Regras de administração de segurança no Azure Virtual Network Manager

Neste artigo, você aprenderá sobre as regras de administração de segurança no Gerenciador de Rede Virtual do Azure. As regras de administração de segurança são usadas para definir regras de segurança de rede global que se aplicam a todas as redes virtuais dentro de um grupo de rede. Você aprende sobre o que são regras de administração de segurança, como elas funcionam e quando usá-las.

O que é uma regra de administrador de segurança?

As regras de administração de segurança são regras de segurança de rede global que impõem políticas de segurança definidas na coleção de regras em redes virtuais. Essas regras podem ser usadas para Permitir, Sempre Permitir ou Negar tráfego em redes virtuais dentro de seus grupos de rede de destino. Esses grupos de rede só podem consistir em redes virtuais dentro do escopo de sua instância do gerenciador de rede virtual. As regras de administração de segurança não podem ser aplicadas a redes virtuais não gerenciadas por um gerenciador de rede virtual.

Aqui estão alguns cenários em que as regras de administração de segurança podem ser usadas:

Cenário Descrição
Restringir o acesso a portas de rede de alto risco As regras de administração de segurança podem ser usadas para bloquear o tráfego em portas específicas comumente visadas por invasores, como a porta 3389 para RDP (Remote Desktop Protocol) ou a porta 22 para Secure Shell (SSH).
Aplicação dos requisitos de conformidade As regras de administração de segurança podem ser usadas para impor requisitos de conformidade. Por exemplo, bloquear o tráfego de ou para endereços IP específicos ou blocos de rede.
Proteção de dados confidenciais As regras de administração de segurança podem ser usadas para restringir o acesso a dados confidenciais, bloqueando o tráfego de ou para endereços IP ou sub-redes específicos.
Impondo a segmentação da rede As regras de administração de segurança podem ser usadas para impor a segmentação de rede bloqueando o tráfego entre redes virtuais ou sub-redes.
Impondo a segurança no nível do aplicativo As regras de administração de segurança podem ser usadas para impor a segurança no nível do aplicativo, bloqueando o tráfego de ou para aplicativos ou serviços específicos.

Com o Azure Virtual Network Manager, você tem um local centralizado para gerenciar regras de administração de segurança. A centralização permite definir políticas de segurança em escala e aplicá-las a várias redes virtuais de uma só vez.

Nota

Atualmente, as regras de administração de segurança não se aplicam a pontos de extremidade privados que se enquadram no escopo de uma rede virtual gerenciada.

Como funcionam as regras de administração de segurança?

As regras de administração de segurança permitem ou negam tráfego em portas, protocolos e prefixos IP de origem/destino específicos em uma direção especificada. Ao definir uma regra de administrador de segurança, você especifica as seguintes condições:

  • A prioridade da regra
  • A ação a ser tomada (permitir, negar ou sempre permitir)
  • A direção do tráfego (entrada ou saída)
  • O protocolo a utilizar

Para aplicar políticas de segurança em várias redes virtuais, crie e implante uma configuração de administrador de segurança. Essa configuração contém um conjunto de coleções de regras e cada coleção de regras contém uma ou mais regras de administração de segurança. Uma vez criada, você associa a coleção de regras aos grupos de rede que exigem regras de administração de segurança. As regras são então aplicadas a todas as redes virtuais contidas nos grupos de rede quando a configuração é implantada. Uma única configuração fornece uma aplicação centralizada e escalável de políticas de segurança em várias redes virtuais.

Importante

Apenas uma configuração de administrador de segurança pode ser implantada em uma região. No entanto, várias configurações de conectividade podem existir em uma região. Para implantar várias configurações de administrador de segurança em uma região, você pode criar várias coleções de regras em uma configuração de segurança.

Como as regras de administração de segurança e os NSGs (grupos de segurança de rede) são avaliados

As regras de administração de segurança e os NSGs (grupos de segurança de rede) podem ser usados para impor políticas de segurança de rede no Azure. No entanto, têm âmbitos e prioridades diferentes. #

As regras de administração de segurança destinam-se a ser usadas por administradores de rede de uma equipe de governança central, delegando assim as regras NSG a equipes individuais de aplicativos ou serviços para especificar melhor a segurança, conforme necessário. As regras de administração de segurança têm uma prioridade maior do que as NSGs e são avaliadas antes das regras NSG.

