Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O Azure tem dois modelos de implantação diferentes para criar e trabalhar com recursos: o Resource Manager e o clássico. Este artigo aborda o uso do modelo de implantação clássica. A Microsoft recomenda que a maioria das novas implantações use o modelo de implantação do Resource Manager.
Uma ACL (lista de controle de acesso de ponto de extremidade) é um aprimoramento de segurança disponível para sua implantação do Azure. Uma ACL fornece a capacidade de permitir ou negar seletivamente o tráfego para um ponto de extremidade de máquina virtual. Essa funcionalidade de filtragem de pacotes fornece uma camada adicional de segurança. Você pode especificar ACLs de rede somente para pontos de extremidade. Você não pode especificar uma ACL para uma rede virtual ou uma sub-rede específica contida em uma rede virtual. É recomendável usar NSGs (grupos de segurança de rede) em vez de ACLs, sempre que possível. Ao usar NSGs, a lista de controle de acesso de ponto de extremidade será substituída e não será mais imposta. Para saber mais sobre NSGs, confira a visão geral do grupo de segurança de rede
As ACLs podem ser configuradas usando o PowerShell ou o portal do Azure. Para configurar uma ACL de rede usando o PowerShell, consulte Gerenciando listas de controle de acesso para pontos de extremidade usando o PowerShell. Para configurar uma ACL de rede usando o portal do Azure, consulte Como configurar endpoints para uma máquina virtual.
Usando ACLs de rede, você pode fazer o seguinte:
- Permitir ou negar seletivamente o tráfego de entrada com base no intervalo de endereços IPv4 de sub-rede remota para um ponto de extremidade de entrada da máquina virtual.
- Endereços IP da lista de bloqueios
- Criar várias regras para cada ponto de extremidade de máquina virtual
- Use a ordenação de regras para garantir que o conjunto correto de regras seja aplicado em um determinado ponto de extremidade de máquina virtual (mais baixo a mais alto)
- Especifique uma ACL para um endereço IPv4 de sub-rede remota específico.
Consulte o artigo de limites do Azure para limites de ACL.
Como as ACLs funcionam
Uma ACL é um objeto que contém uma lista de regras. Quando você cria uma ACL e a aplica a um ponto de extremidade de máquina virtual, a filtragem de pacotes ocorre no nó de host da VM. Isso significa que o tráfego de endereços de IP remotos é filtrado pelo nó de host para regras de ACL correspondentes, em vez de ser na sua VM. Isso impede que sua VM gaste os preciosos ciclos de CPU na filtragem de pacotes.
Quando uma máquina virtual é criada, uma ACL padrão é colocada em prática para bloquear todo o tráfego de entrada. No entanto, se um ponto de extremidade for criado para (porta 3389), a ACL padrão será modificada para permitir todo o tráfego de entrada para esse ponto de extremidade. O tráfego de entrada de qualquer sub-rede remota é permitido para aquele ponto de extremidade, e o provisionamento de firewall não é necessário. Todas as outras portas estão bloqueadas para tráfego de entrada, exceto se forem criados pontos de extremidade para essas portas. O tráfego de saída é permitido por padrão.
Exemplo de tabela de ACL padrão
| Regra # | Sub-rede remota | Ponto de extremidade | Permissão/negação |
|---|---|---|---|
| 100 | 0.0.0.0/0 | 3389 | Permitir |
Permitir e negar
Você pode permitir ou negar seletivamente o tráfego de rede para o ponto de extremidade de entrada de uma máquina virtual, criando regras que especifiquem "permitir" ou "negar". É importante observar que, por padrão, quando um ponto de extremidade é criado, todo o tráfego é permitido para o ponto de extremidade. Por esse motivo, é importante entender como criar regras de permissão/negação e colocá-las na ordem de precedência adequada se você quiser um controle granular sobre o tráfego de rede que você escolhe permitir para alcançar o ponto de extremidade da máquina virtual.
