Determinar regras eficazes do grupo de segurança de rede

Cada grupo de segurança de rede e suas regras de segurança definidas são avaliados de forma independente. O Azure processa as condições em cada regra definida para cada máquina virtual em sua configuração.

• Para o tráfego de entrada, o Azure processa primeiro as regras de segurança do grupo de rede para quaisquer sub-redes associadas e, em seguida, para quaisquer interfaces de rede associadas.
• Para o tráfego de saída, o processo é invertido. O Azure primeiro avalia as regras de segurança do grupo de segurança de rede para quaisquer interfaces de rede associadas, seguidas por quaisquer sub-redes associadas.
• Para o processo de avaliação de entrada e saída, o Azure também verifica como aplicar as regras para o tráfego intrarrede. O tráfego intra-sub-rede refere-se a máquinas virtuais na mesma sub-rede.

A forma como o Azure acaba por aplicar as regras de segurança definidas para uma máquina virtual determina a eficácia geral das suas regras.

Avaliação do grupo de segurança de rede

Quando aplica grupos de segurança de rede a uma interface de rede e a uma sub-rede, cada grupo de segurança de rede é avaliado de forma independente. As regras de entrada e saída são consideradas com base na prioridade e na ordem de processamento.

Aspetos a ter em conta na criação de regras eficazes

Analise as considerações a seguir sobre a criação de regras de segurança eficazes para máquinas em sua rede virtual.

• Considere autorizar todo o tráfego. Se você colocar sua máquina virtual em uma sub-rede ou utilizar uma interface de rede, não será necessário associar a sub-rede ou a NIC a um grupo de segurança de rede. Essa abordagem permite todo o tráfego de rede por meio da sub-rede ou NIC de acordo com as regras de segurança padrão do Azure. Se você não estiver preocupado em controlar o tráfego para seu recurso em um nível específico, não associe seu recurso nesse nível a um grupo de segurança de rede.

• Considere a importância das regras de permissão. Ao criar um grupo de segurança de rede, você deve definir uma regra de permissão para a sub-rede e a interface de rede no grupo para garantir que o tráfego possa passar. Se você tiver uma sub-rede ou NIC em seu grupo de segurança de rede, deverá definir uma regra de permissão em cada nível. Caso contrário, o tráfego será negado para qualquer nível que não forneça uma definição de regra de permissão.

• Considere o tráfego intra-subrede. As regras de segurança para um grupo de segurança de rede associado a uma sub-rede podem afetar o tráfego entre todas as máquinas virtuais na sub-rede. Você pode bloquear o tráfego intra-sub-rede definindo uma regra no grupo de segurança de rede para negar todo o tráfego de entrada e de saída. Esta regra impede que todas as máquinas virtuais em sua sub-rede se comuniquem entre si.

• Considere a prioridade da regra. As regras de segurança para um grupo de segurança de rede são processadas em ordem de prioridade. Para garantir que uma determinada regra de segurança seja sempre processada, atribua o menor valor de prioridade possível à regra. É uma boa prática deixar lacunas na numeração de prioridade, como 100, 200, 300 e assim por diante. As lacunas na numeração permitem que você adicione novas regras sem ter que editar as regras existentes.

Ver regras de segurança eficazes

Se você tiver vários grupos de segurança de rede e não tiver certeza de quais regras de segurança estão sendo aplicadas, poderá usar o link Regras de segurança efetivas no portal do Azure. Você pode usar o link para verificar quais regras de segurança são aplicadas às suas máquinas, sub-redes e interfaces de rede.