Gerir o acesso seguro aos recursos em VNets spoke para utilizadores de VPN

  • Artigo

Este artigo mostra como usar regras e filtros da WAN Virtual e do Firewall do Azure para gerenciar o acesso seguro para conexões com seus recursos no Azure em conexões IKEv2 ou OpenVPN ponto a site. Essa configuração é útil se você tiver usuários remotos para os quais deseja restringir o acesso aos recursos do Azure ou proteger seus recursos no Azure.

As etapas neste artigo ajudam você a criar a arquitetura no diagrama a seguir para permitir que clientes VPN de usuário acessem um recurso específico (VM1) em uma VNet spoke conectada ao hub virtual, mas não outros recursos (VM2). Use este exemplo de arquitetura como uma diretriz básica.

Diagrama de um hub virtual seguro.

Pré-requisitos

  • Tem uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita.

  • Você tem uma rede virtual à qual deseja se conectar.

    • Verifique se nenhuma das sub-redes de suas redes locais se sobrepõe às redes virtuais às quais você deseja se conectar.
    • Para criar uma rede virtual no portal do Azure, consulte o artigo Guia de início rápido.

  • Sua rede virtual não deve ter nenhum gateway de rede virtual existente.

    • Se sua rede virtual já tiver gateways (VPN ou Rota Expressa), você deverá remover todos os gateways antes de prosseguir.
    • Essa configuração requer que as redes virtuais se conectem somente ao gateway de hub WAN Virtual.

  • Decida o intervalo de endereços IP que você deseja usar para seu espaço de endereço privado do hub virtual. Essas informações são usadas ao configurar seu hub virtual. Um hub virtual é uma rede virtual que é criada e usada pela WAN Virtual. É o núcleo da sua rede WAN virtual em uma região. O intervalo de espaço de endereçamento deve estar em conformidade com determinadas regras:

    • O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta.
    • O intervalo de endereços não pode se sobrepor aos intervalos de endereços locais aos quais você se conecta.
    • Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, coordene com alguém que possa fornecer esses detalhes para você.
  • Você tem os valores disponíveis para a configuração de autenticação que deseja usar. Por exemplo, um servidor RADIUS, autenticação Microsoft Entra ou Gerar e exportar certificados.

Criar uma WAN Virtual

  1. No portal, na barra de recursos de pesquisa, digite WAN Virtual na caixa de pesquisa e selecione Enter.

  2. Selecione WANs virtuais nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN .

  3. Na página Criar WAN, na guia Noções básicas, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.

    A captura de tela mostra o painel Criar WAN com a guia Noções básicas selecionada.

    • Subscrição: selecione a subscrição que pretende utilizar.
    • Grupo de recursos: crie novos ou use existentes.
    • Local do grupo de recursos: escolha um local de recurso na lista suspensa. Uma WAN é um recurso global e não vive em uma região específica. No entanto, você deve selecionar uma região para gerenciar e localizar o recurso WAN criado.
    • Nome: digite o Nome que você deseja chamar de WAN virtual.
    • Tipo: Básico ou Padrão. selecione Standard. Se você selecionar Básico, entenda que as WANs virtuais básicas só podem conter hubs básicos. Os hubs básicos só podem ser usados para conexões site a site.

  4. Depois de concluir o preenchimento dos campos, na parte inferior da página, selecione Rever + Criar.

  5. Quando a validação for aprovada, clique em Criar para criar a WAN virtual.

Definir parâmetros de configuração P2S

A configuração ponto-a-site (P2S) define os parâmetros para conectar clientes remotos. Esta seção ajuda você a definir parâmetros de configuração P2S e, em seguida, criar a configuração que será usada para o perfil do cliente VPN. As instruções que você segue dependem do método de autenticação que você deseja usar.

Métodos de autenticação

Ao selecionar o método de autenticação, você tem três opções. Cada método tem requisitos específicos. Selecione um dos seguintes métodos e conclua as etapas.

