Gerir o acesso seguro aos recursos em VNets spoke para utilizadores de VPN

Este artigo mostra-lhe como usar WAN Virtual e Azure Firewall regras e filtros para gerir o acesso seguro às ligações aos seus recursos em Azure sobre o site IKEv2 ou ligações Open VPN. Esta configuração é útil se tiver utilizadores remotos para os quais pretende restringir o acesso aos recursos do Azure ou para garantir os seus recursos em Azure.

Os passos deste artigo ajudam a criar a arquitetura no seguinte diagrama para permitir que os clientes VPN do utilizador acedam a um recurso específico (VM1) num VNet falado ligado ao centro virtual, mas não outros recursos (VM2). Use este exemplo de arquitetura como uma orientação básica.

Diagrama de um centro virtual seguro.

Pré-requisitos

  • Tem uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita.

  • Tem uma rede virtual à qual pretende ligar.

    • Verifique se nenhuma das sub-redes das suas redes no local se sobrepõe às redes virtuais a que pretende ligar.
    • Para criar uma rede virtual no portal do Azure, consulte o artigo Quickstart.
  • A sua rede virtual não deve ter quaisquer gateways de rede virtuais existentes.

    • Se a sua rede virtual já tiver gateways (VPN ou ExpressRoute), deve remover todos os gateways antes de prosseguir.
    • Esta configuração requer que as redes virtuais se conectem apenas ao gateway do hub WAN Virtual.
  • Decida o intervalo de endereços IP que pretende utilizar para o seu espaço de endereço privado do hub virtual. Estas informações são utilizadas ao configurar o seu hub virtual. Um hub virtual é uma rede virtual que é criada e usada por WAN Virtual. É o núcleo da sua rede WAN Virtual numa região. O intervalo de espaço de endereço deve estar em conformidade com as certas regras:

    • O intervalo de endereços que especifica para o hub não pode sobrepor-se a nenhuma das redes virtuais existentes a que se conecta.
    • O intervalo de endereços não pode sobrepor-se aos intervalos de endereços no local a que se conecta.
    • Se não estiver familiarizado com os intervalos de endereços IP localizados na configuração da rede no local, coordene com alguém que possa fornecer esses detalhes para si.
  • Tem os valores disponíveis para a configuração de autenticação que pretende utilizar. Por exemplo, um servidor RADIUS, autenticação do Diretório Azure Ative ou Certificados de Geração e Exportação.

Criar uma WAN Virtual

  1. No portal, na barra de recursos de busca, escreva WAN Virtual na caixa de pesquisa e selecione Enter.

  2. Selecione WANs virtuais dos resultados. Na página VIRTUAL WANs, selecione + Criar para abrir a página Create WAN .

  3. Na página Create WAN , no separador Básicos , preencha os campos. Modifique os valores de exemplo a aplicar ao seu ambiente.

    A screenshot mostra o painel Create WAN com o separador Básicos selecionado.

    • Subscrição: Selecione a subscrição que pretende utilizar.
    • Grupo de recursos: Criar novo ou utilizar a existência.
    • Localização do grupo de recursos: Escolha uma localização de recurso a partir do dropdown. Um WAN é um recurso global e não vive numa determinada região. No entanto, deve selecionar uma região para gerir e localizar o recurso WAN que cria.
    • Nome: Digite o Nome que pretende chamar de WAN virtual.
    • Tipo: Básico ou Padrão. Selecione Standard. Se selecionar Basic, entenda que as WANs virtuais básicas só podem conter centros Básicos. Os centros básicos só podem ser utilizados para ligações site-to-site.
  4. Depois de terminar de preencher os campos, na parte inferior da página, selecione Review +Create.

  5. Assim que a validação passar, clique em Criar para criar o WAN virtual.

Definir parâmetros de configuração P2S

A configuração ponto-a-local (P2S) define os parâmetros para a ligação de clientes remotos. Esta secção ajuda-o a definir parâmetros de configuração P2S e, em seguida, a criar a configuração que será usada para o perfil do cliente VPN. As instruções que segue dependem do método de autenticação que pretende utilizar.

Métodos de autenticação

Ao selecionar o método de autenticação, tem três opções. Cada método tem requisitos específicos. Selecione um dos seguintes métodos e, em seguida, complete os passos.

