Criar, alterar ou eliminar um grupo de segurança de rede
Ao usar regras de segurança em NSGs (grupos de segurança de rede), você pode filtrar o tipo de tráfego de rede que entra e sai de sub-redes de rede virtual e interfaces de rede. Para saber mais sobre NSGs, consulte Visão geral do grupo de segurança de rede. Em seguida, conclua o tutorial Filtrar tráfego de rede para ganhar alguma experiência com NSGs.
Pré-requisitos
Se não tiver uma conta do Azure com uma subscrição ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante deste artigo:
Utilizadores do portal: inicie sessão no portal do Azure com a sua conta do Azure.
Usuários do PowerShell: execute os comandos no Azure Cloud Shell ou execute o PowerShell localmente a partir do seu computador. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Ele tem ferramentas comuns do Azure que são pré-instaladas e configuradas para uso com sua conta. Na guia do navegador Cloud Shell, localize a lista suspensa Selecionar ambiente . Em seguida, selecione PowerShell se ainda não estiver selecionado.
Se você estiver executando o PowerShell localmente, use o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute
Get-Module -ListAvailable Az.Networkpara localizar a versão instalada. Se precisar de instalar ou atualizar, veja Install Azure PowerShell module(Instalar o módulo do Azure PowerShell). ExecuteConnect-AzAccountpara entrar no Azure.Usuários da CLI do Azure: execute os comandos no Cloud Shell ou execute a CLI do Azure localmente a partir do seu computador. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Ele tem ferramentas comuns do Azure que são pré-instaladas e configuradas para uso com sua conta. Na guia do navegador Cloud Shell, localize a lista suspensa Selecionar ambiente . Em seguida, selecione Bash se ainda não estiver selecionado.
Se você estiver executando a CLI do Azure localmente, use a CLI do Azure versão 2.0.28 ou posterior. Execute
az --versionpara localizar a versão instalada. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure. Executeaz loginpara entrar no Azure.
Atribua a função de Colaborador de Rede ou uma função personalizada com as permissões apropriadas.
Trabalhar com grupos de segurança de rede
Você pode criar, visualizar tudo, exibir detalhes, alterar e excluir um NSG. Você também pode associar ou dissociar um NSG de uma interface de rede ou de uma sub-rede.
Criar um grupo de segurança de rede
O número de NSGs que você pode criar para cada região e assinatura do Azure é limitado. Para saber mais, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione + Criar.
Na página Criar grupo de segurança de rede, na guia Noções básicas, insira ou selecione os seguintes valores:
Definição Ação Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de recursos Selecione um grupo de recursos existente ou crie um novo selecionando Criar novo. Este exemplo usa o myResourceGroupgrupo de recursos.Detalhes da instância Nome do grupo de segurança de rede Insira um nome para o NSG que você está criando. País/Região Selecione a região desejada. 
Selecione Rever + criar.
Depois de ver a mensagem Validação aprovada , selecione Criar.
Ver todos os grupos de segurança de rede
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa para ver a lista de NSGs na sua assinatura.
Ver detalhes de um grupo de segurança de rede
Na caixa de pesquisa na parte superior do portal, introduza Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do seu NSG.
- Em Configurações, exiba as regras de segurança de entrada, regras de segurança de saída, interfaces de rede e sub-redes às quais o NSG está associado.
- Em Monitoramento, habilite ou desabilite as configurações de diagnóstico. Para obter mais informações, consulte Log de recursos para um grupo de segurança de rede.
- Em Ajuda, consulte Regras de segurança eficazes. Para obter mais informações, consulte Diagnosticar um problema de filtro de tráfego de rede de máquina virtual (VM).
Para saber mais sobre as configurações comuns do Azure listadas, consulte os seguintes artigos:
Alterar um grupo de segurança de rede
As alterações mais comuns em um NSG são:
- Associar ou dissociar um grupo de segurança de rede de ou para uma interface de rede
- Associar ou dissociar um grupo de segurança de rede de ou para uma sub-rede
- Criar uma regra de segurança
- Excluir uma regra de segurança
Associar ou dissociar um grupo de segurança de rede de ou para uma interface de rede
Para obter mais informações sobre a associação e dissociação de um NSG, consulte Associar ou dissociar um grupo de segurança de rede.
Associar ou dissociar um grupo de segurança de rede de ou para uma sub-rede
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG e, em seguida, selecione Sub-redes.
Para associar um NSG à sub-rede, selecione + Associar. Em seguida, selecione sua rede virtual e a sub-rede à qual você deseja associar o NSG. Selecione OK.
Para dissociar um NSG da sub-rede, selecione os três pontos ao lado da sub-rede da qual você deseja dissociar o NSG e, em seguida, selecione Dissociar. Selecione Yes (Sim).
