O que é o Perímetro de Segurança de Rede?
O Perímetro de Segurança de Rede permite que as organizações definam um limite lógico de isolamento de rede para recursos PaaS (por exemplo, conta de Armazenamento do Azure e servidor do Banco de Dados SQL) implantados fora das redes virtuais da sua organização. Restringe o acesso da rede pública aos recursos de PaaS dentro do perímetro; O acesso pode ser isento utilizando regras de acesso explícitas para entradas e saídas públicas.
Para padrões de acesso que envolvem tráfego de redes virtuais para recursos PaaS, consulte O que é o Azure Private Link?.
Os recursos do Network Security Perimeter incluem:
- Recurso para comunicação de acesso a recursos dentro dos membros do perímetro, evitando a exfiltração de dados para destinos não autorizados.
- Gerencie o acesso público externo com regras explícitas para recursos de PaaS associados ao perímetro.
- Logs de acesso para auditoria e conformidade.
- Experiência unificada em todos os recursos de PaaS.
Importante
O Perímetro de Segurança de Rede está em pré-visualização pública e disponível em todas as regiões de nuvem pública do Azure. Esta versão de pré-visualização é disponibiliza sem um contrato de nível de serviço e não é recomendada para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.
Componentes do Perímetro de Segurança de Rede
Um perímetro de segurança de rede inclui os seguintes componentes:
| Componente | Descrição |
|---|---|
| Perímetro de segurança da rede | Recursos de nível superior que definem o limite lógico da rede para proteger os recursos PaaS. |
| Perfil | Coleção de regras de acesso que se aplicam aos recursos associados ao perfil. |
| Regra de acesso | Regras de entrada e saída para recursos em um perímetro para permitir o acesso fora do perímetro. |
| Associação de recursos | Associação de perímetro para um recurso PaaS. |
| Configurações de diagnóstico | Recurso de extensão hospedado pelo Microsoft Insights para coletar logs e métricas para todos os recursos no perímetro. |
Nota
Para segurança organizacional e informacional, é aconselhável não incluir quaisquer dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança de rede ou outra configuração de perímetro de segurança de rede.
Propriedades do perímetro de segurança de rede
Ao criar um perímetro de segurança de rede, você pode especificar as seguintes propriedades:
| Propriedade | Descrição |
|---|---|
| Nome | Um nome exclusivo dentro do grupo de recursos. |
| Location | Uma região do Azure com suporte onde o recurso está localizado. |
| Nome do grupo de recursos | Nome do grupo de recursos onde o perímetro de segurança de rede deve estar presente. |
Modos de acesso no perímetro de segurança da rede
Os administradores adicionam recursos PaaS a um perímetro criando associações de recursos. Estas associações podem ser feitas em dois modos de acesso. Os modos de acesso são:
| Modo | Descrição |
|---|---|
| Modo de aprendizagem | - Modo de acesso padrão. - Ajuda os administradores de rede a entender os padrões de acesso existentes de seus recursos PaaS. - Modo de uso aconselhado antes de fazer a transição para o modo imposto. |
| Modo imposto | - Deve ser definido pelo administrador. - Por padrão, todo o tráfego, exceto o tráfego dentro do perímetro, é negado neste modo, a menos que exista uma regra de acesso Permitir . |
Saiba mais sobre a transição do modo de aprendizagem para o modo imposto no artigo Transição para um perímetro de segurança de rede.
Por que usar o Network Security Perimeter?
O perímetro de segurança de rede fornece um perímetro seguro para a comunicação de serviços PaaS implantados fora da rede virtual. Ele permite que você controle o acesso de rede aos recursos de PaaS do Azure. Alguns dos casos de uso comuns incluem:
- Crie um limite seguro em torno dos recursos de PaaS.
- Impeça a exfiltração de dados associando recursos de PaaS ao perímetro.
- Habilite as regras de acesso para conceder acesso fora do perímetro seguro.
- Gerencie regras de acesso para todos os recursos de PaaS dentro do perímetro de segurança de rede em um único painel.
- Habilite as configurações de diagnóstico para gerar logs de acesso de recursos de PaaS dentro do perímetro para auditoria e conformidade.
- Permitir tráfego de ponto final privado sem outras regras de acesso.
Como funciona o Perímetro de Segurança de Rede?
Quando um perímetro de segurança de rede é criado e os recursos de PaaS são associados ao perímetro no modo imposto, todo o tráfego público é negado por padrão, impedindo assim a exfiltração de dados fora do perímetro.
