) No campo Tipo , introduza um tipo para a etiqueta. Este campo é útil se quiser categorizar etiquetas para uma gestão fácil. Por exemplo, pode ter etiquetas diferentes com o mesmo tipo "Aplicação", como SQL, Web, IOT, Sensor, etc.
Selecione Submeter.
Atribuir uma etiqueta de segurança de rede a uma VM
Pode atribuir uma etiqueta de segurança de rede a uma VM ao criar uma nova VM ou posterior ao alterar as propriedades de uma VM existente.
Atribuir etiqueta de segurança de rede durante a criação da VM
Para obter instruções passo a passo sobre como criar uma nova VM, veja Criar uma nova VM.
Para atribuir uma etiqueta de segurança de rede ao criar uma nova VM:
No Windows Admin Center ecrã principal, em Todas as ligações, selecione o servidor ou cluster no qual pretende criar a VM.
Em Ferramentas, desloque-se para baixo e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione o separador Inventário , selecione Adicionar e, em seguida, selecione Novo.
Em Nova máquina virtual, introduza um nome para a sua VM.
Introduza outras propriedades para a VM.
Em Rede, selecione a etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede.
Selecione Criar.
Atribuir uma etiqueta de segurança de rede a uma VM existente
Pode atribuir uma etiqueta de segurança de rede a uma VM existente ao alterar as respetivas definições. Para obter instruções detalhadas sobre como alterar as definições da VM, veja Alterar as definições da VM.
Em Ferramentas, desloque-se para baixo até à área Rede e selecione Máquinas virtuais.
Selecione o separador Inventário , selecione uma VM e, em seguida, selecione Definições.
Na página Definições , selecione Redes.
Na secção Etiqueta de Segurança de Rede , selecione Adicionar Etiqueta de Segurança de Rede, selecione a etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede.
Selecione Guardar definições de rede.
Criar um grupo de segurança de rede
No ecrã principal Windows Admin Center, em Todas as ligações, selecione o cluster no qual pretende criar o grupo de segurança de rede.
Em Ferramentas, desloque-se para baixo até à área Rede e selecione Grupos de segurança de rede.
Em Grupos de segurança de rede, selecione o separador Inventário e, em seguida, selecione Novo.
No painel Grupos de Segurança de Rede , escreva um nome para o grupo de segurança de rede e, em seguida, selecione Submeter.
Em Grupos de Segurança de Rede, verifique se o estado de Aprovisionamento do novo grupo de segurança de rede mostra Êxito.
Criar uma regra de grupo de segurança de rede
Depois de criar um grupo de segurança de rede, está pronto para criar regras de grupo de segurança de rede. Se quiser aplicar regras de grupo de segurança de rede ao tráfego de entrada e saída, tem de criar duas regras.
No ecrã principal Windows Admin Center, em Todas as ligações, selecione o cluster no qual pretende criar o grupo de segurança de rede.
Em Ferramentas, desloque-se para baixo até à área Rede e selecione Grupos de segurança de rede.
Em Grupos de segurança de rede, selecione o separador Inventário e, em seguida, selecione o grupo de segurança de rede que criou anteriormente, em Criar um grupo de segurança de rede.
Em Regra de segurança de rede, selecione Novo.
No painel Regra de segurança de rede à direita, forneça as seguintes informações:
Campo Descrição Nome Nome da regra. Priority Prioridade da regra. Os valores aceitáveis são 101 a 65000. Um valor mais baixo indica uma prioridade mais alta. Tipos Tipo da regra. Pode ser Entrada ou Saída. Protocolo Protocolo para corresponder a um pacote de entrada ou saída. Os valores aceitáveis são Todos, TCP e UDP. Origem Selecione Etiqueta de Segurança de Rede.
Nota: Pode selecionar um prefixo de endereço ou uma etiqueta de segurança de rede, mas não ambos.Tipo de Etiqueta de Segurança de Origem (Opcional) Selecione um tipo para a etiqueta. Etiqueta de Segurança de Origem Selecione uma etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede. Intervalo de Portas de Origem Especifique o intervalo de portas de origem para corresponder a um pacote de entrada ou saída. Pode introduzir *para especificar todas as portas de origem.Destino Selecione Etiqueta de Segurança de Rede.
Nota: Pode selecionar um prefixo de endereço ou uma etiqueta de segurança de rede, mas não ambos. A origem e o destino podem ser diferentes.Tipo de Etiqueta de Segurança de Destino (Opcional) Selecione um tipo para a etiqueta. Etiqueta de Segurança de Destino Selecione uma etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede. Intervalo de Portas de Destino Especifique o intervalo de portas de destino para corresponder a um pacote de entrada ou saída. Pode introduzir *para especificar todas as portas de destino.Ações Se as condições acima forem correspondidas, especifique para permitir ou bloquear o pacote. Os valores aceitáveis são Permitir e Negar. Registo Especifique para ativar ou desativar o registo da regra. Se o registo estiver ativado, todo o tráfego correspondente a esta regra é registado nos computadores anfitriões. Selecione Submeter.
Aplicar grupo de segurança de rede
Pode aplicar um grupo de segurança de rede a:
- Sub-rede de rede virtual
- Sub-rede de rede lógica
- Interface de rede específica
- Etiqueta de segurança de rede
Aplicar um grupo de segurança de rede a uma etiqueta de segurança de rede
Quando aplica um grupo de segurança de rede a uma etiqueta de segurança de rede, as regras do grupo de segurança de rede aplicam-se a todas as interfaces de rede da VM associadas a essa etiqueta de segurança de rede.
Para aplicar um grupo de segurança de rede a uma etiqueta de segurança de rede através de Windows Admin Center, siga estes passos:
No Windows Admin Center ecrã principal, em Todas as ligações, selecione o cluster no qual pretende aplicar o grupo de segurança de rede.
Em Ferramentas, desloque-se para baixo até à área Rede e selecione Grupos de segurança de rede.
Em Grupos de segurança de rede, selecione o separador Etiquetas de Segurança de Rede .
Selecione a etiqueta de segurança de rede que pretende editar e, em seguida, selecione Definições.
No painel Editar Etiqueta de Segurança de Rede para a etiqueta selecionada, selecione o grupo de segurança de rede que pretende aplicar à etiqueta de segurança de rede.
Selecione Submeter.
Passos seguintes
Para obter informações relacionadas, consulte também:
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários