Implantar uma rede de confiança zero para aplicativos Web

Introduction

Este tutorial segue a arquitetura de referência da Rede Zero Trust para Aplicativos Web da Central de Arquitetura do Azure. A intenção da arquitetura de referência é orientá-lo para publicar uma aplicação Web com acesso seguro através de um Web Application Firewall (WAF) e de um firewall com estado tradicional. Nesse cenário, o WAF é fornecido pelo gateway de aplicativo para inspecionar o tráfego para injeção de SQL, scripts entre sites e outros conjuntos de regras comuns do Open Web Application Security Project (OWASP). A inspeção de pacotes com estado executada pelo Firewall do Azure fornece proteção extra contra pacotes maliciosos. Toda a comunicação entre serviços é protegida com TLS de ponta a ponta usando certificados confiáveis.

Prerequisites

Para concluir a implantação do Zero Trust, você precisará:

• Um nome de domínio personalizado
• Um certificado wildcard confiável para o seu domínio personalizado
• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
• Visual Studio Code (opcional, para ajudar com uma implantação automatizada)

Note

Se você não tiver um nome de domínio personalizado, considere comprar um por meio do Serviço de Aplicativo do Azure.

Implementando os recursos

Para simplificar o passo a passo, todos os recursos serão implantados em um único grupo de recursos. Analise a sua estratégia de gestão e governança para um modelo de implementação apropriado na sua subscrição. A arquitetura de referência contém os seguintes recursos:

• Duas redes virtuais
  • Rede virtual do hub
  • Rede virtual Spoke
• Gateway de aplicação
• Azure Firewall
• Zonas e registos DNS
• Aplicativo Web no Serviço de Aplicativo

Note

O aplicativo Web na arquitetura de referência é visualizado com uma máquina virtual. Isso também pode ser um Serviço de Aplicativo, cluster Kubernetes ou outro ambiente de contêiner ou conjunto de dimensionamento de Máquina Virtual. Neste passo a passo, substituiremos a máquina virtual por um Serviço de Aplicativo.

Outros serviços do Azure que serão implantados e configurados e não listados explicitamente na arquitetura de referência incluem:

• Azure Key Vault
• Identidade gerenciada
• Endereços IP públicos
• Grupos de segurança de rede
• Pontos finais privados
• Tabelas de rotas

Desdobramento do grupo de recursos

Primeiro, você cria um grupo de recursos para armazenar todos os recursos criados.

Important

Você pode usar seu próprio nome de grupo de recursos e a região desejada. Para isso, implantaremos todos os recursos no mesmo grupo de recursos, myResourceGroup, e implantaremos todos os recursos na região do Azure Leste dos EUA . Use essas e sua assinatura do Azure como as configurações padrão ao longo do artigo.

Criar todos os seus recursos no mesmo grupo de recursos é uma boa prática para manter o controle dos recursos usados e facilita a limpeza de um ambiente de demonstração ou não produção.

1. No portal do Azure, pesquise e selecione Grupos de recursos.

2. Na página Grupos de recursos , selecione Criar.

3. Use as seguintes configurações ou as suas próprias configurações para criar um grupo de recursos:

   Setting	Value
   Subscription	Selecione a sua subscrição.
   Grupo de recursos	Insira myResourceGroup
   Region	Selecione E.U.A. Leste.

4. Selecione Review + Create e depois selecione Create.

Implantando o Cofre da Chave do Azure

Nesta etapa, você implantará o Azure Key Vault para armazenar segredos, chaves e certificados. Usaremos um Cofre da Chave para armazenar o certificado público confiável usado para conexões TLS pelo gateway de aplicativo e pelo Firewall do Azure neste tutorial.

Note

Por padrão, a exclusão suave está habilitada no Cofre da Chave do Azure. Isso apresenta a exclusão acidental de credenciais armazenadas. Para permitir que você remova o cofre de chaves em tempo hábil ao concluir este tutorial, é recomendável definir os dias para reter cofres excluídos para 7 dias.

