Compartilhar via


Marcas de serviço de rede virtual

Uma marca de serviço representa um grupo de prefixos de endereço IP de um determinado serviço do Azure. A Microsoft gerencia os prefixos de endereço englobados pela marca de serviço e atualiza automaticamente a marca de serviço em caso de alteração de endereços, minimizando a complexidade de atualizações frequentes das regras de segurança de rede.

Importante

Embora as Marcas de Serviço simplifiquem a capacidade de habilitar ACLs (Listas de Controle de Acesso) baseadas em IP, as Marcas de Serviço por si só não são suficientes para proteger o tráfego sem considerar a natureza do serviço e o tráfego que ele envia. Para obter mais informações sobre ACLs baseadas em IP, consulte O que é uma lista de controle de acesso (ACL) baseada em IP?.

Informações adicionais sobre a natureza do tráfego podem ser encontradas posteriormente neste artigo para cada serviço e sua marca. É importante garantir que você esteja familiarizado com o tráfego que permite ao utilizar marcas de serviço para ACLs baseadas em IP. Considere níveis adicionais de segurança para proteger seu ambiente.

É possível usar marcas de serviço para definir os controles de acesso à rede em grupos de segurança de rede, Firewall do Azure e rotas definidas pelo usuário. Use marcas de serviço em vez de endereços IP específicos ao criar regras e rotas de segurança. Ao especificar o nome da marca de serviço, como ApiManagement no campo correto de origem ou destino de uma regra de segurança, você poderá permitir ou negar o tráfego para o serviço correspondente. Ao especificar o nome da marca de serviço no prefixo de endereço de uma rota, você pode rotear o tráfego destinado a qualquer um dos prefixos encapsulados pela marca de serviço para um tipo de próximo salto desejado.

Você pode usar as marcas de serviço para obter o isolamento da rede e proteger os recursos do Azure da Internet em geral ao acessar os serviços do Azure que tenham pontos de extremidade públicos. Crie regras de entrada/saída para o grupo de segurança de rede a fim de negar o tráfego de/para a Internet e permitir o tráfego de/para o AzureCloud ou outras marcas de serviço disponíveis de serviços específicos do Azure.

Isolamento de rede dos serviços do Azure usando marcas de serviço

Marcas de serviço disponíveis

A tabela a seguir inclui todas as marcas de serviço disponíveis para uso em regras do grupo de segurança de rede.

As colunas indicam se a marca:

  • É adequada para regras que abrangem o tráfego de entrada ou de saída.
  • Dá suporte a um escopo regional.
  • Pode ser usado nas regras do Firewall do Azure como regra de destino apenas para tráfego de entrada ou saída.

Por padrão, as marcas de serviço refletem os intervalos para toda a nuvem. Algumas marcas de serviço também permitem um controle mais granular ao restringir os intervalos de IP correspondentes a uma região especificada. Por exemplo, a marca de serviço Armazenamento representa o Armazenamento do Azure para toda a nuvem, mas Storage.WestUS limita o intervalo apenas aos intervalos de endereços IP de armazenamento da região do Oeste dos EUA. A tabela a seguir indica se cada marca de serviço oferece suporte a esse escopo regional e a direção listada para cada marca é uma recomendação. Por exemplo, a marca AzureCloud pode ser usada para permitir o tráfego de entrada. Na maioria dos cenários, não recomendamos permitir o tráfego de todos os IPs do Azure, pois os IPs usados ​​por outros clientes do Azure são incluídos como parte da marca de serviço.

Marca Finalidade É possível usar entrada ou saída? Pode ser regional? É possível usar com o Firewall do Azure?
ActionGroup Grupo de ações. Entrada Não Sim
ApiManagement Tráfego do gerenciamento de implantações dedicadas do Gerenciamento de API do Azure.

Observação: essa marca representa o ponto de extremidade de serviço do Gerenciamento de API do Azure para o plano de controle por região. A marca permite que os clientes executem operações de gerenciamento nas APIs, Operações, Políticas, NamedValues configurados no serviço de Gerenciamento de API.
Entrada Sim Sim
ApplicationInsightsAvailability Disponibilidade do Application Insights. Entrada Não Sim
AppConfiguration Configuração de Aplicativos. Saída Não Sim
AppService Serviço de Aplicativo do Azure. Essa marca é recomendada para regras de segurança de saída para aplicativos Web e aplicativos de funções.

