Criar, alterar ou eliminar um grupo de segurança de rede

Ao usar regras de segurança em NSGs (grupos de segurança de rede), você pode filtrar o tipo de tráfego de rede que entra e sai de sub-redes de rede virtual e interfaces de rede. Para saber mais sobre NSGs, consulte Visão geral do grupo de segurança de rede. Em seguida, conclua o tutorial Filtrar tráfego de rede para ganhar alguma experiência com NSGs.

Pré-requisitos

Se não tiver uma conta do Azure com uma subscrição ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante deste artigo:

  • Utilizadores do portal: inicie sessão no portal do Azure com a sua conta do Azure.

  • Usuários do PowerShell: execute os comandos no Azure Cloud Shell ou execute o PowerShell localmente a partir do seu computador. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Ele tem ferramentas comuns do Azure que são pré-instaladas e configuradas para uso com sua conta. Na guia do navegador Cloud Shell, localize a lista suspensa Selecionar ambiente . Em seguida, selecione PowerShell se ainda não estiver selecionado.

    Se você estiver executando o PowerShell localmente, use o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az.Network para localizar a versão instalada. Se precisar de instalar ou atualizar, veja Install Azure PowerShell module(Instalar o módulo do Azure PowerShell). Execute Connect-AzAccount para entrar no Azure.

  • Usuários da CLI do Azure: execute os comandos no Cloud Shell ou execute a CLI do Azure localmente a partir do seu computador. O Cloud Shell é um shell interativo gratuito que você pode usar para executar as etapas neste artigo. Ele tem ferramentas comuns do Azure que são pré-instaladas e configuradas para uso com sua conta. Na guia do navegador Cloud Shell, localize a lista suspensa Selecionar ambiente . Em seguida, selecione Bash se ainda não estiver selecionado.

    Se você estiver executando a CLI do Azure localmente, use a CLI do Azure versão 2.0.28 ou posterior. Execute az --version para localizar a versão instalada. Se precisar de instalar ou atualizar, veja Instalar a CLI do Azure. Execute az login para entrar no Azure.

Atribua a função de Colaborador de Rede ou uma função personalizada com as permissões apropriadas.

Trabalhar com grupos de segurança de rede

Você pode criar, visualizar tudo, exibir detalhes, alterar e excluir um NSG. Você também pode associar ou dissociar um NSG de uma interface de rede ou de uma sub-rede.

Criar um grupo de segurança de rede

O número de NSGs que você pode criar para cada região e assinatura do Azure é limitado. Para saber mais, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na página Criar grupo de segurança de rede, na guia Noções básicas, insira ou selecione os seguintes valores:

    Definição Ação
    Detalhes do projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione um grupo de recursos existente ou crie um novo selecionando Criar novo. Este exemplo usa o myResourceGroup grupo de recursos.
    Detalhes da instância
    Nome do grupo de segurança de rede Insira um nome para o NSG que você está criando.
    País/Região Selecione a região desejada.

    Captura de tela que mostra a criação de um NSG no portal do Azure.

  4. Selecione Rever + criar.

  5. Depois de ver a mensagem Validação aprovada , selecione Criar.

Ver todos os grupos de segurança de rede

Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa para ver a lista de NSGs na sua assinatura.

Captura de ecrã que mostra a lista de grupos de segurança de Rede no portal do Azure.

Ver detalhes de um grupo de segurança de rede

  1. Na caixa de pesquisa na parte superior do portal, introduza Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do seu NSG.

    • Em Configurações, exiba as regras de segurança de entrada, regras de segurança de saída, interfaces de rede e sub-redes às quais o NSG está associado.
    • Em Monitoramento, habilite ou desabilite as configurações de diagnóstico. Para obter mais informações, consulte Log de recursos para um grupo de segurança de rede.
    • Em Ajuda, consulte Regras de segurança eficazes. Para obter mais informações, consulte Diagnosticar um problema de filtro de tráfego de rede de máquina virtual (VM).

    Captura de ecrã que mostra a página do grupo de segurança Rede no portal do Azure.

Para saber mais sobre as configurações comuns do Azure listadas, consulte os seguintes artigos:

Alterar um grupo de segurança de rede

As alterações mais comuns em um NSG são:

Associar ou dissociar um grupo de segurança de rede de ou para uma interface de rede

Para obter mais informações sobre a associação e dissociação de um NSG, consulte Associar ou dissociar um grupo de segurança de rede.

Associar ou dissociar um grupo de segurança de rede de ou para uma sub-rede

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG e, em seguida, selecione Sub-redes.

    • Para associar um NSG à sub-rede, selecione + Associar. Em seguida, selecione sua rede virtual e a sub-rede à qual você deseja associar o NSG. Selecione OK.

      Captura de ecrã que mostra a associação de um grupo de segurança de rede a uma sub-rede no portal do Azure.