1. No menu do portal do Azure ou na página inicial , selecione Criar um recurso.

2. Na caixa Pesquisar , insira Cofre da Chave e selecione Cofre da Chave nos resultados.

3. Na página de criação do Cofre da Chave , selecione Criar.

4. Na página Criar cofre de chaves , insira ou selecione estas configurações, juntamente com os valores padrão:

   Setting	Value
   Name	Introduza um nome exclusivo para o cofre de chaves. Este exemplo usará myKeyVaultZT.
   Escalão de preço	selecione Standard.
   Dias para reter repositórios eliminados	Digite 7.
   Proteção contra purga	Selecione Desativar proteção contra limpeza (permitir que o cofre de chaves e objetos sejam limpos durante o período de retenção).

5. Selecione Review + Create e depois selecione Create.

Carregar um certificado para o Cofre de Chaves

Nesta tarefa, deverá carregar o certificado wildcard confiável para o seu domínio público.

Note

Esta tarefa requer um certificado digital confiável para um domínio público de sua propriedade. Sem o certificado, você não poderá implantar esse exemplo de arquitetura em sua totalidade. No Azure Key Vault, os formatos de certificado suportados são PFX e PEM.

• O formato de arquivo .pem contém um ou mais arquivos de certificado X509.
• O formato de arquivo .pfx é um formato de arquivo para armazenar vários objetos criptográficos em um único arquivo, ou seja, certificado de servidor (emitido para seu domínio), uma chave privada correspondente e, opcionalmente, pode incluir uma CA intermediária.

1. Navegue até o cofre de chaves criado anteriormente, myKeyVaultZT.

2. Na página Cofre da Chave , selecione Certificados em Objetos.

3. Na página Certificados , selecione + Gerar/Importar

4. Na página Criar um certificado , insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Método de Criação de Certificados	Selecione Importar.
   Nome do Certificado	Digite myTrustedWildCard.
   Carregar arquivo de certificado	Selecione o ícone da pasta e navegue até o local do arquivo de certificado. Selecione o arquivo e selecione Abrir para carregar o certificado.
   Password	Digite a senha do certificado.

5. Selecione Criar.

Implantar uma identidade gerenciada atribuída pelo usuário

Você criará uma identidade gerenciada e dará a essa identidade acesso ao Cofre da Chave do Azure. O gateway de aplicações e o Firewall do Azure usarão esta identidade para recuperar o certificado do repositório.

1. Na caixa Pesquisar , insira e selecione Identidades gerenciadas.
2. Selecione + Criar.
3. Na guia Noções básicas , selecione myManagedIDappGW para Nome.
4. Selecione Revisão + Criar e selecione Criar.

Atribuir acesso ao Cofre da Chave para a identidade gerenciada

1. Navegue até o cofre de chaves criado anteriormente, myKeyVaultZT.
2. Na página Cofre de Chaves, selecione a Configuração de Acesso no menu do lado esquerdo sob Configurações.
3. Na página Configuração de acesso, deixe o padrão da política de acesso ao Vault e selecione **Ir para a página de acesso
4. Na página Políticas de acesso , selecione + Criar.
5. Na página Criar uma política de acesso, selecione Obter em Permissões secretas e Permissões de certificado. Selecione Avançar.
6. Na guia Principais , procure e selecione a identidade myManagedIDappGW .
7. Selecione Next>Next>Create.

Implantando as redes virtuais

Você implantará uma arquitetura hub and spoke para seu aplicativo Web. A rede de hub contém um Firewall do Azure centralizado que é usado para inspecionar o tráfego do aplicativo. A rede spoke contém duas sub-redes, uma para o gateway de aplicativo e outra para o Serviço de Aplicativo.