Observação: essa marca não inclui endereços IP atribuídos ao usar SSL baseado em IP (endereço atribuído por aplicativo).
Saída Sim Sim
AppServiceManagement Tráfego de gerenciamento para implantações dedicadas ao Ambiente do Serviço de Aplicativo. Ambos Não Sim
AzureActiveDirectory Serviços de ID do Microsoft Entra. Essa marca inclui login, MS Graph e outros serviços Entra não listados especificamente nessa tabela Saída Não Sim
AzureActiveDirectoryDomainServices Tráfego de gerenciamento para implantações dedicadas para o Microsoft Entra Domain Services. Ambos Não Sim
AzureAdvancedThreatProtection Microsoft Defender para Identidade. Saída Não Sim
AzureArcInfrastructure Servidores habilitados para Azure Arc, Kubernetes habilitado para Azure Arc e tráfego de Configuração de Convidado.

Observação: Essa marca tem uma dependência nas marcas AzureActiveDirectory, AzureTrafficManager e AzureResourceManager.
Saída Não Sim
AzureAttestation Atestado do Azure. Saída Não Sim
AzureBackup Backup do Azure.

Observação: essa marca tem uma dependência das marcas Armazenamento e AzureActiveDirectory.
Saída Não Sim
AzureBotService Serviço de Bot do Azure. Ambos Não Sim
AzureCloud Todos os endereços IP públicos do datacenter. Esta marca não inclui IPv6. Ambos Sim Sim
AzureCognitiveSearch IA do Azure Search.

Esta marca especifica os intervalos de IP dos ambientes de execução multilocatário usados por um serviço de pesquisa para indexação baseada em indexador.

Observação: o IP do serviço de pesquisa em si não é coberto por esta marca de serviço. Na configuração de firewall do recurso do Azure, você deve especificar a marca de serviço e também o endereço IP específico do próprio serviço de pesquisa.
Entrada Não Sim
AzureConnectors Essa marca representa os endereços IP para conectores gerenciados que fazem retornos de chamada de webhook de entrada para o serviço de Aplicativos Lógicos do Azure e chamadas de saída para os respectivos serviços, por exemplo, o Armazenamento do Microsoft Azure ou os Hubs de Eventos do Azure. Ambos Sim Sim
AzureContainerAppsService Serviço de Aplicativos de Contêiner do Azure Ambos Sim No
AzureContainerRegistry Registro de Contêiner do Azure. Saída Sim Sim
AzureCosmosDB Azure Cosmos DB. Saída Sim Sim
AzureDatabricks Azure Databricks. Ambos Não Sim
AzureDataExplorerManagement Gerenciamento do Azure Data Explorer. Entrada Não Sim
AzureDeviceUpdate Atualização de Dispositivo para Hub IoT. Ambos Não Sim
AzureDevOps Azure DevOps. Entrada Sim Sim
AzureDigitalTwins Gêmeos Digitais do Azure.

Observação: essa marca ou os endereços IP cobertos por ela podem ser usados para restringir o acesso a pontos de extremidade configurados para rotas de eventos.
Entrada Não Sim
AzureEventGrid Grade de Eventos do Azure. Ambos Não Sim
AzureFrontDoor.Frontend
AzureFrontDoor.Backend
AzureFrontDoor.FirstParty
A marca de serviço Frontend contém os endereços IP que os clientes usam para acessar o Front Door. Você pode aplicar a marca de serviço AzureFrontDoor.Frontend quando quiser controlar o tráfego de saída que pode se conectar aos serviços por trás do Azure Front Door. A marca de serviço Backend contém os endereços IP que o Azure Front Door usa para acessar suas origens. Você pode aplicar essa marca de serviço ao configurar a segurança para suas origens. FirstParty é uma marca especial reservada para um grupo seleto de serviços da Microsoft hospedados no Azure Front Door. Ambos Sim Sim
AzureHealthcareAPIs Os endereços IP cobertos por essa marca podem ser usados para restringir o acesso aos Serviços de Dados de Saúde do Azure. Ambos Não Sim
AzureInformationProtection Proteção de Informações do Azure.

