Determinar as regras efetivas do grupo de segurança de rede

Cada grupo de segurança de rede e as regras de segurança definidas são avaliados de modo independente. O Azure processa as condições em cada regra definida para cada máquina virtual na configuração.

• Para o tráfego de entrada, o Azure processa primeiro as regras de segurança do grupo de segurança de rede das sub-redes associadas e depois todos os adaptadores de rede associados.
• Para tráfego de saída, o processo é invertido. O Azure avalia primeiro as regras de segurança do grupo de segurança de rede dos adaptadores de rede associados e depois as sub-redes associadas.
• Para o processo de avaliação de entrada e saída, o Azure também verifica como aplicar as regras para o tráfego dentro da sub-rede. O tráfego de intra-sub-rede refere-se a máquinas virtuais na mesma sub-rede.

Como o Azure acaba aplicando suas regras de segurança definidas para uma máquina virtual determina a eficácia geral de suas regras.

Avaliação do grupo de segurança de rede

Quando você aplica Grupos de Segurança de Rede a um adaptador de rede e a uma sub-rede, cada Grupo de Segurança de Rede é avaliado de maneira independente. As regras de entrada e de saída são consideradas com base na ordem de prioridade e processamento.

Informações importantes sobre a criação de regras efetivas

Examine as considerações a seguir de como criar regras de segurança efetivas para computadores na rede virtual.

• Considere permitir todo o tráfego. Se você colocar a máquina virtual em uma sub-rede ou usar um adaptador de rede, não precisará associar a sub-rede ou o adaptador de rede a um grupo de segurança de rede. Essa abordagem permite todo o tráfego de rede por meio da sub-rede ou do adaptador de rede de acordo com as regras de segurança padrão do Azure. Se você não estiver preocupado em controlar o tráfego para o recurso em um nível específico, não associe o recurso nesse nível a um grupo de segurança de rede.

• Considere a importância das regras de permissão. Ao criar um grupo de segurança de rede, você deve definir uma regra de permissão para a sub-rede e a interface de rede no grupo para garantir que o tráfego possa passar. Se você tiver uma sub-rede ou um adaptador de rede no grupo de segurança de rede, defina uma regra de permissão em cada nível. Caso contrário, o tráfego será negado em qualquer nível que não forneça uma definição de regra de permissão.

• Considere o tráfego dentro da sub-rede. As regras de segurança de um grupo de segurança de rede associado a uma sub-rede podem afetar o tráfego entre todas as máquinas virtuais na sub-rede. Você pode proibir o tráfego dentro da sub-rede definindo uma regra no grupo de segurança de rede para negar todo o tráfego de entrada e saída. Essa regra impede que todas as máquinas virtuais na sub-rede se comuniquem entre si.

• Considere a prioridade da regra. As regras de segurança de um grupo de segurança de rede são processadas em ordem de prioridade. Para garantir que uma regra de segurança específica seja sempre processada, atribua o menor valor de prioridade possível à regra. Uma boa prática é deixar lacunas na numeração de prioridade, como 100, 200, 300 e assim por diante. As lacunas na numeração permitem que você adicione novas regras sem precisar editar as regras existentes.

Exibir regras de segurança em vigor

Se você tiver vários grupos de segurança de rede e não tiver certeza de quais regras de segurança estão sendo aplicadas, poderá usar o link Regras de segurança efetivas no portal do Azure. Você pode usar o link para verificar quais regras de segurança são aplicadas a computadores, sub-redes e adaptadores de rede.