Como os grupos de segurança da rede filtram o tráfego da rede

Pode utilizar um grupo de segurança da rede Azure para filtrar o tráfego da rede de e para os recursos Azure numa rede virtual Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.

Pode implementar recursos de vários serviços do Azure numa rede virtual do Azure. Para obter uma lista completa, veja Services that can be deployed into a virtual network (Serviços que podem ser implementados numa rede virtual). Pode associar nenhum ou um grupo de segurança de rede à sub-rede e à interface de rede de cada rede virtual numa máquina virtual. O mesmo grupo de segurança de rede pode ser associado a tantas sub-redes e interfaces de rede que escolher.

A imagem seguinte ilustra diferentes cenários de implementação dos grupos de segurança de rede para permitir o tráfego de rede de e para a Internet a partir da porta TCP 80:

NSG-processing

Veja a imagem anterior, juntamente com o texto seguinte, para compreender de que forma é que o Azure processa as regras de entrada e de saída para os grupos de segurança de rede:

Tráfego de entrada

Para o tráfego de entrada, o Azure processa as regras de um grupo de segurança de rede associado a uma sub-rede primeiro, se houver uma, e depois as regras num grupo de segurança de rede associado à interface de rede, se houver uma. Isto também inclui o tráfego intra-sub-rede.

  • VM1: As regras de segurança no NSG1 são processadas, uma vez que está associada à Subnet1 e VM1 está na Subnet1. A menos que tenha criado uma regra que permita a porta de entrada 80, o tráfego é negado pela regra de segurança predefinida DenyAllInbound e nunca é avaliado por NSG2, pois NSG2 está associado à interface de rede. Se NSG1 tiver uma regra de segurança que permite a porta 80, o tráfego é processado por NSG2. Para permitir a porta 80 na máquina virtual, tanto NSG1, como NSG2, têm de ter uma regra que permite a porta 80 a partir da Internet.
  • VM2: as regras em NSG1 são processadas, porque VM2 também está em Subnet1. Uma vez que a VM2 não tem um grupo de segurança de rede associado à sua interface de rede, recebe todo o tráfego permitido através do NSG1 ou é negado todo o tráfego negado pela NSG1. O tráfego é permitido ou negado para todos os recursos na mesma sub-rede se um grupo de segurança de rede estiver associado a uma sub-rede.
  • VM3: Como não há nenhum grupo de segurança de rede associado à Subnet2, o tráfego é permitido na sub-rede e processado pelo NSG2, porque o NSG2 está associado à interface de rede anexada ao VM3.
  • VM4: o tráfego é permitido para VM4, porque não existe nenhum grupo de segurança de rede associado a Subnet3 ou à interface de rede na máquina virtual. Todo o tráfego de rede é permitido através de uma sub-rede e de uma interface de rede se não houver nenhum grupo de segurança de rede associado às mesmas.

Tráfego de saída

Para o tráfego de saída, o Azure processa as regras num grupo de segurança de rede associado a uma interface de rede primeiro, se houver uma, e depois as regras num grupo de segurança de rede associado à sub-rede, se houver uma. Isto também inclui o tráfego intra-sub-rede.

  • VM1: as regras de segurança em NSG2 são processadas. A menos que crie uma regra de segurança que negue a porta 80 de saída para a Internet, o tráfego é permitido pela regra de segurança predefinida AllowInternetOutbound em NSG1 e NSG2. Se NSG2 tiver uma regra de segurança que negue a porta 80, o tráfego é negado e nunca avaliado por NSG1. Para negar a porta 80 a partir da máquina virtual, um ou ambos os grupos de segurança de rede têm de ter uma regra que negue a porta 80 para a Internet.
  • VM2: Todo o tráfego é enviado através da interface de rede para a sub-rede, uma vez que a interface de rede anexa à VM2 não tem um grupo de segurança de rede associado a ela. As regras em NSG1 são processadas.
  • VM3: se NSG2 tiver uma regra de segurança que negue a porta 80, o tráfego é negado. Se o NSG2 tem uma regra de segurança que permite a porta 80, então a porta 80 é permitida a saída para a internet, uma vez que um grupo de segurança de rede não está associado à Subnet2.
  • VM4: todo o tráfego de rede é permitido a partir de VM4, porque não está associado nenhum grupo de segurança de rede à interface de rede anexada à máquina virtual ou a Subnet3.

tráfego Intra-Subnet

É importante notar que as regras de segurança numa NSG associada a uma sub-rede podem afetar a conectividade entre VMs dentro dela. Por predefinição, as máquinas virtuais na mesma sub-rede podem comunicar com base numa regra NSG predefinida que permite o tráfego intra-sub-rede. Se for adicionada uma regra a *NSG1 que negue todo o tráfego de entrada e saída, vM1 e VM2 deixarão de ser capazes de comunicar entre si.

Pode ver as regras de segurança em vigor numa interface de rede para ver facilmente as regras agregadas que estão aplicadas à mesma. Também pode utilizar a capacidade Verificação de fluxo de IP do Observador de Rede do Azure para saber se a comunicação é permitida de ou para uma interface de rede. A verificação do fluxo IP indica-lhe se uma comunicação é permitida ou negada, e qual regra de segurança de rede permite ou nega o tráfego.

Nota

Os grupos de segurança da rede estão associados a sub-redes ou a máquinas virtuais e serviços de nuvem implantados no modelo de implementação clássico, e a sub-redes ou interfaces de rede no modelo de implementação Resource Manager. Para saber mais sobre os modelos de implementação do Azure, veja Understand Azure deployment models (Compreender os modelos de implementação do Azure).

Dica

A menos que tenha uma razão específica para o fazer, recomendamos que associe um grupo de segurança de rede a uma sub-rede, ou a uma interface de rede, mas não a ambas. Uma vez que as regras num grupo de segurança de rede associado a uma sub-rede podem entrar em conflito com as regras num grupo associado a uma interface de rede, poderão ocorrer problemas de comunicação inesperados que exijam resolução.

Passos seguintes