Utilizar grupos de segurança de rede para controlar o acesso de rede
Como parte do projeto para mover seu sistema ERP para o Azure, você deve garantir que os servidores tenham isolamento adequado para que apenas os sistemas permitidos possam fazer conexões de rede. Por exemplo, tem servidores de bases de dados que armazenam dados da sua aplicação ERP. Você deseja impedir que sistemas proibidos se comuniquem com os servidores pela rede enquanto permite que os servidores de aplicativos se comuniquem com os servidores de banco de dados.
Grupos de segurança de rede
Os grupos de segurança de rede filtram o tráfego de rede de e para recursos do Azure. Eles também contêm regras de segurança que você configura para permitir ou negar tráfego de entrada e saída. Pode utilizar os grupos de segurança de rede para filtrar tráfego entre VMs ou sub-redes numa rede virtual e na Internet.
Avaliação e atribuição de grupo de segurança de rede
Os grupos de segurança de rede são atribuídos a uma interface de rede ou uma sub-rede. Quando atribuir um grupo de segurança de rede a uma sub-rede, as regras aplicam-se a todas as interfaces de rede nessa sub-rede. Você pode restringir ainda mais o tráfego associando um grupo de segurança de rede à interface de rede de uma VM.
Quando aplica grupos de segurança de rede a uma interface de rede e a uma sub-rede, cada grupo de segurança de rede é avaliado de forma independente. O tráfego de entrada é avaliado primeiro pelo grupo de segurança de rede aplicado à sub-rede e, em seguida, pelo grupo de segurança de rede aplicado à interface de rede. Por outro lado, o tráfego de saída de uma VM é primeiro avaliado pelo grupo de segurança de rede aplicado à interface de rede e, em seguida, pelo grupo de segurança de rede aplicado à sub-rede.
Aplicar um grupo de segurança de rede a uma sub-rede em vez de interfaces de rede individuais pode reduzir os esforços de administração e gestão. Esta abordagem também garante que todas as VMs na sub-rede especificada são protegidas com o mesmo conjunto de regras.
Cada interface de rede e sub-rede pode ter um grupo de segurança de rede aplicado. Os grupos de segurança de rede suportam TCP, UDP e ICMP e operam na Camada 4 do modelo OSI.
Neste cenário de empresa de fabricação, os grupos de segurança de rede podem ajudá-lo a proteger a rede. Pode controlar que computadores podem ligar-se aos servidores da aplicação. Você pode configurar o grupo de segurança de rede para que apenas um intervalo específico de endereços IP possa se conectar aos servidores. Pode aumentar ainda mais a restrição ao permitir apenas acesso a portas específicas ou a partir de portas específicas ou a endereços IP individuais. Você pode aplicar essas regras a dispositivos que estão se conectando remotamente a partir de redes locais ou entre recursos no Azure.
Regras de segurança
Um grupo de segurança de rede contém uma ou mais regras de segurança. Você pode configurar regras de segurança para permitir ou negar tráfego.
As regras têm várias propriedades:
| Propriedade | Explicação |
|---|---|
| Nome | Um nome exclusivo no grupo de segurança de rede |
| Prioridade | Um número entre 100 e 4096 |
| Origem e destino | Qualquer ou um endereço IP individual, bloco de roteamento entre domínios sem classe (CIDR) (10.0.0.0/24, por exemplo), etiqueta de serviço ou grupo de segurança de aplicativo |
| Protocolo | TCP, UDP ou Qualquer |
| Direção | Se a regra se aplica ao tráfego de entrada ou de saída |
| Intervalo de portas | Uma porta ou intervalo individual de portas |
| Ação | Permitir ou negar o tráfego |
As regras de segurança dos grupos de segurança de rede são avaliadas por prioridade, através das informações de cinco cadeias de identificação (origem, porta de origem, destino, porta de destino e protocolo) para permitir ou negar o tráfego. Quando as condições de uma regra correspondem à configuração do dispositivo, o processamento da regra é interrompido.
