Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Perímetro de Segurança de Rede do Azure cria limites de rede lógicos em torno de seus recursos paaS (plataforma como serviço) que são implantados fora de suas redes virtuais. O perímetro de segurança de rede ajuda você a controlar o acesso à rede pública a recursos como contas de Armazenamento do Azure e Azure Key Vault estabelecendo um perímetro seguro.
Por padrão, o perímetro de segurança de rede restringe o acesso público aos recursos de PaaS dentro do limite. Você pode conceder exceções por meio de regras de acesso explícitas para tráfego de entrada e saída. Essa abordagem ajuda a impedir a exfiltração de dados, mantendo a conectividade necessária para seus aplicativos.
Para obter padrões de acesso que envolvem o tráfego de redes virtuais para recursos de PaaS, consulte O que é o Link Privado do Azure?.
Os recursos de um perímetro de segurança da rede incluem:
- Comunicação de acesso de recurso para recurso entre membros do perímetro, impedindo a exfiltração dos dados para destinos não autorizados.
- Gerenciamento de acesso público externo com regras explícitas para recursos de PaaS associados ao perímetro.
- Acesse logs para auditoria e conformidade.
- Experiência unificada entre recursos de PaaS.
Important
O perímetro de segurança de rede agora está disponível em todas as regiões de nuvem pública do Azure. Para obter informações sobre serviços com suporte, consulte Recursos de link privado integrado para serviços de PaaS com suporte."
Componentes de um perímetro de segurança da rede
Um perímetro de segurança de rede inclui os seguintes componentes:
| Component | Description |
|---|---|
| Perímetro de segurança da rede | Recurso de nível superior definindo o limite de rede lógica para proteger recursos de PaaS. |
| Profile | Coleção de regras de acesso que se aplicam aos recursos associados ao perfil. |
| Regra de acesso | Regras de entrada e saída para os recursos em um perímetro para permitir o acesso fora do perímetro. |
| Associação de recurso | Associação de perímetro para um recurso de PaaS. |
| Configurações de diagnóstico | Recurso de extensão hospedado pelo Microsoft Insights para coletar logs e métricas para todos os recursos no perímetro. |
Note
Para a segurança organizacional e informacional, não inclua dados pessoais identificáveis ou confidenciais nas regras de perímetro de segurança da rede ou em outras configurações de perímetro de segurança da rede.
Propriedades do perímetro de segurança de rede
Ao criar um perímetro de segurança de rede, você pode especificar as seguintes propriedades:
| Property | Description |
|---|---|
| Name | Um nome exclusivo dentro do grupo de recursos. |
| Location | Região aceita pelo Azure em que o recursos está localizado. |
| Nome do grupo de recursos | Nome do grupo de recursos em que o perímetro de segurança de rede deve estar presente. |
Modos de acesso no perímetro de segurança da rede
Os administradores adicionam recursos de PaaS a um perímetro criando associações de recursos. Essas associações podem ser feitas em dois modos de acesso. Os modos de acesso são:
| Mode | Description |
|---|---|
| Modo de transição (anteriormente Modo de aprendizado) | – Modo de acesso padrão. – Ajuda os administradores de rede a compreender os padrões de acesso existentes dos seus recursos PaaS. – Modo de uso recomendado antes da transição para o modo de imposição. |
| Modo imposto | - Deve ser definido pelo administrador. - Por padrão, todo o tráfego, exceto o tráfego intra-perímetro, é negado nesse modo, a menos que exista uma regra de permissão de acesso. |
Saiba mais sobre a mudança do modo de transição (anteriormente modo de aprendizado) para o modo forçado no artigo Transição para um perímetro de segurança da rede.
Por que usar um perímetro de segurança da rede?
O perímetro de segurança de rede fornece um perímetro seguro para a comunicação dos serviços de PaaS implantados fora da rede virtual. Ele permite controlar o acesso à rede aos recursos de PaaS do Azure. Alguns dos casos de uso comuns incluem:
- Crie um limite seguro em torno dos recursos de PaaS.
- Evite a exfiltração de dados associando recursos de PaaS ao perímetro.
- Habilite as regras de acesso para conceder acesso fora do perímetro seguro.
- Gerenciar regras de acesso para todos os recursos de PaaS dentro do perímetro de segurança de rede em um único painel de vidro.
- Habilite as configurações de diagnóstico para gerar logs de acesso de recursos de PaaS dentro do perímetro de Auditoria e Conformidade.
- Permitir o tráfego de endpoint privado sem a necessidade de regras de acesso explícitas.
Como funciona um perímetro de segurança da rede?
Quando um perímetro de segurança de rede é criado e os recursos de PaaS são associados ao perímetro no modo imposto, todo o tráfego público é negado por padrão, impedindo a exfiltração de dados fora do perímetro.
As regras de acesso podem ser usadas para aprovar o tráfego público de entrada e saída fora do perímetro. O acesso de entrada público pode ser aprovado usando atributos de Rede e Identidade do cliente, como endereços IP de origem, assinaturas. O acesso de saída público pode ser aprovado usando FQDNs (Nomes de Domínio Totalmente Qualificados) dos destinos externos.