1. Selecione + Criar um recurso no canto superior esquerdo do portal.

2. Na caixa de pesquisa, digite Rede Virtual. Selecione Rede Virtual nos resultados da pesquisa.

3. Na página Rede Virtual, selecione Criar.

4. Em Criar rede virtual, digite Nome do hub-vnet na guia Noções básicas .

5. Selecione a guia Endereços IP ou selecione o botão Avançar: Endereços IP na parte inferior da página e insira estas configurações, juntamente com os valores padrão:

   Setting	Value
   Espaço de endereçamento IPv4	Digite 192.168.0.0/16.
   Selecionar + Adicionar sub-rede
   Nome de sub-rede	Insira AzureFirewallSubnet.
   Gama de endereços de sub-rede	Digite 192.168.100.0/24.
   Selecione Adicionar.

6. Selecione Rever + criar>Criar.

7. Repita esse processo para criar uma segunda rede virtual usando as seguintes configurações:

   Setting	Value
   Detalhes da instância
   Name	spoke-vnet
   Espaço de endereçamento IPv4	172.16.0.0/16
   Selecionar + Adicionar sub-rede
   Nome de sub-rede	Introduza AppGwSubnet.
   Gama de endereços de sub-rede	Digite 172.16.0.0/24.
   Nome de sub-rede	App1
   Gama de endereços de sub-rede	172.16.1.0/24
   Selecione Adicionar.

8. Selecione Rever + criar>Criar.

9. Navegue até o hub-vnet que você criou anteriormente.

10. Na página Rede virtual do Hub , selecione Emparelhamento em Configurações.

11. Na página Emparelhamentos, selecione + Adicionar.

12. Na página Adicionar emparelhamento , insira ou selecione estas configurações junto com os valores padrão:

    Setting	Value
    Esta rede virtual
    Nome do link de peering	Introduza hub-to-spoke.
    Tráfego para rede virtual remota	Defina como Permitir.
    Tráfego encaminhado da rede virtual remota	Definir como Permitir
    Gateway de rede virtual ou Servidor de Rotas	Definir como Nenhum
    Rede virtual remota
    Nome do link de peering	Digite spoke-to-hub
    Modelo de implantação de rede virtual	Gestor de recursos
    Sei o meu ID de recurso	Manter padrão de Não selecionado
    Subscription	Selecione a sua subscrição
    Rede virtual	spoke-vnet
    Tráfego para rede virtual remota	Allow
    Tráfego encaminhado da rede virtual remota	Allow
    Gateway de rede virtual ou Servidor de Rotas	None

13. Selecione Adicionar.

Implantando a zona DNS do Azure

Para acessar o aplicativo Web com segurança, um nome DNS totalmente qualificado deve ser configurado no DNS que corresponda ao ouvinte no gateway do aplicativo e ao certificado carregado no Cofre da Chave. Para fazer isso, você criará uma zona DNS do Azure para seu domínio que será usada posteriormente para criar o registro DNS para seu aplicativo Web.

1. Selecione + Criar um recurso no canto superior esquerdo do portal.
2. Na caixa Pesquisar, introduza Zona DNS.
3. Na lista de resultados, selecione Zona DNS>Criar.
4. No separador Noções básicas , introduza o seu nome de domínio.
5. Selecione Rever + Criar>Criar.

Note

Para utilizar essa zona DNS, você precisará atualizar seus servidores de nomes de domínio para os servidores de nomes fornecidos pelo DNS do Azure. Como os servidores de nomes podem variar entre locatários do Azure, use os servidores de nomes atribuídos a você pelo DNS do Azure. Os servidores de nomes DNS do Azure estão localizados na página Visão geral da zona DNS criada.

Implantando o Serviço de Aplicativo do Azure

Você implantará o Serviço de Aplicativo do Azure.para hospedar o aplicativo Web seguro.