Por exemplo, suponha que a sua empresa criou uma regra de segurança para permitir tráfego de entrada na porta 3389 (RDP) para os seus servidores Web com uma prioridade de 200. Em seguida, imagine que outro administrador criou uma regra para negar o tráfego de entrada na porta 3389 com uma prioridade de 150. A regra de negação tem precedência porque é processada em primeiro lugar. A regra com uma prioridade de 150 é processada antes da regra com uma prioridade de 200.
Com os grupos de segurança de rede, as ligações têm monitorização de estado. O tráfego de retorno é permitido automaticamente para a mesma sessão TCP/UDP. Por exemplo, uma regra de entrada que permite tráfego na porta 80, também permite que a VM responda ao pedido (normalmente numa porta efémera). Não precisa de uma regra de saída correspondente.
Em relação ao sistema ERP, os servidores web para o aplicativo ERP se conectam a servidores de banco de dados que estão em suas próprias sub-redes. Só pode aplicar regras de segurança para indicar que a única comunicação permitida dos servidores Web para os servidores de bases de dados é a porta 1433 para comunicações de bases de dados do SQL Server. Todo o outro tráfego para os servidores de bases de dados será negado.
Regras de segurança predefinidas
Quando cria um grupo de segurança de rede, o Azure cria várias regras predefinidas. Essas regras padrão não podem ser alteradas, mas você pode substituí-las por suas próprias regras. Estas regras predefinidas permitem a conectividade numa rede virtual e a partir de balanceadores de carga do Azure. Eles também permitem a comunicação de saída para a internet e negam o tráfego de entrada da internet.
As regras predefinidas para o tráfego de entrada são:
| Prioridade | Nome da regra | Description |
|---|---|---|
| 65000 | AllowVnetInbound | Permitir entrada proveniente de qualquer VM para qualquer VM dentro da rede virtual |
| 65001 | AllowAzureLoadBalancerInBound | Permitir tráfego do balanceador de carga predefinido para qualquer VM na sub-rede |
| 65500 | DenyAllInBound | Negar tráfego de qualquer origem externa para qualquer uma das VMs |
As regras predefinidas para tráfego de saída são:
| Prioridade | Nome da regra | Description |
|---|---|---|
| 65000 | AllowVnetOutbound | Permitir saída de qualquer VM para qualquer VM dentro da rede virtual |
| 65001 | AllowInternetOutbound | Permitir que o tráfego de saída vá para a Internet a partir de qualquer VM |
| 65500 | DenyAllOutBound | Negar tráfego de qualquer VM interna para um sistema fora da rede virtual |
Regras de segurança aumentadas
Você pode usar regras de segurança aumentadas para grupos de segurança de rede para simplificar o gerenciamento de um grande número de regras. As regras de segurança aumentadas também ajudam quando tem de implementar conjuntos de regras de rede mais complexos. As regras aumentadas permitem-lhe adicionar as seguintes opções numa única regra de segurança:
- Vários endereços IP
- Várias portas
- Etiquetas de serviço
- Grupos de segurança da aplicação
Suponha que a sua empresa quer restringir o acesso aos recursos no seu datacenter, distribuídos por vários intervalos de endereços de rede. Com as regras aumentadas, pode adicionar todos estes intervalos numa única regra, reduzindo a sobrecarga administrativa e a complexidade nos seus grupos de segurança de rede.
Etiquetas de serviço
Você pode usar tags de serviço para simplificar ainda mais a segurança do grupo de segurança de rede. Pode permitir ou negar o tráfego para um serviço especificado do Azure, globalmente ou por região.
As tags de serviço simplificam a segurança para VMs e redes virtuais do Azure, permitindo que você restrinja o acesso por recursos ou serviços. As etiquetas de serviço representam um grupo de endereços IP e ajudam a simplificar a configuração das suas regras de segurança. Para os recursos que pode especificar através de uma etiqueta, não precisa de saber o endereço IP nem os detalhes da porta.
