Partilhar via

Configurar grupos de segurança de rede com marcas no Windows Admin Center

  • Artigo

Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2

Aplica-se a: Windows Server 2025 (visualização)

Importante

Os grupos de segurança de rede baseados em marcas no Windows Server 2025 estão em VISUALIZAÇÃO. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Este artigo descreve como configurar grupos de segurança de rede com marcas de segurança de rede no Windows Admin Center.

Com as tags de segurança de rede, você pode criar tags personalizadas definidas pelo usuário, anexá-las às interfaces de rede da máquina virtual (VM) e aplicar políticas de acesso à rede (com grupos de segurança de rede) com base nessas tags.

Pré-requisitos

Preencha os seguintes pré-requisitos para usar grupos de segurança de rede com tags:

  • Você tem o Azure Stack HCI 22H2 ou posterior instalado em seu cluster. Para obter mais informações, consulte como instalar o sistema operacional Azure Stack HCI, versão 23H2.

  • Você tem o controlador de rede instalado. O Controlador de Rede impõe as políticas de rede padrão. Para obter mais informações, consulte como instalar o controlador de rede.

  • Você tem uma rede lógica ou uma rede virtual para usar. Para obter mais informações, consulte como Criar uma rede lógica ou Criar uma rede virtual.

  • Você tem uma VM para aplicar um grupo de segurança de rede. Para obter mais informações, consulte como gerenciar VMs com o Windows Admin Center.

  • Você tem permissões de administrador ou equivalente aos nós de cluster e controlador de rede.

  • Você tem o Windows Server 2025 ou posterior. Para obter mais informações, consulte Introdução ao Windows Server.

  • Você tem o controlador de rede instalado. Para obter mais informações, consulte como implantar uma infraestrutura SDN usando o SDN Express.

  • Você tem uma rede lógica ou uma rede virtual para usar. Para obter mais informações, consulte como Criar uma rede lógica ou Criar uma rede virtual.

  • Você tem uma VM para aplicar um grupo de segurança de rede. Para obter mais informações, consulte como gerenciar VMs com o Windows Admin Center.

  • Você tem permissões de administrador ou equivalente aos nós de cluster e controlador de rede.

Simplifique a segurança com tags de segurança de rede

Os grupos de segurança de rede permitem configurar políticas de acesso com base em construções de rede, como prefixos de rede e sub-redes. Por exemplo, se você quiser restringir a comunicação entre suas VMs de servidor Web e VMs de banco de dados, deverá identificar as sub-redes de rede correspondentes e criar uma política para negar a comunicação entre essas sub-redes. No entanto, existem algumas limitações com esta abordagem:

  • Suas políticas de segurança estão vinculadas a construções de rede, o que significa que você precisa saber quais aplicativos residem em segmentos de rede específicos. Compreender a infraestrutura e a arquitetura da rede torna-se crucial.

  • Ao criar políticas para aplicativos, convém reutilizá-las em diferentes cenários. Por exemplo, se seu aplicativo Web de produção só puder ser acessado pela porta 80 da Internet e não puder ser acessado por outros aplicativos em produção ou outros ambientes, você terá uma política semelhante para qualquer aplicativo novo. No entanto, com a segmentação de rede, a recriação de políticas torna-se necessária devido a elementos de rede exclusivos para cada aplicativo.

  • Se você encerrar um aplicativo antigo e implantar um novo no mesmo segmento de rede, serão necessários ajustes de política.

Com as tags de segurança de rede, você não precisa mais rastrear os segmentos de rede onde seus aplicativos estão hospedados. As tags de segurança de rede simplificam o gerenciamento de políticas e evitam as complexidades associadas às construções de rede. Vamos reconsiderar o exemplo com VMs de servidor Web e banco de dados: marque as VMs correspondentes com tags de segurança de rede "Web" e "Banco de dados" e, em seguida, crie uma regra para restringir a comunicação entre as tags "Web" e "Banco de dados".