1. Na barra de pesquisa, digite Serviços de Aplicativo. Em Serviços, selecione Serviços de Aplicativo.

2. Na página Serviços de Aplicativo , selecione + Criar.

3. Na página Criar Aplicativo Web , insira ou selecione essas configurações junto com os valores padrão na guia Noções básicas :

   Setting	Value
   Detalhes da instância
   Name	Introduza um nome globalmente único para a sua aplicação web. Por exemplo, myWebAppZT1.
   Publish	Selecionar código
   Stack de execução	selecione .NET 6 (LTS).
   Sistema Operativo	Selecione Windows
   Planos de Preços
   Plano do Windows (Leste dos EUA)	Selecione Criar novo e digite zt-asp para o nome.
   Plano de preços	Deixe o padrão de Standard S1 ou selecione outro plano no menu.

4. Selecione Rever + Criar>Criar.

5. Após a conclusão da implantação, navegue até o Serviço de Aplicativo.

6. Na página Serviço de Aplicativo , selecione Rede em Configurações.

7. Na seção Tráfego de Entrada , selecione Pontos de extremidade privados.

8. Na página Ligação de ponto final privado, selecione + Adicionar>Expressar.

9. No painel Adicionar Ponto Final Privado , introduza ou selecione estas definições juntamente com os valores predefinidos:

   Setting	Value
   Name	pe-appservice
   Rede virtual	spoke-vnet
   Subnet	App1

10. Selecione OK.

Implantando o gateway de aplicativo

Você implantará um gateway de aplicativo e a solução de entrada de borda para o aplicativo que executa terminação TLS e serviços WAF.

1. Na barra de pesquisa, digite gateways de aplicativo. Em Serviços, selecione Gateways de aplicações.

2. No balanceamento de carga | página do Gateway de Aplicação, selecione + Criar.

3. Na guia Noções básicas , insira ou selecione estas configurações, juntamente com os valores padrão:

   Setting	Value
   Detalhes da instância
   Nome do gateway do aplicativo	Digite myAppGateway.
   Tier	Selecione WAF v2.
   Ativar dimensionamento automático	Selecione Não.
   Contagem de instâncias	Digite 1.
   Zona de disponibilidade	Selecione Nenhum.
   HTTP2	selecione Desativado.
   Política WAF	Selecione Criar novo. Digite myWAFpolicy para o nome da política WAF e selecione Ok.
   Configurar rede virtual
   Rede virtual	Selecione spoke-vnet.
   Subnet	Selecione AppGwSubnet (172.16.0.0/24).

4. Selecione Next: Frontends > e configure os Frontends com as seguintes configurações:

   Setting	Value
   Tipo de endereço IP de front-end	Selecione Público.
   Endereço IP público	Selecione Adicionar novo. Digite myAppGWpip para nome IP público e selecione Ok.

5. Selecione Próximo: Serviços de Suporte >

6. Na guia Back-ends, selecione Adicionar um pool de back-ends.

7. No painel Adicionar um pool de back-end , insira ou selecione as seguintes configurações:

   Setting	Value
   Name	Digite myBackendPool.
   Tipo de alvo	Selecione Serviços de Aplicativo.
   Target	Selecione myWebAppZT1.

8. Selecione Adicionar e, em seguida, selecione Seguinte: Configuração >.

9. Na guia Configuração, selecione Adicionar uma regra de roteamento.

10. No painel Adicionar uma regra de roteamento, insira as seguintes configurações:

    Setting	Value
    Nome da regra: Digite myRouteRule1
    Prioridade: Digite 100

11. Na guia Ouvinte , insira ou selecione estas configurações, juntamente com os valores padrão:

    Setting	Value
    Nome do ouvinte	Introduza myListener.
    IP de Front-end	Selecione Público.
    Protocol	Selecione HTTPS.
    Port	Deixe o padrão de 443.
    Configurações HTTPS
    Escolha um certificado	Selecione Escolher um certificado do Azure Key Vault
    Nome do certificado	Digite myTrustedWildCard.
    Identidade gerenciada	Selecione myManagedIDappGW.
    Cofre de chaves criptográficas	Selecione myKeyVaultZT.
    Certificate	Selecione myTrustedWildCard.
    Configurações adicionais
    Tipo de ouvinte	Selecione Multi site.
    Tipo de host	Se: Solteiro
    Nome do anfitrião	Insira o nome DNS externo para o webapp.
    URL da página de erro	Selecione Não.

