Configurar um grupo de segurança de aplicativo com um ponto de extremidade privado

Artigo
01/19/2024

Os pontos de extremidade privados do Link Privado do Azure dão suporte a ASGs (grupos de segurança de aplicativos) para segurança de rede. Você pode associar pontos de extremidade privados a um ASG existente em sua infraestrutura atual ao lado de máquinas virtuais e outros recursos de rede.

Pré-requisitos

Uma conta do Azure com uma assinatura ativa. Se você ainda não tiver uma conta do Azure, crie uma conta gratuitamente.
Um aplicativo Web do Azure com uma camada Premium V2 ou plano de serviço de aplicativo superior implantado em sua assinatura do Azure.
- Para obter mais informações e um exemplo, confira Início Rápido: Criar um aplicativo Web ASP.NET Core no Azure.
- O aplicativo Web de exemplo neste artigo é chamado myWebApp1979. Substitua o exemplo pelo nome do aplicativo Web.
Um ASG existente em sua assinatura. Para obter mais informações sobre ASGs, confira os Grupos de segurança de aplicativo.
- O ASG de exemplo usado neste artigo é denominado myASG. Substitua o exemplo pelo seu grupo de segurança de aplicativo.
Uma rede virtual e uma sub-rede existentes do Azure em sua assinatura. Para mais informações sobre como criar uma rede virtual, confira Início Rápido: criar uma rede virtual usando o portal do Azure.
- A rede virtual de exemplo usada neste artigo é denominada myVNet. Substitua o exemplo pela sua rede virtual.
Instale a versão mais recente da CLI do Azure.
- Verifique sua versão da CLI do Azure em uma janela Comando ou de terminal executando az --version. Para obter a última versão, confira as notas sobre a versão mais recente.
- Caso não tenha a última versão da CLI do Azure, atualize a instalação seguindo o guia de instalação para seu sistema operacional ou sua plataforma.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 5.4.1 ou posterior. Para localizar a versão instalada, execute Get-Module -ListAvailable Az. Se você precisa fazer a atualização, confira Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount para criar uma conexão com o Azure.

Criar um ponto de extremidade privado com um ASG

Você pode associar um ASG a um ponto de extremidade privado quando ele é criado. Os procedimentos a seguir demonstram como associar um ASG, ao ser criado, a um ponto de extremidade privado.

Entre no portal do Azure.
Na caixa de pesquisa, na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados nos resultados da pesquisa.
Selecione + Criar em Pontos de extremidade privados.

Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as seguintes informações:

Valor	Configuração
Detalhes do projeto
Subscription	Selecione sua assinatura.
Resource group	Selecione o grupo de recursos. Neste exemplo, é myResourceGroup.
Detalhes da instância
Nome	Insira myPrivateEndpoint.
Região	Selecione Leste dos EUA.

Selecione Avançar: Recurso na parte inferior da página.

Na guia Recurso, insira ou selecione as seguintes informações:

Valor	Configuração
Método de conexão	Selecione Conectar-se a um recurso do Azure no meu diretório.
Subscription	Selecione sua assinatura.
Tipo de recurso	Selecione Microsoft.Web/sites.
Recurso	Selecione mywebapp1979.
Sub-recurso de destino	Selecione sites.

Selecione Avançar: Rede Virtual na parte inferior da página.

Na guia Rede Virtual, insira ou selecione as seguintes informações:

Valor	Configuração
Rede
Rede virtual	Selecione myVNet.
Sub-rede	Selecione sua sub-rede. Neste exemplo, é myVNet/myBackendSubnet(10.0.0.0/24).
Habilite as políticas de rede para todos os pontos de extremidade privados desta sub-rede.	Deixe o padrão selecionado.
Grupo de segurança do aplicativo
Grupo de segurança do aplicativo	Selecione myASG.

Screenshot that shows ASG selection when creating a new private endpoint.

Selecione Avançar: DNS na parte inferior da página.
Selecione Próximo: Marcas na parte inferior da página.
Selecione Avançar: Revisar + criar.
Selecione Criar.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet

Associar um ASG a um ponto de extremidade privado existente

Você pode associar um ASG a um ponto de extremidade privado existente. Os procedimentos a seguir demonstram como associar um ASG a um ponto de extremidade privado existente.

Importante

Você deve ter um ponto de extremidade privado implantado anteriormente para prosseguir com as etapas desta seção. O ponto de extremidade de exemplo usado nesta seção é denominado myPrivateEndpoint. Substitua o exemplo pelo seu ponto de extremidade privado.

Entre no portal do Azure.
Na caixa de pesquisa, na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados nos resultados da pesquisa.
Em Pontos de extremidade privados, selecione myPrivateEndpoint.
No myPrivateEndpoint, em Configurações, selecione Grupos de segurança do aplicativo.
Em Grupos de segurança de aplicativos, selecione myASG na caixa suspensa.
Selecione Salvar.

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Próximas etapas

Para mais informações sobre o Link Privado do Azure, confira:

O que é o Link Privado do Azure?

Compartilhar via

Configurar um grupo de segurança de aplicativo com um ponto de extremidade privado

Pré-requisitos

Criar um ponto de extremidade privado com um ASG

Associar um ASG a um ponto de extremidade privado existente

Próximas etapas

Comentários

Recursos adicionais