Compartilhar via


Criar, alterar ou excluir um Grupo de Segurança de Rede

Ao usar regras de segurança em NSGs (grupos de segurança de rede), você pode filtrar o tipo de tráfego de rede que flui para dentro e para fora de sub-redes de rede virtual e interfaces de rede. Para saber mais sobre NSGs, confira Visão geral do grupo de segurança de rede. Em seguida, conclua o tutorial Filtrar tráfego de rede para se familiarizar com NSGs.

Pré-requisitos

Caso você não tenha uma conta do Azure com assinatura ativa, crie uma gratuitamente. Conclua uma destas tarefas antes de iniciar o restante do artigo:

  • Usuários do portal: Entre no portal do Azure com sua conta do Azure.

  • Usuários do PowerShell: execute os comandos no Azure Cloud Shell ou execute o PowerShell localmente de seu computador. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure que estão instaladas e configuradas para usar com sua conta. Na guia do navegador do Cloud Shell, localize a lista suspensa Selecionar ambiente. Em seguida, selecione PowerShell se ele ainda não estiver selecionado.

    Se usar o PowerShell localmente, use a versão 1.0.0 ou posterior do módulo do Azure PowerShell. Execute Get-Module -ListAvailable Az.Network para localizar a versão instalada. Se você precisar instalá-lo ou atualizá-lo, confira Instalar o módulo do Azure PowerShell. Execute Connect-AzAccount para entrar no Azure.

  • Usuários da CLI do Azure: execute os comandos no Cloud Shell ou execute a CLI do Azure localmente de seu computador. O Cloud Shell é um shell interativo e grátis que pode ser usado para executar as etapas deste artigo. Ele tem ferramentas do Azure que estão instaladas e configuradas para usar com sua conta. Na guia do navegador do Cloud Shell, localize a lista suspensa Selecionar ambiente. Em seguida, selecione Bash se ele ainda não estiver selecionado.

    Se você estiver executando a CLI do Azure localmente, use a CLI do Azure versão 2.0.28 ou posterior. Execute az --version para localizar a versão instalada. Se você precisar instalar ou atualizar, confira Instalar a CLI do Azure. Execute az login para entrar no Azure.

Atribua a função Colaborador de Rede ou uma função personalizada com as permissões apropriadas.

Trabalhar com grupos de segurança de rede

Você pode criar, exibir todas, exibir os detalhes, alterar e excluir um NSG. Você também pode associar ou desassociar um NSG de um adaptador de rede ou de uma sub-rede.

Criar um grupo de segurança de rede

O número de NSGs que você pode criar para cada região e assinatura do Azure é limitado. Para saber mais, consulte Assinatura do Azure e limites de serviços, cotas e restrições.

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na página Criar grupo de segurança de rede, na guia Básico, insira ou selecione os seguintes valores:

    Configuração Ação
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione um grupo de recursos existente ou crie um selecionando Criar. Este exemplo usa o grupo de recursos myResourceGroup.
    Detalhes da instância
    Nome do grupo de segurança de rede Insira um nome para o NSG que você está criando.
    Region Selecione a região desejada.

    Captura de tela que mostra a criação de um NSG no portal do Azure.

  4. Selecione Examinar + criar.

  5. Quando a mensagem Validação aprovada for exibida, selecione Criar.

Exibir todos os grupos de segurança de rede

Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa para ver a lista de NSGs na assinatura.

Captura de tela que mostra a lista de grupos de segurança de rede no portal do Azure.

Exibir os detalhes de um Grupo de Segurança de Rede

  1. Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do seu NSG.

    Captura de tela que mostra a página do grupo de segurança de rede no portal do Azure.

Para saber mais sobre as configurações comuns do Azure que estão listadas, veja as seguintes informações:

Criar um Grupo de Segurança de Rede

As alterações mais comuns em um NSG são:

Associar ou desassociar um grupo de segurança de rede de uma sub-rede ou adaptador de rede

Para obter mais informações sobre a associação e a desassociação de um NSG, consulte Associar ou desassociar um grupo de segurança de rede.