Excluir um grupo de segurança de rede
Se um NSG estiver associado a quaisquer sub-redes ou interfaces de rede, ele não poderá ser excluído. Dissocie um NSG de todas as sub-redes e interfaces de rede antes de tentar excluí-lo.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o NSG que você deseja excluir.
Selecione Eliminar e selecione Sim na caixa de diálogo de confirmação.
Trabalhar com regras de segurança
Um NSG contém zero ou mais regras de segurança. Você pode criar, exibir tudo, exibir detalhes, alterar e excluir uma regra de segurança.
Criar uma regra de segurança
O número de regras por NSG que você pode criar para cada local e assinatura do Azure é limitado. Para saber mais, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG ao qual você deseja adicionar uma regra de segurança.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Várias regras existentes são listadas, incluindo algumas que você pode não ter adicionado. Quando você cria um NSG, várias regras de segurança padrão são criadas nele. Para saber mais, consulte Regras de segurança padrão. Não é possível excluir regras de segurança padrão, mas substituí-las por regras com prioridade mais alta.
Selecione + Adicionar. Selecione ou adicione valores para as seguintes configurações e, em seguida, selecione Adicionar.
Definição Value Details Source Um dos seguintes: - Qualquer
- Endereços IP
- O meu endereço IP
- Etiqueta de serviço
- Grupo de segurança de aplicações
Se você selecionar Endereços IP, também deverá especificar endereços IP de origem/intervalos CIDR.
Se você selecionar Etiqueta de serviço, também deverá selecionar uma etiqueta de serviço de origem.
Se você selecionar Grupo de segurança de aplicativo, também deverá selecionar um grupo de segurança de aplicativo existente. Se você selecionar Grupo de segurança de aplicativo para Origem e Destino, as interfaces de rede dentro de ambos os grupos de segurança de aplicativo deverão estar na mesma rede virtual. Saiba como criar um grupo de segurança de aplicativo.
Endereços IP de origem/intervalos CIDR Uma lista delimitada por vírgulas de endereços IP e intervalos CIDR (Roteamento entre Domínios sem Classe) Essa configuração será exibida se você definir Source como Endereços IP. Você deve especificar um único valor ou uma lista separada por vírgulas de vários valores. Um exemplo de valores múltiplos é
10.0.0.0/16, 192.188.1.1. O número de valores que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.Se o endereço IP especificado for atribuído a uma VM do Azure, especifique seu endereço IP privado, não seu endereço IP público. O Azure processa regras de segurança depois de traduzir o endereço IP público para um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e endereços IP privados.
Etiqueta de serviço de origem Uma etiqueta de serviço da lista pendente Essa configuração será exibida se você definir Source to Service Tag para uma regra de segurança. Uma etiqueta de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre as etiquetas de serviço disponíveis e o que cada etiqueta representa, consulte Etiquetas de serviço. Grupo de segurança do aplicativo de origem Um grupo de segurança de aplicativo existente Essa configuração será exibida se você definir Origem como Grupo de segurança Aplicativo. Selecione um grupo de segurança de aplicativo que exista na mesma região da interface de rede. Saiba como criar um grupo de segurança de aplicativo. Intervalos de portas de origem Um dos seguintes: - Uma única porta, como
80 - Uma variedade de portas, tais como
1024-65535 - Uma lista separada por vírgulas de portas únicas e/ou intervalos de portas, como
80, 1024-65535 - Um asterisco (
*) para permitir o tráfego em qualquer porto
Essa configuração especifica as portas nas quais a regra permite ou nega tráfego. O número de portas que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure. Destino Um dos seguintes: - Qualquer
- Endereços IP
- Etiqueta de serviço
- Grupo de segurança de aplicações
Se você selecionar Endereços IP, também deverá especificar Endereços IP de destino/intervalos CIDR.
Se você selecionar Etiqueta de serviço, também deverá selecionar uma etiqueta de serviço de destino.
Se você selecionar Grupo de segurança de aplicativo, também deverá selecionar um grupo de segurança de aplicativo existente. Se você selecionar Grupo de segurança de aplicativo para Origem e Destino, as interfaces de rede dentro de ambos os grupos de segurança de aplicativo deverão estar na mesma rede virtual. Saiba como criar um grupo de segurança de aplicativo.
Endereços IP de destino/intervalos CIDR Uma lista delimitada por vírgulas de endereços IP e intervalos CIDR Essa configuração será exibida se você alterar Destino para Endereços IP. Você pode especificar endereços ou intervalos únicos ou múltiplos, como pode fazer com os endereços IP de origem e de origem/intervalos CIDR. O número que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.
