Solucionar problemas de NSGs
Demonstrar compreensão dos dados de configuração do NSG (grupo de segurança de rede), incluindo portas, marcas de serviço e números de prioridade
Grupos de segurança de rede
Um grupo de segurança de rede do Azure filtra o tráfego de rede destinado e proveniente dos recursos em uma rede virtual do Azure. Um grupo de segurança de rede é composto por regras de segurança que permitem ou negam o tráfego de rede de entrada e de saída, de e para, vários tipos de recursos do Azure. Para cada regra, você pode especificar origem e destino, porta e protocolo.
Nesta unidade, você aprenderá sobre:
As propriedades de uma regra de grupo de segurança de rede e as regras de segurança padrão que são aplicadas.
As propriedades da regra que você pode modificar para criar uma regra de segurança aumentada.
Regras de segurança
Um grupo de segurança de rede pode conter desde zero regras a quantas regras forem necessárias, dentro dos limites da assinatura do Azure. Cada regra especifica as seguintes propriedades:
| Propriedade | Explicação |
|---|---|
| Nome | Um nome exclusivo dentro do Grupo de Segurança de Rede. |
| Prioridade | As regras com números mais baixos são processadas antes daquelas com números mais altos, pois números mais baixos têm prioridade mais alta. O número pode estar entre 100 e 4096. |
| Origem ou destino | Se você especificar um endereço para um recurso do Azure, deverá especificar o endereço IP privado, um intervalo, uma marca de serviço ou um grupo de segurança de aplicativo atribuído ao recurso. |
| Protocolo | TCP, UDP, ICMP, ESP, AH ou Qualquer. |
| Direção | Se a regra se aplica ao tráfego de entrada ou de saída. |
| Intervalo de portas | A especificação de intervalos permite que você crie menos regras de segurança. Você pode especificar uma porta individual ou um intervalo de portas. Por exemplo, 80 ou 10000-10005. |
| Ação | Permitir ou negar. |
Há limites ao número de regras de segurança que você pode criar em um grupo de segurança de rede. Para obter detalhes, confira Limites do Azure.
Regras de segurança padrão
O Azure cria as seguintes regras padrão em cada um de seus grupos de segurança de rede:
Entrada
AllowVNetInBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Permitir |
AllowAzureLoadBalancerInBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
DenyAllInbound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
Saída
AllowVnetOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Qualquer | Permitir |
AllowInternetOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Qualquer | Permitir |
DenyAllOutBound
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Qualquer | Permitir |
Nas colunas Origem e Destino, VirtualNetwork, AzureLoadBalancer e Internet são marcas de serviço, e não endereços IP. Na coluna de protocolo, a opção Qualquer abrange TCP, UDP e ICMP. Ao criar uma regra, você pode especificar TCP, UDP, ICMP ou Qualquer. 0.0.0.0/0 nas colunas Origem e Destino representa todos os endereços. Clientes como o portal do Azure, a CLI do Azure ou o PowerShell podem usar ***** ou Any para essa expressão.
Não é possível remover as regras padrão, mas você pode substituí-las criando regras com prioridades mais altas.
Regras de segurança aumentadas
Com regras de segurança aumentadas, você pode combinar várias portas e vários intervalos e endereços IP explícitos em uma só regra de segurança. Em outras palavras, regras de segurança aumentadas simplificam a definição de segurança das redes virtuais. Isso permite que você divida políticas de segurança de rede maiores e complexas em regras menores e mais simples. Normalmente, regras aumentadas são usadas nos campos de origem, destino e porta de uma regra.
Combinar regras de segurança aumentadas com marcas de serviço ou grupos de segurança de aplicativos ajuda a simplificar a definição da regra de segurança. No entanto, há limites quanto à quantidade de endereços, intervalos e portas que você pode especificar em uma regra.
Marcas de serviço: uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. Ajudam a minimizar a complexidade de atualizações frequentes em regras de segurança de rede. Consulte Marcas de serviço do Azure.
Para ver um exemplo de como usar a marca de serviço Armazenamento para restringir o acesso à rede, confira Restringir o acesso à rede a recursos de PaaS com pontos de extremidade de serviço de rede virtual usando o portal do Azure.
