Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, você aprenderá sobre os diferentes modos de acesso e como fazer a transição para um perímetro de segurança da rede no Azure. Os modos de acesso controlam o acesso a recursos e o comportamento de registro em log, ajudando você a proteger seus recursos do Azure.
[! INCLUDE network-security-perimeter-preview-message]
Ponto de configuração do modo de acesso em associações de recursos
O ponto de configuração do modo de acesso faz parte de uma associação de recursos no perímetro e, portanto, pode ser definido pelo administrador do perímetro.
A propriedade accessMode pode ser definida em uma associação de recursos para controlar o acesso à rede pública do recurso.
Os valores possíveis de accessMode atualmente são Imposto e Transição.
| Modo de acesso | Descrição |
|---|---|
| de Transição |
Esse é o modo de acesso padrão. A avaliação nesse modo usa a configuração de perímetro de segurança de rede como uma linha de base. Quando não encontrar uma regra de correspondência, a avaliação retornará à configuração do firewall de recurso, que pode aprovar o acesso com as configurações existentes. |
| Imposto | Quando definido explicitamente, o recurso obedece apenas às regras de acesso de perímetro de segurança da rede. |
Evitar interrupções de conectividade ao adotar o perímetro de segurança da rede
Habilitar modo de transição
Para evitar interrupções indesejadas de conectividade ao adotar o perímetro de segurança de rede para os recursos de PaaS existentes e garantir uma transição suave para configurações seguras, os administradores podem adicionar recursos de PaaS ao perímetro de segurança de rede no modo de transição (anteriormente, modo de aprendizagem). Embora esta etapa não proteja os recursos de PaaS, ela protegerá:
- Permitirá que as conexões sejam estabelecidas de acordo com a configuração de perímetro da segurança de rede. Além disso, os recursos nesse fallback de configuração respeitam as regras de firewall definidas pelo recurso e o comportamento de acesso confiável quando as conexões não são permitidas pelas regras de acesso de perímetro de segurança da rede.
- Quando os logs de diagnóstico estiverem habilitados, são gerados logs detalhando se as conexões foram aprovadas com base na configuração do perímetro da segurança de rede ou na configuração do recurso. Os administradores podem analisar esses logs para identificar lacunas nas regras de acesso, associações de perímetro ausentes e conexões indesejadas.
Importante
A operação de recursos de PaaS no modo transição (anteriormente aprendizado) deve servir apenas como uma etapa de transição. Atores mal-intencionados podem explorar recursos não confiáveis para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Forçado.
Transição para o modo imposto para recursos existentes
Para proteger totalmente o acesso público, é essencial passar para o modo imposto no perímetro de segurança de rede. As coisas a serem consideradas antes de migrar para o modo imposto são o impacto no acesso público, privado, confiável e de perímetro. Quando está no modo imposto, o comportamento do acesso à rede nos recursos associados de PaaS pode ser resumido da seguinte maneira em diferentes tipos de recursos de PaaS:
- Acesso público: o acesso público refere-se a solicitações de entrada ou de saída feitas por meio de redes públicas. Os recursos de PaaS protegidos por um perímetro de segurança da rede têm seu acesso público de entrada e saída desabilitado por padrão, mas as regras de acesso de perímetro de segurança da rede podem ser usadas para permitir seletivamente o tráfego público que corresponde a eles.
- Acesso de perímetro: o acesso de perímetro refere-se a solicitações de entrada ou de saída entre os recursos que fazem parte do mesmo perímetro de segurança da rede. Para evitar a infiltração e exfiltração de dados, esse tráfego de perímetro nunca ultrapassará os limites do perímetro, a menos que seja explicitamente aprovado como tráfego público na origem e no destino no modo imposto. A identidade gerenciada precisa ser atribuída aos recursos para acesso de perímetro.
- Acesso confiável: o acesso de serviço confiável refere-se a um recurso de alguns serviços do Azure que permitem o acesso por meio de redes públicas quando sua origem forem serviços específicos do Azure considerados confiáveis. Como o perímetro de segurança de rede fornece um controle mais granular do que o acesso confiável, o acesso confiável não tem suporte no modo imposto.
- Acesso privado: O acesso por meio de Links Privados não é afetado pelo perímetro de segurança de rede.
Transferir novos recursos para o perímetro de segurança da rede
O perímetro de segurança da rede dá suporte ao comportamento seguro por padrão introduzindo uma nova propriedade em publicNetworkAccess chamada SecuredbyPerimeter. Quando definido, ele bloqueia o acesso público e impede que os recursos de PaaS sejam expostos a redes públicas.
Na criação de recursos, se publicNetworkAccess estiver definido como SecuredByPerimeter, o recurso será criado no modo de bloqueio mesmo quando não estiver associado a um perímetro. Somente o tráfego de link privado será permitido se configurado. Uma vez associado a um perímetro, o perímetro de segurança da rede regerá o comportamento de acesso ao recurso. A tabela a seguir resume o comportamento de acesso em vários modos e na configuração de acesso à rede pública:
| Modo de acesso de associação | Não associado | Modo de transição | Modo imposto |
|---|---|---|---|
| Acesso à rede pública | |||
| Habilitado |
Entrada: Regras de recurso Saída Permitido |
Entrada: Perímetro de segurança da rede + Regras de recurso Saída Regras do perímetro de segurança da rede + Permitido |
Entrada: Regras do perímetro de segurança da rede Saída Regras do perímetro de segurança da rede |
| Desabilitado |
Entrada: Negado Saída: Permitido |
Entrada: Regras do perímetro de segurança da rede Saída Regras do perímetro de segurança da rede + Permitido |
Entrada: Regras do perímetro de segurança da rede Saída: Regras do perímetro de segurança da rede |
| SecuredByPerimeter |
Entrada: Negado Saída: Negado |
Entrada: Regras do perímetro de segurança da rede Saída: Regras do perímetro de segurança da rede |
-
Entrada: Regras do perímetro de segurança da rede - Saída: Regras do perímetro de segurança da rede |
Etapas para configurar as propriedades publicNetworkAccess e accessMode
As propriedades publicNetworkAccess e accessMode podem ser definidas usando o portal do Azure seguindo estas etapas:
Navegue até o recurso de perímetro de segurança da rede no portal do Azure.
Selecione configuraçõesde recursos associados> para exibir a lista de recursos associados ao perímetro.
Selecione ... (reticências) ao lado do recurso que deseja configurar.
No menu suspenso, selecione Configurar acesso à rede pública e selecione o modo de acesso desejado entre as três opções disponíveis:Habilitado, Desabilitado ou SecuredByPerimeter.
Para definir o modo de acesso, selecione Alterar o modo de acesso no menu suspenso e selecione o modo de acesso desejado nas duas opções disponíveis: Aprendizado ou Imposto.
