Cenários do Firewall do Azure para inspecionar o tráfego destinado a um ponto de extremidade privado

Nota

Se você quiser proteger o tráfego para pontos de extremidade privados na WAN Virtual do Azure usando o hub virtual seguro, consulte Tráfego seguro destinado a pontos de extremidade privados na WAN Virtual do Azure.

O Azure Private Endpoint é o bloco de construção fundamental para o Azure Private Link. Os pontos de extremidade privados permitem que os recursos do Azure implantados em uma rede virtual se comuniquem de forma privada com recursos de link privado.

Os pontos de extremidade privados permitem o acesso de recursos ao serviço de link privado implantado em uma rede virtual. O acesso ao ponto de extremidade privado por meio de emparelhamento de rede virtual e conexões de rede locais estendem a conectividade.

Pode ser necessário inspecionar ou bloquear o tráfego de clientes para os serviços expostos por meio de pontos de extremidade privados. Conclua esta inspeção usando o Firewall do Azure ou um dispositivo virtual de rede de terceiros.

Aplicam-se as seguintes limitações:

  • O tráfego NSG (grupos de segurança de rede) é ignorado de pontos de extremidade privados devido à desativação de diretivas de rede para uma sub-rede em uma rede virtual por padrão. Para utilizar políticas de rede, como o suporte a Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, o suporte à diretiva de rede deve ser habilitado para a sub-rede. Essa configuração só é aplicável a pontos de extremidade privados dentro da sub-rede. Essa configuração afeta todos os pontos de extremidade privados dentro da sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no grupo de segurança de rede.

  • O tráfego de rotas definidas pelo usuário (UDR) é ignorado de pontos de extremidade privados. As rotas definidas pelo usuário podem ser usadas para substituir o tráfego destinado ao ponto de extremidade privado.

  • Uma única tabela de rotas pode ser anexada a uma sub-rede

  • Uma tabela de rotas suporta até 400 rotas

O Firewall do Azure filtra o tráfego usando:

Importante

A utilização de regras de aplicação em vez de regras de rede é recomendada ao inspecionar o tráfego destinado a pontos finais privados para manter a simetria do fluxo. As regras de aplicativo são preferidas em relação às regras de rede para inspecionar o tráfego destinado a pontos de extremidade privados, porque o Firewall do Azure sempre SNATs tráfego com regras de aplicativo. Se forem utilizadas regras de rede ou se for utilizada uma NVA em vez do Azure Firewall, o SNAT deverá ser configurado para o tráfego destinado a pontos finais privados para manter a simetria do fluxo.

Nota

A filtragem de FQDN do SQL é suportada apenas no modo proxy (porta 1433). O modo proxy pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando FQDN em regras de rede de firewall.

Cenário 1: Arquitetura Hub and spoke - Rede virtual dedicada para terminais privados

Dedicated Virtual Network for Private Endpoints

Este cenário é a arquitetura mais expansível para se conectar de forma privada a vários serviços do Azure usando pontos de extremidade privados. Uma rota apontando para o espaço de endereço de rede onde os pontos de extremidade privados são implantados é criada. Essa configuração reduz a sobrecarga administrativa e evita o limite de 400 rotas.

As conexões de uma rede virtual cliente com o Firewall do Azure em uma rede virtual de hub incorrem em encargos se as redes virtuais estiverem emparelhadas. As conexões do Firewall do Azure em uma rede virtual de hub para pontos de extremidade privados em uma rede virtual emparelhada não são cobradas.

Para obter mais informações sobre cobranças relacionadas a conexões com redes virtuais emparelhadas, consulte a seção Perguntas frequentes da página de preços .

Cenário 2: Arquitetura de hub e spoke - Rede virtual compartilhada para pontos de extremidade privados e máquinas virtuais

Private Endpoints and Virtual Machines in same Virtual Network

Este cenário é implementado quando:

  • Não é possível ter uma rede virtual dedicada para os pontos finais privados

  • Quando apenas alguns serviços são expostos na rede virtual usando pontos de extremidade privados

As máquinas virtuais têm rotas de sistema /32 apontando para cada ponto de extremidade privado. Uma rota por ponto de extremidade privado é configurada para rotear o tráfego por meio do Firewall do Azure.

A sobrecarga administrativa de manutenção da tabela de rotas aumenta à medida que os serviços são expostos na rede virtual. A possibilidade de atingir o limite de rota também aumenta.

Dependendo da sua arquitetura geral, é possível ultrapassar o limite de 400 rotas. Recomenda-se usar o cenário 1 sempre que possível.

As conexões de uma rede virtual cliente com o Firewall do Azure em uma rede virtual de hub incorrem em encargos se as redes virtuais estiverem emparelhadas. As conexões do Firewall do Azure em uma rede virtual de hub para pontos de extremidade privados em uma rede virtual emparelhada não são cobradas.

Para obter mais informações sobre cobranças relacionadas a conexões com redes virtuais emparelhadas, consulte a seção Perguntas frequentes da página de preços .

Cenário 3: Rede virtual única

Single virtual network

Use esse padrão quando uma migração para uma arquitetura de hub e spoke não for possível. Aplicam-se as mesmas considerações que no cenário 2. Nesse cenário, as taxas de emparelhamento de rede virtual não se aplicam.

Cenário 4: Tráfego local para pontos de extremidade privados

On-premises traffic to private endpoints

Essa arquitetura pode ser implementada se você tiver configurado a conectividade com sua rede local usando:

Se seus requisitos de segurança exigirem que o tráfego do cliente para serviços expostos por meio de pontos de extremidade privados seja roteado por meio de um dispositivo de segurança, implante este cenário.

Aplicam-se as mesmas considerações que no cenário 2 supra. Nesse cenário, não há cobranças de emparelhamento de rede virtual. Para obter mais informações sobre como configurar seus servidores DNS para permitir que cargas de trabalho locais acessem pontos de extremidade privados, consulte Cargas de trabalho locais usando um encaminhador DNS.

Próximos passos

Neste artigo, você explorou diferentes cenários que podem ser usados para restringir o tráfego entre uma máquina virtual e um ponto de extremidade privado usando o Firewall do Azure.

Para obter um tutorial sobre como configurar o Firewall do Azure para inspecionar o tráfego destinado a um ponto de extremidade privado, consulte Tutorial: Inspecionar o tráfego de ponto de extremidade privado com o Firewall do Azure

Para saber mais sobre o ponto de extremidade privado, consulte O que é o ponto de extremidade privado do Azure?.