Proteger portas de rede de alto risco com regras de Administração de segurança no Gerenciador de Rede Virtual do Azure
Neste artigo, aprenda a bloquear portas de rede de alto risco usando o Gerenciador de Rede Virtual do Azure e regras de administrador de segurança. Você percorrerá a criação de uma instância do Gerenciador de Rede Virtual do Azure, agrupará suas redes virtuais (VNets) com grupos de rede e criará e implantará configurações de administração de segurança para sua organização. Implante uma regra de bloco geral para portas de alto risco. Em seguida, crie uma regra de exceção para gerenciar a VNet de um aplicativo específico usando grupos de segurança de rede.
Embora este artigo tenha como foco apenas uma porta, o SSH, você pode proteger qualquer porta de alto risco no seu ambiente com as mesmas etapas. Para saber mais, examine esta lista de portas de alto risco
Pré-requisitos
- Você sabe como criar um Gerenciador de Rede Virtual do Azure
- Você entendeu cada elemento de uma Regra de administrador de segurança.
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Um grupo de redes virtuais que podem ser divididas em grupos de rede para aplicar regras de administrador de segurança granulares.
- Para modificar os grupos de rede dinâmicos, você deve ter acesso somente por meio da atribuição de função RBAC do Azure. Não há suporte para autorização clássica de administração/herdada
Implantar ambiente de rede virtual
Você precisa de um ambiente de rede virtual que inclua redes virtuais que possam ser segregadas para permitir e bloquear tráfego de rede específico. Você pode usar a tabela a seguir ou sua própria configuração de redes virtuais:
Nome | Espaço de endereço IPv4 | subnet |
---|---|---|
vnetA-gen | 10.0.0.0/16 | padrão: 10.0.0.0/24 |
vnetB-gen | 10.1.0.0/16 | padrão: 10.1.0.0/24 |
vnetC-gen | 10.2.0.0/16 | padrão: 10.2.0.0/24 |
vnetD-app | 10.3.0.0/16 | padrão: 10.3.0.0/24 |
vnetE-app | 10.4.0.0/16 | padrão: 10.4.0.0/24 |
- Colocar todas as redes virtuais na mesma assinatura, região e grupo de recursos
Não sabe como criar uma rede virtual? Saiba mais em Início Rápido: criar uma rede virtual usando o portal do Azure.
Criar uma instância de gerenciador de rede virtual
Nesta seção, implante uma instância do Gerenciador de Rede Virtual com o recurso administrador de segurança em sua organização.
Selecione + Criar um recurso e pesquise Gerenciador de Rede. Em seguida, selecione Criar para começar a configurar o Gerenciador de Rede Virtual do Azure.
Na guia Básico, insira ou selecione as informações da sua organização:
Configuração Valor Subscription Selecione a assinatura na qual você deseja implantar o Gerenciador de Rede Virtual do Azure. Grupo de recursos Selecione ou crie um grupo de recursos para armazenar o Gerenciador de Rede Virtual do Azure. Este exemplo usa o myAVNMResourceGroup criado anteriormente. Nome Insira um nome para esta instância do Gerenciador de Rede Virtual do Azure. Este exemplo usa o nome myAVNM. Region Selecione a região para esta implantação. O Gerenciador de Rede Virtual do Azure pode gerenciar redes virtuais em qualquer região. A região selecionada é onde a instância do Gerenciador de Rede Virtual será implantada. Descrição (Opcional) Forneça uma descrição sobre essa instância do Gerenciador de Rede Virtual e a tarefa que ele está gerenciando. Escopo Defina o escopo para o qual o Gerenciador de Rede Virtual do Azure pode gerenciar. Este exemplo usa um escopo no nível de assinatura. Recursos Selecione os recursos que você deseja habilitar para o Gerenciador de Rede Virtual do Azure. Os recursos disponíveis são Conectividade, SecurityAdminou Selecionar tudo.
Conectividade – Habilita a capacidade de criar uma malha completa, ou uma topologia de rede hub e spoke entre redes virtuais dentro do escopo.