Por exemplo, ao criar um perímetro de segurança de rede e associar um conjunto de recursos de PaaS com o perímetro, como o Azure Key Vault e o Armazenamento do Azure no modo imposto, todo o tráfego público de entrada e saída é negado a esses recursos de PaaS por padrão. Para permitir qualquer acesso fora do perímetro, as regras de acesso necessárias podem ser criadas. Dentro do mesmo perímetro, perfis podem ser criados para agrupar recursos de PaaS com requisitos semelhantes de acesso de entrada e saída.
Recursos de link privado integrados
Um recurso de link privado com reconhecimento de perímetro de segurança de rede é um recurso de PaaS que pode ser associado a um perímetro de segurança de rede. Atualmente, a lista de recursos de link privado integrados é a seguinte:
| Nome do recurso do link privado | Tipo de recurso | Resources | Disponibilidade |
|---|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Workspace do Log Analytics, Application Insights, Alertas, Serviço de Notificação | Disponível em geral |
| Azure AI Search | Microsoft.Search/searchServices | Disponível | |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | Visualização Pública | |
| Hubs de Eventos | Microsoft.EventHub/namespaces | Disponível | |
| Cofre de chaves | Microsoft.KeyVault/vaults | Disponível | |
| BD SQL | Microsoft.Sql/servers | Visualização Pública | |
| Storage | Microsoft.Storage/storageAccounts | Disponível | |
| Serviço OpenAI do Azure | Microsoft.CognitiveServices | Visualização Pública |
Important
Os seguintes serviços integrados estão em versão prévia pública com o Perímetro de Segurança de Rede:
- Cosmos DB
- BD SQL
- Serviço de IA Aberta do Azure
Essas visualizações são fornecidas sem contrato de nível de serviço e não são recomendadas para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Note
Consulte a documentação do respectivo recurso de link privado para obter informações sobre cenários atualmente sem suporte.
Tipos de regra de acesso com suporte
O perímetro de segurança de rede dá suporte aos seguintes tipos de regra de acesso:
| Direction | Tipo de regra de acesso |
|---|---|
| Inbound | Regras baseadas em assinatura |
| Inbound | Regras baseadas em IP (verifique os respectivos recursos de link privado integrados para suporte v6) |
| Outbound | Regras com base no FQDN |
Limitações de um perímetro de segurança da rede
Limitações do registro em log
No momento, o perímetro de segurança de rede está disponível em todas as regiões de nuvem pública do Azure. Contudo, ao habilitar os logs de acesso para o perímetro de segurança da rede, o espaço de trabalho do Log Analytics a ser associado ao perímetro de segurança da rede precisa estar localizado em uma das regiões compatíveis com o Azure Monitor.
Note
Quanto aos logs de recursos da PaaS, use Workspace do Log Analytics, Armazenamento ou Hub de Eventos como o destino de log associado ao mesmo perímetro que o recurso PaaS.
Limitações de escala
A funcionalidade de perímetro de segurança da rede pode ser usada para oferecer suporte a implantações de recursos de PaaS com controles de rede pública comuns com as seguintes limitações de escala:
| Limitation | Description |
|---|---|
| Número de perímetros de segurança de rede | Suporte para até 100 como limite recomendado por assinatura. |
| Perfis por perímetros de segurança de rede | Suporta até 200 como limite recomendado. |
| Número de elementos de regra por perfil | Suporte para até 200 para entrada e saída, cada uma como limite rígido. |
| Número de recursos de PaaS entre assinaturas associadas ao mesmo perímetro de segurança de rede | Suporte para até 1000 como limite recomendado. |
Outras limitações
O perímetro de segurança de rede tem outras limitações da seguinte maneira:
| Limitation/Issue | Description |
|---|---|
| Campo ausente nos logs de acesso do perímetro de segurança da rede | Os logs de acesso ao perímetro de segurança da rede podem ter sido agregados. Se os campos 'count' e 'timeGeneratedEndTime' estiverem ausentes, considere a contagem de agregação como 1. |
| As criações de associação por meio do SDK falham devido a problemas de permissão | Status: 403 (Proibido); ErrorCode: AuthorizationFailed, pode ser recebido ao executar a ação 'Microsoft.Network/locations/networkSecurityPerimeterOperationStatuses/read' sobre o escopo '/subscriptions/xyz/providers/Microsoft.Network/locations/xyz/networkSecurityPerimeterOperationStatuses/xyz'. Até a correção, use a permissão 'Microsoft.Network/locations/*/read' ou use WaitUntil.Started na API do SDK CreateOrUpdateAsync para criações de associação. |
| Os nomes de recursos não podem ter mais de 44 caracteres para dar suporte ao perímetro de segurança de rede | A associação de recursos de perímetro de segurança de rede criada no portal do Azure tem o formato {resourceName}-{perimeter-guid}. Para alinhar com o requisito de que o campo de nome não tenha mais de 80 caracteres, os nomes dos recursos precisariam ser limitados a 44 caracteres. |
| Não há suporte para o tráfego do ponto de extremidade de serviço. | É recomendável usar pontos de extremidade privados para comunicação IaaS para PaaS. Atualmente, o tráfego do ponto de extremidade de serviço pode ser negado mesmo quando uma regra de entrada permite 0.0.0.0/0. |
Note
Consulte a documentação de PaaS individual para obter as respectivas limitações para cada serviço.