Compartilhar via

Início Rápido: criar um perímetro de segurança da rede — portal do Azure

  • Artigo

Comece a usar o perímetro de segurança da rede criando um perímetro de segurança da rede para um cofre de chaves do Azure usando o portal do Azure. Um perímetro de segurança de rede permite que os recursos de PaaS (plataforma como serviço) do Azure se comuniquem dentro de um limite confiável explícito. Em seguida, crie e atualize uma associação de recursos de PaaS em um perfil de perímetro de segurança de rede. Em seguida, você cria e atualiza as regras de acesso de perímetro de segurança da rede. Quando terminar, você excluirá todos os recursos criados neste início rápido.

Importante

O Perímetro de Segurança da Rede está em visualização pública e está disponível em todas as regiões de nuvem pública do Azure. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Pré-requisitos

Antes de começar, certifique-se de que você tenha o seguinte:

  • Uma conta do Azure com uma assinatura ativa e acesso ao portal do Azure. Se você ainda não tiver uma conta do Azure, crie uma conta gratuitamente.

  • O registro para a visualização pública do Perímetro de Segurança da Rede do Azure é necessário. Para se registrar, adicione o sinalizador de recurso AllowNSPInPublicPreview à sua assinatura. Captura de tela da adição do sinalizador de recurso de perímetro de segurança da rede à assinatura do Azure.

    Para obter mais informações sobre como adicionar sinalizadores de recursos, consulte Configurar versão prévia do recurso na assinatura do Azure.

  • Depois que o sinalizador de recurso for adicionado, você precisará registrar novamente o provedor de recursos Microsoft.Network em sua assinatura.

    • Para registrar novamente o provedor de recursos Microsoft.Network no portal do Azure, selecione sua assinatura e selecione Provedores de recursos. Pesquise Microsoft.Network e selecione Registrar novamente.

      Captura de tela do novo registro do provedor de recursos Microsoft.Network na assinatura.

    • Para registrar novamente o provedor de recursos Microsoft.Network, use o seguinte comando do Azure PowerShell:

    # Register the Microsoft.Network resource provider
Register-AzResourceProvider -ProviderNamespace Microsoft.Network

    • Para registrar novamente o provedor de recursos Microsoft.Network, use o seguinte comando da CLI do Azure:

      # Register the Microsoft.Network resource provider
az provider register --namespace Microsoft.Network

    Para obter mais informações sobre como registrar novamente provedores de recursos, confira o artigo Provedores e tipos de recursos do Azure.

Entre no Portal do Azure

Entre no portal do Azure com sua conta do Azure.

Criar um grupo de recursos e um cofre de chaves

Antes de criar um perímetro de segurança de rede, é necessário criar um grupo de recursos para reter todos os recursos e um cofre de chaves protegido pelo perímetro de segurança de rede.

Observação

O Azure Key Vault requer um nome exclusivo. Se você receber um erro indicando que o nome já está em uso, tente um nome diferente. Em nosso exemplo, usamos um nome exclusivo adicionando o ano (YYYY), mês (MM) e dia (DD) ao nome: key-vault-YYYYDDMM.

  1. Na caixa de pesquisa na parte superior do portal, digite Cofres de chaves. Selecione Cofres de chaves nos resultados da pesquisa.

  2. Na janela Contas de cofres de chave que aparece, selecione + Criar.

  3. Na janela Criar um cofre de chaves, insira as seguintes informações:

    Configuração Valor
    Assinatura Selecione a assinatura que deseja usar neste cofre de chave.
    Grupo de recursos Selecione Criar novo e digite resource-group como o nome.
    Nome do cofre de chaves Insira key-vault-<RandomNameInformation>.
    Region Selecione a região onde deseja que o cofre de chave seja criado. Para este guia de início rápido, usamos (EUA) Centro-Oeste dos EUA.