Se o endereço IP especificado for atribuído a uma VM do Azure, certifique-se de especificar seu IP privado, não seu endereço IP público. O Azure processa regras de segurança depois de traduzir o endereço IP público para um endereço IP privado para regras de segurança de entrada, mas antes de o Azure traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e endereços IP privados.
Etiqueta de serviço de destino Uma etiqueta de serviço da lista pendente Essa configuração será exibida se você definir Destino como Etiqueta de Serviço para uma regra de segurança. Uma etiqueta de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre as etiquetas de serviço disponíveis e o que cada etiqueta representa, consulte Etiquetas de serviço. Grupo de segurança do aplicativo de destino Um grupo de segurança de aplicativo existente Essa configuração será exibida se você definir Destino como grupo de segurança Aplicativo. Selecione um grupo de segurança de aplicativo que exista na mesma região da interface de rede. Saiba como criar um grupo de segurança de aplicativo. Serviço Um protocolo de destino da lista suspensa Essa configuração especifica o protocolo de destino e o intervalo de portas para a regra de segurança. Você pode selecionar um serviço predefinido, como RDP, ou selecionar Personalizado e fornecer o intervalo de portas em Intervalos de portas de destino. Intervalos de portas de destino Um dos seguintes: - Uma única porta, como
80 - Uma variedade de portas, tais como
1024-65535 - Uma lista separada por vírgulas de portas únicas e/ou intervalos de portas, como
80, 1024-65535 - Um asterisco (
*) para permitir o tráfego em qualquer porto
Assim como acontece com os intervalos de portas de origem, você pode especificar uma ou várias portas e intervalos. O número que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure. Protocolo Qualquer, TCP, UDP ou ICMP Você pode restringir a regra ao TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ou ICMP (Internet Control Message Protocol). O padrão é que a regra se aplique a todos os protocolos (Any). Ação Permitir ou Negar Essa configuração especifica se essa regra permite ou nega acesso para a configuração de origem e destino fornecida. Prioridade Um valor entre 100 e 4.096 que é exclusivo para todas as regras de segurança dentro do NSG O Azure processa regras de segurança em ordem de prioridade. Quanto menor o número, maior a prioridade. Recomendamos que você deixe uma lacuna entre os números de prioridade ao criar regras, como 100, 200 e 300. Deixar lacunas torna mais fácil adicionar regras no futuro, para que você possa dar-lhes prioridade maior ou menor do que as regras existentes. Nome Um nome exclusivo para a regra dentro do NSG O nome pode ter até 80 caracteres. Deve começar com uma letra ou número, e deve terminar com uma letra, número ou sublinhado. O nome pode conter apenas letras, números, sublinhados, pontos ou hífenes. Descrição Uma descrição do texto Opcionalmente, você pode especificar uma descrição de texto para a regra de segurança. A descrição não pode ter mais de 140 caracteres. 
Ver todas as regras de segurança
Um NSG contém zero ou mais regras. Para saber mais sobre a lista de informações quando visualizar as regras, consulte Regras de segurança.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG para o qual você deseja exibir as regras.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
A lista contém todas as regras que você criou e as regras de segurança padrão do seu NSG.
Exibir os detalhes de uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG para o qual você deseja exibir as regras.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione a regra para a qual deseja exibir detalhes. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.
Nota
Este procedimento aplica-se apenas a uma regra de segurança personalizada. Não funciona se você escolher uma regra de segurança padrão.
Alterar uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG para o qual você deseja exibir as regras.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione a regra que pretende alterar.
Altere as configurações conforme necessário e selecione Salvar. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.
Nota
Este procedimento aplica-se apenas a uma regra de segurança personalizada. Você não tem permissão para alterar uma regra de segurança padrão.
Excluir uma regra de segurança
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do NSG para o qual você deseja exibir as regras.
Selecione Regras de segurança de entrada ou Regras de segurança de saída.
Selecione as regras que deseja excluir.
Selecione Eliminar e, em seguida, Sim.
Nota
Este procedimento aplica-se apenas a uma regra de segurança personalizada. Você não tem permissão para excluir uma regra de segurança padrão.
Trabalhar com grupos de segurança de aplicações
Um grupo de segurança de aplicativo contém zero ou mais interfaces de rede. Para saber mais, consulte Grupos de segurança de aplicativos. Todas as interfaces de rede em um grupo de segurança de aplicativo devem existir na mesma rede virtual. Para saber como adicionar uma interface de rede a um grupo de segurança de aplicativo, consulte Adicionar uma interface de rede a um grupo de segurança de aplicativo.
Criar um grupo de segurança de aplicativo
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione + Criar.