Associar ou desassociar um grupo de segurança de rede de uma sub-rede

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG e, em seguida, selecione Sub-redes.

    • Para associar um NSG à sub-rede, selecione + Associar. Em seguida, selecione sua rede virtual e a sub-rede à qual você deseja associar o NSG. Selecione OK.

      Captura de tela que mostra a associação de um grupo de segurança de rede a uma sub-rede no portal do Azure.

    • Para desassociar um NSG da sub-rede, selecione os três pontos ao lado da sub-rede da qual você deseja desassociar o NSG e selecione Dissociar. Selecione Sim.

      Captura de tela que mostra a dissociação de um NSG de uma sub-rede no portal do Azure.

Excluir um Grupo de Segurança de Rede

Se um NSG estiver associado a sub-redes ou interfaces de rede, ele não poderá ser excluído. Dissocie um NSG de todas as sub-redes e interfaces de rede antes de tentar excluí-lo.

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o NSG que você deseja excluir.

  3. Selecione Excluir e Sim na caixa de diálogo de confirmação.

    Captura de tela que mostra a exclusão de um grupo de segurança de rede no portal do Azure.

Trabalhar com regras de segurança

Um NSG contém zero ou mais regras de segurança. Você pode criar, exibir todas, exibir os detalhes, alterar e excluir uma regra de segurança.

Criar uma regra de segurança

O número de regras por NSG que você pode criar para cada local e assinatura do Azure é limitado. Para saber mais, consulte Assinatura do Azure e limites de serviços, cotas e restrições.

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG ao qual você deseja adicionar uma regra de segurança.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

    Várias regras existentes estão listadas, incluindo algumas que talvez você não tenha adicionado. Quando você cria um NSG, várias regras de segurança padrão são criadas nele. Para saber mais, consulte Regras de segurança padrão. Não é possível excluir as regras de segurança padrão, porém você pode substituí-las por regras com prioridade mais alta.

  4. Selecione + Adicionar. Selecione ou adicione valores para as seguintes configurações e clique em Adicionar.

    Configuração Valor Detalhes
    Origem Um destes:
    • Qualquer
    • Endereços IP
    • Meu endereço IP
    • Marca de serviço
    • Grupo de segurança do aplicativo

    Se você selecionar Endereços IP, também precisará especificar os Endereços IP/intervalos de CIDR de origem.

    Se você selecionar Marca de Serviço, também deverá selecionar uma marca de serviço de origem.

    Se você escolher Grupo de segurança de aplicativo, também deverá selecionar um grupo já existente. Se você selecionar Grupo de segurança do aplicativo para Origem e Destino, os adaptadores de rede de ambos os grupos de segurança do aplicativo precisarão estar na mesma rede virtual. Saiba como criar um grupo de segurança do aplicativo.

    Endereços IP de origem/Intervalos de CIDR Uma lista delimitada por vírgula de endereços IP e intervalos CIDR (roteamento entre domínios sem classificação)

    Essa configuração aparecerá se você alterar a Origem para Endereços IP. Você deve especificar um único valor ou uma lista separada por vírgulas com vários valores. Um exemplo de vários valores é 10.0.0.0/16, 192.188.1.1. O número de valores que você pode especificar é limitado. Para obter mais informações, confira Limites do Azure.

    Se o endereço IP especificado por você for atribuído a uma VM do Azure, especifique o endereço IP privado, não o público. O Azure processa as regras de segurança depois que traduz o endereço IP público em um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e Endereços IP privados.

