O que é um Perímetro de Segurança de Rede?
O perímetro de segurança da rede permite que as organizações definam um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, conta do Armazenamento do Microsoft Azure e servidor do banco de dados SQL) que são implantados fora das redes virtuais da sua organização. O recurso restringe o acesso da rede pública aos recursos de PaaS dentro do perímetro. O acesso pode ser isento usando regras de acesso explícitas para entradas e saídas públicas.
Para obter padrões de acesso que envolvem o tráfego de redes virtuais para recursos de PaaS, consulte O que é o Link Privado do Azure?.
Os recursos do Perímetro de Segurança de Rede incluem:
- Recurso para comunicação de acesso a recursos dentro de membros de perímetro, impedindo a exfiltração de dados para destinos não autorizados.
- Gerencie o acesso público externo com regras explícitas para recursos de PaaS associados ao perímetro.
- Acesse logs para auditoria e conformidade.
- Experiência unificada entre recursos de PaaS.
Importante
O Perímetro de Segurança da Rede está em visualização pública e está disponível em todas as regiões de nuvem pública do Azure. Essa versão prévia é fornecida sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Componentes do perímetro de segurança de rede
Um perímetro de segurança de rede inclui os seguintes componentes:
| Componente | Descrição |
|---|---|
| Perímetro de segurança da rede | Recurso de nível superior definindo o limite de rede lógica para proteger recursos de PaaS. |
| Perfil | Coleção de regras de acesso que se aplicam aos recursos associados ao perfil. |
| Regra de acesso | Regras de entrada e saída para recursos em um perímetro para permitir o acesso fora do perímetro. |
| Associação de recurso | Associação de perímetro para um recurso de PaaS. |
| Configurações de diagnóstico | Recurso de extensão hospedado pelo Microsoft Insights para coletar logs e métricas para todos os recursos no perímetro. |
Observação
Para segurança organizacional e informativa, é recomendável não incluir dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou em outra configuração de perímetro de segurança de rede.
Propriedades do perímetro de segurança de rede
Ao criar um perímetro de segurança de rede, você pode especificar as seguintes propriedades:
| Propriedade | Descrição |
|---|---|
| Nome | Um nome exclusivo dentro do grupo de recursos. |
| Localidade | Região aceita pelo Azure em que o recursos está localizado. |
| Nome do grupo de recursos | Nome do grupo de recursos em que o perímetro de segurança de rede deve estar presente. |
Modos de acesso no perímetro de segurança da rede
Os administradores adicionam recursos de PaaS a um perímetro criando associações de recursos. Essas associações podem ser feitas em dois modos de acesso. Os modos de acesso são:
| Modo | Descrição |
|---|---|
| Modo de aprendizado | – Modo de acesso padrão. – Ajuda os administradores de rede a compreender os padrões de acesso existentes dos seus recursos PaaS. – Modo de uso recomendado antes da transição para o modo de imposição. |
| Modo de imposição | – Deve ser definido pelo administrador. – Por padrão, todo o tráfego, exceto o tráfego de perímetro intra, é negado nesse modo, a menos que exista uma regra de Permitir acesso. |
Saiba mais sobre a transição do modo de aprendizagem para o modo de imposição no artigo Transição para um perímetro de segurança de rede.
Por que usar o Perímetro de Segurança de Rede?
O perímetro de segurança de rede fornece um perímetro seguro para a comunicação dos serviços de PaaS implantados fora da rede virtual. Ele permite controlar o acesso à rede aos recursos de PaaS do Azure. Alguns dos casos de uso comuns incluem:
- Crie um limite seguro em torno dos recursos de PaaS.
- Evite a exfiltração de dados associando recursos de PaaS ao perímetro.
- Habilite as regras de acesso para conceder acesso fora do perímetro seguro.
- Gerenciar regras de acesso para todos os recursos de PaaS dentro do perímetro de segurança de rede em um único painel de vidro.
- Habilite as configurações de diagnóstico para gerar logs de acesso de recursos de PaaS dentro do perímetro de Auditoria e Conformidade.
- Permita o tráfego de ponto de extremidade privado sem outras regras de acesso.
Como funciona o Perímetro de Segurança de Rede?
Quando um perímetro de segurança de rede é criado e os recursos de PaaS são associados ao perímetro no modo imposto, todo o tráfego público é negado por padrão, impedindo a exfiltração de dados fora do perímetro.