Criar grupos de segurança de rede baseados em marcas de segurança de rede

Para criar grupos de segurança de rede baseados em marcas de segurança de rede, siga estes passos:

  1. Crie uma ou mais tags de segurança de rede.

  2. Atribua uma marca de segurança de rede a uma VM.

  3. Crie um grupo de segurança de rede.

  4. Crie uma regra de segurança de rede para o grupo de segurança de rede.

  5. Aplique o grupo de segurança de rede a uma VM, sub-rede de rede, marca de segurança de rede.

Criar tags de segurança de rede

  1. Na tela inicial do Windows Admin Center, em Todas as conexões, selecione o cluster no qual você deseja criar o grupo de segurança de rede.

  2. Em Ferramentas, role para baixo até a área Rede e selecione Grupos de segurança de rede.

  3. Em Grupos de segurança de rede, selecione Etiquetas de Segurança de Rede e, em seguida, selecione Novo.

  4. No painel Criar etiqueta de segurança de rede, introduza um nome para a etiqueta de segurança de rede no campo Nome.

    Captura de ecrã do painel Criar Etiqueta de Segurança de Rede.

  5. (Opcional) No campo Tipo , insira um tipo para a tag. Este campo é útil se você quiser categorizar tags para facilitar o gerenciamento. Por exemplo, você pode ter diferentes tags com o mesmo tipo "Aplicativo", como SQL, Web, IOT, Sensor, etc.

  6. Selecione Submeter.

Atribuir marca de segurança de rede a uma VM

Você pode atribuir uma marca de segurança de rede a uma VM ao criar uma nova VM ou posteriormente ao alterar as propriedades de uma VM existente.

Atribuir marca de segurança de rede durante a criação da VM

Para obter instruções passo a passo sobre como criar uma nova VM, consulte Criar uma nova VM.

Para atribuir uma marca de segurança de rede ao criar uma nova VM:

  1. Na tela inicial do Windows Admin Center, em Todas as conexões, selecione o servidor ou cluster no qual você deseja criar a VM.

  2. Em Ferramentas, role para baixo e selecione Máquinas virtuais.

  3. Em Máquinas virtuais, selecione o separador Inventário, selecione Adicionar e, em seguida, selecione Novo.

  4. Em Nova máquina virtual, insira um nome para sua VM.

  5. Insira outras propriedades para a VM.

  6. Em Rede, selecione a marca de segurança de rede criada anteriormente, em Criar marca de segurança de rede.

    Captura de tela mostrando a etapa para atribuir a marca de segurança de rede ao criar uma nova VM.

  7. Selecione Criar.

Atribuir marca de segurança de rede a uma VM existente

Você pode atribuir uma marca de segurança de rede a uma VM existente alterando suas configurações. Para obter instruções detalhadas sobre como alterar as configurações da VM, consulte Alterar configurações da VM.

  1. Em Ferramentas, role para baixo até a área Rede e selecione Máquinas virtuais.

  2. Selecione a guia Inventário , selecione uma VM e selecione Configurações.

  3. Na página Configurações, selecione Redes.

  4. Na secção Etiqueta de Segurança de Rede , selecione Adicionar Etiqueta de Segurança de Rede, selecione a etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede.

  5. Selecione Salvar configurações de rede.

Criar um grupo de segurança de rede

  1. Na tela inicial do Windows Admin Center, em Todas as conexões, selecione o cluster no qual você deseja criar o grupo de segurança de rede.

  2. Em Ferramentas, role para baixo até a área Rede e selecione Grupos de segurança de rede.

  3. Em Grupos de segurança de rede, selecione o separador Inventário e, em seguida, selecione Novo.

  4. No painel Grupos de Segurança de Rede, digite um nome para o grupo de segurança de rede e selecione Enviar.

    Captura de ecrã a mostrar o painel Grupo de Segurança de Rede.

  5. Em Grupos de Segurança de Rede, verifique se o estado de Provisionamento do novo grupo de segurança de rede mostra Bem-sucedido.

