Grupos de segurança de rede

Pode utilizar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure numa rede virtual do Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.

Este artigo descreve as propriedades de uma regra de grupo de segurança de rede, as regras de segurança padrão aplicadas e as propriedades da regra que você pode modificar para criar uma regra de segurança aumentada.

Regras de segurança

Um grupo de segurança de rede contém quantas regras desejar, dentro dos limites de assinatura do Azure. Cada regra especifica as propriedades seguintes:

Property Explicação
Nome Um nome exclusivo no grupo de segurança de rede. O nome pode ter até 80 caracteres. Deve começar com um caractere de palavra, e deve terminar com um caractere de palavra ou com '_'. O nome pode conter caracteres de palavra ou '.', '-', '_'.
Prioridade Um número entre 100 e 4096. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior. Quando o tráfego corresponder a uma regra, o processamento para. Como resultado, quaisquer regras que existam com prioridades mais baixas (números mais altos) que tenham os mesmos atributos que regras com prioridades mais altas não são processadas.
As regras de segurança padrão do Azure recebem o maior número com a menor prioridade para garantir que as regras personalizadas sejam sempre processadas primeiro.
Origem ou destino Qualquer endereço IP ou um endereço IP individual, um bloco CIDR (Classless Inter-domain Routing) (por exemplo, 10.0.0.0/24), uma etiqueta de serviço ou um grupo de segurança de aplicação. Se especificar um endereço para um recurso do Azure, indique o endereço IP privado atribuído ao mesmo. Os grupos de segurança de rede são processados depois de o Azure traduzir um endereço IP público num privado para tráfego de entrada e antes de traduzir um endereço IP privado num público para tráfego de saída. Menos regras de segurança são necessárias quando você especifica um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicativo. A capacidade de especificar vários endereços IP individuais e intervalos (não é possível especificar várias tags de serviço ou grupos de aplicativos) em uma regra é chamada de regras de segurança aumentada. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager. Não é possível especificar vários endereços IP e intervalos de endereços IP em grupos de segurança de rede criados por meio do modelo de implantação clássico.
Se a origem apontar para a sub-rede 10.0.1.0/24 (onde o VM1 está localizado) e o destino apontar para a sub-rede 10.0.2.0/24 (onde o VM2 está localizado), isso indica que o objetivo do NSG é filtrar o tráfego de rede para VM2 e o NSG está associado à interface de rede do VM2.
Protocolo TCP, UDP, ICMP, ESP, AH ou qualquer. Os protocolos ESP e AH não estão atualmente disponíveis através do portal do Azure, mas podem ser utilizados através de modelos ARM.
Direção Indica se a regra se aplica a tráfego de entrada ou de saída.
Intervalo de portas Pode especificar uma porta individual ou um intervalo de portas. Por exemplo, pode indicar 80 ou 10000-10005. Especificar intervalos permite-lhe criar menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager. Não é possível especificar várias portas ou intervalos de portas na mesma regra de segurança em grupos de segurança de rede criados por meio do modelo de implantação clássico.
Ação Permitir ou negar

As regras de segurança são avaliadas e aplicadas com base nas informações de cinco tuplas (origem, porta de origem, destino, porta de destino e protocolo). Não é possível criar duas regras de segurança com a mesma prioridade e direção. É criado um registo de fluxo para as ligações existentes. A comunicação é permitida ou negada com base no estado da ligação do registo do fluxo. O registo do fluxo permite que um grupo de segurança de rede tenha monitoração de estado. Se especificar uma regra de segurança de saída para qualquer endereço através da porta 80, por exemplo, não é necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Só tem de especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também se aplica. Se o tráfego de entrada for permitido numa porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego através da porta.

As conexões existentes não podem ser interrompidas quando você remove uma regra de segurança que permitiu a conexão. Modificar as regras do grupo de segurança de rede afetará apenas novas conexões. Quando uma nova regra é criada ou uma regra existente é atualizada em um grupo de segurança de rede, ela só se aplica a novas conexões. As ligações existentes não são reavaliadas com as novas regras.

