Grupos de Segurança de Rede com o Azure Site Recovery
Os Grupos de Segurança de Rede são usados para limitar o tráfego de rede a recursos em uma rede virtual. Um NSG (Grupo de Segurança de Rede) contém uma lista de regras de segurança que permitem ou negam o tráfego de rede de entrada ou saída com base no endereço IP, porta e protocolo de origem ou destino.
No modelo de implantação do Resource Manager, os NSGs podem ser associados a sub-redes ou interfaces de rede individuais. Quando um NSG é associado a uma sub-rede, as regras são aplicadas a todos os recursos ligados à mesma. O tráfego pode ainda ser restringido associando também um NSG a interfaces de rede individuais dentro de uma sub-rede que já tenha um NSG associado.
Este artigo descreve como você pode usar os Grupos de Segurança de Rede com o Azure Site Recovery.
Usando grupos de segurança de rede
Uma sub-rede individual pode ter zero, ou um, NSG associado. Uma interface de rede individual também pode ter zero, ou um, NSG associado. Assim, você pode efetivamente ter restrição de tráfego duplo para uma máquina virtual associando um NSG primeiro a uma sub-rede e, em seguida, outro NSG à interface de rede da VM. A aplicação das regras NSG neste caso depende da direção do tráfego e da prioridade das regras de segurança aplicadas.
Considere um exemplo simples com uma máquina virtual da seguinte maneira:
- A máquina virtual é colocada dentro da Sub-rede Contoso.
- A Sub-rede Contoso está associada ao NSG da Sub-rede.
- A interface de rede VM é adicionalmente associada ao VM NSG.
Neste exemplo, para o tráfego de entrada, o NSG da sub-rede é avaliado primeiro. Qualquer tráfego permitido através do Subnet NSG é então avaliado pelo VM NSG. O inverso é aplicável ao tráfego de saída, com o VM NSG sendo avaliado primeiro. Qualquer tráfego permitido através do VM NSG é então avaliado pelo Subnet NSG.
Isso permite a aplicação granular de regras de segurança. Por exemplo, talvez você queira permitir o acesso de entrada à Internet a algumas VMs de aplicativos (como VMs front-end) em uma sub-rede, mas restringir o acesso de entrada à Internet a outras VMs (como banco de dados e outras VMs de back-end). Nesse caso, você pode ter uma regra mais branda no NSG da sub-rede, permitindo o tráfego da Internet, e restringir o acesso a VMs específicas negando o acesso no NSG da VM. O mesmo pode ser aplicado ao tráfego de saída.
Ao configurar essas configurações NSG, certifique-se de que as prioridades corretas sejam aplicadas às regras de segurança. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior. Quando o tráfego corresponder a uma regra, o processamento para. Como resultado, qualquer regra que exista com prioridades inferiores (números mais elevados) e que tenham os mesmos atributos das regras com prioridades superiores não é processada.
É possível que não esteja sempre ciente de que os grupos de segurança de rede estão aplicados, quer à interface de rede, quer à sub-rede. Você pode verificar as regras agregadas aplicadas a uma interface de rede exibindo as regras de segurança efetivas para uma interface de rede. Você também pode usar o recurso de verificação de fluxo de IP no Azure Network Watcher para determinar se a comunicação é permitida de ou para uma interface de rede. A ferramenta indica se é permitida a comunicação e que regra de segurança de rede permite ou nega o tráfego.
Replicação local para o Azure com NSG
O Azure Site Recovery permite a recuperação de desastres e a migração para o Azure para máquinas virtuais Hyper-V locais, máquinas virtuais VMware e servidores físicos. Para todos os cenários locais para o Azure, os dados de replicação são enviados e armazenados em uma conta de Armazenamento do Azure. Durante a replicação, você não paga nenhuma taxa de máquina virtual. Quando você executa um failover para o Azure, o Site Recovery cria automaticamente máquinas virtuais IaaS do Azure.
Depois que as VMs forem criadas após o failover para o Azure, os NSGs poderão ser usados para limitar o tráfego de rede para a rede virtual e as VMs. A Recuperação de Site não cria NSGs como parte da operação de failover. Recomendamos criar os NSGs do Azure necessários antes de iniciar o failover. Em seguida, você pode associar NSGs a VMs com failover automaticamente durante o failover, usando scripts de automação com os poderosos planos de recuperação do Site Recovery.
Por exemplo, se a configuração da VM pós-failover for semelhante ao cenário de exemplo detalhado acima:
- Você pode criar a VNet da Contoso e a Sub-rede Contoso como parte do planejamento de DR na região de destino do Azure.
- Você também pode criar e configurar o NSG da Sub-rede, bem como o NSG da VM como parte do mesmo planejamento de DR.
- O NSG da sub-rede pode ser imediatamente associado à Sub-rede Contoso, pois o NSG e a sub-rede já estão disponíveis.
- O VM NSG pode ser associado a VMs durante o failover usando planos de recuperação.
Depois que os NSGs forem criados e configurados, recomendamos a execução de um failover de teste para verificar associações NSG com script e conectividade de VM pós-failover.
Replicação do Azure para Azure com NSG
O Azure Site Recovery permite a recuperação de desastres de máquinas virtuais do Azure. Ao habilitar a replicação para VMs do Azure, o Site Recovery pode criar as redes virtuais de réplica (incluindo sub-redes e sub-redes de gateway) na região de destino e criar os mapeamentos necessários entre as redes virtuais de origem e de destino. Você também pode pré-criar as redes e sub-redes do lado de destino e usar o mesmo ao habilitar a replicação. O Site Recovery não cria nenhuma VM na região do Azure de destino antes do failover.
Para replicação de VM do Azure, verifique se as regras do NSG na região do Azure de origem permitem conectividade de saída para o tráfego de replicação. Você também pode testar e verificar essas regras necessárias por meio deste exemplo de configuração do NSG.
O Site Recovery não cria nem replica NSGs como parte da operação de failover. Recomendamos criar os NSGs necessários na região do Azure de destino antes de iniciar o failover. Em seguida, você pode associar NSGs a VMs com failover automaticamente durante o failover, usando scripts de automação com os poderosos planos de recuperação do Site Recovery.
Considerando o cenário de exemplo descrito anteriormente:
- A Recuperação de Site pode criar réplicas da VNet da Contoso e da Sub-rede Contoso na região do Azure de destino quando a replicação está habilitada para a VM.
- Você pode criar as réplicas desejadas do NSG da Sub-rede e do NSG da VM (nomeadas, por exemplo, NSG da Sub-rede de Destino e NSG da VM de Destino, respectivamente) na região do Azure de destino, permitindo quaisquer regras adicionais necessárias na região de destino.
- O NSG da sub-rede de destino pode ser imediatamente associado à sub-rede da região de destino, pois tanto o NSG quanto a sub-rede já estão disponíveis.
- O NSG da VM de destino pode ser associado a VMs durante o failover usando planos de recuperação.
Depois que os NSGs forem criados e configurados, recomendamos a execução de um failover de teste para verificar associações NSG com script e conectividade de VM pós-failover.
Próximos passos
- Saiba mais sobre os Grupos de Segurança de Rede.
- Saiba mais sobre as regras de segurança do NSG.
- Saiba mais sobre regras de segurança eficazes para um NSG.
- Saiba mais sobre planos de recuperação para automatizar o failover de aplicativos.