Grupos de segurança de aplicativo: os grupos de segurança de aplicativo habilitam você a configurar a segurança de rede como uma extensão natural de uma estrutura do aplicativo. Isso permite agrupar máquinas virtuais e definir políticas de segurança de rede baseadas nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. Para saber mais, confira Grupos de segurança de aplicativo.
Solucionar problemas de configuração do NSG
Os NSGs (grupos de segurança de rede) permitem controlar o fluxo de entrada e saída do tráfego de uma VM (máquina virtual). Você pode associar um NSG a uma sub-rede em uma rede virtual do Azure, um adaptador de rede conectado a uma VM ou ambos. As regras de segurança aplicadas a um adaptador de rede são uma combinação das regras presentes no NSG associadas a um adaptador de rede e à sub-rede na qual o adaptador de rede está. Você pode examinar conflitos entre regras em NSGs diferentes que são aplicadas nos adaptadores de rede da VM.
Os seguintes artigos ajudam a entender:
Nesta unidade, você aprenderá a diagnosticar um problema de filtro de tráfego de rede exibindo as regras de segurança do NSG que estão em vigor para uma VM.
Diagnosticar usando o portal do Azure
Cenário
Quando você tenta se conectar a uma VM pela porta 80 da internet, a conexão falha. Para entender por que isso acontece, você pode examinar as regras de segurança em vigor para uma interface de rede usando o portal do Azure, o PowerShell ou a CLI do Azure.
Se você não tiver uma VM para exibir as regras de segurança em vigor, primeiro precisará implantar uma VM Linux ou Windows para concluir a tarefa.
Na tarefa a seguir, os exemplos são referentes a uma VM chamada myVM com um adaptador de rede chamado myVMVMNic. A VM e o adaptador de rede estão em um grupo de recursos chamado myResourceGroup e estão na região Leste dos EUA. Para diagnosticar o problema, ajuste os valores nas etapas conforme necessário para a VM.
Faça logon no portal do Azure.
Na parte superior do portal do Azure, insira o nome da VM na caixa de pesquisa. Quando o nome da VM aparecer nos resultados da pesquisa, selecione-o.
Em CONFIGURAÇÕES, selecione Rede.
As regras listadas na figura a seguir são referentes a um adaptador de rede chamado myVMVMNic. Há REGRAS DE PORTA DE ENTRADA para o adaptador de rede de dois grupos de segurança de rede diferentes:
mySubnetNSG: Associado à sub-rede em que o adaptador de rede está.
myVMNSG: associado ao adaptador de rede na VM nomeada myVMVMNic.
Como você pode ver na imagem anterior, a regra chamada DenyAllInBound está impedindo a comunicação de entrada da Internet para a VM pela porta 80. A regra lista 0.0.0.0/0 para origem, que inclui a internet. Nenhuma outra regra com uma prioridade mais alta (número menor) permite a entrada pela porta 80. Para permitir a entrada da porta 80 para a VM da Internet, confira Resolver um problema.
Em REGRAS DE PORTA DE SAÍDA, na parte inferior, há regras de porta de saída para a interface de rede. VirtualNetwork e AzureLoadBalancer são marcas de serviço. As tags de serviço representam um grupo de prefixos de endereço IP para ajudar a minimizar a complexidade da criação de regras de segurança.
Verifique se a VM está em execução e selecione Regras de segurança em vigor, conforme mostrado na seguinte imagem:
Você pode ver que há guias diferentes para o NSG associado ao adaptador de rede e à sub-rede. As regras listadas são as mesmas da etapa 3, embora, conforme mostrado na imagem, apenas as primeiras 50 regras sejam exibidas. Para fazer download de um arquivo .csv que contém todas as regras, selecione Baixar.
Para ver quais prefixos cada marca de serviço representa, selecione uma regra, como AllowAzureLoadBalancerInbound. A seguinte figura mostra os prefixos da marca de serviço AzureLoadBalancer:
A VM neste exemplo tem dois adaptadores de rede, myVMVMNic e myVMVMNic2 anexados a ela. As regras de segurança efetivas podem ser diferentes para cada interface de rede. Selecione myVMVMNic2 para exibir as regras referentes a esse adaptador de rede.