    • Para dissociar um NSG da sub-rede, selecione os três pontos ao lado da sub-rede da qual você deseja dissociar o NSG e, em seguida, selecione Dissociar. Selecione Yes (Sim).

      Captura de tela que mostra dissociar um NSG de uma sub-rede no portal do Azure.

Excluir um grupo de segurança de rede

Se um NSG estiver associado a quaisquer sub-redes ou interfaces de rede, ele não poderá ser excluído. Dissocie um NSG de todas as sub-redes e interfaces de rede antes de tentar excluí-lo.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o NSG que você deseja excluir.

  3. Selecione Eliminar e selecione Sim na caixa de diálogo de confirmação.

    Captura de tela que mostra a exclusão de um grupo de segurança de rede no portal do Azure.

Trabalhar com regras de segurança

Um NSG contém zero ou mais regras de segurança. Você pode criar, exibir tudo, exibir detalhes, alterar e excluir uma regra de segurança.

Criar uma regra de segurança

O número de regras por NSG que você pode criar para cada local e assinatura do Azure é limitado. Para saber mais, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG ao qual você deseja adicionar uma regra de segurança.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

    Várias regras existentes são listadas, incluindo algumas que você pode não ter adicionado. Quando você cria um NSG, várias regras de segurança padrão são criadas nele. Para saber mais, consulte Regras de segurança padrão. Não é possível excluir regras de segurança padrão, mas substituí-las por regras com prioridade mais alta.

  4. Selecione + Adicionar. Selecione ou adicione valores para as seguintes configurações e, em seguida, selecione Adicionar.

    Definição Value Details
    Source Um dos seguintes:
    • Qualquer
    • Endereços IP
    • O meu endereço IP
    • Etiqueta de serviço
    • Grupo de segurança de aplicações

    Se você selecionar Endereços IP, também deverá especificar endereços IP de origem/intervalos CIDR.

    Se você selecionar Etiqueta de serviço, também deverá selecionar uma etiqueta de serviço de origem.

    Se você selecionar Grupo de segurança de aplicativo, também deverá selecionar um grupo de segurança de aplicativo existente. Se você selecionar Grupo de segurança de aplicativo para Origem e Destino, as interfaces de rede dentro de ambos os grupos de segurança de aplicativo deverão estar na mesma rede virtual. Saiba como criar um grupo de segurança de aplicativo.

    Endereços IP de origem/intervalos CIDR Uma lista delimitada por vírgulas de endereços IP e intervalos CIDR (Roteamento entre Domínios sem Classe)

    Essa configuração será exibida se você definir Source como Endereços IP. Você deve especificar um único valor ou uma lista separada por vírgulas de vários valores. Um exemplo de valores múltiplos é 10.0.0.0/16, 192.188.1.1. O número de valores que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.

    Se o endereço IP especificado for atribuído a uma VM do Azure, especifique seu endereço IP privado, não seu endereço IP público. O Azure processa regras de segurança depois de traduzir o endereço IP público para um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e endereços IP privados.

    Etiqueta de serviço de origem Uma etiqueta de serviço da lista pendente Essa configuração será exibida se você definir Source to Service Tag para uma regra de segurança. Uma etiqueta de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre as etiquetas de serviço disponíveis e o que cada etiqueta representa, consulte Etiquetas de serviço.
    Grupo de segurança do aplicativo de origem Um grupo de segurança de aplicativo existente Essa configuração será exibida se você definir Origem como Grupo de segurança Aplicativo. Selecione um grupo de segurança de aplicativo que exista na mesma região da interface de rede. Saiba como criar um grupo de segurança de aplicativo.
    Intervalos de portas de origem Um dos seguintes:
    • Uma única porta, como 80
    • Uma variedade de portas, tais como 1024-65535
    • Uma lista separada por vírgulas de portas únicas e/ou intervalos de portas, como 80, 1024-65535
    • Um asterisco (*) para permitir o tráfego em qualquer porto
    Essa configuração especifica as portas nas quais a regra permite ou nega tráfego. O número de portas que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.
    Destino Um dos seguintes:
    • Qualquer
    • Endereços IP
    • Etiqueta de serviço
    • Grupo de segurança de aplicações

    Se você selecionar Endereços IP, também deverá especificar Endereços IP de destino/intervalos CIDR.

    Se você selecionar Etiqueta de serviço, também deverá selecionar uma etiqueta de serviço de destino.

    Se você selecionar Grupo de segurança de aplicativo, também deverá selecionar um grupo de segurança de aplicativo existente. Se você selecionar Grupo de segurança de aplicativo para Origem e Destino, as interfaces de rede dentro de ambos os grupos de segurança de aplicativo deverão estar na mesma rede virtual. Saiba como criar um grupo de segurança de aplicativo.

