Tráfego seguro destinado a pontos de extremidade privados na WAN Virtual do Azure
Nota
Este artigo aplica-se apenas ao hub virtual seguro. Se você quiser inspecionar o tráfego destinado a pontos de extremidade privados usando o Firewall do Azure em uma rede virtual de hub, consulte Usar o Firewall do Azure para inspecionar o tráfego destinado a um ponto de extremidade privado.
O Azure Private Endpoint é o bloco de construção fundamental para o Azure Private Link. Os pontos de extremidade privados permitem que os recursos do Azure implantados em uma rede virtual se comuniquem de forma privada com recursos de link privado.
Os pontos de extremidade privados permitem o acesso de recursos ao serviço de link privado implantado em uma rede virtual. O acesso ao ponto de extremidade privado por meio de emparelhamento de rede virtual e conexões de rede locais estendem a conectividade.
Talvez seja necessário filtrar o tráfego de clientes locais ou no Azure destinados a serviços expostos por meio de pontos de extremidade privados em uma rede virtual conectada à WAN Virtual. Este artigo orienta você nessa tarefa usando o hub virtual seguro com o Firewall do Azure como provedor de segurança.
O Firewall do Azure filtra o tráfego usando qualquer um dos seguintes métodos:
- FQDN em regras de rede para protocolos TCP e UDP
- FQDN em regras de aplicativo para HTTP, HTTPS e MSSQL.
- Endereços IP de origem e destino, porta e protocolo usando regras de rede
As regras de aplicativo são preferidas em relação às regras de rede para inspecionar o tráfego destinado a pontos de extremidade privados, porque o Firewall do Azure sempre SNATs tráfego com regras de aplicativo. O SNAT é recomendado ao inspecionar o tráfego destinado a um ponto de extremidade privado devido à limitação descrita aqui: O que é um ponto de extremidade privado?. Se você estiver planejando usar regras de rede, é recomendável configurar o Firewall do Azure para sempre executar SNAT: intervalos de endereços IP privados SNAT do Firewall do Azure.
A Microsoft gerencia hubs virtuais seguros, que não podem ser vinculados a uma Zona DNS Privada. Isso é necessário para resolver um FQDN de recurso de link privado para seu endereço IP de ponto de extremidade privado correspondente.
A filtragem de FQDN do SQL é suportada apenas no modo proxy (porta 1433). O modo proxy pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando FQDN em regras de rede de firewall.
Filtrar o tráfego usando regras de rede ou aplicativo no Firewall do Azure
As etapas a seguir permitem que o Firewall do Azure filtre o tráfego usando regras de rede (FQDN ou baseadas em endereço IP) ou regras de aplicativo:
Regras de rede:
Implante uma máquina virtual de encaminhador DNS em uma rede virtual conectada ao hub virtual seguro e vinculada às Zonas DNS Privadas que hospedam os tipos de registro A para os pontos de extremidade privados.
Configure servidores DNS personalizados para as redes virtuais conectadas ao hub virtual seguro:
- Regras de rede baseadas em FQDN - defina configurações de DNS personalizadas para apontar para o endereço IP da máquina virtual do encaminhador DNS e habilite o proxy DNS na política de firewall associada ao Firewall do Azure. Habilitar o proxy DNS é necessário se você quiser fazer filtragem FQDN em regras de rede.
- Regras de rede baseadas em endereço IP - as configurações de DNS personalizadas descritas no ponto anterior são opcionais. Você pode configurar os servidores DNS personalizados para apontar para o IP privado da máquina virtual do encaminhador DNS.
Dependendo da configuração escolhida na etapa 2., configure os servidores DNS locais para encaminhar consultas DNS para as zonas DNS públicas de pontos de extremidade privados para o endereço IP privado do Firewall do Azure ou da máquina virtual do encaminhador DNS.
Configure uma regra de rede conforme necessário na política de firewall associada ao Firewall do Azure. Escolha Endereços IP do Tipo de Destino se optar por uma regra baseada em endereço IP e configure o endereço IP do ponto de extremidade privado como Destino. Para regras de rede baseadas em FQDN, escolha FQDN de Tipo de Destino e configure o FQDN público do recurso de link privado como Destino.
