Share via

Grupos de Segurança de Rede com o Azure Site Recovery

  • Artigo

Os Grupos de Segurança de Rede são utilizados para limitar o tráfego de rede aos recursos numa rede virtual. Um Grupo de Segurança de Rede (NSG) contém uma lista de regras de segurança que permitem ou negam o tráfego de rede de entrada ou saída com base no endereço IP de origem ou destino, porta e protocolo.

No modelo de implementação Resource Manager, os NSGs podem ser associados a sub-redes ou interfaces de rede individuais. Quando um NSG é associado a uma sub-rede, as regras são aplicadas a todos os recursos ligados à mesma. O tráfego pode ser restringido ao associar também um NSG a interfaces de rede individuais numa sub-rede que já tenha um NSG associado.

Este artigo descreve como pode utilizar Grupos de Segurança de Rede com o Azure Site Recovery.

Utilizar Grupos de Segurança de Rede

Uma sub-rede individual pode ter zero ou um NSG associado. Uma interface de rede individual também pode ter zero, ou um, NSG associado. Assim, pode efetivamente ter restrições de tráfego duplo para uma máquina virtual ao associar primeiro um NSG a uma sub-rede e, em seguida, outro NSG à interface de rede da VM. A aplicação de regras NSG neste caso depende da direção do tráfego e da prioridade das regras de segurança aplicadas.

Considere um exemplo simples com uma máquina virtual da seguinte forma:

  • A máquina virtual é colocada dentro da Sub-rede da Contoso.
  • A Sub-rede da Contoso está associada ao NSG da Sub-rede.
  • A interface de rede da VM está também associada ao NSG da VM.

NSG com Site Recovery

Neste exemplo, para o tráfego de entrada, o NSG da Sub-rede é avaliado primeiro. Qualquer tráfego permitido através do NSG da Sub-rede é então avaliado pelo NSG da VM. O inverso é aplicável ao tráfego de saída, com o NSG da VM a ser avaliado primeiro. Qualquer tráfego permitido através do NSG da VM é então avaliado pelo NSG da Sub-rede.

Isto permite uma aplicação de regra de segurança granular. Por exemplo, poderá querer permitir o acesso de entrada à Internet a algumas VMs de aplicação (como VMs de front-end) numa sub-rede, mas restringir o acesso de entrada à Internet a outras VMs (como a base de dados e outras VMs de back-end). Neste caso, pode ter uma regra mais branda no NSG da Sub-rede, permitir o tráfego de Internet e restringir o acesso a VMs específicas ao negar o acesso no NSG da VM. O mesmo pode ser aplicado ao tráfego de saída.

Ao configurar essas configurações do NSG, certifique-se de que as prioridades corretas são aplicadas às regras de segurança. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior. Quando o tráfego corresponder a uma regra, o processamento para. Como resultado, qualquer regra que exista com prioridades inferiores (números mais elevados) e que tenham os mesmos atributos das regras com prioridades superiores não é processada.

É possível que não esteja sempre ciente de que os grupos de segurança de rede estão aplicados, quer à interface de rede, quer à sub-rede. Pode verificar as regras de agregação aplicadas a uma interface de rede ao ver as regras de segurança efetivas de uma interface de rede. Também pode utilizar a capacidade de verificação do fluxo de IP no Azure Observador de Rede para determinar se a comunicação é permitida de ou para uma interface de rede. A ferramenta indica se é permitida a comunicação e que regra de segurança de rede permite ou nega o tráfego.

Replicação no local para o Azure com NSG

O Azure Site Recovery permite a recuperação após desastre e a migração para o Azure para máquinas virtuais Hyper-V no local, máquinas virtuais VMware e servidores físicos. Para todos os cenários no local para o Azure, os dados de replicação são enviados e armazenados numa conta de Armazenamento do Azure. Durante a replicação, não paga quaisquer custos de máquinas virtuais. Quando executa uma ativação pós-falha para o Azure, Site Recovery cria automaticamente máquinas virtuais IaaS do Azure.

Assim que as VMs tiverem sido criadas após a ativação pós-falha para o Azure, os NSGs podem ser utilizados para limitar o tráfego de rede à rede virtual e às VMs. Site Recovery não cria NSGs como parte da operação de ativação pós-falha. Recomendamos que crie os NSGs do Azure necessários antes de iniciar a ativação pós-falha. Em seguida, pode associar NSGs a VMs com ativação pós-falha automaticamente durante a ativação pós-falha, através de scripts de automatização com os poderosos planos de recuperação do Site Recovery.

Por exemplo, se a configuração da VM de pós-ativação pós-falha for semelhante ao cenário de exemplo detalhado acima:

  • Pode criar a VNet da Contoso e a Sub-rede da Contoso como parte do planeamento de DR na região do Azure de destino.
  • Também pode criar e configurar o NSG da Sub-rede , bem como o NSG da VM como parte do mesmo planeamento de DR.
  • Em seguida, o NSG da sub-rede pode ser imediatamente associado à Sub-rede da Contoso, uma vez que o NSG e a sub-rede já estão disponíveis.
  • O NSG da VM pode ser associado a VMs durante a ativação pós-falha através de planos de recuperação.

Assim que os NSGs forem criados e configurados, recomendamos que execute uma ativação pós-falha de teste para verificar as associações NSG com script e a conectividade da VM pós-ativação pós-falha.

Replicação do Azure para o Azure com NSG

O Azure Site Recovery permite a recuperação após desastre de máquinas virtuais do Azure. Ao ativar a replicação para VMs do Azure, Site Recovery pode criar as redes virtuais de réplica (incluindo sub-redes e sub-redes de gateway) na região de destino e criar os mapeamentos necessários entre as redes virtuais de origem e de destino. Também pode pré-criar as redes e sub-redes do lado de destino e utilizar as mesmas ao ativar a replicação. Site Recovery não cria VMs na região do Azure de destino antes da ativação pós-falha.

Para a replicação da VM do Azure, confirme que as regras do NSG na região de origem do Azure permitem a conectividade de saída para o tráfego de replicação. Também pode testar e verificar estas regras necessárias através deste exemplo de configuração do NSG.

Site Recovery não cria nem replica NSGs como parte da operação de ativação pós-falha. Recomendamos que crie os NSGs necessários na região do Azure de destino antes de iniciar a ativação pós-falha. Em seguida, pode associar NSGs a VMs com ativação pós-falha automaticamente durante a ativação pós-falha, através de scripts de automatização com os poderosos planos de recuperação do Site Recovery.

Tendo em conta o cenário de exemplo descrito anteriormente:

  • Site Recovery pode criar réplicas da VNet da Contoso e da Sub-rede contoso na região do Azure de destino quando a replicação está ativada para a VM.
  • Pode criar as réplicas pretendidas do NSG da Sub-rede e do NSG da VM (com o nome, por exemplo, NSG de Sub-rede de Destino e NSG de VM de Destino, respetivamente) na região do Azure de destino, permitindo regras adicionais necessárias na região de destino.
  • O NSG da Sub-rede de Destino pode ser imediatamente associado à sub-rede da região de destino, uma vez que o NSG e a sub-rede já estão disponíveis.
  • O NSG da VM de destino pode ser associado a VMs durante a ativação pós-falha através de planos de recuperação.

Assim que os NSGs forem criados e configurados, recomendamos que execute uma ativação pós-falha de teste para verificar as associações NSG com script e a conectividade da VM pós-ativação pós-falha.

Passos seguintes