Observação: essa marca tem uma dependência das marcas AzureActiveDirectory, AzureFrontDoor.Frontend e AzureFrontDoor.FirstParty.
Saída Não Sim
AzureIoTHub Hub IoT do Azure. Saída Sim Sim
AzureKeyVault Azure Key Vault.

Observação: essa marca tem uma dependência da marca AzureActiveDirectory.
Saída Sim Sim
AzureLoadBalancer O balanceador de carga de infraestrutura do Azure. A marca é traduzida para o endereço IP virtual do host (168.63.129.16), no qual as sondas de integridade do Azure se originam. Isso inclui apenas o tráfego de investigação, não o tráfego real para o recurso de back-end. Se não estiver usando o Azure Load Balancer, você poderá substituir essa regra. Ambos Não Não
AzureMachineLearningInference Essa marca de serviço é usada para restringir a entrada de rede pública em cenários de inferência gerenciada por rede privada. Entrada Não Sim
EspaçoGerenciadoDoAzureParaGrafana Ponto de extremidade da instância do Espaço Gerenciado do Azure para Grafana. Saída Não Sim
AzureMonitor Log Analytics, Application Insights, Workspace do Azure Monitor, AzMon e métricas personalizadas (pontos de extremidade GiG).

Observação: Para o Log Analytics, a marca de Armazenamento também é necessária. Se os agentes do Linux forem usados, a marca GuestAndHybridManagement também será necessária.
Saída Não Sim
AzureOpenDatasets Conjunto de Dados em Aberto no Azure.

Observação: essa marca tem uma dependência das marcas AzureFrontDoor.Frontend e Armazenamento.
Saída Não Sim
AzurePlatformDNS O serviço DNS de infraestrutura básica (padrão).

Você pode usar essa marca para desabilitar o DNS padrão. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzurePlatformIMDS O IMDS (Serviço de Metadados de Instância do Azure), que é um serviço de infraestrutura básico.

Você pode usar essa marca para desabilitar o DNS padrão. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzurePlatformLKM Serviço de gerenciamento de chaves ou licenciamento do Windows.

Você pode usar essa marca para desabilitar os padrões de licenciamento. Tenha cuidado ao usar essa marca. Recomendamos que você leia as Considerações sobre a plataforma do Azure. Também recomendamos que você execute os testes antes de usar essa marca.
Saída Não Não
AzureResourceManager Azure Resource Manager. Saída Não Sim
AzureSentinel Microsoft Sentinel. Entrada Não Sim
AzureSignalR Azure SignalR. Saída Não Sim
AzureSiteRecovery Azure Site Recovery.

Observação: essa marca tem uma dependência das marcas AzureActiveDirectory, AzureKeyVault, EventHub, GuestAndHybridManagement e Storage.
Saída Não Sim
AzureSphere Essa marca ou os endereços IP cobertos por ela podem ser usados para restringir o acesso a serviços de segurança do Azure Sphere. Ambos Não Sim
AzureSpringCloud Permitir tráfego para aplicativos hospedados nos Aplicativos Spring do Azure. Saída Não Sim
AzureStack Serviços do Azure Stack Bridge.
Essa marca representa o ponto de extremidade de serviço do Azure Stack Bridge por região.
Saída Não Sim
AzureTrafficManager Endereços IP de investigação do Gerenciador de Tráfego do Azure.

Saiba mais sobre os endereços IP de investigação no Gerenciador de Tráfego nas Perguntas frequentes sobre o Gerenciador de Tráfego do Azure.
Entrada Não Sim
AzureUpdateDelivery A marca de serviço de Entrega de Atualizações do Azure usada para acessar o Windows Updates está marcada para substituição e, no futuro, será desativada.

Os clientes são aconselhados a não depender dessa marca de serviço e, para os clientes que já a usam, é recomendável a migração para uma das seguintes opções:

Configurar o Firewall do Azure para seus dispositivos Windows 10/11 conforme documentado:

Gerenciar pontos de extremidade de conexão para o Windows 11 Enterprise

Gerenciar pontos de extremidade de conexão para Windows 10 Enterprise, versão 21H2

Implantar o Windows Server Update Services (WSUS)

Planejar a implantação para atualizar VMs do Windows no Azure, em seguida, prossiga para
Etapa 2: Configurar o WSUS
Saída Não Sim
AzureWebPubSub AzureWebPubSub Ambos Sim Sim
BatchNodeManagement Tráfego de gerenciamento para implantações dedicadas ao Lote do Azure. Ambos Sim Sim
ChaosStudio Azure Chaos Studio.