  • Autenticação do Microsoft Entra: Obtenha o seguinte:

    • A ID do Aplicativo do Aplicativo Empresarial VPN do Azure registrado em seu locatário do Microsoft Entra.
    • O emitente. Exemplo: https://sts.windows.net/your-Directory-ID.
    • O locatário do Microsoft Entra. Exemplo: https://login.microsoftonline.com/your-Directory-ID.

  • Autenticação baseada em Radius: obtenha o IP do servidor Radius, o segredo do servidor Radius e as informações do certificado.

  • Certificados do Azure: para esta configuração, os certificados são necessários. Você precisa gerar ou obter certificados. Um certificado de cliente é necessário para cada cliente. Além disso, as informações do certificado raiz (chave pública) precisam ser carregadas. Para obter mais informações sobre os certificados necessários, consulte Gerar e exportar certificados.

  1. Navegue até a WAN virtual que você criou.

  2. Selecione Configurações de VPN do usuário no menu à esquerda.

  3. Na página Configurações de VPN do usuário, selecione +Criar configuração de VPN do usuário.

    Captura de tela da página de configurações de VPN do usuário.

  4. Na guia Noções básicas da página Criar nova configuração de VPN de usuário, em Detalhes da instância, insira o Nome que você deseja atribuir à sua configuração de VPN.

    Captura de tela da opção IPsec para personalizada.

  5. Em Tipo de túnel, selecione o tipo de túnel desejado na lista suspensa. As opções de tipo de túnel são: IKEv2 VPN, OpenVPN e OpenVpn e IKEv2. Cada tipo de túnel tem configurações específicas necessárias. O tipo de túnel escolhido corresponde às opções de autenticação disponíveis.

    Requisitos e parâmetros:

    IKEv2 VPN

    • Requisitos: Quando você seleciona o tipo de túnel IKEv2 , você vê uma mensagem direcionando para selecionar um método de autenticação. Para IKEv2, você pode especificar vários métodos de autenticação. Você pode escolher Certificado do Azure, autenticação baseada em RADIUS ou ambos.

    • Parâmetros personalizados IPSec: Para personalizar os parâmetros para IKE Fase 1 e IKE Fase 2, alterne a opção IPsec para Personalizado e selecione os valores dos parâmetros. Para obter mais informações sobre parâmetros personalizáveis, consulte o artigo IPsec personalizado.

    OpenVPN

    • Requisitos: Quando você seleciona o tipo de túnel OpenVPN , você vê uma mensagem direcionando-o para selecionar um mecanismo de autenticação. Se OpenVPN for selecionado como o tipo de túnel, você poderá especificar vários métodos de autenticação. Você pode escolher qualquer subconjunto de Certificado do Azure, ID do Microsoft Entra ou autenticação baseada em RADIUS. Para autenticação baseada em RADIUS, você pode fornecer um endereço IP do servidor RADIUS secundário e um segredo do servidor.

    OpenVPN e IKEv2

    • Requisitos: Quando você seleciona o tipo de túnel OpenVPN e IKEv2 , você vê uma mensagem direcionando para selecionar um mecanismo de autenticação. Se OpenVPN e IKEv2 for selecionado como o tipo de túnel, você pode especificar vários métodos de autenticação. Você pode escolher a ID do Microsoft Entra junto com o Certificado do Azure ou a autenticação baseada em RADIUS. Para autenticação baseada em RADIUS, você pode fornecer um endereço IP do servidor RADIUS secundário e um segredo do servidor.

  6. Configure os métodos de autenticação que você deseja usar. Cada método de autenticação está em uma guia separada: certificado do Azure, autenticação RADIUS e ID do Microsoft Entra. Alguns métodos de autenticação só estão disponíveis em determinados tipos de túnel.

    Na guia do método de autenticação que você deseja configurar, selecione Sim para revelar as definições de configuração disponíveis.

    • Exemplo - Autenticação de certificado

      Para definir essa configuração, o tipo de túnel da página Noções básicas pode ser IKEv2, OpenVPN ou OpenVPN e IKEv2.

      Captura de ecrã de Sim selecionado.

    • Exemplo - autenticação RADIUS

      Para definir essa configuração, o tipo de túnel na página Noções básicas pode ser Ikev2, OpenVPN ou OpenVPN e IKEv2.