Na página Criar um grupo de segurança de aplicativo, na guia Noções básicas, insira ou selecione os seguintes valores:
Definição Ação Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de recursos Selecione um grupo de recursos existente ou crie um novo selecionando Criar novo. Este exemplo usa o myResourceGroupgrupo de recursos.Detalhes da instância Nome Insira um nome para o grupo de segurança do aplicativo que você está criando. País/Região Selecione a região na qual você deseja criar o grupo de segurança do aplicativo. 
Selecione Rever + criar.
Depois de ver a mensagem Validação aprovada , selecione Criar.
Exibir todos os grupos de segurança de aplicativos
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa. Uma lista dos grupos de segurança do seu aplicativo aparece no portal do Azure.
Exibir os detalhes de um grupo de segurança de aplicativo específico
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo para o qual você deseja exibir os detalhes.
Alterar um grupo de segurança de aplicativo
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo que você deseja alterar:
Selecione mover ao lado de Grupo de recursos ou Assinatura para alterar o grupo de recursos ou a assinatura, respectivamente.
Selecione editar ao lado de Tags para adicionar ou remover tags. Para saber mais, consulte Usar tags para organizar seus recursos do Azure e hierarquia de gerenciamento.
Nota
Não é possível alterar o local de um grupo de segurança de aplicativo.
Selecione Controle de acesso (IAM) para atribuir ou remover permissões ao grupo de segurança do aplicativo.
Excluir um grupo de segurança de aplicativo
Não é possível excluir um grupo de segurança de aplicativo se ele contiver interfaces de rede. Para remover todas as interfaces de rede do grupo de segurança do aplicativo, altere as configurações da interface de rede ou exclua as interfaces de rede. Para saber mais, consulte Adicionar ou remover de grupos de segurança de aplicativos ou Excluir uma interface de rede.
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.
Selecione o grupo de segurança do aplicativo que você deseja excluir.
Selecione Excluir e, em seguida, selecione Sim para excluir o grupo de segurança do aplicativo.
Permissões
Para gerenciar NSGs, regras de segurança e grupos de segurança de aplicativos, sua conta deve ser atribuída à função de Colaborador de Rede . Você também pode usar uma função personalizada com as permissões apropriadas atribuídas, conforme listado nas tabelas a seguir.
Nota
Poderá não ver a lista completa de etiquetas de serviço se a função de Colaborador de Rede tiver sido atribuída a um nível de grupo de recursos. Para exibir a lista completa, você pode atribuir essa função em um escopo de assinatura. Se você só puder permitir a função de Colaborador de Rede para o grupo de recursos, também poderá criar uma função personalizada para as permissões Microsoft.Network/locations/serviceTags/read e Microsoft.Network/locations/serviceTagDetails/read. Atribua-os em um escopo de assinatura juntamente com a função de Colaborador de Rede no escopo do grupo de recursos.
Grupo de segurança de rede
| Ação | Nome |
|---|---|
Microsoft.Network/networkSecurityGroups/read |
Obtenha um NSG. |
Microsoft.Network/networkSecurityGroups/write |
Crie ou atualize um NSG. |
Microsoft.Network/networkSecurityGroups/delete |
Exclua um NSG. |
Microsoft.Network/networkSecurityGroups/join/action |
Associe um NSG a uma sub-rede ou interface de rede. |
Nota
Para executar write operações em um NSG, a conta de assinatura deve ter pelo menos read permissões para o grupo de recursos juntamente com Microsoft.Network/networkSecurityGroups/write permissão.
Regra de grupo de segurança de rede
| Ação | Nome |
|---|---|
Microsoft.Network/networkSecurityGroups/securityRules/read |
Obtenha uma regra. |
Microsoft.Network/networkSecurityGroups/securityRules/write |
Crie ou atualize uma regra. |
Microsoft.Network/networkSecurityGroups/securityRules/delete |
Excluir uma regra. |
Grupo de segurança de aplicações
| Ação | Nome |
|---|---|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
Junte uma configuração IP a um grupo de segurança de aplicativo. |
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action |
Associe uma regra de segurança a um grupo de segurança de aplicativo. |
Microsoft.Network/applicationSecurityGroups/read |
Obtenha um grupo de segurança de aplicativo. |
Microsoft.Network/applicationSecurityGroups/write |
Crie ou atualize um grupo de segurança de aplicativo. |
Microsoft.Network/applicationSecurityGroups/delete |
Exclua um grupo de segurança de aplicativo. |
Conteúdos relacionados
- Adicione ou remova uma interface de rede de ou para um grupo de segurança de aplicativo.
- Crie e atribua definições de Política do Azure para redes virtuais.