Observação: se você tiver habilitado a integração do Application Insights no Agente do Chaos, a marca AzureMonitor também será necessária.
Ambos Não Sim
CognitiveServicesFrontend Os intervalos de endereços para o tráfego para os portais de front-end dos serviços de IA do Azure. Ambos Não Sim
CognitiveServicesManagement Os intervalos de endereços para o tráfego dos serviços de IA do Azure. Ambos Não Sim
DataFactory Fábrica de dados do Azure Ambos Sim Yes
DataFactoryManagement Tráfego de gerenciamento do Azure Data Factory. Saída Não Sim
Dynamics365ForMarketingEmail Os intervalos de endereços para o serviço de email de marketing do Dynamics 365. Ambos Sim Sim
Dynamics365BusinessCentral Essa marca ou os endereços IP cobertos por ela podem ser usados para restringir o acesso aos Serviços do Dynamics 365 Business Central. Ambos Não Sim
EOPExternalPublishedIPs Essa marca representa os endereços IP usados para o PowerShell do Centro de Segurança e Conformidade. Consulte o Conectar-se ao PowerShell do Centro de Conformidade e Segurança usando o módulo EXO V2 para obter mais detalhes. Ambos Não Sim
EventHub Hubs de Eventos do Azure. Saída Sim Sim
GatewayManager Tráfego de gerenciamento para implantações dedicadas ao Gateway de VPN e ao Gateway de Aplicativo do Azure. Entrada Não Não
GuestAndHybridManagement Configuração de convidado e Automação do Azure. Saída Não Sim
HDInsight Azure HDInsight. Entrada Sim Sim
Internet Esse espaço de endereços IP fica fora da rede virtual e que pode ser acessado por meio da Internet pública.

O intervalo de endereços inclui o espaço de endereço IP público de propriedade do Azure.
Ambos Não Não
KustoAnalytics Kusto Analytics. Ambos Não Não
LogicApps Aplicativos Lógicos. Ambos Não Sim
LogicAppsManagement Tráfego de gerenciamento para Aplicativos Lógicos. Entrada Não Sim
M365ManagementActivityApi A API de Atividade de Gerenciamento do Office 365 fornece informações sobre várias ações e eventos de usuários, administradores, sistemas e políticas dos logs de atividade do Office 365 e do Microsoft Entra. Os clientes e parceiros podem usar essas informações para criar novas ou aprimorar as operações, a segurança e as soluções de monitoramento de conformidade existentes para a empresa.

Observação: essa marca tem uma dependência da marca AzureActiveDirectory.
Saída Sim Sim
M365ManagementActivityApiWebhook As notificações são enviadas para o webhook configurado para uma assinatura à medida que o novo conteúdo se torna disponível. Entrada Sim Sim
MicrosoftAzureFluidRelay Essa marca representa os endereços IP usados para o Azure Fluid Relay da Microsoft.
Observação: Esta marca tem uma dependência da marca AzureFrontDoor.Frontend.
Saída Não Sim
MicrosoftCloudAppSecurity Microsoft Defender para aplicativos na nuvem. Saída Não Sim
MicrosoftDefenderForEndpoint Serviços principais do Microsoft Defender para Ponto de Extremidade.

Observação: os dispositivos precisam ser integrados com conectividade simplificada e atender aos requisitos para usarem essa marca de serviço. O Defender para Ponto de Extremidade/Servidor exige marcas de serviço adicionais, como o OneDSCollector, para dar suporte a todas as funcionalidades.

Para obter mais informações, consulte Integração de dispositivos usando conectividade simplificada para o Microsoft Defender para Ponto de Extremidade
Ambos Não Sim
PowerBI Serviços de back-end da plataforma Power BI e pontos de extremidade da API.