Os NSGs, por outro lado, são usados para filtrar o tráfego de rede de e para sub-redes individuais ou interfaces de rede. Eles devem ser usados por equipes individuais de aplicativos ou serviços para especificar ainda mais a segurança, conforme necessário. Os NSGs têm uma prioridade menor do que as regras de administração de segurança e são avaliados após as regras de administração de segurança.

Atualmente, as regras de administração de segurança são aplicadas no nível da rede virtual, enquanto os grupos de segurança de rede podem ser associados no nível da sub-rede e da NIC. Esta tabela mostra essas diferenças e semelhanças:

Tipo de Regra Público-alvo Aplicado em Ordem de Avaliação Tipos de ação Parâmetros
Regras de administração de segurança Administradores de rede, equipe de governança central Redes virtuais Prioridade mais elevada Permitir, Negar, Permitir Sempre Prioridade, protocolo, ação, origem, destino
Regras do grupo de segurança de rede Equipas individuais Sub-redes, NICs Prioridade mais baixa, depois das regras de administração de segurança Permitir, Negar Prioridade, protocolo, ação, origem, destino

As regras de administração de segurança podem executar três ações no tráfego: Permitir, Sempre Permitir e Negar. Quando criadas, as regras Permitir são avaliadas primeiro, seguidas pelas regras do grupo de segurança de rede. Essa ação permite que as regras do grupo de segurança de rede tratem o tráfego de forma diferente, se necessário.

Se você criar uma regra Sempre Permitir ou Negar , a avaliação do tráfego será encerrada depois que a regra de administrador de segurança for avaliada. Com uma regra Sempre Permitir , o tráfego vai diretamente para o recurso e termina a avaliação adicional (e possivelmente conflitante) pelas regras NSG. Essa ação pode ser útil para impor o tráfego e evitar a negação pelas regras do grupo de segurança de rede. Com uma regra de negação , o tráfego é interrompido sem ser entregue no destino. As regras de administração de segurança não dependem de NSGs, portanto, elas podem ser usadas para criar regras de segurança padrão por conta própria.

Diagrama mostrando a ordem de avaliação do tráfego de rede com regras de administração de segurança e regras de segurança de rede.

Usando regras de administração de segurança e NSGs juntos, você pode aplicar políticas de segurança de rede nos níveis global e individual, garantindo que suas redes virtuais sejam seguras e compatíveis com as políticas de segurança da sua organização.

Importante

Quando as regras de administração de segurança são implantadas, o modelo de consistência eventual é usado. Isso significa que as regras de administração de segurança serão eventualmente aplicadas aos recursos contidos em uma rede virtual após um curto atraso.  Os recursos que são adicionados a uma rede virtual que já tem regras de administração de segurança aplicadas nela acabarão recebendo essas mesmas regras de administração de segurança com um atraso também.

Benefícios das regras de administração de segurança

As regras de administração de segurança oferecem muitos benefícios para proteger os recursos da sua organização. Usando regras de administração de segurança, você pode impor o tráfego permitido e evitar a negação por meio de regras de grupo de segurança de rede conflitantes. Você também pode criar regras de administração de segurança padrão que não dependem de NSGs para existir. Essas regras padrão podem ser especialmente úteis quando os proprietários de aplicativos configuram incorretamente ou esquecem de estabelecer NSGs. Além disso, as regras de administração de segurança fornecem uma maneira de gerenciar a segurança em escala, o que reduz a sobrecarga operacional que vem com um número crescente de recursos de rede.