Pontos a considerar:
- Sem ACL – Por padrão, quando um ponto de extremidade é criado, permitimos o acesso total ao ponto de extremidade.
- Permitir- Ao adicionar um ou mais intervalos de "permissão", você está negando todos os outros intervalos por padrão. Somente os pacotes do intervalo de IP permitido poderão se comunicar com o ponto de extremidade da máquina virtual.
- Negar- Ao adicionar um ou mais intervalos de "negação", você está permitindo todos os outros intervalos de tráfego por padrão.
- Combinação de Permissão e Negação - Você pode usar uma combinação de "permissão" e "negar" quando quiser esculpir um intervalo de IP específico para ser permitido ou negado.
Regras e precedência de regra
As ACLs de rede podem ser configuradas em pontos de extremidade de máquina virtual específicos. Por exemplo, você pode especificar uma ACL de rede para um ponto de extremidade RDP criado em uma máquina virtual que bloqueia o acesso a determinados endereços IP. A tabela a seguir mostra uma maneira de conceder acesso a VIPs (IPs virtuais públicos) de um determinado intervalo para permitir o acesso ao RDP. Todos os outros IPs remotos são negados. Seguimos uma ordem de regras em que a menor precedência prevalece.
Várias regras
No exemplo abaixo, se você quiser permitir o acesso ao ponto de extremidade RDP somente de dois intervalos de endereços IPv4 públicos (65.0.0.0/8 e 159.0.0.0/8), poderá fazer isso especificando duas regras de permissão . Nesse caso, como o RDP é criado por padrão para uma máquina virtual, talvez você queira bloquear o acesso à porta RDP com base em uma sub-rede remota. O exemplo a seguir mostra uma maneira de conceder acesso a VIPs (IPs virtuais públicos) de um determinado intervalo para permitir o acesso ao RDP. Todos os outros IPs remotos são negados. Isso funciona porque as ACLs de rede podem ser configuradas para um ponto de extremidade de máquina virtual específico e o acesso é negado por padrão.
Exemplo – Várias regras
| Regra # | Sub-rede remota | Ponto de extremidade | Permissão/negação |
|---|---|---|---|
| 100 | 65.0.0.0/8 | 3389 | Permitir |
| 200 | 159.0.0.0/8 | 3389 | Permitir |
Ordem das regras
Como várias regras podem ser especificadas para um ponto de extremidade, deve haver uma maneira de organizar regras para determinar qual regra tem precedência. A ordem de regra especifica precedência. As ACLs de rede seguem uma ordem de regra de precedência mais baixa . No exemplo abaixo, o ponto de extremidade na porta 80 recebe acesso de forma seletiva a apenas determinados intervalos de endereços IP. Para configurar isso, temos uma regra de negação (Regra nº 100) para endereços no espaço 175.1.0.1/24. Uma segunda regra é especificada com a precedência 200 que permite o acesso a todos os outros endereços abaixo de 175.0.0.0/8.
Exemplo – Precedência de regra
| Regra # | Sub-rede remota | Ponto de extremidade | Permissão/negação |
|---|---|---|---|
| 100 | 175.1.0.1/24 | 80 | Negar |
| 200 | 175.0.0.0/8 | 80 | Permitir |
ACLs de rede e conjuntos de balanceamento de carga
As ACLs de rede podem ser especificadas em um ponto de extremidade de um conjunto balanceado de carga. Se uma ACL for especificada para um conjunto de balanceamento de carga, a ACL de rede será aplicada a todas as máquinas virtuais nesse conjunto de balanceamento de carga. Por exemplo, se um conjunto de balanceamento de carga for criado com "Porta 80" e o conjunto de balanceamento de carga contiver 3 VMs, a ACL de rede criada no ponto de extremidade "Porta 80" de uma VM será aplicada automaticamente às outras VMs.
Próximas etapas
Gerenciar listas de controle de acesso para endpoints usando o PowerShell