O adaptador de rede myVMVMNic2 não tem um grupo de segurança de rede associado, como o adaptador de rede myVMVMNic tem. Cada interface de rede e sub-rede podem ter zero ou um NSG associado a ele. O NSG associado a cada interface de rede ou sub-rede pode ser o mesmo ou diferente. Você pode associar o mesmo Grupo de Segurança de Rede (NSG) a quantas interfaces de rede e sub-redes desejar.
Observação
Embora as regras de segurança em vigor tenham sido visualizadas na VM, você também pode exibi-las por meio de um:
- Adaptador de rede: saiba como exibir um adaptador de rede.
- NSG: Saiba como visualizar um NSG.
Para executar os comandos usando o PowerShell, confira Diagnosticar usando o PowerShell.
Para executar os comandos usando a CLI do Azure, confira Diagnosticar usando a CLI do Azure.
Para solucionar problemas de conectividade:
Para permitir o tráfego de entrada da Internet, adicione regras de segurança com uma prioridade mais alta que as regras padrão.
Para solucionar problemas relacionados ao emparelhamento de rede virtual, você pode exibir os prefixos na lista ExpandedAddressPrefix.
Certifique-se de que há um NSG associado à interface de rede e/ou sub-rede da VM. Além disso, verifique se a VM está em execução.
Se a VM tem um endereço IP público, é recomendável aplicar um NSG à sub-rede da interface de rede.
Diagnóstico adicional
Use a funcionalidade de verificação de fluxo de IP do Observador de Rede do Azure para determinar se o tráfego destinado ou proveniente de uma VM é permitido.
Se não houver regras de segurança que façam com que a conectividade de rede da VM falhe, o problema pode ser devido a:
Software de firewall em execução no sistema operacional da VM.
Rotas configuradas para soluções de virtualização ou tráfego local – confira túnel forçado. Além disso, para aprender como diagnosticar problemas de roteamento que podem impedir o fluxo de tráfego saindo da VM, confira Diagnosticar um problema de roteamento do tráfego de rede de máquina virtual.
Examinar e interpretar os logs de fluxo do NSG
Introdução
O recurso de logs de fluxo do NSG no Observador de Rede do Azure permite registrar informações sobre o tráfego IP que atravessa um NSG. Os dados de fluxo são enviados para contas do Armazenamento do Azure, de onde você pode exportá-los para qualquer ferramenta de visualização, SIEM ou IDS.
Por que usar logs de fluxo?
Os logs de fluxo são cruciais quando se trata de gerenciar e monitorar todas as atividades de rede em seu ambiente de nuvem. Você pode usá-los para otimizar fluxos de rede, monitorar dados, verificar a conformidade, detectar invasões e muito mais.
Alguns casos de uso comuns incluem:
Monitoramento de rede:
identificar tráfego desconhecido ou indesejado.
Monitore os níveis de tráfego e o consumo da largura de banda.
Filtre os logs de fluxo por IP e porta para entender o comportamento do aplicativo.
Exporte logs de fluxo para as ferramentas de análise e visualização escolhidas para configurar painéis de monitoramento.
Monitoramento e otimização de uso:
Identifique os principais agentes de conversa em sua rede.
Combine com os dados do GeoIP para identificar o tráfego entre regiões.
Entenda o crescimento do tráfego para a previsão de capacidade.
Use dados para remover regras de tráfego publicamente restritivas.
Conformidade:
- use os dados de fluxo para verificar o isolamento de rede e a conformidade com as regras de acesso corporativo.
Análise forense e de segurança de rede:
Analise fluxos de rede de IPs e adaptadores de rede comprometidos.
Exporte os logs de fluxo para qualquer ferramenta SIEM ou IDS de sua escolha.
Como funciona o registro de logs
Os logs de fluxo operam na Camada 4 (camada de transporte). Eles registram todos os fluxos de IP que entram e saem de um NSG.
Os logs são coletados em intervalos de um minuto por meio da plataforma do Azure sem afetar os recursos do cliente nem o desempenho da rede.
Os logs são gravados no formato JSON. Eles mostram os fluxos de entrada e saída por regra de NSG.
Cada registro de log contém a interface de rede (NIC). O fluxo se aplica a informações de cinco tuplas, à decisão de tráfego e às informações de taxa de transferência (somente na versão 2). Consulte Formato de log.
Os logs de fluxo excluem os logs em até um ano após a criação.