      Captura de ecrã da página de autenticação RADIUS.

    • Exemplo - Autenticação Microsoft Entra

      Para definir essa configuração, o tipo de túnel na página Noções básicas deve ser OpenVPN. A autenticação baseada em ID do Microsoft Entra só é suportada com OpenVPN.

      Página de autenticação do Microsoft Entra.

  7. Quando terminar de definir as configurações, selecione Revisar + criar na parte inferior da página.

  8. Selecione Criar para criar a configuração VPN do usuário.

Criar o hub e o gateway

Nesta seção, você cria o hub virtual com um gateway ponto a site. Ao configurar, você pode usar os seguintes valores de exemplo:

  • Espaço de endereço IP privado do hub: 10.1.0.0/16
  • Pool de endereços do cliente: 10.5.0.0/16
  • Servidores DNS personalizados: Você pode listar até 5 servidores DNS

Página Noções básicas

  1. Vá para a WAN virtual que você criou. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.

  2. Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.

    A captura de tela mostra o painel Criar hub virtual com a guia Noções básicas selecionada.

  3. Na guia Noções básicas da página Criar hub virtual, preencha os seguintes campos:

    • Região: selecione a região na qual você deseja implantar o hub virtual.
    • Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
    • Espaço de endereçamento privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
    • Capacidade do hub virtual: selecione na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
    • Preferência de roteamento de hub: deixe como padrão. Para obter mais informações, consulte Preferência de roteamento de hub virtual.

Apontar para a página do site

  1. Clique na guia Apontar para o site para abrir a página de configuração ponto a site. Para exibir as configurações do ponto para o site, clique em Sim.

    Captura de tela da configuração do hub virtual com opção a site selecionada.

  2. Configure as seguintes definições:

    • Unidades de escala de gateway - Representa a capacidade agregada do gateway VPN do usuário. Se você selecionar 40 ou mais unidades de escala de gateway, planeje o pool de endereços do cliente de acordo. Para obter informações sobre como essa configuração afeta o pool de endereços do cliente, consulte Sobre pools de endereços do cliente. Para obter informações sobre unidades de escala de gateway, consulte as Perguntas frequentes.

    • Configuração do ponto para o site - Selecione a configuração VPN do usuário que você criou em uma etapa anterior.

    • Preferência de roteamento - A preferência de roteamento do Azure permite que você escolha como seu tráfego roteia entre o Azure e a Internet. Pode optar por encaminhar o tráfego através da rede Microsoft ou através da rede ISP (Internet pública). Essas opções também são conhecidas como roteamento de batata fria e roteamento de batata quente, respectivamente. O endereço IP público na WAN Virtual é atribuído pelo serviço com base na opção de roteamento selecionada. Para obter mais informações sobre a preferência de roteamento via rede Microsoft ou ISP, consulte o artigo Preferência de roteamento.

    • Usar servidor RADIUS remoto/local - Quando um gateway VPN de usuário WAN virtual é configurado para usar autenticação baseada em RADIUS, o gateway VPN do usuário age como um proxy e envia solicitações de acesso RADIUS para seu servidor RADIUS. A configuração "Usar servidor RADIUS remoto/local" está desabilitada por padrão, o que significa que o gateway VPN do usuário só poderá encaminhar solicitações de autenticação para servidores RADIUS em redes virtuais conectadas ao hub do gateway. Habilitar a configuração permitirá que o gateway VPN do usuário se autentique com servidores RADIUS conectados a hubs remotos ou implantados localmente.

      Nota

      A configuração do servidor RADIUS remoto/local e os IPs de proxy relacionados só serão usados se o Gateway estiver configurado para usar a autenticação baseada em RADIUS. Se o Gateway não estiver configurado para usar a autenticação baseada em RADIUS, essa configuração será ignorada.

      Você deve ativar "Usar servidor RADIUS remoto/local" se os usuários se conectarem ao perfil VPN global em vez do perfil baseado em hub. Para obter mais informações, consulte perfis globais e de nível de hub.