    Note

    O FQDN usado para Nome do host deve corresponder ao registro DNS que você criará em uma etapa posterior. Se necessário, você pode voltar para a configuração do Listener e alterá-la para o registro DNS que você criou.

12. Selecione a guia Destinos de Backend.

13. Na guia Destinos de backend, insira ou selecione estas configurações junto com os valores predefinidos:

    Setting	Value
    Tipo de alvo	Selecione Backend pool.
    Objetivo de back-end	Digite myBackendPool.
    Configurações de back-end	Selecione Adicionar novo.
    Adicionar configuração de back-end
    Nome das configurações de back-end	Digite myBackendSetting.
    Protocolo de back-end	Selecione HTTPS.
    Porta traseira	Deixe o padrão de 443.
    Certificado raiz confiável
    Usar certificado de autoridade de certificação bem conhecido	Selecione Sim.
    Nome do anfitrião
    Substituir por novo nome de host	Selecione Sim.
    Substituição do nome do host	Selecione Escolher nome do host do back-end alvo.

14. Selecione Adicionar duas vezes e, em seguida, selecione Seguinte: Etiquetas >.

15. Selecione Seguinte: Rever + criar > e depois selecione Criar. A implantação pode levar até 30 minutos para ser concluída.

Criar uma sonda de integridade personalizada

Agora, você adicionará uma sonda de integridade personalizada para o seu pool de backend.

1. Navegue até o gateway de aplicação criado anteriormente.

2. No gateway, selecione Sondas de integridade em Configurações.

3. Na sonda Saúde, selecione + Adicionar.

4. Na página Adicionar sonda de integridade, insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Name	Insira myHealthProbe.
   Protocol	Selecione HTTPS.
   Host	Insira a URL do seu Serviço de Aplicativo. Por exemplo, myWebAppZT1.azurewebsites.net.
   Escolha o nome do host nas configurações de back-end	Selecione Não.
   Escolher porta nas configurações de back-end	Selecione Sim.
   Path	Introduza /.
   Interval	Digite 30.
   Timeout	Digite 30.
   Limiar com funcionamento incorreto	Digite 3.
   Usar condição de correspondência da sonda	Selecione Não.
   Configurações de back-end	Selecione myBackendPool.

5. Selecione Testar e, em seguida, selecione Adicionar.

Adicionar o registro DNS para o gateway de aplicativo

1. Para recuperar o endereço IP público do gateway de aplicativo, navegue até a página Visão geral do gateway de aplicativo e copie o endereço IP público frontend listado.

2. Navegue até a zona DNS que você criou anteriormente.

3. Na zona DNS, selecione + Conjunto de registros.

4. No painel Adicionar conjunto de registros , insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Name	Digite mywebapp.
   Tipo	Selecione A - Registro de alias para endereço IPv4.
   Conjunto de registros alias	Selecione Não.
   TTL	Deixe o padrão de 1 hora.
   endereço IP	Insira o endereço IP público do gateway de aplicativo.

Testar a implantação inicial

Neste ponto, você deve ser capaz de se conectar ao Serviço de Aplicativo por meio do gateway de aplicativo. Navegue até a URL do registro DNS que você criou para validar que ele é resolvido para o gateway de aplicativo e que a página padrão do Serviço de Aplicativo é exibida. Se a página do gateway de aplicação for carregada com um erro de gateway, verifique a página Integridade do back-end do gateway para quaisquer erros relacionados ao pool de back-end e confirme as suas configurações do back-end.