  4. Mantenha as configurações padrão restantes e selecione Revisar + Criar>Criar.

Criar um perímetro de segurança da rede

Depois de criar um cofre de chaves, prossiga para criar um perímetro de segurança da rede.

Observação

Para segurança organizacional e informacional, recomenda-se não incluir informações de identificação pessoal ou dados confidenciais nas regras ou outras configurações do perímetro de segurança da rede.

  1. Na caixa de pesquisa do portal do Azure, insira perímetros de segurança de rede. Selecione Perímetros de segurança de rede nos resultados da pesquisa.

  2. Na janela perímetros de segurança de rede, selecione + Criar.

  3. Na janela Criar um perímetro de segurança da rede, insira as seguintes informações:

    Configuração Valor
    Assinatura Selecione a assinatura que deseja usar neste perímetro de segurança da rede.
    Grupo de recursos Selecione resource-group.
    Nome Insira perímetro-de-segurança-de-rede.
    Region Selecione a região onde deseja que seu perímetro de segurança da rede seja criado. Para este guia de início rápido, usamos (EUA) Centro-Oeste dos EUA.
    Nome do perfil Digite profile-1.

  4. Selecione a guia Recursos ou Próximo e prossiga para a próxima etapa.

  5. Na guia Recursos, selecione + Adicionar.

  6. Na janela Selecionar recursos, marque key-vault-YYYYDDMM e escolha Selecionar.

  7. Selecione Regras de acesso de entrada e clique em + Adicionar.

  8. Na janela Adicionar regra de acesso de entrada, insira as seguintes informações e selecione Adicionar:

    Configurações Valor
    Nome da regra Insira inbound-rule.
    Tipo de origem Selecione Intervalos de endereços IP.
    Fontes permitidas Insira um intervalo de endereços de IP dos quais deseja permitir tráfego de entrada.

  9. Selecione Regras de acesso de saída e clique em + Adicionar.

  10. Na janela Adicionar regra de acesso de saída, insira as seguintes informações e selecione Adicionar:

    Configurações Valor
    Nome da regra Insira outbound-rule.
    Tipo de destino Selecione FQDN.
    Destinos permitidos Insira o FQDN dos destinos que deseja permitir. Por exemplo: www.contoso.com.

  11. Selecione Examinar + criar e depois Criar.

  12. Selecione Ir para recurso para exibir o perímetro de segurança da rede recém-criado.

Observação

Se a identidade gerenciada não for atribuída ao recurso que dá suporte a ela, o acesso de saída a outros recursos dentro do mesmo perímetro será negado. As regras de entrada baseadas em assinatura destinadas a permitir o acesso desse recurso não entrarão em vigor.

Excluir um perímetro de segurança da rede

Quando você não precisar mais de um perímetro de segurança de rede, remova os recursos associados ao perímetro e siga estas etapas para removê-lo:

  1. No seu perímetro de segurança da rede, selecione Recursos associados em Configurações.
  2. Selecione key-vault-YYYYDDMM na lista de recursos associados.
  3. Na barra de ações, selecione **Configurações** e, em seguida, selecione Remover na janela de confirmação.
  4. Navegue de volta para a página Visão geral do seu perímetro de segurança da rede.
  5. Selecione Excluir e confirme a exclusão digitando network-security-perimeter na caixa de texto com o nome do recurso.
  6. Navegue até o resource-group e selecione Excluir para remover o grupo de recursos e todos os recursos dentro dele.

Observação

Remover a associação de recursos do perímetro de segurança da rede faz com que o controle de acesso retorne à configuração existente de firewall do recurso. Isso pode fazer com que o acesso seja permitido/negado de acordo com a configuração de firewal do recurso. Se PublicNetworkAccess estiver definido como SecuredByPerimeter e a associação for excluída, o recurso entrará em um estado bloqueado. Para obter mais informações, confira o artigo Transição para um perímetro de segurança da rede no Azure.

Próximas etapas

Registro em log dos diagnósticos para o perímetro de segurança da rede do Azure