      Depois de criar o gateway VPN do usuário, vá para gateway e anote o campo IPs do proxy RADIUS. Os IPs de proxy RADIUS são os IPs de origem dos pacotes RADIUS que o gateway VPN do usuário envia para o servidor RADIUS. Portanto, o servidor RADIUS precisa ser configurado para aceitar solicitações de autenticação dos IPs de proxy RADIUS. Se o campo IPs do proxy RADIUS estiver em branco ou nenhum, configure o servidor RADIUS para aceitar solicitações de autenticação do espaço de endereço do hub.

      Além disso, certifique-se de definir as associações e propagações da conexão (VNet ou local) que hospeda o servidor RADIUS propaga para defaultRouteTable do hub implantado com o gateway VPN ponto a site e que a configuração VPN ponto a site se propaga para a tabela de rotas da conexão que hospeda o servidor RADIUS. Isso é obrigatório para garantir que o gateway possa falar com o servidor RADIUS e vice-versa.

      Screenshot do User V P N Config with RADIUS Proxy I Ps.

    • Pool de endereços do cliente - O pool de endereços a partir do qual os endereços IP serão atribuídos automaticamente aos clientes VPN. Os pools de endereços devem ser distintos. Não pode haver sobreposição entre pools de endereços. Para obter mais informações, consulte Sobre pools de endereços de clientes.

    • Servidores DNS personalizados - O endereço IP do(s) servidor(es) DNS que os clientes utilizarão. Você pode especificar até 5.

  3. Selecione Rever + criar para validar as suas definições.

  4. Quando a validação for aprovada, selecione Criar. A criação de um hub pode levar 30 minutos ou mais para ser concluída.

Gerar arquivos de configuração do cliente VPN

Nesta seção, você gera e baixa os arquivos de perfil de configuração. Esses arquivos são usados para configurar o cliente VPN nativo no computador cliente.

  1. Para gerar um pacote de configuração de cliente VPN de perfil global de nível WAN, vá para a WAN virtual (não para o hub virtual).

  2. No painel esquerdo, selecione Configurações de VPN do usuário.

  3. Selecione a configuração para a qual você deseja baixar o perfil. Se você tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e selecione um dos hubs que usa o perfil.

  4. Selecione Baixar perfil VPN de usuário WAN virtual.

  5. Na página de download, selecione EAPTLS, depois Gerar e baixar perfil. Um pacote de perfil (arquivo zip) contendo as definições de configuração do cliente é gerado e baixado para o seu computador. O conteúdo do pacote depende das opções de autenticação e túnel para sua configuração.

Configurar clientes VPN

Utilize o perfil transferido para configurar os clientes de acesso remoto. O procedimento para cada sistema operacional é diferente, siga as instruções que se aplicam ao seu sistema.

IKEv2

Na configuração VPN do usuário, se você especificou o tipo de túnel VPN IKEv2, poderá configurar o cliente VPN nativo (Windows e macOS Catalina ou posterior).

As etapas a seguir são para Windows. Para macOS, consulte Etapas do IKEv2-macOS .

  1. Selecione os ficheiros de configuração do cliente VPN que correspondem à arquitetura do computador Windows. Para uma arquitetura de processador de 64 bits, escolha o pacote do instalador "VpnClientSetupAmd64". Para uma arquitetura de processador de 32 bits, escolha o pacote do instalador "VpnClientSetupX86".

  2. Faça duplo clique no pacote para instalá-lo. Se vir um pop-up SmartScreen, selecione Mais informações e, em seguida , Executar mesmo assim.

  3. No computador cliente, navegue até Configurações de Rede e selecione VPN. A ligação VPN mostra o nome da rede virtual à qual se liga.

  4. Instale um certificado de cliente em cada computador que você deseja conectar por meio dessa configuração de VPN de usuário. Se utilizar o tipo de autenticação de certificados nativa do Azure, é preciso um certificado de cliente para a autenticação. Para obter mais informações sobre como gerar certificados, consulte Gerar certificados. Para obter informações sobre como instalar um certificado de cliente, consulte Instalar um certificado de cliente.

OpenVPN

Na configuração VPN do Usuário, se você especificou o tipo de túnel OpenVPN, poderá baixar e configurar o cliente VPN do Azure ou, em alguns casos, poderá usar o software cliente OpenVPN. Para as etapas, use o link que corresponde à sua configuração.