    Marca de serviço de origem Uma marca de serviço da lista suspensa Essa configuração será exibida se você definir a Origem como a Marca de serviço para uma regra de segurança. Uma marcação de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre marcas de serviço disponível e o que cada uma delas representa, consulte Marcas de serviço.
    Grupo de segurança do aplicativo de origem Grupo de segurança do aplicativo já existente Essa configuração será exibida se você definir Origem como Grupo de segurança de aplicativo. Selecione um grupo de segurança do aplicativo existente na mesma região que o adaptador de rede. Saiba como criar um grupo de segurança do aplicativo.
    Intervalos de portas de origem Um destes:
    • Uma única porta, como 80
    • Um intervalo de portas, como 1024-65535
    • Uma lista separada por vírgulas de portas únicas e/ou intervalos de porta, como 80, 1024-65535
    • Um asterisco (*) para permitir o tráfego em qualquer porta
    Essa configuração especifica as portas nas quais a regra permite ou nega o tráfego. O número de portas que você pode especificar é limitado. Para obter mais informações, confira Limites do Azure.
    Destino Um destes:
    • Qualquer
    • Endereços IP
    • Marca de serviço
    • Grupo de segurança do aplicativo

    Se você selecionar Endereços IP, também precisará especificar os Endereços IP/intervalos de CIDR de destino.

    Se você selecionar Marca de Serviço, também deverá selecionar uma marca de serviço de destino.

    Se você escolher Grupo de segurança de aplicativo, também deverá selecionar um grupo já existente. Se você selecionar Grupo de segurança do aplicativo para Origem e Destino, os adaptadores de rede de ambos os grupos de segurança do aplicativo precisarão estar na mesma rede virtual. Saiba como criar um grupo de segurança do aplicativo.

    Intervalos de CIDR /endereço IP de destino Uma lista delimitada por vírgula de endereços IP e intervalos CIDR

    Essa configuração será exibida se você alterar a Destino para Endereços IP. Você pode especificar endereços ou intervalos únicos ou múltiplos, como você pode fazer com Origem e Endereços IP de origem/intervalos CIDR. O número que você pode especificar é limitado. Para obter mais informações, confira Limites do Azure.

    Se o endereço IP especificado for atribuído a uma VM do Azure, lembre-se de especificar o endereço IP privado, não o público. O Azure processa as regras de segurança depois que traduz o endereço IP público em um endereço IP privado para regras de segurança de entrada, mas antes de traduzir um endereço IP privado para um endereço IP público para regras de saída. Para saber mais sobre endereços IP no Azure, consulte Endereços IP públicos e Endereços IP privados.

    Marca de serviço de destino Uma marca de serviço da lista suspensa Essa configuração será exibida se você definir a Destino como a Marca de serviço para uma regra de segurança. Uma marcação de serviço é um identificador predefinido para uma categoria de endereços IP. Para saber mais sobre marcas de serviço disponível e o que cada uma delas representa, consulte Marcas de serviço.
    Grupo de segurança do aplicativo de destino Grupo de segurança do aplicativo já existente Essa configuração será exibida se você definir Destino como Grupo de segurança de aplicativo. Selecione um grupo de segurança do aplicativo existente na mesma região que o adaptador de rede. Saiba como criar um grupo de segurança do aplicativo.
    Serviço Um protocolo de destino da lista suspensa Essa configuração especifica o protocolo de destino e o intervalo de portas para a regra de segurança. Você pode selecionar um serviço predefinido, como RDP, ou selecionar Personalizado e fornecer o intervalo de portas em Intervalos de portas de destino.
    Intervalos de portas de destino Um destes:
    • Uma única porta, como 80
    • Um intervalo de portas, como 1024-65535
    • Uma lista separada por vírgulas de portas únicas e/ou intervalos de porta, como 80, 1024-65535
    • Um asterisco (*) para permitir o tráfego em qualquer porta
    Assim como acontece com os Intervalos de porta de origem, você pode especificar uma ou várias portas e intervalos. O número que você pode especificar é limitado. Para obter mais informações, confira Limites do Azure.
    Protocolo Qualquer, TCP, UDP ou ICMP Você pode restringir a regra a protocolos TCP (protocolo de controle de transmissão), UDP (protocolo de datagrama do usuário) ou ICMP (protocolo de mensagem de controle da Internet). O padrão é que a regra seja aplicada a todos os protocolos (Qualquer).
    Ação Permitir ou Negar Essa configuração especifica se essa regra permite ou nega o acesso para a configuração de origem e destino fornecida.
    Prioridade Um valor entre 100 e 4096 que seja exclusivo para todas as regras de segurança dentro do NSG O Azure processa as regras de segurança em ordem de prioridade. Quanto menor o número, maior a prioridade. É recomendável deixar uma lacuna entre os números de prioridade ao criar regras, como 100, 200 e 300. Deixar essas lacunas torna mais fácil adicionar regras no futuro que podem precisar ter prioridade maior ou menor do que as regras existentes.
    Nome Um nome exclusivo para a regra dentro do NSG O nome pode ter até 80 caracteres. Deve começar com uma letra ou um número e terminar com uma letra, um número ou um sublinhado. Só pode conter letras, números, sublinhados, pontos ou hifens.
    Descrição Uma descrição de texto Opcionalmente, você pode especificar uma descrição de texto para a regra de segurança. A descrição não pode ter mais de 140 caracteres.