As regras de acesso podem ser usadas para aprovar o tráfego público de entrada e saída fora do perímetro. O acesso de entrada público pode ser aprovado usando atributos de Rede e Identidade do cliente, como endereços IP de origem, assinaturas. O acesso de saída público pode ser aprovado usando FQDNs (Nomes de Domínio Totalmente Qualificados) dos destinos externos.
Por exemplo, ao criar um perímetro de segurança de rede e associar um conjunto de recursos de PaaS como o Azure Key Vault e o SQL DB no modo imposto, com o perímetro, todo o tráfego público de entrada e saída é negado a esses recursos de PaaS por padrão. Para permitir qualquer acesso fora do perímetro, as regras de acesso necessárias podem ser criadas. Dentro do mesmo perímetro, os perfis também podem ser criados para agrupar recursos de PaaS com um conjunto semelhante de requisitos de acesso de entrada e saída.
Recursos de link privado integrados
Um recurso de link privado com reconhecimento de perímetro de segurança de rede é um recurso de PaaS que pode ser associado a um perímetro de segurança de rede. Atualmente, a lista de recursos de link privado integrados é a seguinte:
| Nome do recurso do link privado | Tipo de recurso | Recursos |
|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Workspace do Log Analytics, Application Insights, Alertas, Serviço de Notificação |
| Azure AI Search | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Hubs de Eventos | Microsoft.EventHub/namespaces | - |
| Key Vault | Microsoft.KeyVault/vaults | - |
| BD SQL | Microsoft.Sql/servers | - |
| Storage | Microsoft.Storage/storageAccounts | - |
Observação
Limitações do perímetro de segurança de rede
Limitações regionais
No momento, o perímetro de segurança de rede está disponível em todas as regiões de nuvem pública do Azure. No entanto, ativar os logs de acesso para o perímetro de segurança da rede, o workspace do Log Analytics a ser associado ao perímetro de segurança de rede precisa estar localizado em uma das regiões com suporte do Azure Monitor. Atualmente, essas regiões são Leste dos EUA, Leste dos EUA 2, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUAe Oeste dos EUA 2.
Observação
Para logs de recursos de PaaS, use o Armazenamento e o Hub de Eventos como o destino de log para qualquer região associada ao mesmo perímetro.
Limitações de escala
A funcionalidade de perímetro de segurança da rede pode ser usada para oferecer suporte a implantações de recursos de PaaS com controles de rede pública comuns com as seguintes limitações de escala:
| Limitação | Descrição |
|---|---|
| Número de perímetros de segurança de rede | Suporte para até 100 como limite recomendado por assinatura. |
| Perfis por perímetros de segurança de rede | Compatível com até 200 como limite recomendado. |
| Número de elementos de regra por perfil | Suportado até 200 como limite rígido. |
| Número de recursos de PaaS entre assinaturas associadas ao mesmo perímetro de segurança de rede | Compatível com até 1000 como limite recomendado. |
Outras limitações
O perímetro de segurança de rede tem outras limitações da seguinte maneira:
| Limitação/problema | Descrição |
|---|---|
| A operação de movimentação do grupo de recursos não poderá ser executada se vários perímetros de segurança de rede estiverem presentes | Se houver vários perímetros de segurança de rede presentes no mesmo grupo de recursos, o perímetro de segurança de rede não poderá ser movido entre grupos de recursos/assinaturas. |
| As associações devem ser removidas antes de excluir o perímetro de segurança de rede | A opção de exclusão forçada está indisponível no momento. Portanto, todas as associações devem ser removidas antes de excluir um perímetro de segurança de rede. Remova apenas as associações depois de tomar precauções para permitir o acesso previamente controlado pelo perímetro de segurança de rede. |
| Os nomes de recursos não podem ter mais de 44 caracteres para dar suporte ao perímetro de segurança de rede | A associação de recursos de perímetro de segurança de rede criada no portal do Azure tem o formato {resourceName}-{perimeter-guid}. Para alinhar com o campo de nome de requisito não pode ter mais de 80 caracteres, os nomes de recursos teriam que ser limitados a 44 caracteres. |
| Não há suporte para o tráfego do ponto de extremidade de serviço. | É recomendável usar pontos de extremidade privados para comunicação IaaS para PaaS. Atualmente, o tráfego do ponto de extremidade de serviço pode ser negado mesmo quando uma regra de entrada permite 0.0.0.0/0. |
Observação
Consulte a documentação de PaaS individual para obter as respectivas limitações para cada serviço.