Implantando o Firewall do Azure

Você implantará o Firewall do Azure para executar a inspeção de pacotes entre o gateway de aplicativo e o Serviço de Aplicativo. Seu certificado digital armazenado no Cofre da Chave será usado para proteger o tráfego.

Note

Os firewalls de camada Basic e Standard não suportam terminação SSL.

1. No portal do Azure, procure e selecione Firewalls.

2. Na página Firewalls, selecione + Criar.

3. Na página Criar um firewall , insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Name	Digite myFirewall.
   Zona de disponibilidade	Selecione Nenhum.
   Camada de firewall	Selecione Premium.
   Política de firewall	Selecione Adicionar novo.
   Criar uma nova Política de Firewall
   Nome da política	Introduza myFirewallPolicy.
   Nível de política	Selecione Premium e selecione OK.
   Escolher uma rede virtual	Selecione Usar existente.
   Rede virtual	Selecione hub-vnet.
   Endereço IP público	Selecione Adicionar novo. Digite myFirewallpip e selecione OK.

4. Selecione Rever + criar e, em seguida, selecione Criar. Essa implantação pode levar até 30 minutos para ser concluída.

Configurar a política de firewall

Nesta tarefa, você configurará a política de firewall usada para inspeção de pacotes.

1. Navegue até o Firewall do Azure que você criou anteriormente.

2. Na página Visão geral , localize e selecione o link para a política de firewall myFirewallPolicy .

3. Na página Política de Firewall , selecione o IDPS em Configurações.

4. Na página IDPS , selecione Alertar e negar e, em seguida, selecione Aplicar. Aguarde até que a política de firewall conclua a atualização antes de prosseguir para a próxima etapa.

5. Selecione Inspeção TLS em Configurações

6. Na página de inspeção TLS, selecione Habilitado. Em seguida, insira ou selecione estas configurações, juntamente com os valores padrão:

   Setting	Value
   Identidade gerenciada	Insira myManagedIDappGW.
   Cofre de chaves criptográficas	Selecione myKeyVaultZT.
   Certificate	Selecione myTrustedWildCard.

Note

Neste exemplo, estamos reutilizando um certificado comodín e a mesma Identidade Gerida. Em um ambiente de produção, você pode usar certificados diferentes e, portanto, ter uma Identidade Gerenciada diferente que pode acessar o Cofre da Chave.

1. Selecione Guardar.

2. Selecione a página DNS em configurações.

3. Na página DNS, selecione Habilitado.

4. Na seção Proxy DNS , selecione Habilitado.

5. Selecione Aplicar.

6. Na política de firewall, selecione Regras de rede.

7. Na página Regras de rede , selecione Adicionar uma coleção de regras.

8. Na página Adicionar uma coleção de regras , insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Name	Insira myRuleCollection.
   Tipo de coleção de regras	Selecione Rede.
   Priority	Digite 500.
   Ação de coleta de regras	Selecione Permitir.
   Grupo de recolha de regras	Selecione DefaultNetworkRuleCollectionGroup.
   Rules	Criar duas regras
   Name	Digite appgw-to-as
   Tipo de fonte	Selecione Endereço IP.
   Source	Digite 172.16.0.0/24.
   Protocol	Selecione TCP.
   Portas de destino	Digite 443.
   Tipo de destino	Selecione endereços IP.
   Destination	Digite 172.16.1.0/24.
   Name	Introduza as-to-appgw.
   Tipo de fonte	Selecione Endereço IP.
   Source	172.16.1.0/24.
   Protocol	Selecione TCP.
   Porta de destino	Digite 443.
   Tipo de destino	SelecioneEndereço IP.
   Destination	Digite 172.16.0.0/24.

9. Selecione Adicionar.

Implantando tabelas de rotas

Você criará uma tabela de rotas com uma rota definida pelo usuário para forçar todo o tráfego do Serviço de Aplicativo a passar por um Firewall do Azure.

