Transição para um perímetro de segurança de rede no Azure
Neste artigo, você aprenderá sobre os diferentes modos de acesso e como fazer a transição para um perímetro de segurança de rede no Azure. Os modos de acesso controlam o comportamento de acesso e registro em log do recurso.
Ponto de configuração do modo de acesso em associações de recursos
O ponto de configuração do modo de acesso faz parte de uma associação de recursos no perímetro e, portanto, pode ser definido pelo administrador do perímetro.
A propriedade accessMode pode ser definida em uma associação de recurso para controlar o acesso à rede pública do recurso.
Os valores possíveis de accessMode são atualmente Aplicado e Aprendizagem.
| Modo de Acesso | Descrição |
|---|---|
| Aprendizagem | Este é o modo de acesso padrão. A avaliação neste modo usará a configuração do perímetro de segurança da rede como uma linha de base, mas no caso de não encontrar uma regra correspondente, a avaliação retornará para a configuração do firewall de recursos, que poderá aprovar o acesso com as configurações existentes. |
| Aplicada | Quando definido explicitamente, o recurso obedece apenas às regras de acesso ao perímetro de segurança da rede. |
Evite interrupções de conectividade ao adotar o perímetro de segurança da rede
Ativar o modo de aprendizagem
Para evitar interrupções indesejáveis de conectividade ao adotar o perímetro de segurança de rede para recursos de PaaS existentes e garantir uma transição suave para configurações seguras, os administradores podem adicionar recursos de PaaS ao perímetro de segurança de rede no modo de aprendizagem. Embora esta etapa não proteja os recursos de PaaS, ela irá:
- Permitir que as conexões sejam estabelecidas de acordo com a configuração do perímetro de segurança da rede. Além disso, os recursos nessa configuração voltam a respeitar as regras de firewall definidas por recursos e o comportamento de acesso confiável quando as conexões não são permitidas pelas regras de acesso de perímetro de segurança de rede.
- Quando os logs de diagnóstico são habilitados, gera logs detalhando se as conexões foram aprovadas com base na configuração do perímetro de segurança da rede ou na configuração do recurso. Os administradores podem analisar esses logs para identificar lacunas nas regras de acesso, associações de perímetro ausentes e conexões indesejadas.
Importante
Operar recursos de PaaS no modo de aprendizagem deve servir apenas como uma etapa de transição. Agentes mal-intencionados podem explorar recursos não seguros para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Enforced.
Transição para o modo imposto para recursos existentes
Para proteger totalmente o seu acesso público, é essencial passar para o modo imposto no perímetro de segurança da rede. Coisas a considerar antes de passar para o modo imposto são o impacto no acesso público, privado, confiável e de perímetro. Quando no modo imposto, o comportamento do acesso à rede em recursos de PaaS associados em diferentes tipos de recursos de PaaS pode ser resumido da seguinte forma:
- Acesso público: o acesso público refere-se a solicitações de entrada ou saída feitas através de redes públicas. Os recursos de PaaS protegidos por um perímetro de segurança de rede têm seu acesso público de entrada e saída desabilitado por padrão, mas as regras de acesso ao perímetro de segurança de rede podem ser usadas para permitir seletivamente o tráfego público que corresponde a eles.
- Acesso de perímetro: o acesso de perímetro refere-se a solicitações de entrada ou saída entre os recursos que fazem parte do mesmo perímetro de segurança de rede. Para evitar a infiltração e exfiltração de dados, esse tráfego de perímetro nunca cruzará os limites do perímetro, a menos que seja explicitamente aprovado como tráfego público na origem e no destino em modo imposto. A identidade gerenciada precisa ser atribuída em recursos para acesso ao perímetro.
- Acesso confiável: o acesso de serviço confiável refere-se a um recurso de alguns serviços do Azure que permite o acesso por meio de redes públicas quando sua origem são serviços específicos do Azure que são considerados confiáveis. Como o perímetro de segurança de rede fornece um controle mais granular do que o acesso confiável, o acesso confiável não é suportado no modo imposto.
- Acesso privado: o acesso via links privados não é afetado pelo perímetro de segurança da rede.
Movendo novos recursos para o perímetro de segurança de rede
O perímetro de segurança de rede suporta o comportamento seguro por padrão, introduzindo uma nova propriedade chamada publicNetworkAccess SecuredbyPerimeter. Quando definido, bloqueia o acesso público e impede que os recursos de PaaS sejam expostos a redes públicas.
Na criação de recursos, se publicNetworkAccess estiver definido como SecuredByPerimeter, o recurso será criado no modo de bloqueio, mesmo quando não estiver associado a um perímetro. Somente o tráfego de link privado será permitido se configurado. Uma vez associado a um perímetro, o perímetro de segurança de rede controla o comportamento de acesso aos recursos. A tabela a seguir resume o comportamento de acesso em vários modos e a configuração de acesso à rede pública:
| Modo de acesso de associação | Não associado | Modo de aprendizagem | Modo imposto |
|---|---|---|---|
| Acesso à rede pública | |||
| Ativado | Entrada: Regras de recursos Saída permitida |
Entrada: Perímetro de segurança de rede + Regras de recursos Regras de perímetro de segurança de rede de saída + Permitido |
Entrada: Regras de perímetro de segurança de rede Regras de perímetro de segurança de rede de saída |
| Desativado | Entrada: Saída negada : Permitida |
Entrada: Regras de perímetro de segurança de rede Saída: Regras de perímetro de segurança de rede + Permitido |
Entrada: Regras de perímetro de segurança de rede Saída: Regras de perímetro de segurança de rede |
| SecuredByPerimeter | Entrada: Negada Saída: Negada |
Entrada: Regras de perímetro de segurança de rede Saída: Regras de perímetro de segurança de rede |
- Entrada: Regras - de perímetro de segurança de rede Saída: Regras de perímetro de segurança de rede |
Etapas para configurar as propriedades publicNetworkAccess e accessMode
publicNetworkAccess As propriedades e accessMode podem ser definidas usando o portal do Azure seguindo estas etapas:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Configurações>Recursos para exibir a lista de recursos associados ao perímetro.
Selecione ... (reticências) ao lado do recurso que você deseja configurar.
No menu suspenso, selecione Configurar acesso à rede pública e selecione o modo de acesso desejado entre as três opções disponíveis: Habilitado, Desabilitado ou SecuredByPerimeter.
Para definir o modo de acesso, selecione Configurar modo de acesso no menu suspenso e, em seguida, selecione o modo de acesso desejado entre as duas opções disponíveis: Aprendizagem ou Imposto.
