Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Use um NSG (grupo de segurança de rede) do Azure para filtrar o tráfego de rede de e para os recursos do Azure em uma rede virtual do Azure. Os grupos de segurança de rede fornecem recursos essenciais de filtragem de tráfego que ajudam a proteger sua infraestrutura de nuvem, controlando qual tráfego pode fluir entre recursos. Um grupo de segurança de rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou de saída de vários tipos de recursos do Azure. Para cada regra, você pode especificar detalhes de origem e destino, porta e protocolo.
Pode implementar recursos de vários serviços do Azure numa rede virtual do Azure. Para obter uma lista completa, consulte Serviços que podem ser implantados em uma rede virtual. Se desejar, você pode associar um grupo de segurança de rede a cada sub-rede de rede virtual e interface de rede em uma máquina virtual. O mesmo grupo de segurança de rede pode ser associado a quantas sub-redes e interfaces de rede você escolher.
O diagrama a seguir ilustra diferentes cenários de como os grupos de segurança de rede podem ser implantados para permitir o tráfego de rede de e para a Internet pela porta TCP 80:
Consulte o diagrama anterior para entender como o Azure processa regras de entrada e saída. O diagrama ilustra como os grupos de segurança de rede lidam com a filtragem de tráfego.
Inbound traffic
Para tráfego de entrada, o Azure primeiro processa as regras em um grupo de segurança de rede associado a uma sub-rede, se existir. Em seguida, o Azure processa as regras em um grupo de segurança de rede associado à interface de rede, se existir. Esta mesma ordem de avaliação aplica-se ao tráfego intra-sub-rede.
VM1: As regras de segurança no NSG1 são processadas porque o NSG1 está associado à Subnet1 e o VM1 reside na Subnet1. A regra de segurança padrão DenyAllInbound bloqueia o tráfego, a menos que você crie uma regra personalizada que permita explicitamente a entrada da porta 80. O NSG2, associado à interface de rede NIC1, não avalia o tráfego bloqueado. No entanto, se o NSG1 permitir a porta 80 em sua regra de segurança, o NSG2 avaliará o tráfego. Para permitir a porta 80 para a máquina virtual, tanto o NSG1 quanto o NSG2 devem incluir uma regra que permita a porta 80 da Internet.
VM2: As regras de segurança no NSG1 são processadas porque o VM2 também está na Subnet1. Como o VM2 não tem um grupo de segurança de rede associado à sua interface de rede, ele recebe todo o tráfego permitido pelo NSG1 e nega todo o tráfego bloqueado pelo NSG1. O tráfego é permitido ou negado para todos os recursos na mesma sub-rede se um grupo de segurança de rede estiver associado a uma sub-rede.
VM3: Como não há nenhum grupo de segurança de rede associado à Subnet2, o tráfego é permitido na sub-rede e processado pelo NSG2 porque o NSG2 está associado à interface de rede NIC1 conectada ao VM3.
VM4: O tráfego é bloqueado para VM4 porque um grupo de segurança de rede não está associado à Subnet3 nem à interface de rede na máquina virtual. Todo o tráfego de rede é bloqueado através de uma sub-rede e interface de rede se eles não tiverem um grupo de segurança de rede associado a eles. A máquina virtual com um endereço IP público padrão é segura por padrão. Para que o tráfego flua da Internet, um grupo de segurança de rede deve ser associado à sub-rede ou interface de rede da máquina virtual. Para obter mais informações, consulte Versão do endereço IP.
Outbound traffic
Para tráfego de saída, o Azure processa regras de grupo de segurança de rede em uma ordem específica. O Azure avalia as regras em qualquer grupo de segurança de rede associado a uma interface de rede. Em seguida, o Azure processa as regras em qualquer grupo de segurança de rede associado à sub-rede. Esta mesma ordem de processamento aplica-se ao tráfego intra-sub-rede.
VM1: As regras de segurança no NSG2 são processadas. A regra de segurança padrão AllowInternetOutbound no NSG1 e no NSG2 permite o tráfego, a menos que você crie uma regra de segurança que negue explicitamente a porta 80 de saída para a Internet. Se o NSG2 negar a porta 80 em sua regra de segurança, ele negará o tráfego, e o NSG1 nunca receberá o tráfego e não poderá avaliá-lo. Para negar a porta 80 da máquina virtual, um ou ambos os grupos de segurança de rede devem ter uma regra que negue a porta 80 para a Internet.
VM2: Todo o tráfego é enviado através da interface de rede para a sub-rede, uma vez que a interface de rede ligada ao VM2 não tem um grupo de segurança de rede associado a ela. As regras do NSG1 são processadas.
VM3: Se o NSG2 negar a porta 80 em sua regra de segurança, ele bloqueará o tráfego. Se o NSG2 não negar a porta 80, a regra de segurança padrão AllowInternetOutbound no NSG2 permitirá o tráfego porque não há nenhum grupo de segurança de rede associado à Subnet2.
VM4: O tráfego flui livremente do VM4 porque nenhum grupo de segurança de rede está associado à interface de rede da máquina virtual ou à Subnet3.
Intra-subnet traffic
É importante observar que as regras de segurança em um grupo de segurança de rede associado a uma sub-rede podem afetar a conectividade entre máquinas virtuais dentro dele. Por padrão, as máquinas virtuais na mesma sub-rede podem se comunicar com base em uma regra de grupo de segurança de rede padrão que permite o tráfego intra-sub-rede. Se você adicionar uma regra ao NSG1 que negue todo o tráfego de entrada e saída, o VM1 e o VM2 não poderão se comunicar entre si.
Você pode visualizar facilmente as regras agregadas aplicadas a uma interface de rede exibindo as regras de segurança efetivas para uma interface de rede. O recurso de verificação de fluxo de IP no Azure Network Watcher ajuda a determinar se a comunicação é permitida de ou para uma interface de rede. A verificação do fluxo de IP determina se uma comunicação é permitida ou negada. Ele também identifica qual regra de segurança de rede é responsável por permitir ou negar o tráfego.
O verificador de rede do Azure Virtual Network Manager também pode ajudar a solucionar problemas de acessibilidade entre máquinas virtuais e a Internet ou outros recursos do Azure. O verificador de rede fornece informações sobre regras de grupo de segurança de rede e outras regras e políticas do Azure que podem afetar a conectividade.
Tip
Para uma configuração de segurança ideal, evite associar grupos de segurança de rede a uma sub-rede e suas interfaces de rede ao mesmo tempo. Escolha associar seu grupo de segurança de rede à sub-rede ou à interface de rede, mas não a ambas. Quando você aplica grupos de segurança de rede em vários níveis, as regras podem entrar em conflito entre si. Essa sobreposição nas regras de segurança geralmente leva a problemas inesperados de filtragem de tráfego que são difíceis de solucionar.
Next steps
Saiba quais recursos do Azure você pode implantar em uma rede virtual. Consulte Integração de rede virtual para serviços do Azure para localizar recursos que dão suporte a grupos de segurança de rede.
Conclua um tutorial rápido para obter experiência na criação de um grupo de segurança de rede.
Se você estiver familiarizado com grupos de segurança de rede e precisar gerenciá-los, consulte Gerenciar um grupo de segurança de rede.
Se você estiver tendo problemas de comunicação e precisar solucionar problemas de grupos de segurança de rede, consulte Diagnosticar um problema de filtro de tráfego de rede de máquina virtual.
Saiba como ativar os logs de fluxo de rede virtual para analisar o tráfego de e para a sua rede virtual que possa passar por grupos de segurança de rede associados.