Há limites ao número de regras de segurança que pode criar num grupo de segurança de rede. Para obter mais detalhes, veja Limites do Azure.

Regras de segurança predefinidas

O Azure cria as seguintes regras predefinidas em cada grupo de segurança de rede que criar:

Interna

AllowVNetInBound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualquer Permitir
AllowAzureLoadBalancerInBound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Qualquer Permitir
DenyAllInbound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualquer Negar

De Saída

AllowVnetOutBound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Qualquer Permitir
AllowInternetOutBound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Qualquer Permitir
DenyAllOutBound
Prioridade Origem Portas de origem Destino Portas de destino Protocolo Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Qualquer Negar

Nas colunas Source (Origem) e Destination (Destino), VirtualNetwork, AzureLoadBalancer e Internet são etiquetas de serviço e não endereços IP. Na coluna de protocolo, Any engloba TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Any. 0.0.0.0/0 nas colunas Source e Destination representa todos os endereços. Clientes como o portal do Azure, CLI do Azure ou PowerShell podem usar * ou qualquer um para essa expressão.

Não é possível remover as regras padrão, mas substituí-las criando regras com prioridades mais altas.

Regras de segurança aumentadas

As regras de segurança aumentadas simplificam a definição de segurança das redes virtuais, permitindo-lhe definir políticas de segurança de rede maiores e mais complexas com menos regras. Pode combinar várias portas e vários endereços IP explícitos e intervalos numa regra de segurança individual e facilmente compreendida. Utilize as regras aumentadas nos campos de origem, destino e porta das regras. Para simplificar a manutenção da definição de segurança de rede, combine regras de segurança aumentadas com etiquetas de serviço ou grupos de segurança de aplicações. Há limites para o número de endereços, intervalos e portas que você pode especificar em uma regra. Para obter mais detalhes, veja Limites do Azure.

Etiquetas de serviço

Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ajuda a minimizar a complexidade das atualizações frequentes das regras de segurança de rede.

Para obter mais informações, consulte Tags de serviço do Azure. Para obter um exemplo sobre como usar a tag de serviço de armazenamento para restringir o acesso à rede, consulte Restringir o acesso à rede a recursos PaaS.

Grupos de segurança de aplicação

Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos. Para saber mais, consulte Grupos de segurança de aplicativos.

Considerações sobre a plataforma do Azure

  • IP virtual do nó do host: serviços básicos de infraestrutura como DHCP, DNS, IMDS e monitoramento de integridade são fornecidos por meio dos endereços IP do host virtualizado 168.63.129.16 e 169.254.169.254. Esses endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados usados em todas as regiões para essa finalidade. Por padrão, esses serviços não estão sujeitos aos grupos de segurança de rede configurados, a menos que sejam direcionados por tags de serviço específicas para cada serviço. Para substituir essa comunicação de infraestrutura básica, você pode criar uma regra de segurança para negar o tráfego usando as seguintes marcas de serviço em suas regras do Grupo de Segurança de Rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem de tráfego de rede e diagnosticar o roteamento de rede.

  • Licenciamento (Serviço de Gestão de Chaves): as imagens do Windows em execução nas máquinas virtuais têm de ser licenciadas. Para garantir o licenciamento, é enviado um pedido para os servidores de anfitrião do Key Management Service que processam estas consultas. O pedido é feito através da porta 1688 de saída. Para implementações que utilizam a configuração de rota predefinida 0.0.0.0/0, esta regra de plataforma será desativada.

  • Máquinas virtuais em conjuntos com balanceamento de carga: a porta de destino e o intervalo de endereços aplicados são provenientes do computador de origem, não do balanceador de carga. A porta de destino e o intervalo de endereços destinam-se ao computador de destino, não ao balanceador de carga.

  • Instâncias de serviço do Azure: as instâncias de vários serviços do Azure, como o HDInsight, os Ambientes de Serviço de Aplicações e os Conjuntos de Dimensionamento de Máquinas Virtuais, são implementados em sub-redes da rede virtual. Para obter uma lista completa dos serviços que pode implementar em redes virtuais, veja Rede virtual para os serviços do Azure. Antes de aplicar um grupo de segurança de rede à sub-rede, familiarize-se com os requisitos de porta para cada serviço. Se você negar as portas exigidas pelo serviço, o serviço não funcionará corretamente.

