Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Você pode usar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre recursos do Azure em redes virtuais do Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure.
Este artigo explica as propriedades de uma regra de grupo de segurança de rede e as regras de segurança padrão aplicadas pelo Azure. Ele também descreve como modificar as propriedades da regra para criar uma regra de segurança aumentada.
Regras de segurança
Um grupo de segurança de rede contém regras de segurança de rede conforme desejado, dentro dos limites de assinatura do Azure. Cada regra especifica as propriedades seguintes:
| Propriedade | Explicação |
|---|---|
| Nome | Um nome exclusivo no grupo de segurança de rede. O nome pode ter até 80 caracteres. Deve começar com um caractere de palavra, e deve terminar com um caractere de palavra ou com _. O nome pode conter caracteres de palavra, ., -ou \_. |
| Prioridade | Um número entre 100 e 4096. As regras são processadas em ordem de prioridade, com números mais baixos processados antes de números mais altos porque números mais baixos têm prioridade maior. Quando o tráfego corresponder a uma regra, o processamento é interrompido. Como resultado, quaisquer regras que existam com prioridades mais baixas (números mais altos) que tenham os mesmos atributos que regras com prioridades mais altas não são processadas. As regras de segurança padrão do Azure recebem a prioridade mais baixa (número mais alto) para garantir que suas regras personalizadas sejam sempre processadas primeiro. |
| Origem ou destino | Você pode especificar Any, um endereço IP individual, um bloco CIDR (por exemplo, 10.0.0.0/24), uma etiqueta de serviço ou um grupo de segurança de aplicativo. Para especificar um recurso específico do Azure, use o endereço IP privado atribuído ao recurso. Para tráfego de entrada, os grupos de segurança de rede processam o tráfego depois que o Azure converte endereços IP públicos em endereços IP privados. Para tráfego de saída, os grupos de segurança de rede processam o tráfego antes de traduzir endereços IP privados para endereços IP públicos.
Insira um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicativo para reduzir o número de regras de segurança necessárias. As regras de segurança aumentadas permitem especificar vários endereços IP individuais e intervalos em uma única regra. No entanto, não é possível especificar várias marcas de serviço ou grupos de aplicativos em uma única regra. As regras de segurança aumentada só estão disponíveis em grupos de segurança de rede criados através do modelo de implementação do Resource Manager. No modelo de implantação clássico, vários endereços IP e intervalos não podem ser especificados em uma única regra. Por exemplo, se a origem for a sub-rede 10.0.1.0/24 (onde VM1 está localizado) e o destino for a sub-rede 10.0.2.0/24 (onde VM2 está localizado), o grupo de segurança de rede filtrará o tráfego para VM2. Esse comportamento ocorre porque o NSG está associado à interface de rede do VM2. |
| Protocolo | TCP, UDP, ICMP, ESP, AH ou qualquer. Os protocolos ESP e AH não estão atualmente disponíveis através do portal do Azure, mas podem ser utilizados através de modelos ARM. |
| Direção | Se a regra se aplica ao tráfego de entrada ou de saída. |
| Intervalo de portas | Você pode especificar uma porta individual ou intervalos de portas. Por exemplo, você pode especificar 80 ou 10000-10005; ou para uma mistura de portas e intervalos individuais, você pode separá-los com vírgulas, como 80, 10000-10005. Especificar intervalos e separação por vírgulas permite que você crie menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager. Não é possível especificar várias portas ou intervalos de portas na mesma regra de segurança em grupos de segurança de rede criados por meio do modelo de implantação clássico. |
| Ação | Permitir ou negar o tráfego especificado. |
As regras de segurança são avaliadas e aplicadas com base nas informações de um quinteto: origem, porta de origem, destino, porta de destino e protocolo. Não é possível criar duas regras de segurança com a mesma prioridade e direção, pois isso pode introduzir um conflito na forma como o sistema processa o tráfego. É criado um registo de fluxo para as ligações existentes. A comunicação é permitida ou negada com base no estado da ligação do registo do fluxo. O registo do fluxo permite que um grupo de segurança de rede tenha monitoração de estado. Se especificar uma regra de segurança de saída para qualquer endereço através da porta 80, por exemplo, não é necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Só tem de especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também é verdadeiro, onde se o tráfego de entrada é permitido através de uma porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego através da porta.