  • Autenticação do Azure Ative Directory: Obter o seguinte:

    • O ID de Aplicação da Aplicação VPN Azure registada no seu Azure AD inquilino.
    • O Emitente. Exemplo: https://sts.windows.net/your-Directory-ID.
    • O inquilino Azure AD. Exemplo: https://login.microsoftonline.com/your-Directory-ID.
  • Autenticação baseada em raio: Obtenha o IP do servidor Radius, o segredo do servidor Radius e as informações do certificado.

  • Certificados Azure: Para esta configuração, são necessários certificados. É necessário gerar ou obter certificados. É necessário um certificado de cliente para cada cliente. Além disso, a informação do certificado de raiz (chave pública) precisa de ser carregada. Para obter mais informações sobre os certificados exigidos, consulte Os certificados de Geração e exportação.

  1. Navegue para o WAN virtual que criou.

  2. Selecione as configurações VPN do utilizador a partir do menu à esquerda.

  3. Na página de configurações VPN do utilizador , selecione +Criar config VPN do utilizador.

    Screenshot da página de configurações VPN do utilizador.

  4. No separador De configuração VPN novo do utilizador, em detalhes de instância, introduza o Nome que pretende atribuir à sua configuração VPN.

    Screenshot do iPsec switch para personalizado.

  5. Para o tipo de túnel, selecione o tipo de túnel que deseja do dropdown. As opções do tipo túnel são: IKEv2 VPN, OpenVPN eOpenVpn e IKEv2. Cada tipo de túnel tem configurações específicas necessárias. O tipo de túnel que escolhe corresponde às opções de autenticação disponíveis.

    Requisitos e parâmetros:

    IKEv2 VPN

    • Requisitos: Quando seleciona o tipo de túnel IKEv2 , vê uma mensagem a direcionar-se para selecionar um método de autenticação. Para o IKEv2, pode especificar apenas um método de autenticação. Pode escolher o Certificado Azure ou a autenticação baseada no RADIUS.

    • Parâmetros personalizados IPSec: Para personalizar os parâmetros para a Fase 1 e IKE fase 2, alternar o interruptor IPsec para Custom e selecionar os valores dos parâmetros. Para obter mais informações sobre parâmetros personalizáveis, consulte o artigo IPsec personalizado .

    OpenVPN

    • Requisitos: Quando seleciona o tipo de túnel OpenVPN , vê uma mensagem a direcionar-lhe para selecionar um mecanismo de autenticação. Se o OpenVPN for selecionado como o tipo de túnel, poderá especificar vários métodos de autenticação. Pode escolher qualquer subconjunto de Certificado Azure, Diretório Ativo Azure ou autenticação baseada em RADIUS. Para a autenticação baseada no RADIUS, pode fornecer um endereço IP do servidor RADIUS secundário e um segredo do servidor.
  6. Configure os métodos de autenticação que pretende utilizar. Cada método de autenticação está num separado: certificado Azure, autenticação RADIUS e Diretório Ativo Azure. Alguns métodos de autenticação só estão disponíveis em certos tipos de túneis.

    No separador para o método de autenticação que pretende configurar, selecione Sim para revelar as definições de configuração disponíveis.

    • Exemplo - Autenticação de certificados

      Para configurar esta definição, o tipo de túnel da página Basics pode ser IKEv2, OpenVPN ou OpenVPN e IKEv2.

      Screenshot de Sim selecionado.

    • Exemplo - Autenticação RADIUS

      Para configurar esta definição, o tipo de túnel na página Basics deve incluir OpenVPN.

      Screenshot da página de autenticação RADIUS.

    • Exemplo - Autenticação do Diretório Ativo Azure

      Para configurar esta definição, o tipo de túnel na página Basics deve ser OpenVPN (sem IKEv2).

      Página de autenticação do Diretório Ativo Azure.

  7. Quando terminar de configurar as definições, selecione Review + create na parte inferior da página.

  8. Selecione Criar para criar a configuração VPN do utilizador.

Crie o hub e gateway

Nesta secção, você cria o hub virtual com uma porta de entrada ponto a local. Ao configurar, pode utilizar os seguintes valores de exemplo:

  • Espaço de endereço IP privado do hub: 10.1.0.0/16
  • Piscina de endereços do cliente: 10.5.0.0/16
  • Servidores DNS personalizados: Pode listar até 5 Servidores DNS

Página básica

  1. Vá ao WAN virtual que criou. No painel esquerdo da página wan virtual, sob a Conectividade, selecione Hubs.

  2. Na página Hubs , selecione +New Hub para abrir a página do hub virtual Create .

    O screenshot mostra o painel de hub virtual Create com o separador Basics selecionado.