  • Enviar e-mails de saída: a Microsoft recomenda que utilize serviços de reencaminhamento de SMTP autenticados (normalmente ligados através da porta TCP 587, mas, muitas vezes, também através de outras portas) para enviar e-mails a partir de Máquinas Virtuais do Azure. Os serviços de reencaminhamento de SMTP especializam-se na reputação do remetente, para minimizar a possibilidade de os fornecedores de e-mail de terceiros rejeitarem mensagens. Esses serviços de retransmissão SMTP incluem, mas não estão limitados a, Proteção do Exchange Online e SendGrid. A utilização dos serviços de reencaminhamento de SMTP não está de forma alguma restringida no Azure, independentemente do seu tipo de subscrição.

    Se tiver criado a sua subscrição do Azure antes de 15 de novembro de 2017, para além de poder utilizar os serviços de reencaminhamento de SMTP, também pode enviar e-mails diretamente através da porta TCP 25. Se tiver criado a sua subscrição após 15 de novembro de 2017, poderá não conseguir enviar e-mails diretamente através da porta 25. O comportamento da comunicação de saída através da porta 25 depende do seu tipo de subscrição, da seguinte forma:

    • Enterprise Agreement: Para VMs implantadas em assinaturas padrão do Enterprise Agreement, as conexões SMTP de saída na porta TCP 25 não serão bloqueadas. No entanto, não há garantia de que domínios externos aceitarão os e-mails recebidos das VMs. Se seus e-mails forem rejeitados ou filtrados pelos domínios externos, você deve entrar em contato com os provedores de serviços de e-mail dos domínios externos para resolver os problemas. Esses problemas não são cobertos pelo suporte do Azure.

      Para subscrições de Desenvolvimento/Teste Empresarial, a porta 25 está bloqueada por predefinição. É possível remover este bloqueio. Para solicitar a remoção do bloqueio, vá para a seção Não é possível enviar email (porta SMTP 25) da página Diagnosticar e resolver configurações para o recurso Rede Virtual do Azure no portal do Azure e execute o diagnóstico. Isso isentará as assinaturas de desenvolvimento/teste empresariais qualificadas automaticamente.

      Depois que a assinatura for isenta desse bloco e as VMs forem interrompidas e reiniciadas, todas as VMs dessa assinatura serão isentas no futuro. A isenção aplica-se apenas à subscrição solicitada e apenas ao tráfego de VM que é encaminhado diretamente para a Internet.

    • Pay as you go: a comunicação de saída através da porta 25 está bloqueada a partir de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.

    • MSDN, Azure Pass, Azure em avaliação Aberta, Educação e Gratuita: a comunicação da porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.

    • Provedor de serviços de nuvem: a comunicação da porta de saída 25 está bloqueada de todos os recursos. Nenhuma solicitação para remover a restrição pode ser feita, porque as solicitações não são concedidas. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.

Próximos passos

  • Para saber quais recursos do Azure podem ser implantados em uma rede virtual e ter grupos de segurança de rede associados a eles, consulte Integração de rede virtual para serviços do Azure
  • Para saber como o tráfego é avaliado com grupos de segurança de rede, consulte Como funcionam os grupos de segurança de rede.
  • Se nunca tiver criado um grupo de segurança de rede, pode seguir um tutorial rápido para ganhar experiência na criação de um.
  • Se estiver familiarizado com os grupos de segurança de rede e tiver de geri-los, veja Manage a network security group (Gerir um grupo de segurança de rede).
  • Se estiver com problemas de comunicação e precisar de resolver problemas nos grupos de segurança de rede, veja Diagnose a virtual machine network traffic filter problem (Diagnosticar problemas de filtro de tráfego de rede de uma máquina virtual).
  • Saiba como habilitar os logs de fluxo do grupo de segurança de rede para analisar o tráfego de rede de e para recursos que têm um grupo de segurança de rede associado.