Configurar o Azure Monitor com perímetro de segurança de rede (versão prévia)
Este artigo fornece o processo para configurar um NSP (Perímetro de Segurança de Rede) para recursos do Azure Monitor. O perímetro de segurança de rede é um recurso de isolamento de rede que fornece um perímetro seguro para comunicação entre os serviços de PaaS implantados fora de uma rede virtual. Esses serviços de PaaS podem se comunicar entre si dentro do perímetro e também podem se comunicar com recursos fora do perímetro usando regras públicas de acesso de entrada e saída.
O Perímetro de Segurança de Rede permite controlar o acesso à rede usando configurações de isolamento de rede em recursos do Azure Monitor com suporte. Depois que um Perímetro de Segurança de Rede for configurado, você poderá executar as seguintes ações:
- Controlar o acesso à rede aos recursos do Azure Monitor com suporte com base nas regras de acesso de entrada e saída definidas no NSP.
- Registre todos os acessos de rede aos recursos do Azure Monitor com suporte.
- Bloqueie qualquer exfiltração de dados para serviços que não estão no NSP.
Regiões
O Perímetro de Segurança de Rede do Azure está atualmente em versão prévia pública. Atualmente, os recursos do Perímetro de Segurança de Rede no Azure Monitor estão disponíveis nas seis regiões a seguir:
- Leste dos EUA
- Leste dos EUA 2
- Centro-Norte dos EUA
- Centro-Sul dos Estados Unidos
- Oeste dos EUA
- Oeste dos EUA 2
Componentes com suporte
Os componentes do Azure Monitor com suporte com um perímetro de segurança de rede são listados na tabela a seguir com a versão mínima da API.
| Recurso | Tipo de recurso | Versão da API |
|---|---|---|
| Ponto de extremidade de coleta de dados (DCE) | Microsoft.Insights/dataCollectionEndpoints | 11/03/2023 |
| Espaço de Trabalho do Log Analytics | Microsoft.OperationalInsights/workspaces | 2023-09-01 |
| Alertas de consulta de log | Microsoft.Insights/ScheduledQueryRules | versão prévia de 01/08/2022 |
| Grupos de ação 1 2 | Microsoft.Insights/actionGroups | 01/05/2023 |
1 O NSP opera apenas com grupos de ação regionais. Os grupos de ação global têm como padrão o acesso à rede pública.
2 Atualmente, o Eventhub é o único tipo de ação com suporte para NSP. Todas as outras ações têm como padrão o acesso à rede pública.
Os seguintes componentes do Azure Monitor não têm suporte com um perímetro de segurança de rede:
- Application Insights Profiler para .NET e Snapshot Debugger
- Chave gerenciada pelo cliente do Log Analytics
- Consultas entre recursos que incluem espaços de trabalho do Log Analytics associados a um NSP
Observação
Para o Application Insights, configure o NSP para o workspace do Log Analytics usado para o recurso do Application Insights.
Criar um perímetro de segurança da rede
Crie um perímetro de segurança de rede usando o portal do Azure, a CLI do Azure ou o PowerShell.
Adicionar o workspace do Log Analytics a um perímetro de segurança de rede
No menu Perímetro de Segurança de Rede no portal do Azure, selecione o perímetro de segurança de rede.
Selecione Recursos e, em seguida, Adicione ->Associar recursos a um perfil existente.
Selecione o perfil que você deseja associar ao recurso de workspace do Log Analytics.
Selecione Associar e selecione o workspace do Log Analytics.
Selecione Associar na seção inferior esquerda da tela para criar a associação com o NSP.
Importante
Ao transferir um workspace do Log Analytics entre grupos de recursos ou assinaturas, vincule-o ao NSP (Perímetro de Segurança de Rede) para manter as políticas de segurança. Se o espaço de trabalho for excluído, certifique-se de também remover suas associações do NSP."
Regras de acesso para o workspace do Log Analytics
Um perfil do NSP especifica regras que permitem ou negam acesso por meio do perímetro. Dentro do perímetro, todos os recursos têm acesso mútuo no nível da rede, embora ainda estejam sujeitos à autenticação e autorização. Para recursos fora do NSP, você deverá especificar regras de acesso de entrada e saída. As regras de entrada especificam quais conexões permitir e as regras de saída especificam quais solicitações são permitidas.