  3. No separador 'Criar página de centro virtual Basics', complete os seguintes campos:

    • Região: Selecione a região em que pretende implantar o centro virtual.
    • Nome: O nome pelo qual pretende que o centro virtual seja conhecido.
    • Espaço de endereço privado hub: A gama de endereços do hub na notação CIDR. O espaço mínimo de endereço é /24 para criar um hub.
    • Capacidade do hub virtual: Selecione a partir do dropdown. Para mais informações, consulte as definições do hub Virtual.
    • Preferência de encaminhamento do hub: Este campo só está disponível como parte da pré-visualização da preferência de encaminhamento do hub virtual e só pode ser visto no portal de pré-visualização. Consulte a preferência de encaminhamento do hub virtual para obter mais informações.

Ponto para página do site

  1. Clique no separador Ponto para o site para abrir a página de configuração para ponto a local. Para ver o ponto para as definições do site, clique em Sim.

    Screenshot da configuração do hub virtual com selecionado ponto a local.

  2. Configure as seguintes definições:

    • Unidades de escala de gateway - Isto representa a capacidade agregada do gateway VPN do utilizador. Se selecionar 40 ou mais unidades de escala de gateway, planeie o conjunto de endereços do seu cliente em conformidade. Para obter informações sobre como esta definição impacta o conjunto de endereços do cliente, consulte sobre as piscinas de endereços do cliente. Para obter informações sobre as unidades de escala de gateway, consulte as FAQ.

    • Ponto para a configuração do site - Selecione a configuração VPN do utilizador que criou num passo anterior.

    • Preferência de encaminhamento - A preferência de encaminhamento Azure permite-lhe escolher como as suas rotas de tráfego entre Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou, através da rede ISP (internet pública). Estas opções também são referidas como encaminhamento de batata fria e encaminhamento de batatas quentes, respectivamente. O endereço IP público em WAN Virtual é atribuído pelo serviço com base na opção de encaminhamento selecionada. Para obter mais informações sobre a preferência de encaminhamento através da rede Microsoft ou ISP, consulte o artigo de preferência de encaminhamento .

    • Utilizar o servidor RADIUS remoto/no local - Quando um gateway VPN do utilizador WAN Virtual estiver configurado para utilizar a autenticação baseada no RADIUS, o gateway VPN do utilizador funciona como um representante e envia pedidos de acesso RADIUS para o seu servidor RADIUS. A definição "Use Remote/On-ins RADIUS server" é desativada por padrão, o que significa que o gateway VPN do utilizador só será capaz de encaminhar pedidos de autenticação para servidores RADIUS em redes virtuais ligadas ao hub do gateway. Ativar a definição permitirá que o portal VPN do utilizador autente com servidores RADIUS ligados a centros remotos ou implantados no local.

      Nota

      A definição do servidor RADIUS remota/no local e os IPs de procuração relacionados só são utilizados se o Gateway estiver configurado para utilizar a autenticação baseada em RADIUS. Se o Gateway não estiver configurado para utilizar a autenticação baseada em RADIUS, esta definição será ignorada.

      Tem de ligar "Use o servidor RADIUS remoto/no local" se os utilizadores ligarem-se ao perfil VPN global em vez do perfil baseado no hub. Para mais informações, consulte perfis globais e de nível de hub.

      Depois de criar o gateway VPN do utilizador, vá ao gateway e note o campo DE IPs de procuração RADIUS. Os IPs de procuração RADIUS são os IPs de origem dos pacotes RADIUS que o gateway VPN do utilizador envia para o seu servidor RADIUS. Portanto, o seu servidor RADIUS precisa de ser configurado para aceitar pedidos de autenticação dos IPs de procuração RADIUS. Se o campo DE IPs de procuração RADIUS estiver em branco ou nenhum, configuure o servidor RADIUS para aceitar pedidos de autenticação a partir do espaço de endereço do hub.

      Screenshot do Utilizador V P N Config com RADIUS Proxy I Ps.

    • Conjunto de endereços de cliente - O conjunto de endereços a partir do qual os endereços IP serão automaticamente atribuídos a clientes VPN. Para mais informações, consulte sobre as piscinas de endereços do cliente.

    • Servidores DNS personalizados - O endereço IP do(s) servidor(s) (s) servidor(s) que os clientes utilizarão. Pode especificar até 5.