Conecte a VNet spoke

Nesta seção, você cria uma conexão entre seu hub e a VNet falada.

  1. No portal do Azure, vá para sua WAN Virtual No painel esquerdo, selecione Conexões de rede virtual.

  2. Na página Conexões de rede virtual, selecione + Adicionar conexão.

  3. Na página Adicionar conexão, defina as configurações de conexão. Para obter informações sobre configurações de roteamento, consulte Sobre roteamento.

    Captura de ecrã da página Adicionar ligação.

    • Nome da conexão: nomeie sua conexão.
    • Hubs: selecione o hub que você deseja associar a essa conexão.
    • Assinatura: verifique a assinatura.
    • Grupo de recursos: selecione o grupo de recursos que contém a rede virtual à qual você deseja se conectar.
    • Rede virtual: selecione a rede virtual que você deseja conectar a este hub. A rede virtual selecionada não pode ter um gateway de rede virtual já existente.
    • Propagar para nenhum: é definido como Não por padrão. Alterar a opção para Sim torna as opções de configuração para Propagar para tabelas de rotas e Propagar para rótulos indisponíveis para configuração.
    • Associar tabela de rotas: Na lista suspensa, você pode selecionar uma tabela de rotas que deseja associar.
    • Propagar para rótulos: os rótulos são um grupo lógico de tabelas de rotas. Para essa configuração, selecione na lista suspensa.
    • Rotas estáticas: configure rotas estáticas, se necessário. Configure rotas estáticas para Dispositivos Virtuais de Rede (se aplicável). A WAN virtual suporta um único IP de salto seguinte para rota estática em uma conexão de rede virtual. Por exemplo, se você tiver um dispositivo virtual separado para fluxos de tráfego de entrada e saída, seria melhor ter os dispositivos virtuais em VNets separadas e anexar as VNets ao hub virtual.
    • Ignorar IP do próximo salto para cargas de trabalho dentro desta VNet: essa configuração permite implantar NVAs e outras cargas de trabalho na mesma VNet sem forçar todo o tráfego através do NVA. Essa configuração só pode ser definida quando você estiver configurando uma nova conexão. Se pretender utilizar esta definição para uma ligação que já criou, elimine a ligação e, em seguida, adicione uma nova ligação.
    • Propagar rota estática: essa configuração está sendo implementada no momento. Essa configuração permite propagar rotas estáticas definidas na seção Rotas estáticas para tabelas de rotas especificadas em Propagar para tabelas de rotas. Além disso, as rotas serão propagadas para tabelas de rotas que tenham rótulos especificados como Propagar para rótulos. Essas rotas podem ser propagadas entre hubs, exceto para a rota padrão 0/0. Este recurso está em processo de implantação. Se você precisar desse recurso ativado, entre em contato com o site vwanpm@microsoft.com

  4. Depois de concluir as configurações que deseja definir, clique em Criar para criar a conexão.

Criar máquinas virtuais

Nesta seção, você cria duas VMs em sua rede virtual, VM1 e VM2. No diagrama de rede, usamos 10.18.0.4 e 10.18.0.5. Ao configurar suas VMs, certifique-se de selecionar a rede virtual que você criou (encontrada na guia Rede). Para conhecer as etapas para criar uma VM, consulte Guia de início rápido: criar uma VM.

Proteger o hub virtual

Um hub virtual padrão não tem políticas de segurança internas para proteger os recursos em redes virtuais faladas. Um hub virtual seguro usa o Firewall do Azure ou um provedor de terceiros para gerenciar o tráfego de entrada e saída para proteger seus recursos no Azure.

Converta o hub em um hub seguro usando o seguinte artigo: Configurar o Firewall do Azure em um hub WAN Virtual.

Criar regras para gerenciar e filtrar o tráfego

Crie regras que ditem o comportamento do Firewall do Azure. Ao proteger o hub, garantimos que todos os pacotes que entram no hub virtual estejam sujeitos ao processamento de firewall antes de acessar seus recursos do Azure.