Proteja portas de alto risco

Com base no estudo do setor e nas sugestões da Microsoft, recomendamos que os clientes restrinjam o tráfego externo usando regras de administração de segurança para esta lista de portas de alto risco. Estas portas são frequentemente utilizadas para a gestão de recursos ou transmissão de dados não segura/não encriptada e não devem ser expostas à Internet. No entanto, há momentos em que certas redes virtuais e seus recursos precisam permitir tráfego para gerenciamento ou outros processos. Você pode criar exceções onde necessário. Saiba como bloquear portas de alto risco com exceções para esses tipos de cenários.

Porta Protocolo Descrição
20 TCP Tráfego FTP não criptografado
21 TCP Tráfego FTP não criptografado
22 TCP SSH. Potenciais ataques de força bruta
23 TCP O TFTP permite tráfego não autenticado e/ou não encriptado
69 UDP O TFTP permite tráfego não autenticado e/ou não encriptado
111 TCP/UDP RPC. Autenticação não criptografada permitida
119 TCP NNTP para autenticação não criptografada
135 TCP/UDP Mapeador de pontos finais, vários serviços de gerenciamento remoto
161 TCP SNMP para autenticação não segura / sem autenticação
162 TCP/UDP SNMP Trap - não seguro / sem autenticação
445 TCP SMB - vetor de ataque bem conhecido
512 TCP Rexec no Linux - comandos remotos sem autenticação de criptografia
514 TCP Remote Shell - comandos remotos sem autenticação ou criptografia
593 TCP/UDP HTTP RPC EPMAP - chamada de procedimento remoto não criptografada
873 TCP Rsync - transferência de ficheiros não encriptados
2049 TCP/UDP Sistema de arquivos de rede
3389 TCP RDP - Porta de ataque de força bruta comum
5800 TCP Buffer de quadros remoto VNC sobre HTTP
5900 TCP Buffer de quadros remoto VNC sobre HTTP
11211 UDP Memcached

Gestão à escala

O Azure Virtual Network Manager fornece uma maneira de gerenciar suas políticas de segurança em escala com regras de administração de segurança. Quando você aplica uma configuração de administrador de segurança a um grupo de rede, todas as redes virtuais e seus recursos contidos no escopo dos grupos de rede recebem as regras de administração de segurança na política.

Os novos recursos são protegidos juntamente com os recursos existentes. Por exemplo, se você adicionar novas VMs a uma rede virtual no escopo de uma regra de administração de segurança, as VMs também serão protegidas automaticamente. Logo após a implantação dessas VMs, as regras de administração de segurança serão aplicadas e as protegerão.

Quando novos riscos de segurança são identificados, você pode implantá-los em escala criando uma regra de administração de segurança para proteger contra o novo risco e aplicando-a aos seus grupos de rede. Uma vez implantada essa nova regra, todos os recursos no escopo dos grupos de rede serão protegidos agora e no futuro.

Não aplicação das regras de administração de segurança

Na maioria dos casos, as regras de administração de segurança aplicam-se a todas as redes virtuais e sub-redes dentro do escopo da configuração de segurança aplicada de um grupo de rede. No entanto, existem alguns serviços que não aplicam regras de administração de segurança devido aos requisitos de rede do serviço. A política de intenção de rede do serviço impõe esses requisitos.

Não aplicação de regras de administração de segurança ao nível da rede virtual

Por padrão, as regras de administração de segurança não são aplicadas a uma rede virtual que contenha os seguintes serviços:

Quando uma rede virtual contém esses serviços, as regras de administração de segurança ignoram essa rede virtual. Se desejar que as regras Permitir sejam aplicadas a essa rede virtual, crie sua configuração de segurança com o AllowRulesOnly campo definido na classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices .NET. Quando definido, apenas as regras Permitir na sua configuração de segurança são aplicadas a esta rede virtual. As regras de negação não são aplicadas a esta rede virtual. As redes virtuais sem esses serviços podem continuar usando as regras Permitir e Negar .

Você pode criar uma configuração de segurança com Permitir somente regras e implantá-la em suas redes virtuais com o Azure PowerShell e a CLI do Azure.