As regras de acesso podem ser usadas para aprovar o tráfego público de entrada e saída fora do perímetro. O acesso de entrada público pode ser aprovado usando os atributos Rede e Identidade do cliente, como endereços IP de origem, assinaturas. O acesso público de saída pode ser aprovado usando FQDNs (Fully Qualified Domain Names) dos destinos externos.
Por exemplo, ao criar um perímetro de segurança de rede e associar um conjunto de recursos de PaaS, como o Cofre de Chaves do Azure e o Banco de Dados SQL no modo imposto, com o perímetro, todo o tráfego público de entrada e saída é negado a esses recursos de PaaS por padrão. Para permitir qualquer acesso fora do perímetro, as regras de acesso necessárias podem ser criadas. Dentro do mesmo perímetro, perfis também podem ser criados para agrupar recursos PaaS com um conjunto semelhante de requisitos de acesso de entrada e saída.
Recursos de links privados integrados
Um recurso de link privado com reconhecimento de perímetro de segurança de rede é um recurso PaaS que pode ser associado a um perímetro de segurança de rede. Atualmente, a lista de recursos de link privado integrados é a seguinte:
| Nome do recurso de link privado | Tipo de recurso | Recursos |
|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Espaço de trabalho do Log Analytics, Application Insights, alertas, serviço de notificação |
| Azure AI Search | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Hubs de Eventos | Microsoft.EventHub/namespaces | - |
| Key Vault | Microsoft.KeyVault/cofres | - |
| SQL DB | Microsoft.Sql/servers | - |
| Armazenamento | Microsoft.Storage/storageAccounts | - |
Nota
Limitações do perímetro de segurança da rede
Limitações regionais
O perímetro de segurança de rede está atualmente disponível em todas as regiões de nuvem pública do Azure. No entanto, ao habilitar logs de acesso para perímetro de segurança de rede, o espaço de trabalho do Log Analytics a ser associado ao perímetro de segurança de rede precisa estar localizado em uma das regiões com suporte do Azure Monitor. Atualmente, essas regiões são Leste dos EUA, Leste dos EUA 2, Centro-Norte dos EUA, Centro-Sul dos EUA, Oeste dos EUA e Oeste dos EUA 2.
Nota
Para logs de recursos PaaS, use o Hub de Armazenamento e Eventos como o destino do log para qualquer região associada ao mesmo perímetro.
Limitações de escala
A funcionalidade de perímetro de segurança de rede pode ser utilizada para suportar implementações de recursos PaaS com controlos de rede pública comuns com as seguintes limitações de escala:
| Limitação | Descrição |
|---|---|
| Número de perímetros de segurança de rede | Suportado até 100 como limite recomendado por subscrição. |
| Perfis por perímetros de segurança de rede | Suportado até 200 como limite recomendado. |
| Número de elementos da regra por perfil | Suportado até 200 como limite rígido. |
| Número de recursos de PaaS em assinaturas associadas ao mesmo perímetro de segurança de rede | Suportado até 1000 como limite recomendado. |
Outras limitações
O perímetro de segurança de rede tem outras limitações, como se segue:
| Limitação/Problema | Descrição |
|---|---|
| A operação de movimentação do grupo de recursos não pode ser executada se vários perímetros de segurança de rede estiverem presentes | Se houver vários perímetros de segurança de rede presentes no mesmo grupo de recursos, o perímetro de segurança de rede não poderá ser movido entre grupos/assinaturas de recursos. |
| As associações devem ser removidas antes de excluir o perímetro de segurança da rede | A opção de exclusão forçada está indisponível no momento. Assim, todas as associações devem ser removidas antes de excluir um perímetro de segurança de rede. Só remova associações depois de tomar precauções para permitir o acesso anteriormente controlado pelo perímetro de segurança da rede. |
| Os nomes de recursos não podem ter mais de 44 caracteres para oferecer suporte ao perímetro de segurança de rede | A associação de recursos de perímetro de segurança de rede criada a partir do portal do Azure tem o formato {resourceName}-{perimeter-guid}. Para alinhar com o campo de nome do requisito não pode ter mais de 80 caracteres, os nomes de recursos teriam que ser limitados a 44 caracteres. |
| Não há suporte para tráfego de ponto de extremidade de serviço. | Recomenda-se o uso de endpoints privados para comunicação IaaS para PaaS. Atualmente, o tráfego de ponto de extremidade de serviço pode ser negado mesmo quando uma regra de entrada permite 0.0.0.0/0. |
Nota
Consulte a documentação de PaaS individual para obter as respetivas limitações de cada serviço.