    Endereços IP de destino/intervalos CIDR Uma lista delimitada por vírgulas de endereços IP e intervalos CIDR

    Essa configuração será exibida se você alterar Destino para Endereços IP. Você pode especificar endereços ou intervalos únicos ou múltiplos, como pode fazer com os endereços IP de origem e de origem/intervalos CIDR. O número que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.

    Se o endereço IP especificado for atribuído a uma VM do Azure, certifique-se de especificar seu IP privado, não seu endereço IP público. O Azure processa regras de segurança depois de traduzir o endereço IP público para um endereço IP privado para regras de segurança de entrada, mas antes de o Azure traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e endereços IP privados.

    Etiqueta de serviço de destino Uma etiqueta de serviço da lista pendente Essa configuração será exibida se você definir Destino como Etiqueta de Serviço para uma regra de segurança. Uma etiqueta de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre as etiquetas de serviço disponíveis e o que cada etiqueta representa, consulte Etiquetas de serviço.
    Grupo de segurança do aplicativo de destino Um grupo de segurança de aplicativo existente Essa configuração será exibida se você definir Destino como grupo de segurança Aplicativo. Selecione um grupo de segurança de aplicativo que exista na mesma região da interface de rede. Saiba como criar um grupo de segurança de aplicativo.
    Serviço Um protocolo de destino da lista suspensa Essa configuração especifica o protocolo de destino e o intervalo de portas para a regra de segurança. Você pode selecionar um serviço predefinido, como RDP, ou selecionar Personalizado e fornecer o intervalo de portas em Intervalos de portas de destino.
    Intervalos de portas de destino Um dos seguintes:
    • Uma única porta, como 80
    • Uma variedade de portas, tais como 1024-65535
    • Uma lista separada por vírgulas de portas únicas e/ou intervalos de portas, como 80, 1024-65535
    • Um asterisco (*) para permitir o tráfego em qualquer porto
    Assim como acontece com os intervalos de portas de origem, você pode especificar uma ou várias portas e intervalos. O número que você pode especificar é limitado. Para obter mais informações, consulte Limites do Azure.
    Protocolo Qualquer, TCP, UDP ou ICMP Você pode restringir a regra ao TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ou ICMP (Internet Control Message Protocol). O padrão é que a regra se aplique a todos os protocolos (Any).
    Ação Permitir ou Negar Essa configuração especifica se essa regra permite ou nega acesso para a configuração de origem e destino fornecida.
    Prioridade Um valor entre 100 e 4.096 que é exclusivo para todas as regras de segurança dentro do NSG O Azure processa regras de segurança em ordem de prioridade. Quanto menor o número, maior a prioridade. Recomendamos que você deixe uma lacuna entre os números de prioridade ao criar regras, como 100, 200 e 300. Deixar lacunas torna mais fácil adicionar regras no futuro, para que você possa dar-lhes prioridade maior ou menor do que as regras existentes.
    Nome Um nome exclusivo para a regra dentro do NSG O nome pode ter até 80 caracteres. Deve começar com uma letra ou número, e deve terminar com uma letra, número ou sublinhado. O nome pode conter apenas letras, números, sublinhados, pontos ou hífenes.
    Descrição Uma descrição do texto Opcionalmente, você pode especificar uma descrição de texto para a regra de segurança. A descrição não pode ter mais de 140 caracteres.

    Captura de ecrã que mostra a adição de uma regra de segurança a um grupo de segurança de rede no portal do Azure.

Ver todas as regras de segurança

Um NSG contém zero ou mais regras. Para saber mais sobre a lista de informações quando visualizar as regras, consulte Regras de segurança.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

    A lista contém todas as regras que você criou e as regras de segurança padrão do seu NSG.

    Captura de tela que mostra as regras de segurança de entrada de um grupo de segurança de rede no portal do Azure.

Exibir os detalhes de uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione a regra para a qual deseja exibir detalhes. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.

    Nota

    Este procedimento aplica-se apenas a uma regra de segurança personalizada. Não funciona se você escolher uma regra de segurança padrão.

    Captura de tela que mostra os detalhes de uma regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

Alterar uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione a regra que pretende alterar.

  5. Altere as configurações conforme necessário e selecione Salvar. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.

    Captura de tela que mostra a alteração dos detalhes da regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

    Nota

    Este procedimento aplica-se apenas a uma regra de segurança personalizada. Você não tem permissão para alterar uma regra de segurança padrão.

Excluir uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione as regras que deseja excluir.

  5. Selecione Eliminar e, em seguida, Sim.

    Captura de ecrã que mostra a eliminação de uma regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

    Nota

    Este procedimento aplica-se apenas a uma regra de segurança personalizada. Você não tem permissão para excluir uma regra de segurança padrão.