Pode restringir o acesso a vários serviços. A Microsoft gerencia as tags de serviço, o que significa que você não pode criar as suas próprias. Alguns exemplos das etiquetas:
- VirtualNetwork: representa todos os endereços de rede virtual em qualquer lugar no Azure e em sua rede local se você estiver usando conectividade híbrida.
- AzureLoadBalancer: indica o balanceador de carga de infraestrutura do Azure. A etiqueta traduz o endereço IP virtual do anfitrião (168.63.129.16), onde as sondas de estado de funcionamento do Azure têm origem.
- Internet: representa qualquer coisa fora do endereço de rede virtual acessível publicamente, incluindo recursos com endereços IP públicos. Um desses recursos é a funcionalidade Aplicações Web do Serviço de Aplicações do Azure.
- AzureTrafficManager: representa o endereço IP do Gerenciador de Tráfego do Azure.
- Armazenamento: representa o espaço de endereço IP para o Armazenamento do Azure. Pode especificar se o tráfego é permitido ou negado. Também pode especificar se o acesso é permitido apenas para uma região específica, mas não pode selecionar contas de armazenamento individuais.
- SQL: Representa o endereço dos serviços Banco de Dados SQL do Azure, Banco de Dados do Azure para MySQL, Banco de Dados do Azure para PostgreSQL e Azure Synapse Analytics. Pode especificar se o tráfego é permitido ou negado e ainda limitá-lo a uma região específica.
- AppService: representa prefixos de endereço para o Serviço de Aplicativo do Azure.
Grupos de segurança da aplicação
Os grupos de segurança de aplicação permitem-lhe configurar a segurança de rede dos recursos utilizados por aplicações específicas. Pode agrupar VMs logicamente, independentemente da atribuição de sub-rede e endereço IP.
Você pode usar grupos de segurança de aplicativo dentro de um grupo de segurança de rede para aplicar uma regra de segurança a um grupo de recursos. É mais fácil implantar e dimensionar cargas de trabalho específicas de aplicativos; basta adicionar uma nova implantação de VM a um ou mais grupos de segurança de aplicativo e essa VM seleciona automaticamente suas regras de segurança para essa carga de trabalho.
Um grupo de segurança de aplicativo permite agrupar interfaces de rede. Pode, em seguida, utilizar esse grupo de segurança de aplicações como uma regra de origem ou destino num grupo de segurança de rede.
Por exemplo, sua empresa tem muitos servidores front-end em uma rede virtual. Os servidores Web têm de ser acessíveis através das portas 80 e 8080. Os servidores de bases de dados têm de ser acessíveis através da porta 1433. Pode atribuir as interfaces de rede para os servidores Web a um grupo de segurança de aplicação e as interfaces de rede para os servidores de bases de dados a outro grupo de segurança de aplicação. Em seguida, crie duas regras de entrada no grupo de segurança de rede. Uma regra permite tráfego HTTP para todos os servidores no grupo de segurança de aplicação de servidor Web. A outra regra permite tráfego SQL para todos os servidores no grupo de segurança de aplicação de servidor de base de dados.
Sem grupos de segurança de aplicativos, você precisaria criar uma regra separada para cada VM ou adicionar um grupo de segurança de rede a uma sub-rede e, em seguida, adicionar todas as VMs a essa sub-rede.
A principal vantagem dos grupos de segurança de aplicação é que facilitam a administração. Pode adicionar e remover facilmente interfaces de rede de um grupo de segurança de aplicação à medida que implementa ou implementa novamente servidores de aplicações. Também pode aplicar dinamicamente novas regras a um grupo de segurança de aplicação, que são aplicadas automaticamente a todas as VMs nesse grupo de segurança de aplicação.
Quando deve utilizar grupos de segurança de rede
Como melhor prática, deve sempre utilizar grupos de segurança de rede para ajudar a proteger os seus recursos de rede contra o tráfego indesejado. Os grupos de segurança de rede dão-lhe acesso de controlo granular sobre a camada de rede, sem a potencial complexidade de definir regras de segurança para cada máquina virtual.