Quando você remove uma regra de segurança que permitia uma conexão, as conexões existentes permanecem ininterruptas. As regras do grupo de segurança de rede afetam apenas novas conexões. As regras novas ou atualizadas em um grupo de segurança de rede aplicam-se exclusivamente a novas conexões, deixando as conexões existentes não afetadas pelas alterações. Por exemplo, se você tiver uma sessão SSH ativa em uma máquina virtual e, em seguida, remover a regra de segurança que permite esse tráfego SSH, sua sessão SSH atual permanecerá conectada e funcional. No entanto, se você tentar estabelecer uma nova conexão SSH após a remoção da regra de segurança, essa nova tentativa de conexão será bloqueada.
Há limites para o número de regras de segurança que você pode criar em um grupo de segurança de rede e outras propriedades do grupo de segurança de rede. Para obter mais detalhes, veja Limites do Azure.
Regras de segurança predefinidas
O Azure cria as seguintes regras predefinidas em cada grupo de segurança de rede que criar:
Entrada
AllowVNetInBound
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | Rede virtual | 0-65535 | Rede virtual | 0-65535 | Qualquer | Permitir |
AllowAzureLoadBalancerInBound
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | Balanceador de Carga Azure | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
DenyAllInbound
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Saída
AllowVnetOutBound
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | Rede virtual | 0-65535 | Rede virtual | 0-65535 | Qualquer | Permitir |
PermitirSaídaParaInternet
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualquer | Permitir |
DenyAllOutBound
| Prioridade | Origem | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Negar |
Nas colunas Origem e Destino , VirtualNetwork, AzureLoadBalancer e Internet são marcas de serviço em vez de endereços IP. Na coluna Protocolo , Any engloba TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Any. 0.0.0.0/0 nas colunas Origem e Destino representa todos os endereços IP. Clientes como o portal do Azure, a CLI do Azure ou o PowerShell podem usar * ou Any para essa expressão.
Não é possível remover as regras padrão, mas substituí-las criando regras com prioridades mais altas.
Regras de segurança aumentadas
As regras de segurança aumentadas simplificam a definição de segurança para redes virtuais, permitindo que você defina políticas de segurança de rede maiores e complexas com menos regras. Pode combinar várias portas e vários endereços IP explícitos e intervalos numa regra de segurança individual e facilmente compreendida. Use regras aprimoradas no campo de origem, de destino e de porta de uma regra. Para simplificar a manutenção da definição de segurança de rede, combine regras de segurança aumentadas com etiquetas de serviço ou grupos de segurança de aplicações. Há limites para o número de endereços, intervalos e portas que você pode especificar em uma regra de segurança. Para obter mais detalhes, veja Limites do Azure.
Etiquetas de serviço
Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ele ajuda a minimizar a complexidade de atualizações frequentes nas regras de segurança de rede.
Para obter mais informações, consulte Tags de serviço do Azure. Para obter um exemplo sobre como usar a tag de serviço de armazenamento para restringir o acesso à rede, consulte Restringir o acesso à rede a recursos PaaS.
Grupos de segurança de aplicação
Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos. Para saber mais, consulte Grupos de segurança de aplicativos.
Regras de administração de segurança
As regras de administração de segurança são regras de segurança de rede global que impõem políticas de segurança em redes virtuais. As regras de administração de segurança têm origem no Azure Virtual Network Manager, um serviço de gestão que permite aos administradores de rede agrupar, configurar, implementar e gerir redes virtuais globalmente através de subscrições.