Navegue até a política de firewall associada ao Firewall do Azure implantado no hub virtual seguro. Selecione Private IP ranges (SNAT) e selecione a opção Always perform SNAT.
Regras de aplicação:
Para as regras de aplicação, continuam a aplicar-se os passos 1 a 3 da secção anterior. Para a configuração personalizada do servidor DNS, você pode optar por usar o Firewall do Azure como proxy DNS ou apontar diretamente para a máquina virtual do encaminhador DNS.
Configure uma regra de aplicativo conforme necessário na política de firewall associada ao Firewall do Azure. Escolha FQDN Tipo de destino e FQDN público do recurso de link privado como Destino.
Por último, e independentemente do tipo de regras configuradas na Firewall do Azure, certifique-se de que as Políticas de Rede (pelo menos para suporte UDR) estão ativadas na(s) sub-rede(s) onde os pontos de extremidade privados estão implementados. Isso garante que o tráfego destinado a pontos de extremidade privados não ignore o Firewall do Azure.
Importante
Por padrão, os prefixos RFC 1918 são incluídos automaticamente nos Prefixos de Tráfego Privado do Firewall do Azure. Para a maioria dos pontos de extremidade privados, isso será suficiente para garantir que o tráfego de clientes locais ou em diferentes redes virtuais conectadas ao mesmo hub seguro seja inspecionado pelo firewall. Caso o tráfego destinado a pontos de extremidade privados não esteja sendo registrado no firewall, tente adicionar o prefixo /32 para cada ponto de extremidade privado à lista de Prefixos de Tráfego Privado.
Se necessário, você pode editar os prefixos CIDR inspecionados por meio do Firewall do Azure em um hub seguro da seguinte maneira:
Navegue até Hubs virtuais seguros na política de firewall associada ao Firewall do Azure implantado no hub virtual seguro e selecione o hub virtual seguro onde a filtragem de tráfego destinada a pontos de extremidade privados está configurada.
Navegue até Configuração de segurança, selecione Enviar via Firewall do Azure em Tráfego privado.
Selecione Prefixos de tráfego privado para editar os prefixos CIDR inspecionados por meio do Firewall do Azure no hub virtual seguro e adicione um prefixo /32 para cada ponto de extremidade privado.
Para inspecionar o tráfego de clientes na mesma rede virtual que os pontos de extremidade privados, não é necessário substituir especificamente as rotas /32 dos pontos de extremidade privados. Desde que as Diretivas de Rede estejam habilitadas na(s) sub-rede(s) de pontos de extremidade privados, uma UDR com um intervalo de endereços mais amplo terá precedência. Por exemplo, configure essa UDR com o tipo de salto seguinte definido como Dispositivo Virtual, Endereço do próximo salto definido como o IP privado do Firewall do Azure e Destino do prefixo de endereço definido para a sub-rede dedicada a todos os pontos de extremidade privados implantados na rede virtual. As rotas de gateway de propagação devem ser definidas como Sim.
O diagrama a seguir ilustra o DNS e os fluxos de tráfego de dados para os diferentes clientes se conectarem a um ponto de extremidade privado implantado na WAN virtual do Azure:
Resolução de Problemas
Os principais problemas que você pode ter ao tentar filtrar o tráfego destinado a pontos de extremidade privados por meio de hub virtual seguro são:
Os clientes não conseguem se conectar a pontos de extremidade privados.
O Firewall do Azure foi ignorado. Você pode validar esse sintoma pela ausência de entradas de log de regras de rede ou aplicativo no Firewall do Azure.
Na maioria dos casos, um dos seguintes problemas causa esses problemas:
Resolução de nomes DNS incorreta
Configuração de roteamento incorreta
Resolução de nomes DNS incorreta
Verifique se os servidores DNS da rede virtual estão definidos como Personalizado e se o endereço IP é o endereço IP privado do Firewall do Azure no hub virtual seguro.