  3. Selecione Rever + criar para validar as suas definições.

  4. Quando a validação passar, selecione Criar. Criar um hub pode levar 30 minutos ou mais para ser concluído.

Gerar ficheiros de configuração de clientes VPN

Nesta secção, gera e descarrega os ficheiros de perfil de configuração. Estes ficheiros são usados para configurar o cliente VPN nativo no computador cliente. Para obter informações sobre o conteúdo dos ficheiros de perfil do cliente, consulte a configuração ponto-a-local - certificados.

  1. Para gerar um pacote de configuração global de clientes VPN de perfil WAN, vá ao WAN Virtual.

  2. No painel esquerdo, selecione configurações VPN do utilizador.

  3. Selecione a configuração para a qual deseja baixar o perfil. Se tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e, em seguida, selecione um dos hubs que utiliza este perfil.

  4. Selecione Descarregue o perfil VPN do utilizador virtual WAN.

  5. Na página de descarregamento, selecione EAPTLS e, em seguida, Gere e descarregue o perfil. Um pacote de perfil (ficheiro zip) que contém as definições de configuração do cliente é gerado e descarrega para o seu computador. O conteúdo da embalagem depende da autenticação e das opções de túnel para a sua configuração.

Configurar clientes VPN

Utilize o perfil transferido para configurar os clientes de acesso remoto. O procedimento para cada sistema operativo é diferente, siga as instruções que se aplicam ao seu sistema.

IKEv2

Na configuração VPN do utilizador, se especificar o tipo de túnel IKEv2 VPN, pode configurar o cliente VPN nativo (Windows e macOS Catalina ou mais tarde).

Os seguintes passos são para o Windows. Para o macOS, consulte os passos IKEv2-macOS .

  1. Selecione os ficheiros de configuração do cliente VPN que correspondem à arquitetura do computador Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador "VpnClientSetupAmd64". Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador "VpnClientSetupX86".

  2. Faça duplo clique no pacote para instalá-lo. Se vir um popup smartScreen, selecione Mais informações e, em seguida, Corra de qualquer maneira.

  3. No computador cliente, navegue para Definições de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.

  4. Instale um certificado de cliente em cada computador que pretende ligar através desta configuração VPN do Utilizador. Se utilizar o tipo de autenticação de certificados nativa do Azure, é preciso um certificado de cliente para a autenticação. Para obter mais informações sobre a geração de certificados, consulte 'Gerar Certificados'. Para obter informações sobre como instalar um certificado de cliente, consulte instalar um certificado de cliente.

OpenVPN

Na configuração VPN do utilizador, se especificar o tipo de túnel OpenVPN, pode descarregar e configurar o cliente Azure VPN ou, em alguns casos, pode utilizar o software do cliente OpenVPN. Para etapas, utilize o link que corresponde à sua configuração.

Ligue o VNet falado

Nesta secção, cria-se uma ligação entre o seu hub e o VNet falado.

  1. Vá para o seu WAN Virtual.

  2. No painel esquerdo, em conectividade, selecione ligações de rede virtuais.

  3. Na página de ligações de rede Virtual , clique em +Adicionar a ligação.

    A screenshot mostra adicionar ligação.

  4. Na página de ligação Adicionar , configure as definições necessárias. Para obter mais informações sobre as definições de encaminhamento, consulte Sobre o encaminhamento.

    A screenshot mostra a página de ligação VNet.

    • Nome de ligação: Nomeie a sua ligação.
    • Hubs: Selecione o hub que pretende associar a esta ligação.
    • Subscrição: Verifique a subscrição.
    • Grupo de recursos: O grupo de recursos que contém o VNet.
    • Rede virtual: Selecione a rede virtual que pretende ligar a este centro. A rede virtual que seleciona não pode ter um gateway de rede virtual já existente.
    • Propagar a nenhum: Isto está definido para Não por defeito. Alterar o comutador para Sim torna indisponíveis as opções de configuração de Propagate para Tabelas de Rota e Propagação para etiquetas indisponíveis para a configuração.
    • Tabela de Rotas Associada: Pode selecionar a tabela de rotas que pretende associar.
    • Rotas estáticas: Pode utilizar esta definição para especificar o próximo salto.
  5. Uma vez concluídas as definições que pretende configurar, selecione Criar para criar a ligação.

Criar máquinas virtuais

Nesta secção, cria-se dois VMs no seu VNet, VM1 e VM2. No diagrama de rede, utilizamos 10.18.0.4 e 10.18.0.5. Ao configurar os seus VMs, certifique-se de selecionar a rede virtual que criou (encontrada no separador 'Rede'). Para obter passos para criar um VM, consulte Quickstart: Criar um VM.

