Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use um NSG (grupo de segurança de rede) do Azure para filtrar o tráfego de rede de e para recursos do Azure em uma rede virtual do Azure. Os grupos de segurança de rede fornecem recursos essenciais de filtragem de tráfego que ajudam a proteger sua infraestrutura de nuvem controlando qual tráfego pode fluir entre os recursos. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou tráfego de rede de saída de vários tipos de recursos do Azure. Para cada regra, você pode especificar detalhes de origem e destino, porta e protocolo.
Você pode implantar recursos de vários serviços do Azure em uma rede virtual do Azure. Para obter uma lista completa, consulte Serviços que podem ser implantados em uma rede virtual. Se desejado, você pode associar um grupo de segurança de rede a cada sub-rede de rede virtual e interface de rede em uma máquina virtual. O mesmo grupo de segurança de rede pode ser associado a tantas sub-redes quanto você escolher.
O diagrama a seguir ilustra diferentes cenários de como os grupos de segurança de rede podem ser implantados para permitir o tráfego de rede de e para a Internet pela porta TCP 80:
Consulte o diagrama anterior para entender como o Azure processa regras de entrada e saída. O diagrama ilustra como os grupos de segurança de rede lidam com a filtragem de tráfego.
Inbound traffic
Para tráfego de entrada, o Azure primeiro processa as regras em um grupo de segurança de rede associado a uma sub-rede, se houver. Em seguida, o Azure processará as regras em um grupo de segurança de rede associado ao adaptador de rede, se houver. Essa mesma ordem de avaliação se aplica ao tráfego intra-sub-rede.
VM1: as regras de segurança no NSG1 são processadas porque o NSG1 está associado à Sub-rede1 e a VM1 reside na Sub-rede1. A regra de segurança padrão DenyAllInbound bloqueia o tráfego, a menos que você crie uma regra personalizada que permita explicitamente a entrada da porta 80. O NSG2, associado à interface de rede NIC1, não avalia o tráfego bloqueado. No entanto, se o NSG1 permitir a porta 80 em sua regra de segurança, o NSG2 avaliará o tráfego. Para permitir a porta 80 para a máquina virtual, o NSG1 e o NSG2 devem incluir uma regra que permita a porta 80 da Internet.
VM2: as regras de segurança no NSG1 são processadas porque a VM2 também está na Sub-rede1. Como a VM2 não tem um grupo de segurança de rede associado à sua interface de rede, ela recebe todo o tráfego permitido por meio do NSG1 e nega todo o tráfego bloqueado pelo NSG1. O tráfego é permitido ou negado para todos os recursos na mesma sub-rede quando um grupo de segurança de rede está associado a uma sub-rede.
VM3: como não há nenhum grupo de segurança de rede associado à Sub-rede2, o tráfego é permitido na sub-rede e processado pelo NSG2 porque o NSG2 está associado ao adaptador de rede NIC1 anexado à VM3.
VM4: O tráfego para VM4 é bloqueado porque um grupo de segurança de rede não está associado à Subnet3 nem à interface de rede na máquina virtual. Todo o tráfego será bloqueado por meio de um adaptador de rede e sub-rede se não tiver um grupo de segurança de rede associado a eles. A máquina virtual com um endereço IP público padrão é segura por padrão. Para que o tráfego flua da Internet, um grupo de segurança de rede deve ser associado à sub-rede ou à interface de rede da máquina virtual. Para obter mais informações, consulte a versão do endereço IP.
Outbound traffic
Para tráfego de saída, o Azure processa regras de grupo de segurança de rede em uma ordem específica. O Azure avalia as regras em qualquer grupo de segurança de rede associado a uma interface de rede. Em seguida, o Azure processa as regras em qualquer grupo de segurança de rede associado à sub-rede. Essa mesma ordem de processamento se aplica ao tráfego de intra-sub-rede.
VM1: as regras de segurança no NSG2 são processadas. A regra de segurança padrão AllowInternetOutbound no NSG1 e no NSG2 permite o tráfego, a menos que você crie uma regra de segurança que nega explicitamente a porta 80 de saída para a Internet. Se o NSG2 negar a porta 80 em sua regra de segurança, ele negará o tráfego e o NSG1 nunca receberá o tráfego e não poderá avaliá-lo. Para negar a porta 80 da máquina virtual, um ou ambos os grupos de segurança de rede devem ter uma regra que negue a porta 80 à Internet.
VM2: todo o tráfego é enviado por meio do adaptador de rede para a sub-rede, já que o adaptador de rede anexado à VM2 não tem um grupo de segurança de rede associado a ele. As regras no NSG1 são processadas.
VM3: se o NSG2 negar a porta 80 em sua regra de segurança, ele bloqueará o tráfego. Se o NSG2 não negar a porta 80, a regra de segurança padrão AllowInternetOutbound no NSG2 permitirá o tráfego porque não há grupo de segurança de rede associado à Subnet2.
VM4: O tráfego flui livremente da VM4 porque nenhum grupo de segurança de rede está associado ao adaptador de rede da máquina virtual ou à Sub-rede3.
Intra-subnet traffic
É importante observar que as regras de segurança em um grupo de segurança de rede associado a uma sub-rede podem afetar a conectividade entre máquinas virtuais dentro dela. Por padrão, as máquinas virtuais na mesma sub-rede podem se comunicar com base em uma regra de grupo de segurança de rede padrão que permite o tráfego intra-sub-rede. Se você adicionar uma regra ao NSG1 que nega todo o tráfego de entrada e saída, VM1 e VM2 não poderão se comunicar entre si.
É possível exibir facilmente as regras de agregação aplicadas a um adaptador de rede exibindo as regras de segurança efetiva para determinado adaptador de rede. A funcionalidade de verificação de fluxo de IP no Observador de Rede do Azure ajuda a determinar se a comunicação é permitida para ou de uma interface de rede. A verificação de fluxo de IP determina se uma comunicação é permitida ou negada. Ele também identifica qual regra de segurança de rede é responsável por permitir ou negar o tráfego.
O verificador de rede do Gerenciador de Rede Virtual do Azure também pode ajudar a solucionar problemas de acessibilidade entre máquinas virtuais e a Internet ou outros recursos do Azure. O verificador de rede fornece insights sobre regras de grupo de segurança de rede e outras regras e políticas do Azure que podem afetar a conectividade.
Tip
Para uma configuração de segurança ideal, evite associar grupos de segurança de rede a uma sub-rede e suas interfaces de rede ao mesmo tempo. Escolha associar seu grupo de segurança de rede à sub-rede ou ao adaptador de rede, mas não a ambos. Quando você aplica grupos de segurança de rede em vários níveis, as regras podem entrar em conflito entre si. Essa sobreposição em regras de segurança geralmente leva a problemas inesperados de filtragem de tráfego que são difíceis de solucionar.
Next steps
Saiba quais recursos do Azure você pode implantar em uma rede virtual. Consulte a integração de rede virtual para os serviços do Azure para encontrar recursos que dão suporte a grupos de segurança de rede.
Conclua um tutorial rápido para obter a experiência de criação de um grupo de segurança de rede.
Se você estiver familiarizado com os grupos de segurança de rede e a necessidade de gerenciá-los, consulte Gerenciar um grupo de segurança de rede.
Se você estiver tendo problemas de comunicação e precisa solucionar problemas de grupos de segurança de rede, consulte Diagnosticar um problema de filtro de tráfego de rede em máquina virtual.
Saiba como habilitar logs de fluxo de rede virtual para analisar o tráfego para e da sua rede virtual que pode passar por grupos de segurança de rede associados.