CLI do Azure:
az network vnet show --name <VNET Name> --resource-group <Resource Group Name> --query "dhcpOptions.dnsServers"Verifique se os clientes na mesma rede virtual que a máquina virtual do encaminhador DNS podem resolver o FQDN público do ponto de extremidade privado para seu endereço IP privado correspondente consultando diretamente a máquina virtual configurada como encaminhador DNS.
Linux:
dig @<DNS forwarder VM IP address> <Private endpoint public FQDN>Inspecione as entradas de log do AzureFirewallDNSProxy As entradas de log do Firewall do Azure e validem-nas para receber e resolver consultas DNS dos clientes.
AzureDiagnostics | where Category contains "DNS" | where msg_s contains "database.windows.net"Verifique se o proxy DNS foi habilitado e se um servidor DNS personalizado apontando para o endereço IP do endereço IP da máquina virtual do encaminhador DNS foi configurado na política de firewall associada ao Firewall do Azure no hub virtual seguro.
CLI do Azure:
az network firewall policy show --name <Firewall Policy> --resource-group <Resource Group Name> --query dnsSettings
Configuração de roteamento incorreta
Verifique a configuração de segurança na política de firewall associada ao Firewall do Azure implantado no hub virtual seguro. Verifique se na coluna TRÁFEGO PRIVADO ele aparece como Protegido pelo Firewall do Azure para todas as conexões de rede virtual e filiais para as quais você deseja filtrar o tráfego.
Verifique a configuração de segurança na política de firewall associada ao Firewall do Azure implantado no hub virtual seguro. Caso o tráfego destinado a pontos de extremidade privados não esteja sendo registrado no firewall, tente adicionar o prefixo /32 para cada ponto de extremidade privado à lista de Prefixos de Tráfego Privado.
No hub virtual seguro em WAN virtual, inspecione rotas efetivas para as tabelas de rotas associadas às redes virtuais e conexões de filiais para as quais você deseja filtrar o tráfego. Se as entradas /32 foram adicionadas para cada ponto de extremidade privado para o qual você deseja inspecionar o tráfego, verifique se elas estão listadas nas rotas efetivas.
Inspecione as rotas efetivas nas NICs anexadas às máquinas virtuais implantadas nas redes virtuais para as quais você deseja filtrar o tráfego. Certifique-se de que há entradas /32 para cada endereço IP privado de ponto final para o qual você deseja filtrar o tráfego (se adicionado).
CLI do Azure:
az network nic show-effective-route-table --name <Network Interface Name> --resource-group <Resource Group Name> -o tableInspecione as tabelas de roteamento de seus dispositivos de roteamento locais. Certifique-se de que está a aprender os espaços de endereço das redes virtuais onde os pontos de extremidade privados estão implementados.
A WAN virtual do Azure não anuncia os prefixos configurados em Prefixos de tráfego privado na configuração de segurança da política de firewall para o local. Espera-se que as entradas /32 não sejam exibidas nas tabelas de roteamento de seus dispositivos de roteamento locais.
Inspecione os logs do Firewall do Azure AzureFirewallApplicationRule e AzureFirewallNetworkRule . Certifique-se de que o tráfego destinado aos pontos finais privados está a ser registado.
As entradas de log AzureFirewallNetworkRule não incluem informações FQDN. Filtre por endereço IP e porta ao inspecionar regras de rede.
Ao filtrar o tráfego destinado aos pontos de extremidade privados dos Arquivos do Azure, as entradas de log AzureFirewallNetworkRule só são geradas quando um cliente monta ou se conecta ao compartilhamento de arquivos pela primeira vez. O Firewall do Azure não gera logs para operações CRUD para arquivos no compartilhamento de arquivos. Isso ocorre porque as operações CRUD são transportadas pelo canal TCP persistente aberto quando o cliente se conecta ou monta pela primeira vez no compartilhamento de arquivos.
Exemplo de consulta de log de regra de aplicativo:
AzureDiagnostics | where msg_s contains "database.windows.net" | where Category contains "ApplicationRule"