Trabalhar com grupos de segurança de aplicações

Um grupo de segurança de aplicativo contém zero ou mais interfaces de rede. Para saber mais, consulte Grupos de segurança de aplicativos. Todas as interfaces de rede em um grupo de segurança de aplicativo devem existir na mesma rede virtual. Para saber como adicionar uma interface de rede a um grupo de segurança de aplicativo, consulte Adicionar uma interface de rede a um grupo de segurança de aplicativo.

Criar um grupo de segurança de aplicativo

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na página Criar um grupo de segurança de aplicativo, na guia Noções básicas, insira ou selecione os seguintes valores:

    Definição Ação
    Detalhes do projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione um grupo de recursos existente ou crie um novo selecionando Criar novo. Este exemplo usa o myResourceGroup grupo de recursos.
    Detalhes da instância
    Nome Insira um nome para o grupo de segurança do aplicativo que você está criando.
    País/Região Selecione a região na qual você deseja criar o grupo de segurança do aplicativo.

    Captura de tela que mostra a criação de um grupo de segurança de aplicativo no portal do Azure.

  4. Selecione Rever + criar.

  5. Depois de ver a mensagem Validação aprovada , selecione Criar.

Exibir todos os grupos de segurança de aplicativos

Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa. Uma lista dos grupos de segurança do seu aplicativo aparece no portal do Azure.

Captura de tela que mostra grupos de segurança de aplicativos existentes no portal do Azure.

Exibir os detalhes de um grupo de segurança de aplicativo específico

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo para o qual você deseja exibir os detalhes.

Alterar um grupo de segurança de aplicativo

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo que você deseja alterar:

    • Selecione mover ao lado de Grupo de recursos ou Assinatura para alterar o grupo de recursos ou a assinatura, respectivamente.

    • Selecione editar ao lado de Tags para adicionar ou remover tags. Para saber mais, consulte Usar tags para organizar seus recursos do Azure e hierarquia de gerenciamento.

      Captura de tela que mostra a alteração de um grupo de segurança de aplicativo no portal do Azure.

      Nota

      Não é possível alterar o local de um grupo de segurança de aplicativo.

    • Selecione Controle de acesso (IAM) para atribuir ou remover permissões ao grupo de segurança do aplicativo.

Excluir um grupo de segurança de aplicativo

Não é possível excluir um grupo de segurança de aplicativo se ele contiver interfaces de rede. Para remover todas as interfaces de rede do grupo de segurança do aplicativo, altere as configurações da interface de rede ou exclua as interfaces de rede. Para saber mais, consulte Adicionar ou remover de grupos de segurança de aplicativos ou Excluir uma interface de rede.

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança do aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo que você deseja excluir.

  3. Selecione Excluir e, em seguida, selecione Sim para excluir o grupo de segurança do aplicativo.

    Captura de tela que mostra a exclusão de um grupo de segurança de aplicativo no portal do Azure.

Permissões

Para gerenciar NSGs, regras de segurança e grupos de segurança de aplicativos, sua conta deve ser atribuída à função de Colaborador de Rede . Você também pode usar uma função personalizada com as permissões apropriadas atribuídas, conforme listado nas tabelas a seguir.

Nota

Poderá não ver a lista completa de etiquetas de serviço se a função de Colaborador de Rede tiver sido atribuída a um nível de grupo de recursos. Para exibir a lista completa, você pode atribuir essa função em um escopo de assinatura. Se você só puder permitir a função de Colaborador de Rede para o grupo de recursos, também poderá criar uma função personalizada para as permissões Microsoft.Network/locations/serviceTags/read e Microsoft.Network/locations/serviceTagDetails/read. Atribua-os em um escopo de assinatura juntamente com a função de Colaborador de Rede no escopo do grupo de recursos.

Grupo de segurança de rede

Ação Nome
Microsoft.Network/networkSecurityGroups/read Obtenha um NSG.
Microsoft.Network/networkSecurityGroups/write Crie ou atualize um NSG.
Microsoft.Network/networkSecurityGroups/delete Exclua um NSG.
Microsoft.Network/networkSecurityGroups/join/action Associe um NSG a uma sub-rede ou interface de rede.

Nota

Para executar write operações em um NSG, a conta de assinatura deve ter pelo menos read permissões para o grupo de recursos juntamente com Microsoft.Network/networkSecurityGroups/write permissão.

Regra de grupo de segurança de rede

Ação Nome
Microsoft.Network/networkSecurityGroups/securityRules/read Obtenha uma regra.
Microsoft.Network/networkSecurityGroups/securityRules/write Crie ou atualize uma regra.
Microsoft.Network/networkSecurityGroups/securityRules/delete Excluir uma regra.

Grupo de segurança de aplicações

Ação Nome
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Junte uma configuração IP a um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Associe uma regra de segurança a um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/read Obtenha um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/write Crie ou atualize um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/delete Exclua um grupo de segurança de aplicativo.