1. Digite serviços de aplicativo na pesquisa. Em Serviços, selecione Tabelas de rotas.

2. Na página Tabelas de rotas, selecione + Criar.

3. Na página Criar tabela Rota, insira ou selecione estas configurações juntamente com os valores padrão:

   Setting	Value
   Name	Digite myRTspoke2hub.
   Propagar rotas de gateway	Selecione Sim

4. Selecione Rever + Criar e, depois selecione Criar.

5. Navegue de volta para a página Tabelas de rotas e selecione + Criar.

6. Na página Criar tabela Rota , insira ou selecione estas configurações juntamente com os valores padrão:

   Setting	Value
   Name	Digite myRTapp2web.
   Propagar rotas de gateway	Selecione Sim

7. Selecione Rever + Criar e, depois selecione Criar.

Configurando tabelas de rotas

1. Navegue até a tabela de rotas myRTspoke2hub .

2. Na Tabela de rotas, selecione a página Rotas em Configurações e selecione + Adicionar.

3. No painel Adicionar Rota , insira ou selecione estas configurações juntamente com os valores padrão:

   Setting	Value
   Nome da rota	Digite ToAppService.
   Destino do prefixo do endereço	Selecione endereços IP.
   Endereços IP de destino/intervalos CIDR	Digite 172.16.1.0/24.
   Tipo de transição seguinte	Selecione Aplicação virtual.
   Endereço para o próximo salto	O endereço IP privado do Firewall do Azure. Por exemplo, 192.168.100.4.

4. Selecione Adicionar.

5. Na tabela de rotas, selecione Sub-redes em Configurações e selecione + Associar.

6. No painel Sub-rede associada , selecione a rede virtual spoke-vnet e, em seguida, selecione a sub-rede AppGwSubnet .

7. Selecione OK.

8. Depois que a associação for exibida, selecione o link para a associação AppGwSubnet .

9. Na seção Política de rede para pontos de extremidade privados , selecione Tabelas de rotas e selecione Salvar.

10. Navegue até a tabela de rotas myRTapp2web .

11. Na página Tabela de rotas , selecione Rotas em Configurações.

12. No painel Adicionar Rota, insira ou selecione estas configurações juntamente com os valores padrão:

    Setting	Value
    Nome da rota	Digite ToAppGW.
    Destino do prefixo do endereço	Selecione endereços IP.
    Endereços IP de destino/intervalos CIDR	Digite 172.16.0.0/24.
    Tipo de transição seguinte	Selecione Aplicação virtual.
    Endereço para o próximo salto	Insira o endereço IP privado do Firewall do Azure. Por exemplo, 192.168.100.4.

13. Selecione Adicionar.

14. Selecione a página Sub-redes em configurações e selecione + Associar.

15. No painel Sub-rede associada , selecione a rede virtual spoke-vnet e, em seguida, selecione a sub-rede App1 .

16. Selecione OK.

17. Repita esse processo para outra sub-rede selecionando + Associado.

18. Selecione a rede virtual spoke-vnet e, em seguida, selecione a subnet AppGwSubnet. Selecione OK.

19. Quando a associação aparecer, selecione o link para a associação App1.

20. Na secção Política de rede para pontos de extremidade privados , selecione Grupos de segurança de rede e Tabelas de rotas e, em seguida, selecione Guardar.

Teste novamente

Neste ponto, você deve ser capaz de se conectar ao Serviço de Aplicativo por meio do gateway de aplicativo. Navegue até a URL do registro DNS que você criou para validar que ele é resolvido para o gateway de aplicativo e que a página padrão do Serviço de Aplicativo é exibida. Se a página carregar com um erro, verifique a página Integridade do Backend do gateway para erros relacionados ao pool de backend e, em seguida, verifique as suas configurações do backend. Verifique também se você tem as rotas configuradas corretamente.