As regras de administração de segurança sempre têm uma prioridade maior do que as regras de grupo de segurança de rede e, portanto, são avaliadas primeiro. As regras de administração de segurança "Permitir" continuarão a ser avaliadas em comparação com as regras do grupo de segurança de rede. As regras de administração de segurança "Sempre permitir" e "Negar", no entanto, encerram a avaliação de tráfego depois que a regra de administração de segurança é processada. As regras de administração de segurança "Sempre permitir" enviam tráfego diretamente para o recurso, ignorando regras de grupo de segurança de rede potencialmente conflitantes. Regras de segurança "Negar" bloqueiam o tráfego sem entregá-lo ao destino, aplicando a política de segurança padrão sem risco de conflito com grupos de segurança de rede, configuração incorreta ou introdução de falhas de segurança. Esses tipos de ação de regra de administração de segurança podem ser úteis para impor a entrega de tráfego e prevenir comportamentos conflitantes ou não intencionais por regras de grupo de segurança de rede downstream.
Esse comportamento é importante de entender, pois o tráfego correspondente às regras de administração de segurança do tipo de ação "Sempre permitir" ou "Negar" não alcançará as regras do grupo de segurança de rede para revisão posterior. Para saber mais, consulte Regras de administração de segurança.
Tempo limite de fluxo
Importante
Em 30 de setembro de 2027, os registos de fluxo do grupo de segurança de rede (NSG) serão retirados. Como parte desta desativação, deixará de ser possível criar novos registos de fluxo do NSG a partir de 30 de junho de 2025. Recomendamos a migração para registos de fluxo de rede virtual, que superam as limitações dos registos de fluxo NSG. Após a data de retirada, a análise de tráfego habilitada com registos de fluxo NSG não será mais suportada e os recursos existentes de registos de fluxo NSG nas suas assinaturas serão excluídos. No entanto, os registos de fluxos do NSG não serão eliminados e continuarão a seguir as suas respetivas políticas de retenção. Para obter mais informações, veja o anúncio oficial.
As configurações de tempo limite de fluxo determinam por quanto tempo um registro de fluxo permanece ativo antes de expirar. Você pode definir essa configuração usando o portal do Azure ou por meio da linha de comando. Para obter mais detalhes, consulte Visão geral dos logs de fluxo do NSG.
Considerações sobre a plataforma do Azure
IP virtual do nó anfitrião: os serviços básicos de infraestrutura como DHCP, DNS, IMDS e a monitorização de integridade são fornecidos por meio dos endereços IP do anfitrião virtualizado 168.63.129.16 e 169.254.169.254. Esses endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados usados em todas as regiões para essa finalidade. Por padrão, esses serviços não estão sujeitos aos grupos de segurança de rede configurados, a menos que sejam direcionados por tags de serviço específicas para cada serviço. Para substituir essa comunicação de infraestrutura básica, você pode criar uma regra de segurança para negar o tráfego usando as seguintes marcas de serviço em suas regras do Grupo de Segurança de Rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem de tráfego de rede e diagnosticar o roteamento de rede.
Licenciamento (Serviço de Gestão de Chaves): as imagens do Windows em execução nas máquinas virtuais têm de ser licenciadas. Para garantir o licenciamento, o sistema envia uma solicitação aos servidores host do Serviço de Gerenciamento de Chaves que lidam com essas consultas. O pedido é feito através da porta 1688 de saída. Para implantações que usam a configuração de rota padrão 0.0.0.0/0, esta regra de plataforma está desabilitada.
Máquinas virtuais em conjuntos com balanceamento de carga: a porta de destino e o intervalo de endereços aplicados são provenientes do computador de origem, não do balanceador de carga. A porta de destino e o intervalo de endereços destinam-se ao computador de destino, não ao balanceador de carga.