Observação
Qualquer serviço associado a um Perímetro de Segurança da Rede permite implicitamente acesso de entrada e saída a qualquer outro serviço associado ao mesmo Perímetro de Segurança da Rede quando esse acesso é autenticado usando identidades gerenciadas e atribuições de função. As regras de acesso só precisam ser criadas ao permitir o acesso fora do Perímetro de Segurança da rede ou para acesso autenticado usando chaves de API.
Adicionar regra de acesso de entrada do NSP
As regras de acesso de entrada do NSP podem permitir que a Internet e os recursos fora do perímetro se conectem com recursos dentro do perímetro.
O NSP dá suporte a dois tipos de regras de acesso de entrada:
- Intervalos de endereços IP. Intervalos ou endereços IP devem estar no formato CIDR (roteamento entre domínios sem classe). Um exemplo de notação CIDR é 8.8.8.0/24, que representa os IPs que variam de 8.8.8.0 a 8.8.8.255. Esse tipo de regra permite a entrada de qualquer endereço IP no intervalo.
- Assinaturas. Esse tipo de regra permite o acesso de entrada autenticado usando qualquer identidade gerenciada da assinatura.
Use o seguinte processo para adicionar uma regra de acesso de entrada NSP usando o portal do Azure:
Navegue até o recurso de Perímetro de Segurança da Rede no portal do Azure.
Selecione Perfis e, em seguida, o perfil que você está usando com seu NSP.
Selecione regras de acesso de entrada.
Selecione Adicionar ou Adicionar regra de acesso de entrada. Digite ou selecione os valores a seguir:
Configuração Valor Nome da Regra O nome da regra de acesso de entrada. Por exemplo MyInboundAccessRule. Tipo de Fonte Valores válidos são intervalos de endereços IP ou assinaturas. Fontes permitidas Se você selecionou intervalos de endereços IP, insira o intervalo de endereços IP no formato CIDR do qual deseja permitir o acesso de entrada. Os intervalos de IP do Azure estão disponíveis em Intervalos de IP do Azure e Categorias de Serviço – Nuvem Pública. Se você selecionou Assinaturas, use a assinatura da qual deseja permitir o acesso de entrada. Selecione Adicionar para criar a regra de acesso de entrada.
Adicionar uma regra de acesso de saída do NSP
A exportação de dados em um workspace do Log Analytics permite exportar dados continuamente para tabelas específicas no espaço de trabalho. Você pode exportar para uma Conta de Armazenamento do Azure ou para Hubs de Eventos do Azure à medida que os dados chegam a um pipeline do Azure Monitor.
Um workspace do Log Analytics dentro de um perímetro de segurança só pode se conectar aos hubs de armazenamento e eventos no mesmo perímetro. Outros destinos exigem uma regra de acesso de saída com base no FQDN (Nome de Domínio Totalmente Qualificado) do destino. Por exemplo, permita o acesso de saída de qualquer serviço associado ao perímetro de segurança de rede para um FQDN, como mystorageaccount.blob.core.windows.net.
Use o seguinte processo para adicionar uma regra de acesso de saída do NSP usando o portal do Azure:
Navegue até o recurso de Perímetro de Segurança da Rede no portal do Azure.
Selecione Perfis e, em seguida, o perfil que você está usando com seu NSP.
Selecione Regras de acesso de saída.
Selecione Adicionar ou Adicionar regra de acesso de saída. Digite ou selecione os valores a seguir:
Configuração Valor Nome da Regra O nome da regra de acesso de saída. Por exemplo MyOutboundAccessRule. Tipo de destino Sair como FQDN. Destinos permitidos Insira uma lista separada por vírgulas de FQDNs aos quais você deseja permitir o acesso de saída. Selecione Adicionar para criar a regra de acesso de saída.
Próximas etapas
- Leia mais sobre o Perímetro de Segurança de Rede no Azure.