Determinar regras eficazes do grupo de segurança de rede

Concluído

Cada grupo de segurança de rede e suas regras de segurança definidas são avaliados de forma independente. O Azure processa as condições em cada regra definida para cada máquina virtual em sua configuração.

  • Para tráfego de entrada, o Azure primeiro processa regras de segurança de grupo de segurança de rede para quaisquer sub-redes associadas e, em seguida, quaisquer interfaces de rede associadas.
  • Para o tráfego de saída, o processo é invertido. O Azure primeiro avalia as regras de segurança do grupo de segurança de rede para quaisquer interfaces de rede associadas, seguidas por quaisquer sub-redes associadas.
  • Para o processo de avaliação de entrada e saída, o Azure também verifica como aplicar as regras para o tráfego intrarrede.

A forma como o Azure acaba por aplicar as regras de segurança definidas para uma máquina virtual determina a eficácia geral das suas regras.

Aspetos a saber sobre regras de segurança eficazes

Vamos explorar como as regras do grupo de segurança de rede são definidas e processadas dentro de uma rede virtual para produzir as regras eficazes.

Considere a seguinte configuração de rede virtual que mostra grupos de segurança de rede (NSGs) controlando o tráfego para máquinas virtuais (VMs). A configuração requer regras de segurança para gerir o tráfego de rede de e para a Internet através da porta TCP 80 através da interface de rede.

Diagrama que mostra como as regras de segurança do grupo de segurança de rede controlam o tráfego para máquinas virtuais.

Nesta configuração de rede virtual, existem três sub-redes. A sub-rede 1 contém duas máquinas virtuais: VM 1 e VM 2. A sub-rede 2 e a sub-rede 3 contêm uma máquina virtual: VM 3 e VM 4, respectivamente. Cada VM tem uma placa de interface de rede (NIC).

O Azure avalia cada configuração do NSG para determinar as regras de segurança eficazes:

Avaliação Sub-rede NSG NIC NSG Regras de entrada Regras de saída
VM 1 Sub-rede 1
NSG 1
NIC
NSG 2
As regras de sub-rede NSG 1 têm precedência sobre as regras NIC NSG 2 As regras da NIC NSG 2 têm precedência sobre as regras de sub-rede NSG 1
VM 2 Sub-rede 1
NSG 1
NIC
nenhum
As regras de sub-rede NSG 1 aplicam-se à sub-rede e à NIC As regras padrão do Azure se aplicam à NIC
e as regras da sub-rede NSG 1 aplicam-se apenas à sub-rede
VM 3 Sub-rede 2
nenhum
NIC
NSG 2
As regras padrão do Azure se aplicam à sub-rede
e as regras NSG 2 aplicam-se à NIC
As regras da NIC NSG 2 aplicam-se à NIC e à sub-rede
VM 4 Sub-rede 3
nenhum
NIC
nenhum
As regras padrão do Azure se aplicam à sub-rede e à NIC
e todo o tráfego de entrada é permitido
As regras padrão do Azure se aplicam à sub-rede e à NIC
e todo o tráfego de saída é permitido

Regras eficazes de tráfego de entrada

O Azure processa regras para tráfego de entrada para todas as VMs na configuração. O Azure identifica se as VMs são membros de um NSG e se têm uma sub-rede ou NIC associada.

  • Quando um NSG é criado, o Azure cria a regra DenyAllInbound de segurança padrão para o grupo. O comportamento padrão é negar todo o tráfego de entrada da Internet. Se um NSG tiver uma sub-rede ou NIC, as regras para a sub-rede ou NIC podem substituir as regras de segurança padrão do Azure.

  • As regras de entrada do NSG para uma sub-rede em uma VM têm precedência sobre as regras de entrada do NSG para uma NIC na mesma VM.

Regras eficazes para o tráfego de saída

O Azure processa regras para tráfego de saída examinando primeiro associações NSG para NICs em todas as VMs.

  • Quando um NSG é criado, o Azure cria a regra AllowInternetOutbound de segurança padrão para o grupo. O comportamento padrão é permitir todo o tráfego de saída para a Internet. Se um NSG tiver uma sub-rede ou NIC, as regras para a sub-rede ou NIC podem substituir as regras de segurança padrão do Azure.

  • As regras de saída do NSG para uma NIC em uma VM têm precedência sobre as regras de saída do NSG para uma sub-rede na mesma VM.

Aspetos a ter em conta na criação de regras eficazes

Analise as considerações a seguir sobre a criação de regras de segurança eficazes para máquinas em sua rede virtual.

  • Considere permitir todo o tráfego. Se você colocar sua máquina virtual em uma sub-rede ou utilizar uma interface de rede, não será necessário associar a sub-rede ou a NIC a um grupo de segurança de rede. Essa abordagem permite todo o tráfego de rede por meio da sub-rede ou NIC de acordo com as regras de segurança padrão do Azure. Se você não estiver preocupado em controlar o tráfego para seu recurso em um nível específico, não associe seu recurso nesse nível a um grupo de segurança de rede.

  • Considere a importância de permitir regras. Ao criar um grupo de segurança de rede, você deve definir uma regra de permissão para a sub-rede e a interface de rede no grupo para garantir que o tráfego possa passar. Se você tiver uma sub-rede ou NIC em seu grupo de segurança de rede, deverá definir uma regra de permissão em cada nível. Caso contrário, o tráfego será negado para qualquer nível que não forneça uma definição de regra de permissão.

  • Considere o tráfego intra-sub-rede. As regras de segurança para um grupo de segurança de rede associado a uma sub-rede podem afetar o tráfego entre todas as máquinas virtuais na sub-rede. Por padrão, o Azure permite que máquinas virtuais na mesma sub-rede enviem tráfego entre si (conhecido como tráfego intra-sub-rede). Você pode proibir o tráfego intra-sub-rede definindo uma regra no grupo de segurança de rede para negar todo o tráfego de entrada e saída. Esta regra impede que todas as máquinas virtuais em sua sub-rede se comuniquem entre si.

  • Considere a prioridade da regra. As regras de segurança para um grupo de segurança de rede são processadas em ordem de prioridade. Para garantir que uma determinada regra de segurança seja sempre processada, atribua o menor valor de prioridade possível à regra. É uma boa prática deixar lacunas na numeração de prioridade, como 100, 200, 300 e assim por diante. As lacunas na numeração permitem que você adicione novas regras sem ter que editar as regras existentes.

Ver regras de segurança eficazes

Se você tiver vários grupos de segurança de rede e não tiver certeza de quais regras de segurança estão sendo aplicadas, poderá usar o link Regras de segurança efetivas no portal do Azure. Você pode usar o link para verificar quais regras de segurança são aplicadas às suas máquinas, sub-redes e interfaces de rede.

Captura de ecrã da página Rede no portal do Azure a mostrar a ligação Regras de segurança eficazes realçada.