Instâncias de serviço do Azure: instâncias de vários serviços do Azure, como HDInsight, Ambientes de Serviço de Aplicativo e Conjuntos de Dimensionamento de Máquina Virtual, são implantadas em sub-redes de rede virtual. Veja uma lista completa de serviços que você pode implantar em redes virtuais. Antes de aplicar um grupo de segurança de rede à sub-rede, familiarize-se com os requisitos de porta para cada serviço. Se você negar portas exigidas pelo serviço, o serviço não funcionará corretamente.
Enviar e-mails de saída: a Microsoft recomenda que utilize serviços de reencaminhamento de SMTP autenticados (normalmente ligados através da porta TCP 587, mas, muitas vezes, também através de outras portas) para enviar e-mails a partir de Máquinas Virtuais do Azure. Os serviços de retransmissão SMTP especializam-se na reputação do remetente, para minimizar a possibilidade de os fornecedores de e-mail parceiros rejeitarem mensagens. Esses serviços de retransmissão SMTP incluem, mas não estão limitados a, Proteção do Exchange Online e SendGrid. A utilização dos serviços de reencaminhamento de SMTP não está de forma alguma restringida no Azure, independentemente do seu tipo de subscrição.
Se você criou sua assinatura do Azure antes de 15 de novembro de 2017, além de poder usar serviços de retransmissão SMTP, poderá enviar emails diretamente pela porta TCP 25. Se criou a sua subscrição após 15 de novembro de 2017, poderá não conseguir enviar e-mails diretamente através da porta 25. O comportamento da comunicação de saída através da porta 25 depende do seu tipo de subscrição, da seguinte forma:
Enterprise Agreement: Para VMs implantadas em assinaturas padrão do Enterprise Agreement, as conexões SMTP de saída na porta TCP 25 não são bloqueadas. No entanto, não há garantia de que domínios externos aceitem os e-mails recebidos das VMs. Se domínios externos rejeitarem ou filtrarem e-mails, entre em contato com os provedores de serviços de e-mail dos domínios externos para resolver os problemas. Estes problemas não estão abrangidos pelo suporte do Azure.
Por predefinição, a porta 25 das subscrições Enterprise Dev/Test está bloqueada. É possível remover este bloqueio. Para solicitar a remoção do bloqueio, vá para a seção Não é possível enviar email (porta SMTP 25) da página Diagnosticar e resolver configurações para o recurso Rede Virtual do Azure no portal do Azure e execute o diagnóstico. Este procedimento isenta automaticamente as subscrições de desenvolvimento/teste empresariais qualificadas.
Depois de uma subscrição ficar isenta deste bloqueio e as VMs terem sido paradas e reiniciadas, todas as VMs nessa subscrição passam a ficar isentas. A isenção aplica-se apenas à subscrição solicitada e apenas ao tráfego de VM que encaminha diretamente para a Internet.
Pay as you go: a comunicação de saída através da porta 25 está bloqueada a partir de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.
MSDN, Azure Pass, Azure em avaliação Aberta, Educação e Gratuita: a comunicação da porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.
Provedor de serviços de nuvem: a comunicação da porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.
Próximos passos
Saiba quais recursos do Azure você pode implantar em uma rede virtual. Consulte Integração de rede virtual para serviços do Azure para entender como os grupos de segurança de rede podem ser associados a eles.
Para saber como os grupos de segurança de rede avaliam o tráfego, consulte Como os grupos de segurança de rede funcionam.
Crie um grupo de segurança de rede seguindo este tutorial rápido.
Se estiver familiarizado com os grupos de segurança de rede e tiver de geri-los, veja Manage a network security group (Gerir um grupo de segurança de rede).
Se estiver com problemas de comunicação e precisar de resolver problemas nos grupos de segurança de rede, veja Diagnose a virtual machine network traffic filter problem (Diagnosticar problemas de filtro de tráfego de rede de uma máquina virtual).
Saiba como habilitar logs de fluxo de rede virtual para analisar o tráfego de rede que flui através de uma rede virtual que pode corresponder a um grupo de segurança de rede associado.