SecurityAdmin – Habilita a capacidade de criar regras de segurança de rede globais.Selecione Revisar + criar e, em seguida, selecione Criar quando a validação for aprovada.
Selecione Ir para o recurso quando a implantação for concluída e examine a configuração do gerenciador de rede virtual
Criar um grupo de rede para todas as redes virtuais
Com o gerenciador de rede virtual criado, agora crie um grupo de rede que contenha todas as VNets da organização e adicione manualmente todas as VNets.
- Selecione Grupos de Rede, em Configurações.
- Selecione + Criar, insira um nome para o grupo de rede e selecione Adicionar.
- Na página Grupos de rede, selecione o grupo de rede que você criou.
- Selecione Adicionar, em Associação Estática para adicionar manualmente todas as VNets.
- Na página Adicionar membros estáticos, selecione todas as redes virtuais que você deseja incluir e selecione Adicionar.
Criar uma configuração de administração de segurança para todas as redes virtuais
É hora de construir nossas regras de administrador de segurança dentro de uma configuração para aplicar essas regras a todas as VNets em seu grupo de rede de uma só vez. Nesta seção, crie uma configuração de administrador de segurança. Em seguida, crie uma coleção de regras e adicione regras para portas de alto risco, como SSH ou RDP. Essa configuração nega o tráfego de rede a todas as redes virtuais no grupo de rede.
- Retorne ao recurso do gerenciador de rede virtual.
- Selecione Configurações em Definições e, em seguida, + Criar.
- Selecione Configuração de segurança no menu suspenso.
- Na guia Básico, insira um Nome para identificar essa configuração de segurança e selecione Avançar: coleções de regras.
- Selecione + Adicionar na página Adicionar uma configuração de segurança.
- Insira um Nome para identificar essa coleção de regras e selecione os Grupos de rede de destino aos quais deseja aplicar o conjunto de regras. O grupo de destino é o grupo de rede que contém todas as suas redes virtuais.
Adicionar uma regra de segurança para negar o tráfego de rede de alto risco
Nesta seção, você define a regra de segurança para bloquear o tráfego de rede de alto risco para todas as redes virtuais. Ao atribuir prioridade, tenha em mente regras futuras de exceção. Defina a prioridade para que as regras de exceção sejam aplicadas sobre essa regra.
Selecione + Adicionar em Regras de administrador de segurança.
Insira as informações necessárias para definir sua regra de segurança e, em seguida, selecione Adicionar para adicionar a regra à coleção de regras.
Configuração Valor Nome Insira um nome de regra. Descrição Insira uma descrição da regra. Prioridade* Insira um valor entre 1 e 4096 para determinar a prioridade da regra. Quanto menor o número, mais alta será a prioridade. Ação* Selecione Negar para bloquear o tráfego. Para obter mais informações, consulte Ação. Direção* Selecione Entrada, pois você quer negar o tráfego de entrada com essa regra. Protocolo* Selecione o protocolo de rede para a porta. Origem Tipo de origem Selecione o tipo de origem Endereço IP ou Marcas de serviço. Endereços IP da fonte Esse campo aparece ao selecionar o tipo de origem de Endereço IP. Insira um endereço IPv4, IPv6 ou um intervalo, usando a notação CIDR. Ao definir mais de um endereço ou bloco de endereços, separe-os com vírgula. Neste tutorial, deixe em branco. Marca de serviço de origem Esse campo aparece ao selecionar o tipo de origem de Marca de serviço. Selecione as marcas de serviço para os serviços que você deseja especificar como origem. Consulte Marcas de serviço disponíveispara ver a lista de marcas com suporte. Porta de origem Insira um único número de porta ou intervalo de portas, como (1024-65535). Ao definir mais de uma porta (ou de um intervalo de portas), separe-os com vírgula. Para especificar qualquer porta, insira *. Neste tutorial, deixe em branco. Destino Tipo de destino Selecione o tipo de destino Endereço IP ou Marcas de serviço. Endereços IP de destino Esse campo aparece ao selecionar o tipo de destino de Endereço IP. Insira um endereço IPv4, IPv6 ou um intervalo, usando a notação CIDR. Ao definir mais de um endereço ou bloco de endereços, separe-os com vírgula. Marca de serviço de destino Esse campo aparece ao selecionar o tipo de destino de Marca de serviço. Selecione marcas de serviço para os serviços que você deseja especificar como destino. Consulte Marcas de serviço disponíveispara ver a lista de marcas com suporte. Porta de destino Insira um único número de porta ou intervalo de portas, como (1024-65535). Ao definir mais de uma porta (ou de um intervalo de portas), separe-os com vírgula. Para especificar qualquer porta, insira *. Neste exemplo, insira 3389. Se quiser adicionar mais regras à coleção de regras, repita as etapas 1 a 3.