Proteja o centro virtual

Um hub virtual padrão não tem políticas de segurança incorporadas para proteger os recursos em redes virtuais faladas. Um hub virtual seguro utiliza Azure Firewall ou um fornecedor de terceiros para gerir o tráfego de entrada e saída para proteger os seus recursos em Azure.

Converta o hub num centro seguro utilizando o seguinte artigo: Configurar Azure Firewall num WAN Virtual hub.

Criar regras para gerir e filtrar tráfego

Criar regras que ditam o comportamento de Azure Firewall. Ao proteger o hub, garantimos que todos os pacotes que entram no centro virtual estão sujeitos ao processamento de firewall antes de aceder aos seus recursos Azure.

Uma vez concluídas estas etapas, terá criado uma arquitetura que permite aos utilizadores VPN acederem ao VM com endereço IP privado 10.18.0.4, mas NÃO acedem ao VM com endereço IP privado 10.18.0.5

  1. No portal do Azure, navegue para o Gestor de Firewall.

  2. Em Segurança, selecione Azure Firewall políticas.

  3. Selecione Criar Azure Firewall Política.

  4. De acordo com os detalhes da Política, escreva um nome e selecione a região onde o seu hub virtual está implantado.

  5. Selecione Seguinte: Definições DE DNS (pré-visualização).

  6. Selecione Seguinte: Regras.

  7. No separador Regras , selecione Adicionar uma coleção de regras.

  8. Forneça um nome para a coleção. Desagrafe o tipo como Rede. Adicione um valor prioritário 100.

  9. Preencha o nome da regra, tipo de origem, fonte, protocolo, portas de destino e tipo de destino, como mostra o exemplo abaixo. Em seguida, selecione adicionar. Esta regra permite que qualquer endereço IP do pool de clientes VPN aceda ao VM com endereço IP privado 10.18.04, mas não qualquer outro recurso ligado ao centro virtual. Crie quaisquer regras que queira que se encaixem nas regras de arquitetura e permissões desejadas.

    Regras de firewall

  10. Selecione Seguinte: Inteligência de ameaça.

  11. Selecione Seguinte: Hubs.

  12. No separador Hubs , selecione Centros virtuais Associados.

  13. Selecione o hub virtual que criou anteriormente e, em seguida, selecione Add.

  14. Selecione Rever + criar.

  15. Selecione Criar.

Pode levar 5 minutos ou mais para que este processo esteja concluído.

Tráfego de rota através de Azure Firewall

Nesta secção, é necessário garantir que o tráfego é encaminhado através Azure Firewall.

  1. No portal, a partir do Gestor de Firewall, selecione centros virtuais seguros.
  2. Selecione o hub virtual que criou.
  3. Em Definições, selecione configuração de segurança.
  4. Sob tráfego privado, selecione Enviar por Azure Firewall.
  5. Verifique se a ligação VNet e a ligação do Ramo o tráfego privado está protegido por Azure Firewall.
  6. Selecione Guardar.

Nota

Se pretender inspecionar o tráfego destinado a pontos finais privados utilizando Azure Firewall num centro virtual seguro, consulte o tráfego Secure destinado a pontos finais privados em Azure WAN Virtual. É necessário adicionar prefixo /32 para cada ponto final privado nos prefixos de tráfego privados na configuração de Segurança do seu gestor de Azure Firewall para que sejam inspecionados através de Azure Firewall em hub virtual seguro. Se estes prefixos /32 não estiverem configurados, o tráfego destinado a pontos finais privados passará por Azure Firewall.

Validação

Verifique a configuração do seu hub seguro.

  1. Ligue-se ao Hub Virtual Seguro via VPN a partir do seu dispositivo cliente.
  2. O endereço IP 10.18.0.4 do seu cliente. Devia ver uma resposta.
  3. Pingo do endereço IP 10.18.0.5 do seu cliente. Não devias ver uma resposta.

Considerações

  • Certifique-se de que a Tabela de Rotas Eficazes no centro virtual seguro tem o próximo salto para tráfego privado junto à firewall. Para aceder à Tabela de Rotas Eficazes, navegue para o seu recurso Virtual Hub . Em Conectividade, selecione o Encaminhamento e, em seguida, selecione Rotas Eficazes. A partir daí, selecione a tabela Rota Padrão .
  • Verifique se criou regras na secção Criar Regras . Se estes passos forem perdidos, as regras que criou não serão realmente associadas ao hub e a mesa de rotas e o fluxo de pacotes não usarão Azure Firewall.

Passos seguintes