Ambos Não Sim
PowerPlatformInfra Essa marca representa os endereços IP usados pela infraestrutura para hospedar serviços do Power Platform. Ambos Sim Sim
PowerPlatformPlex Essa marca representa os endereços IP usados pela infraestrutura para hospedar a execução da extensão do Power Platform em nome do cliente. Ambos Sim Sim
PowerQueryOnline Power Query Online. Ambos Não Sim
Scuba Conectores de dados para produtos de segurança da Microsoft (Sentinel, Defender, etc.). Entrada Não Não
SerialConsole Limitar o acesso a contas de armazenamento de diagnóstico de inicialização somente da marca de serviço do Console serial Entrada Não Sim
Barramento de Serviço O tráfego do Barramento de Serviço do Azure que usa a camada de serviço Premium. Saída Sim Sim
ServiceFabric Azure Service Fabric.

Observação: essa marca representa o ponto de extremidade de serviço do Service Fabric do plano de controle por região. Ela permite que os clientes executem operações de gerenciamento para os clusters do Service Fabric em seu ponto de extremidade VNET. (Por exemplo, https:// westus.servicefabric.azure.com).
Ambos Não Sim
Sql Banco de Dados SQL do Azure, Banco de Dados do Azure para MySQL, Banco de Dados do Azure para PostgreSQL com Servidor Único, Banco de Dados do Azure para MariaDB e Azure Synapse Analytics.

Observação: essa marca representa o serviço, mas não instâncias específicas dele. Por exemplo, a marca representa o serviço Banco de Dados SQL do Azure, mas não um banco de dados ou servidor SQL específico. Essa marca não se aplica à instância gerenciada do SQL.
Saída Sim Sim
SqlManagement Tráfego de gerenciamento para implantações dedicadas do SQL. Ambos Não Sim
Storage Armazenamento do Microsoft Azure.

Observação: essa marca representa o serviço, mas não instâncias específicas dele. Por exemplo, a marca representa o serviço Armazenamento do Azure, mas não uma conta do Armazenamento do Azure específica.
Saída Sim Sim
StorageSyncService Serviço de Sincronização de Armazenamento. Ambos Não Sim
StorageMover Migrador de Armazenamento. Saída Sim Yes
WindowsAdminCenter Permita que o serviço de back-end do Windows Admin Center se comunique com a instalação dos clientes do Windows Admin Center. Saída Não Sim
WindowsVirtualDesktop Área de Trabalho Virtual do Azure (antiga Área de Trabalho Virtual do Windows). Ambos Não Sim
VideoIndexer Video Indexer.
Usado para permitir que os clientes abram seu NSG para o serviço do Video Indexer e recebam retornos de chamada para seu serviço.
Ambos Não Sim
VirtualNetwork O espaço de endereço de rede virtual (todos os intervalos de endereço IP definidos para a rede virtual), todos os espaços de endereço locais conectados, redes virtuais emparelhadas, redes virtuais conectadas a um gateway de rede virtual, o endereço IP virtual do host e os prefixos de endereços usados em rotas definidas pelo usuário. Essa marca também pode conter rotas padrão. Ambos Não Número

Observação

  • Ao usar marcas de serviço com o Firewall do Azure, você só pode criar regras de destino no tráfego de entrada e saída. Não há suporte para regras de origem. Para obter mais informações, confira o documento Marcas de serviço do Firewall do Azure.

  • As marcas de serviços do Azure indicam os prefixos de endereços de uma nuvem específica a ser usada. Por exemplo, os intervalos de IP subjacentes que correspondem ao valor da marca SQL na nuvem pública do Azure serão diferentes dos intervalos subjacentes da nuvem do Microsoft Azure operado pela 21Vianet.

  • Se você implementar um ponto de extremidade de serviço de rede virtual em um serviço, como o Armazenamento do Azure ou o Banco de Dados SQL do Azure, o Azure adicionará uma rota para uma sub-rede de rede virtual para o serviço. Os prefixos de endereços na rota são os mesmos prefixos de endereços, ou intervalos CIDR, aos correspondentes da marca de serviço.