Nota

Quando várias instâncias do securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices Azure Virtual Network Manager aplicam configurações diferentes na classe à mesma rede virtual, a configuração da instância do gerenciador de rede com o escopo mais alto será usada. Digamos que você tenha dois gerentes de rede virtual. O primeiro gerenciador de rede tem como escopo o grupo de gerenciamento raiz e tem uma configuração de segurança definida como AllowRulesOnly na securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe. O segundo gerenciador de rede virtual tem como escopo uma assinatura no grupo de gerenciamento raiz e usa o campo padrão Nenhum em sua configuração de segurança. Quando ambas as configurações aplicarem regras de administração de segurança à mesma rede virtual, a configuração AllowRulesOnly será aplicada à rede virtual.

Não aplicação de regras de administração de segurança ao nível da sub-rede

Da mesma forma, alguns serviços não aplicam regras de administração de segurança no nível da sub-rede quando a rede virtual das sub-redes está dentro do escopo de uma configuração de administrador de segurança. Esses serviços incluem:

  • Gateway de Aplicação do Azure
  • Azure Bastion
  • Azure Firewall
  • Azure Route Server
  • Gateway de VPN do Azure
  • WAN Virtual do Azure
  • Gateway do Microsoft Azure ExpressRoute

Nesse caso, as regras de administração de segurança não afetam os recursos na sub-rede com esses serviços. No entanto, outras sub-redes dentro da mesma rede virtual têm regras de administração de segurança aplicadas a elas.

Nota

Se você quiser aplicar regras de administração de segurança em sub-redes que contenham um Gateway de Aplicativo do Azure, verifique se cada sub-rede contém apenas gateways que foram provisionados com o isolamento de rede habilitado. Se uma sub-rede contiver um Gateway de Aplicativo do Azure sem isolamento de rede, as regras de administração de segurança não serão aplicadas a essa sub-rede.

Campos de administração de segurança

Quando você define uma regra de administrador de segurança, há campos obrigatórios e opcionais.

Campos obrigatórios

Prioridade

A prioridade de uma regra de administrador de segurança é um número inteiro entre 1 e 4096. Quanto menor o valor, maior a prioridade da regra. Por exemplo, uma regra de negação com prioridade de 10 substitui uma regra de permissão com prioridade de 20.

Ação

Você pode definir uma das três ações para uma regra de segurança:

Ação Descrição
Permitir Permite o tráfego na porta, protocolo e prefixos IP de origem/destino específicos na direção especificada.
Deny Bloqueie o tráfego na porta, no protocolo e nos prefixos IP de origem/destino especificados na direção especificada.
Permitir sempre Independentemente de outras regras com prioridade mais baixa ou grupos de segurança de rede definidos pelo usuário, permita o tráfego na porta, protocolo e prefixos IP de origem/destino especificados na direção especificada.

Direção

Você pode especificar a direção do tráfego para a qual a regra se aplica. Você pode definir entrada ou saída.

Protocolo

Os protocolos atualmente suportados com regras de administração de segurança são:

  • TCP
  • UDP
  • ICMP
  • ESP
  • AH
  • Quaisquer protocolos

Campos opcionais

Tipos de origem e destino

  • Endereços IP: Você pode fornecer endereços IPv4 ou IPv6 ou blocos de endereços na notação CIDR. Para listar vários endereços IP, separe cada endereço IP com uma vírgula.
  • Etiqueta de serviço: você pode definir tags de serviço específicas com base em regiões ou em um serviço inteiro. Consulte a documentação pública sobre etiquetas de serviço disponíveis para obter a lista de etiquetas suportadas. Fora desta lista, as regras de administração de segurança atualmente não suportam as tags de serviço AzurePlatformDNS, AzurePlatformIMDS e AzurePlatformLKM.

Portas de origem e de destino

Você pode definir portas comuns específicas para bloquear a partir da origem ou para o destino. Aqui está uma lista de portas TCP comuns:

Portas Nome do serviço
20, 21 FTP
22 SSH
23 Telnet
25 SMTP
53 DNS
80 HTTP
443 HTTPS
3389 RDP
1433 SQL

Próximos passos

Saiba como bloquear o tráfego de rede com uma configuração de administrador de segurança.