    Captura de tela que mostra a adição de uma regra de segurança a um grupo de segurança de rede no portal do Azure.

Exibir todas as regras de segurança

Um NSG contém zero ou mais regras. Para saber mais sobre a lista de informações ao exibir as regras, consulte as Regras de segurança.

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

    A lista contém todas as regras que você criou e as regras de segurança padrão do NSG.

    Captura de tela que mostra as regras de segurança de entrada de um grupo de segurança de rede no portal do Azure.

Visualize os detalhes de uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione a regra para a qual você deseja exibir detalhes. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.

    Observação

    Esse procedimento se aplica somente a uma regra de segurança personalizada. Ele não funcionará se você escolher uma regra de segurança padrão.

    Captura de tela que mostra os detalhes de uma regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

Alterar uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione a regra que deseja alterar.

  5. Altere as configurações conforme a necessidade e, em seguida, selecione Salvar. Para obter uma explicação de todas as configurações, consulte Configurações de regra de segurança.

    Captura de tela que mostra a alteração dos detalhes da regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

    Observação

    Esse procedimento se aplica somente a uma regra de segurança personalizada. Você não tem permissão para alterar uma regra de segurança padrão.

Excluir uma regra de segurança

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de rede. Em seguida, selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione o nome do NSG para o qual você deseja exibir as regras.

  3. Selecione Regras de segurança de entrada ou Regras de segurança de saída.

  4. Selecione as regras que deseja excluir.

  5. Selecione Excluir e, em seguida, selecione Sim.

    Captura de tela que mostra a exclusão de uma regra de segurança de entrada de um grupo de segurança de rede no portal do Azure.

    Observação

    Esse procedimento se aplica somente a uma regra de segurança personalizada. Você não tem permissão para excluir uma regra de segurança padrão.

Trabalhar com grupos de segurança de aplicativo

Um grupo de segurança de aplicativo contém zero ou mais adaptadores de rede. Para saber mais, confira Grupos de segurança de aplicativo. Todos os adaptadores de rede em um grupo de segurança do aplicativo precisam existir na mesma rede virtual. Para saber como adicionar um adaptador de rede a um grupo de segurança de aplicativo, consulte Adicionar um adaptador de rede a um grupo de segurança de aplicativo.

Criar um grupo de segurança de aplicativo

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na página Criar um grupo de segurança de aplicativo, na guia Básico, insira ou selecione os seguintes valores:

    Configuração Ação
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Resource group Selecione um grupo de recursos existente ou crie um selecionando Criar. Este exemplo usa o grupo de recursos myResourceGroup.
    Detalhes da instância
    Nome Insira um nome para o grupo de segurança de aplicativo que você está criando.
    Region Selecione a região na qual deseja criar o grupo de segurança do aplicativo.

    Captura de tela que mostra a criação de um grupo de segurança de aplicativo no portal do Azure.

  4. Selecione Examinar + criar.

  5. Quando a mensagem Validação aprovada for exibida, selecione Criar.

Exibir todos os grupos de segurança de aplicativo

Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa. Uma lista dos grupos de segurança do aplicativo aparece no portal do Azure.