Marcas compatíveis com o modelo de implantação clássico

O modelo de implantação clássico (anterior ao Azure Resource Manager) é compatível com um subconjunto das marcas listadas na tabela anterior. As marcas no modelo de implantação clássico são escritas de modo diferente, conforme mostrado na seguinte tabela:

Marca do Resource Manager Marca correspondente no modelo de implantação clássico
AzureLoadBalancer BALANCEADORDECARGA_AZURE
Internet INTERNET
VirtualNetwork REDE_VIRTUAL

Marcas sem suporte para UDR (rotas definidas pelo usuário)

Veja a seguir uma lista de marcas atualmente sem suporte para uso com UDR (rotas definidas pelo usuário).

  • AzurePlatformDNS

  • AzurePlatformIMDS

  • AzurePlatformLKM

  • VirtualNetwork

  • AzureLoadBalancer

  • Internet

Marcas de serviço locais

Você pode obter as informações da marca de serviço e dos intervalos atuais para incluir como parte das configurações de firewall local. Essas informações estão na lista pontual atual dos intervalos de IP que correspondem a cada marca de serviço. Você pode obter as informações de forma programática ou por meio do download de um arquivo JSON, como descrito nas seções a seguir.

Usar a API de Descoberta de Marca de Serviço

Você pode recuperar de forma programática a lista atual de marcas de serviço com os detalhes dos intervalos de endereços IP:

Por exemplo, para recuperar todos os prefixos para a Marca de Serviço de Armazenamento, você pode usar os seguintes cmdlets do PowerShell:

$serviceTags = Get-AzNetworkServiceTag -Location eastus2
$storage = $serviceTags.Values | Where-Object { $_.Name -eq "Storage" }
$storage.Properties.AddressPrefixes

Observação

  • Os dados da API representam as marcas que podem ser usadas com as regras NSG em sua região. Use os dados da API como a fonte de verdade para as Marcas de Serviço disponíveis, pois podem ser diferentes do arquivo JSON para download.
  • Leva até 4 semanas para que novos dados de Marca de Serviço se propaguem nos resultados da API em todas as regiões do Azure. Devido a esse processo, os resultados dos dados da API podem estar fora de sincronia com o arquivo JSON para download, pois os dados da API representam um subconjunto das marcas atuais no arquivo JSON para download.
  • Você precisa estar autenticado e ter uma função com permissões de leitura para a sua assinatura atual.

Descobrir marcas de serviço usando download de arquivos JSON

Você pode baixar arquivos JSON que contêm a lista atual de marcas de serviço com detalhes de intervalos de endereços IP. Essas listas são atualizadas e publicadas semanalmente. Os locais de cada nuvem são:

Os intervalos de endereços IP nesses arquivos estão na notação CIDR.

As seguintes marcas AzureCloud não têm nomes regionais formatados de acordo com o esquema normal:

  • AzureCloud.centralfrance (FranceCentral)

  • AzureCloud.southfrance (FranceSouth)

  • AzureCloud.germanywc (GermanyWestCentral)

  • AzureCloud.germanyn (GermanyNorth)

  • AzureCloud.norwaye (NorwayEast)

  • AzureCloud.norwayw (NorwayWest)

  • AzureCloud.switzerlandn (SwitzerlandNorth)

  • AzureCloud.switzerlandw (SwitzerlandWest)

  • AzureCloud.usstagee (EastUSSTG)

  • AzureCloud.usstagec (SouthCentralUSSTG)

  • AzureCloud.brazilse (BrazilSoutheast)

Dica

  • Você pode detectar as atualizações de uma publicação em comparação com a próxima observando os valores changeNumber no arquivo JSON. Cada subseção (por exemplo, Storage.WestUS) tem seu changeNumber, que aumenta conforme ocorrem as alterações. O nível superior do changeNumber do arquivo aumenta quando qualquer uma das subseções é alterada.

  • Para obter exemplos de como analisar as informações de marcas de serviço (por exemplo, para obter todos os intervalos de endereços para Armazenamento no Oeste dos EUA), confira a documentação API de Descoberta de Marca de Serviço do PowerShell.

  • Quando novos endereços IP são adicionados às marcas de serviço, eles não são usados no Azure por pelo menos uma semana. Isso lhe dá tempo para atualizar todos os sistemas que talvez precisem rastrear os endereços IP associados às marcas de serviço.

Próximas etapas