Transição para um perímetro de segurança da rede no Azure
Neste artigo, você aprenderá sobre os diferentes modos de acesso e como fazer a transição para um perímetro de segurança da rede no Azure. Os modos de acesso controlam o acesso e o comportamento de registro em log do recurso.
Ponto de configuração do modo de acesso em associações de recursos
O ponto de configuração do modo de acesso faz parte de uma associação de recursos no perímetro e, portanto, pode ser definido pelo administrador do perímetro.
A propriedade accessMode pode ser definida em uma associação de recursos para controlar o acesso à rede pública do recurso.
No momento, os valores possíveis de accessMode são Imposto eAprendizado.
| Modo de acesso | Descrição |
|---|---|
| Aprendizado | Esse é o modo de acesso padrão. A avaliação neste modo usará a configuração de perímetro de segurança da rede como uma linha de base, mas no caso de não encontrar uma regra de correspondência, a avaliação retornará à configuração do firewall do recurso que poderá aprovar o acesso com as configurações existentes. |
| Imposto | Quando definido explicitamente, o recurso obedece apenas às regras de acesso de perímetro de segurança da rede. |
Evitar interrupções de conectividade ao adotar o perímetro de segurança da rede
Habilitar o modo Aprendizado
Para evitar interrupções indesejadas de conectividade ao adotar o perímetro de segurança da rede para os recursos de PaaS existentes e garantir uma transição suave para as configurações seguras, os administradores podem adicionar recursos de PaaS ao perímetro de segurança da rede no modo Aprendizado. Embora essa etapa não proteja os recursos de PaaS, ela:
- Permitirá que as conexões sejam estabelecidas de acordo com a configuração de perímetro da segurança de rede. Além disso, os recursos nesse fallback de configuração respeitam as regras de firewall definidas pelo recurso e o comportamento de acesso confiável quando as conexões não são permitidas pelas regras de acesso de perímetro de segurança da rede.
- Quando os logs de diagnóstico estiverem habilitados, são gerados logs detalhando se as conexões foram aprovadas com base na configuração do perímetro da segurança de rede ou na configuração do recurso. Assim, os administradores podem analisar esses logs para identificar lacunas nas regras de acesso, associações de perímetro ausentes e conexões indesejadas.
Importante
A operação de recursos de PaaS no modo Aprendizado deve servir apenas como uma etapa de transição. Atores mal-intencionados podem explorar recursos não confiáveis para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Imposto.
Transição para o modo imposto para recursos existentes
Para proteger totalmente o acesso público, é essencial passar para o modo imposto no perímetro de segurança da rede. As coisas a serem consideradas antes de migrar para o modo imposto são o impacto no acesso público, privado, confiável e de perímetro. No modo imposto, o comportamento do acesso à rede em recursos de PaaS associados em diferentes tipos de recursos de PaaS pode ser resumido da seguinte maneira:
- Acesso público: o acesso público refere-se a solicitações de entrada ou de saída feitas por meio de redes públicas. Os recursos de PaaS protegidos por um perímetro de segurança da rede têm seu acesso público de entrada e saída desabilitado por padrão, mas as regras de acesso de perímetro de segurança da rede podem ser usadas para permitir seletivamente o tráfego público que corresponde a eles.
- Acesso de perímetro: o acesso de perímetro refere-se a solicitações de entrada ou de saída entre os recursos que fazem parte do mesmo perímetro de segurança da rede. Para evitar a infiltração e exfiltração de dados, esse tráfego de perímetro nunca ultrapassará os limites do perímetro, a menos que seja explicitamente aprovado como tráfego público na origem e no destino no modo imposto. A identidade gerenciada precisa ser atribuída aos recursos para se obter acesso ao perímetro.
- Acesso confiável: o acesso de serviço confiável refere-se a um recurso de alguns serviços do Azure que permitem o acesso por meio de redes públicas quando sua origem forem serviços específicos do Azure considerados confiáveis. Como o perímetro de segurança da rede fornece um controle mais granular do que o acesso confiável, este não tem suporte no modo imposto.
- Acesso privado: o acesso por meio de Links Privados não é afetado pelo perímetro de segurança da rede.
Transferir novos recursos para o perímetro de segurança da rede
O perímetro de segurança da rede dá suporte ao comportamento seguro por padrão introduzindo uma nova propriedade em publicNetworkAccess chamada SecuredbyPerimeter. Quando definido, ele bloqueia o acesso público e impede que os recursos de PaaS sejam expostos a redes públicas.
Na criação de recursos, se publicNetworkAccess estiver definido como SecuredByPerimeter, o recurso será criado no modo de bloqueio mesmo quando não estiver associado a um perímetro. Somente o tráfego de link privado será permitido se configurado. Uma vez associado a um perímetro, o perímetro de segurança da rede regerá o comportamento de acesso ao recurso. A tabela a seguir resume o comportamento de acesso em vários modos e na configuração de acesso à rede pública:
| Modo de acesso de associação | Não associado | Modo de aprendizado | Modo imposto |
|---|---|---|---|
| Acesso à rede pública | |||
| Enabled | Entrada: Regras de recurso Saída Permitido |
Entrada: Perímetro de segurança da rede + Regras de recurso Saída Regras do perímetro de segurança da rede + Permitido |
Entrada: Regras do perímetro de segurança da rede Saída Regras do perímetro de segurança da rede |
| Desabilitado | Entrada: Negado Saída: Permitido |
Entrada: Regras do perímetro de segurança da rede Saída Regras do perímetro de segurança da rede + Permitido |
Entrada: Regras do perímetro de segurança da rede Saída: Regras do perímetro de segurança da rede |
| SecuredByPerimeter | Entrada: Negado Saída: Negado |
Entrada: Regras do perímetro de segurança da rede Saída: Regras do perímetro de segurança da rede |
- Entrada: Regras do perímetro de segurança da rede - Saída: Regras do perímetro de segurança da rede |
Etapas para configurar as propriedades publicNetworkAccess e accessMode
As propriedades publicNetworkAccess e accessMode podem ser definidas usando o portal do Azure seguindo estas etapas:
Navegue até o recurso de perímetro de segurança da rede no portal do Azure.
Selecione Configurações>Recursos para exibir a lista de recursos associados ao perímetro.
Selecione ... (reticências) ao lado do recurso que deseja configurar.
No menu suspenso, selecione Configurar acesso à rede pública e selecione o modo de acesso desejado entre as três opções disponíveis:Habilitado, Desabilitado ou SecuredByPerimeter.
Para definir o modo de acesso, selecione Configurar o modo de acesso no menu suspenso e selecione o desejado entre as duas opções disponíveis: Aprendizado ou Imposto.