Captura de tela que mostra grupos de segurança de aplicativos existentes no portal do Azure.

Visualize os detalhes de um grupo de segurança de aplicativo específico

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo para o qual você deseja exibir os detalhes.

Alterar um grupo de segurança de aplicativo

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo que deseja alterar:

    • Selecione mover ao lado de Grupo de recursos ou Assinatura para alterar o grupo de recursos ou a assinatura, respectivamente.

    • Selecione Editar ao lado de Marcas para adicionar ou remover marcas. Para saber mais, consulte Usar marcas para organizar os recursos do Azure e a hierarquia de gerenciamento.

      Captura de tela que mostra a alteração de um grupo de segurança do aplicativo no portal do Azure.

      Observação

      Você não pode alterar o local de um grupo de segurança de aplicativo.

    • Selecione IAM (controle de acesso) para atribuir ou remover permissões para o grupo de segurança do aplicativo.

Excluir um grupo de segurança de aplicativo

Não será possível excluir um grupo de segurança de aplicativo se ele tiver algum adaptador de rede associado. Para remover todos os adaptadores de rede do grupo de segurança do aplicativo, exclua ou alterne as configurações dos adaptadores de rede. Para mais informações, confira Adicionar ou remover de grupos de segurança de aplicativo ou Excluir um adaptador de rede.

  1. Na caixa de pesquisa na parte superior do portal, digite Grupo de segurança de aplicativo. Em seguida, selecione Grupos de segurança do aplicativo nos resultados da pesquisa.

  2. Selecione o grupo de segurança do aplicativo que deseja excluir.

  3. Selecione Excluir e, em seguida, selecione Sim para excluir o grupo de segurança do aplicativo.

    Captura de tela que mostra a exclusão de um grupo de segurança de aplicativo no portal do Azure.

Permissões

Para gerenciar NSGs, regras de segurança e grupos de segurança do aplicativo, sua conta deve receber a função de colaborador de rede. Você também pode usar uma função personalizada com as permissões apropriadas atribuídas, conforme listado nas tabelas a seguir.

Observação

Talvez não seja possível ver a lista completa de marcas de serviço se a função Colaborador da Rede tiver sido atribuída em um nível de grupo de recursos. Para exibir a lista completa, é possível atribuir essa função em um escopo de assinatura. Se você só puder permitir a função Colaborador de Rede para o grupo de recursos, também poderá criar uma função personalizada para as permissões Microsoft.Network/locations/serviceTags/read e Microsoft.Network/locations/serviceTagDetails/read. Atribua-os em um escopo de assinatura, juntamente com a função Colaborador de Rede no escopo do grupo de recursos.

Grupo de segurança de rede

Ação Nome
Microsoft.Network/networkSecurityGroups/read Obter um NSG.
Microsoft.Network/networkSecurityGroups/write Criar ou atualizar um NSG.
Microsoft.Network/networkSecurityGroups/delete Excluir um NSG.
Microsoft.Network/networkSecurityGroups/join/action Associar um NSG a uma sub-rede ou interface de rede.

Observação

Para executar operações write em um NSG, a conta de assinatura deve ter pelo menos permissões read para o grupo de recursos junto com a permissão Microsoft.Network/networkSecurityGroups/write.

Regra do grupo de segurança de rede

Ação Nome
Microsoft.Network/networkSecurityGroups/securityRules/read Obter uma regra.
Microsoft.Network/networkSecurityGroups/securityRules/write Criar ou atualizar um regra.
Microsoft.Network/networkSecurityGroups/securityRules/delete Excluir uma regra.

Grupo de segurança do aplicativo

Ação Nome
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Juntar uma configuração IP a um grupo de segurança do aplicativo.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Entrar em uma regra de segurança aos grupos de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/read Obter um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/write Criar ou atualizar um grupo de segurança de aplicativo.
Microsoft.Network/applicationSecurityGroups/delete Excluir um grupo de segurança de aplicativo.