Depois de concluir essas etapas, você terá criado uma arquitetura que permite que os usuários de VPN acessem a VM com o endereço IP privado 10.18.0.4, mas NÃO acessem a VM com o endereço IP privado 10.18.0.5

  1. No portal do Azure, navegue até o Gerenciador de Firewall.

  2. Em Segurança, selecione Políticas de Firewall do Azure.

  3. Selecione Criar Política de Firewall do Azure.

  4. Em Detalhes da política, digite um nome e selecione a região em que seu hub virtual está implantado.

  5. Selecione Next: DNS Settings.

  6. Selecione Next: Rules.

  7. Na guia Regras, selecione Adicionar uma coleção de regras.

  8. Forneça um nome para a coleção. Defina o tipo como Rede. Adicione um valor de prioridade 100.

  9. Preencha o nome da regra, tipo de origem, origem, protocolo, portas de destino e tipo de destino, conforme mostrado no exemplo a seguir. Em seguida, selecione adicionar. Esta regra permite que qualquer endereço IP do pool de clientes VPN acesse a VM com o endereço IP privado 10.18.04, mas não qualquer outro recurso conectado ao hub virtual. Crie as regras desejadas que se ajustem à arquitetura desejada e às regras de permissões.

    Regras da firewall

  10. Selecione Next: Threat intelligence.

  11. Selecione Next: Hubs.

  12. Na guia Hubs, selecione Associar hubs virtuais.

  13. Selecione o hub virtual criado anteriormente e, em seguida, selecione Adicionar.

  14. Selecione Rever + criar.

  15. Selecione Criar.

Pode levar 5 minutos ou mais para que esse processo seja concluído.

Rotear tráfego através da Firewall do Azure

Nesta seção, você precisa garantir que o tráfego seja roteado por meio do Firewall do Azure.

  1. No portal, no Gerenciador de Firewall, selecione Hubs virtuais protegidos.
  2. Selecione o hub virtual que você criou.
  3. Em Configurações, selecione Configuração de segurança.
  4. Em Tráfego privado, selecione Enviar através da Firewall do Azure.
  5. Verifique se a conexão VNet e o tráfego privado da conexão de filial estão protegidos pelo Firewall do Azure.
  6. Selecione Guardar.

Nota

Se você quiser inspecionar o tráfego destinado a pontos de extremidade privados usando o Firewall do Azure em um hub virtual seguro, consulte Tráfego seguro destinado a pontos de extremidade privados na WAN Virtual do Azure. Você precisa adicionar o prefixo /32 para cada ponto de extremidade privado nos prefixos de tráfego privado em Configuração de segurança do seu gerenciador de Firewall do Azure para que eles sejam inspecionados por meio do Firewall do Azure no hub virtual seguro. Se esses prefixos /32 não estiverem configurados, o tráfego destinado a pontos de extremidade privados ignorará o Firewall do Azure.

Validar

Verifique a configuração do seu hub seguro.

  1. Conecte-se ao Hub Virtual Seguro via VPN a partir do seu dispositivo cliente.
  2. Execute ping no endereço IP 10.18.0.4 do seu cliente. Você verá uma resposta.
  3. Execute ping no endereço IP 10.18.0.5 do seu cliente. Você não deve ser capaz de ver uma resposta.

Considerações

  • Certifique-se de que a Tabela de Rotas Efetivas no hub virtual seguro tenha o próximo salto para tráfego privado pelo firewall. Para acessar a Tabela de Rotas Efetivas, navegue até o recurso do Hub Virtual . Em Conectividade, selecione Roteamento e, em seguida, selecione Rotas Efetivas. A partir daí, selecione a tabela Rota padrão .
  • Verifique se você criou regras na seção Criar regras . Se essas etapas forem perdidas, as regras que você criou não serão realmente associadas ao hub e a tabela de rotas e o fluxo de pacotes não usarão o Firewall do Azure.

Próximos passos

  • Para obter mais informações sobre a WAN Virtual, consulte as Perguntas frequentes sobre a WAN Virtual.
  • Para obter mais informações sobre o Firewall do Azure, consulte as Perguntas frequentes sobre o Firewall do Azure.