Quando tiver criado todas as regras desejadas, selecione Adicionar para adicionar a coleção de regras à configuração de administrador de segurança.
Em seguida, selecione Examinar + Criar e Criar para concluir a configuração de segurança.
Implementar uma configuração de administração de segurança para bloquear o tráfego de rede
Nesta seção, as regras criadas entram em vigor ao implantar a configuração de administrador de segurança.
- Selecione Implantações em Configurações, depois escolha Implantar configurações.
- Marque a caixa de seleção Incluir administrador de segurança em seu estado de meta e selecione a configuração de segurança que você criou na última seção no menu suspenso. Em seguida, escolha as regiões nas quais deseja implantar a configuração.
- Selecione Avançar e Implantar para implantar a configuração de administrador de segurança.
Criar um grupo de rede para a regra de exceção de tráfego
Com o tráfego bloqueado em todas as suas VNets, você precisa de uma exceção para permitir o tráfego para redes virtuais específicas. Crie um grupo de rede especificamente para as VNets que precisam de exclusão da outra regra de administrador de segurança.
- No gerenciador de rede virtual, selecione Grupos de Rede, em Configurações.
- Selecione + Criar, insira um nome para o grupo de rede e selecione Adicionar.
- Em Definir Associação Dinâmica, selecione Definir.
- Insira ou selecione os valores para permitir o tráfego para a rede virtual do aplicativo.
- Selecione Recursos de Visualização para examinar as Redes Virtuais Efetivas incluídas e selecione Fechar.
- Selecione Salvar.
Criar uma regra e uma coleção de administração de segurança de exceção de tráfego
Nesta seção, crie uma nova coleção de regras e uma regra de administrador de segurança que permitirá o tráfego de alto risco para o subconjunto de redes virtuais que você definiu como exceções. Em seguida, adicione-a à configuração de administrador de segurança existente.
Importante
Para que sua regra de administrador de segurança permita o tráfego para as redes virtuais do aplicativo, a prioridade precisa ser definida como um número menor do que as regras existentes que bloqueiam o tráfego.
Por exemplo, um SSH de bloqueio de todas as regras de rede tem uma prioridade de 10, portanto, sua regra de permissão deve ter uma prioridade de 1 a 9.
- No gerenciador de rede virtual, selecione Configurações e selecione a configuração de segurança.
- Selecione Coleções de regras em Configurações e, em seguida, selecione + Criar para criar uma nova coleção de regras.
- Na página Adicionar uma coleção de regras, insira um nome para sua coleção de regras de aplicativo e escolha o grupo de rede de aplicativos que você criou.
- Nas regras de administrador de segurança, selecione + Adicionar.
- Insira ou selecione os valores para permitir o tráfego de rede específico para o grupo de rede do aplicativo e selecione adicionar quando concluído.
- Repita o processo de adicionar regra para todo o tráfego que precisa de uma exceção.
- Selecione Salvar ao terminar.
Reimplantar a configuração da administração de segurança com regra de exceção
Para aplicar a nova coleção de regras, reimplante sua configuração de administrador de segurança desde que ela foi modificada adicionando uma coleção de regras.
- No gerenciador de rede virtual, selecione Configurações.
- Selecione a configuração do administrador de segurança e selecione Implantar
- Na página Implantar Configuração, selecione todas as regiões de destino que recebem a implantação e
- Selecione Próximo e Implantar.