O gateway de aplicativo deve enviar tráfego para o endereço IP privado do firewall. O firewall pode comunicar-se com o ponto de extremo privado por meio da conexão de emparelhamento de rede virtual. A tabela de rotas na sub-rede à qual o ponto de extremidade privado está conectado aponta de volta para o firewall para regressar ao gateway de aplicação.

Se pretender testar se a Firewall está realmente a inspecionar ou a filtrar tráfego, modifique a regra de rede que criou na Política de Firewall de TCP para ICMP. Isso bloqueará implicitamente o tráfego TCP do gateway do aplicativo e o acesso ao site será negado.

Implantar os grupos de segurança de rede - opcional

Você implantará grupos de segurança de rede para impedir que outras sub-redes acessem o ponto de extremidade privado usado pelo serviço de aplicativo.

Note

Nesta implantação, os grupos de segurança de rede não são explicitamente necessários. Configuramos as Tabelas de Rotas para forçar o fluxo de tráfego das sub-redes definidas por meio de um Firewall do Azure. No entanto, num ambiente de produção, a maioria das organizações tem outras sub-redes que podem estar na mesma rede virtual ou ligadas à rede que não têm rotas definidas pelo utilizador. Os grupos de segurança de rede seriam vantajosos para garantir que outras sub-redes não possam aceder ao Endpoint Privado do App Service. Saiba mais sobre grupos de segurança de rede.

1. No portal do Azure, procure e selecione Grupos de segurança de rede.

2. Na página Grupos de segurança de rede , selecione Criar.

3. Na guia Noções básicas, digite nsg-app1 em Nome.

4. Selecione Review + Create e depois selecione Create.

5. Navegue até o grupo de segurança de rede recém-implantado.

6. Na página do grupo de segurança de rede , selecione Regras de segurança de entrada em Configurações.

7. Na página Regras de segurança de entrada , selecione Adicionar.

8. No painel Adicionar regras de segurança de entrada , insira ou selecione estas configurações junto com os valores padrão:

   Setting	Value
   Source	Selecione endereços IP.
   Endereços IP de origem/intervalos CIDR	Digite 192.168.100.0/24.
   Intervalos de portas de origem	Introduza *.
   Destination	Selecione Todos.
   Service	Selecione HTTPS.
   Action	Selecione Permitir.
   Priority	Digite 300.
   Name	Digite Allow_HTTPS_From_Firewall.

9. Selecione Adicionar.

10. Na página Regras de segurança de entrada , selecione Adicionar.

11. No painel Adicionar regras de segurança de entrada , insira ou selecione estas configurações junto com os valores padrão:

    Setting	Value
    Source	Selecione Todos.
    Intervalos de portas de origem	Introduza *.
    Destination	Selecione Todos.
    Service	Selecione Personalizado.
    Intervalos de portas de destino	Introduza *.
    Protocol	Selecione Todos.
    Action	Selecione Negar.
    Priority	Digite 310.
    Name	Introduza Deny_All_Traffic.

12. Selecione Adicionar.

13. Na página Grupo de segurança de rede , selecione Sub-redes em Configurações.

14. Na página Sub-redes , selecione Associar.

15. No painel Sub-rede associada , selecione a rede virtual spoke-vnet .

16. Na lista pendente de Sub-redes, selecione a sub-rede App1.

17. Selecione OK.

Limpeza

Você limpará seu ambiente excluindo o grupo de recursos que contém todos os recursos, myResourceGroup.

Próximos passos

Depois de criar uma rede Zero Trust para aplicações Web, consulte estas oportunidades de aprendizagem adicionais para aprofundar os seus conhecimentos sobre a segurança Zero Trust:

• Analise os fundamentos do Zero Trust para a infraestrutura do Azure
• Preencha o Guia de Formação - Estabeleça os princípios orientadores e os principais componentes do Zero Trust