Para habilitar os logs de fluxo, confira Habilitar logs de fluxo do NSG.
verificação de fluxo de IP
A verificação de fluxo de IP confirma se um pacote é permitido ou negado para ou a partir de uma máquina virtual. Você pode usar a verificação de fluxo de IP para diagnosticar problemas de conectividade de ou para a Internet e de ou para o ambiente local. Ela fornece as informações relacionadas a direção, protocolo, IP local, IP remoto, porta local e porta remota. Se um grupo de segurança negar o pacote, o nome da regra usada será retornado.
A verificação de fluxo de IP considera as regras para todos os NSGs aplicadas ao adaptador de rede, como uma NIC de máquina virtual ou sub-rede. Em seguida, ela verifica o fluxo do tráfego com base nas configurações feitas para ou a partir do adaptador de rede.
A verificação de fluxo de IP valida se uma regra em um NSG está bloqueando o tráfego de saída ou de entrada para ou de uma máquina virtual. Ela também avalia as regras do Gerenciador de Rede Virtual do Azure e as regras do NSG.
Para saber mais sobre como solucionar problemas de logs de fluxo do NSG, confira Solucionar problemas comuns.
Determinar se uma VM ou um grupo de VMs está associado a um ASG (grupo de segurança do aplicativo)
Os grupos de segurança de aplicativos permitem agrupar máquinas virtuais localizadas na rede virtual do Azure e definir políticas de segurança de rede com base nesses grupos. Isso ajuda a reduzir o esforço de manutenção de endereços IP explícitos. Considere a seguinte imagem para ter uma melhor compreensão dos ASGs:
| Grupos de segurança do aplicativo |
|---|
|
Na imagem anterior, NIC1 e NIC2 são membros do ASG AsgWeb. NIC3 é membro do ASG AsgLogic e NIC4 é um membro do ASG AsgDb. Neste exemplo, cada adaptador de rede é membro de apenas um grupo de segurança de rede. No entanto, um adaptador de rede pode ser membro de vários ASGs, até os limites do Azure.
Nenhuma das interfaces de rede tem um grupo de segurança de rede associado. NSG1 está associado a ambas as sub-redes e contém as seguintes regras:
Allow-HTTP-Inbound-Internet
Essa regra é necessária para permitir o tráfego da Internet para os servidores Web. Como o tráfego de entrada da Internet é negado pela regra de segurança padrão DenyAllInbound, nenhuma regra adicional é necessária para os grupos de segurança do aplicativo AsgLogic ou AsgDb.
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Permitir |
Deny-Database-All
Já que a regra de segurança padrão AllowVNetInBound permite toda a comunicação entre recursos na mesma rede virtual, essa regra é necessária para negar o tráfego de todos os recursos.
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgWeb | 1433 | Qualquer | Negar |
Allow-Database-BusinessLogic
Essa regra permite o tráfego do ASG AsgLogic para o ASG AsgDb. A prioridade dessa regra é mais alta do que a da regra Deny-Database-All. Como resultado, essa regra é processada antes da regra Deny-Database-All e, portanto, o tráfego do grupo de segurança de aplicativo AsgLogic é permitido enquanto todos os outros tráfegos são bloqueados.
| Prioridade | Fonte | Portas de origem | Destino | Portas de destino | Protocolo | Acesso |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Permitir |
As regras que especificam um ASG como a origem ou o destino são aplicadas somente às interfaces de rede que são membros desse ASG. Se a interface de rede não for membro de um ASG, a regra não será aplicada à interface de rede, embora o grupo de segurança de rede esteja associado à sub-rede.
Os grupos de segurança do aplicativo têm as seguintes restrições:
Há vários limites relacionados aos ASGs. Um deles é o número de ASGs que você pode ter em uma assinatura.
Você não pode adicionar interfaces de rede provenientes de redes virtuais diferentes ao mesmo ASG. Por exemplo, se a primeira interface de rede atribuída ao ASG chamado AsgWeb estiver na rede virtual chamada VNet1, então todas as interfaces de rede subsequentes atribuídas ao ASGWeb devem existir na VNet1.
Todas as interfaces de rede para o ASGs de origem e de destino precisam existir na mesma rede virtual. Por exemplo, se AsgLogic contiver adaptadores de rede da VNet1 e AsgDb contiver adaptadores de rede da VNet2, você não poderá atribuir AsgLogic como a origem e o AsgDb como o destino em uma regra.