Criar uma regra de grupo de segurança de rede

Depois de criar um grupo de segurança de rede, você estará pronto para criar regras de grupo de segurança de rede. Se quiser aplicar regras de grupo de segurança de rede ao tráfego de entrada e de saída, você precisará criar duas regras.

  1. Na tela inicial do Windows Admin Center, em Todas as conexões, selecione o cluster no qual você deseja criar o grupo de segurança de rede.

  2. Em Ferramentas, role para baixo até a área Rede e selecione Grupos de segurança de rede.

  3. Em Grupos de segurança de rede, selecione o separador Inventário e, em seguida, selecione o grupo de segurança de rede que criou anteriormente, em Criar um grupo de segurança de rede.

  4. Em Regra de segurança de rede, selecione Novo.

  5. No painel Regra de segurança de rede à direita, forneça as seguintes informações:

    Campo Descrição
    Nome Nome da regra.
    Prioridade Prioridade da regra. Os valores aceitáveis são de 101 a 65000. Um valor mais baixo indica uma prioridade mais elevada.
    Tipos Tipo de regra. Esse tipo de regra pode ser de entrada ou de saída.
    Protocolo Protocolo para corresponder a um pacote de entrada ou de saída. Os valores aceitáveis são Todos, TCP e UDP.
    Source Selecione Etiqueta de Segurança de Rede.

    Nota: Você pode selecionar um prefixo de endereço ou uma marca de segurança de rede, mas não ambos.
    Tipo de tag de segurança de origem (Opcional) Selecione um tipo para a tag.
    Tag de segurança de origem Selecione uma etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede.
    Intervalo de portas de origem Especifique o intervalo de portas de origem para corresponder a um pacote de entrada ou de saída. Você pode entrar * para especificar todas as portas de origem.
    Destino Selecione Etiqueta de Segurança de Rede.

    Nota: Você pode selecionar um prefixo de endereço ou uma marca de segurança de rede, mas não ambos. Origem e Destino podem ser diferentes.
    Tipo de etiqueta de segurança de destino (Opcional) Selecione um tipo para a tag.
    Tag de segurança de destino Selecione uma etiqueta de segurança de rede que criou anteriormente, em Criar etiqueta de segurança de rede.
    Intervalo de portas de destino Especifique o intervalo de portas de destino para corresponder a um pacote de entrada ou de saída. Você pode entrar * para especificar todas as portas de destino.
    Ações Se as condições acima forem correspondidas, especifique para permitir ou bloquear o pacote. Os valores aceitáveis são Permitir e Negar.
    Registo Especifique para habilitar ou desabilitar o registro em log para a regra. Se o registo estiver ativado, todo o tráfego correspondente a esta regra é registado nos computadores anfitriãos.

  6. Selecione Submeter.

Aplicar grupo de segurança de rede

Você pode aplicar um grupo de segurança de rede a:

Aplicar grupo de segurança de rede a uma marca de segurança de rede

Quando você aplica um grupo de segurança de rede a uma marca de segurança de rede, as regras de grupo de segurança de rede se aplicam a todas as interfaces de rede VM associadas a essa marca de segurança de rede.

Para aplicar um grupo de segurança de rede a uma marca de segurança de rede através do Windows Admin Center, siga estes passos:

  1. No ecrã inicial do Windows Admin Center, em Todas as ligações, selecione o cluster ao qual pretende aplicar o grupo de segurança de rede.

  2. Em Ferramentas, role para baixo até a área Rede e selecione Grupos de segurança de rede.

  3. Em Grupos de segurança de rede, selecione Etiquetas de Segurança de Rede .

  4. Selecione a etiqueta de segurança de rede que pretende editar e, em seguida, selecione Definições.

  5. No painel Editando Marca de Segurança de Rede da marca selecionada, selecione o grupo de segurança de rede que deseja aplicar à marca de segurança de rede.

    Captura de ecrã a mostrar como aplicar um grupo de segurança de rede existente a uma etiqueta de segurança de rede.

  6. Selecione Submeter.

Próximos passos

Para obter informações relacionadas, consulte também: