Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece o processo para configurar um perímetro de segurança de rede para recursos do Azure Monitor. O perímetro de segurança de rede é um recurso de isolamento de rede que fornece um perímetro seguro para comunicação entre serviços PaaS implantados fora de uma rede virtual. Esses serviços PaaS podem se comunicar entre si dentro do perímetro e também podem se comunicar com recursos fora do perímetro usando regras públicas de acesso de entrada e saída.
O Perímetro de Segurança de Rede permite controlar o acesso à rede usando as configurações de isolamento de rede em recursos suportados do Azure Monitor. Depois que um perímetro de segurança de rede estiver configurado, você poderá executar as seguintes ações:
- Controle o acesso à rede aos seus recursos suportados do Azure Monitor com base nas regras de acesso de entrada e saída definidas para o perímetro de segurança de rede.
- Registre todo o acesso à rede em seus recursos suportados do Azure Monitor.
- Bloqueie qualquer exfiltração de dados para serviços que não estejam no perímetro de segurança da rede.
Sugestão
Para obter orientação sobre como fazer a transição dos recursos do Azure Monitor para um perímetro de segurança de rede, consulte Transição para um perímetro de segurança de rede no Azure.
Regiões
O Perímetro de Segurança de Rede do Azure está disponível em todas as regiões de nuvem pública onde o Azure Monitor é suportado.
Limitações atuais
- Para cenários de exportação do Log Analytics com contas de armazenamento/hubs de eventos, o espaço de trabalho do Log Analytics e a conta de armazenamento/hub de eventos devem fazer parte do mesmo perímetro.
- Somente os recursos do Azure que dão suporte a perímetros de segurança de rede podem usar uma configuração de diagnóstico com um destino em um perímetro de segurança de rede. O recurso que está sendo monitorado também deve estar no mesmo perímetro de segurança de rede que o destino.
- Os recursos de grupos de ação global não suportam perímetros de segurança de rede. Você deve criar recursos de grupos de ação regionais que darão suporte a perímetros de segurança de rede.
- As consultas entre recursos são bloqueadas para espaços de trabalho do Log Analytics associados a um perímetro de segurança de rede. Isso inclui acessar o espaço de trabalho por meio de um cluster ADX.
- Os logs de acesso ao perímetro de segurança da rede são amostrados a cada 30 minutos.
- Não há suporte para replicação do espaço de trabalho do Log Analytics.
- Não há suporte para a ingestão de eventos dos Hubs de Eventos do Azure.
- Não há suporte para coleta e consulta de dados com espaços de trabalho do Azure Monitor .
Observação
Essas limitações também se aplicam aos espaços de trabalho do Log Analytics habilitados para Sentinel.
Componentes suportados
Os componentes do Azure Monitor com suporte com perímetros de segurança de rede são listados na tabela a seguir com sua versão mínima da API. Consulte Recursos de link privado integrados para obter uma lista dos outros serviços do Azure com suporte com perímetros de segurança de rede.
| Recurso | Tipo de recurso | Versão da API |
|---|---|---|
| Ponto de extremidade de coleta de dados (DCE) | Microsoft.Insights/dataCollectionEndpoints | 2023-03-11 |
| Área de trabalho do Log Analytics | Microsoft.OperationalInsights/espaços de trabalho | 2023-09-01 |
| Alertas de consulta de log | Microsoft.Insights/ScheduledQueryRules | 2022-08-01-antevisão |
| Grupos de ação 12 | Microsoft.Insights/actionGroups | 2023-05-01 |
| Configurações de diagnóstico | Microsoft.Insights/configurações de diagnóstico | 2021-05-01-pré-visualização |
1 Os perímetros de segurança da rede operam apenas com grupos de ação regionais. Os grupos de ação global têm como padrão o acesso à rede pública.
2 O Hub de Eventos é atualmente o único tipo de ação suportado para perímetros de segurança de rede. Todas as outras ações têm como padrão o acesso à rede pública.
Componentes não suportados
Os seguintes componentes do Azure Monitor não são suportados com um perímetro de segurança de rede.
- Application Insights Profiler para .NET e Snapshot Debugger
- Chave gerenciada pelo cliente do Log Analytics
- Consultas entre recursos que incluem quaisquer espaços de trabalho do Log Analytics associados a um perímetro de segurança de rede
- Azure Monitor Workspace (para métricas do Managed Prometheus)
Observação
Para Informações de Aplicações, configure o perímetro de segurança de rede para o espaço de trabalho do Log Analytics utilizado pelo recurso Informações de Aplicações.
Criar um perímetro de segurança de rede
Crie um perímetro de segurança de rede usando o portal do Azure, a CLI do Azure ou o PowerShell.
Adicionar espaço de trabalho do Log Analytics a um perímetro de segurança de rede
No menu Perímetro de Segurança de Rede no portal do Azure, selecione seu perímetro de segurança de rede.
Selecione Recursos e, em seguida, Adicionar ->Associar recursos a um perfil existente.
Selecione o perfil que deseja associar ao recurso de espaço de trabalho do Log Analytics.
Selecione Associar e, em seguida, selecione o espaço de trabalho do Log Analytics.
Selecione Associar na seção inferior esquerda da tela para criar a associação com o perímetro de segurança de rede.
Importante
Ao transferir um espaço de trabalho do Log Analytics entre grupos de recursos ou assinaturas, vincule-o ao perímetro de segurança da rede para manter as políticas de segurança. Se o espaço de trabalho for excluído, certifique-se de remover também suas associações do perímetro de segurança da rede.
Regras de acesso para o espaço de trabalho do Log Analytics
Um perfil de perímetro de segurança de rede especifica regras que permitem ou negam acesso através do perímetro. Dentro do perímetro, todos os recursos têm acesso mútuo no nível da rede, embora ainda estejam sujeitos a autenticação e autorização. Para recursos fora do perímetro de segurança de rede, você deve especificar regras de acesso de entrada e saída. As regras de entrada especificam quais conexões permitir ou aceitar, e as regras de saída especificam quais solicitações são permitidas para fora.
Observação
Qualquer serviço associado a um perímetro de segurança de rede permite implicitamente o acesso de entrada e saída a qualquer outro serviço associado ao mesmo perímetro de segurança de rede quando esse acesso é autenticado usando identidades gerenciadas e atribuições de função. As regras de acesso só precisam ser criadas ao permitir o acesso fora do perímetro de segurança da rede ou para acesso autenticado usando chaves de API.
Adicionar uma regra de acesso de entrada para o perímetro de segurança da rede
As regras de acesso de entrada do perímetro de segurança de rede podem permitir que a Internet e os recursos fora do perímetro se conectem com recursos dentro do perímetro.
Os perímetros de segurança de rede suportam dois tipos de regras de acesso de entrada:
- Intervalos de endereços IP. Os endereços IP ou intervalos devem estar no formato CIDR (Roteamento entre Domínios sem Classe). Um exemplo de notação CIDR é 8.8.8.0/24, que representa os IPs que variam de 8.8.8.0 a 8.8.8.255. Este tipo de regra permite a entrada a partir de qualquer endereço IP dentro do intervalo permitido.
- Subscrições. Esse tipo de regra permite acesso de entrada autenticado usando qualquer identidade gerenciada da assinatura.
Siga o seguinte processo para adicionar uma regra de acesso de entrada para o perímetro de segurança da rede usando o portal do Azure:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Perfis e, em seguida, o perfil que está a utilizar com o perímetro de segurança da rede.
Selecione Regras de acesso de entrada.
Clique em Adicionar ou Adicionar regra de acesso de entrada. Introduza ou selecione os seguintes valores:
Configurações Valor Nome da regra O nome da regra de acesso de entrada. Por exemplo , MyInboundAccessRule. Tipo de fonte Os valores válidos são intervalos de endereços IP ou subscrições. Fontes permitidas Se você selecionou intervalos de endereços IP, insira o intervalo de endereços IP no formato CIDR a partir do qual você deseja permitir o acesso de entrada. Os intervalos de IP do Azure estão disponíveis em Intervalos de IP do Azure e Tags de Serviço – Nuvem Pública. Se selecionou Subscrições, utilize a subscrição a partir da qual pretende permitir o acesso de entrada. Clique em Adicionar para criar a regra de acesso de entrada.
Adicionar uma regra de acesso de saída para o perímetro de segurança de rede
A exportação de dados em um espaço de trabalho do Log Analytics permite exportar continuamente dados para tabelas específicas em seu espaço de trabalho. Você pode exportar para o Armazenamento do Azure ou Hubs de Eventos do Azure à medida que os dados chegam a um pipeline do Azure Monitor.
Um espaço de trabalho de análise de logs que está dentro de um perímetro de segurança só pode exportar para contas de armazenamento e hubs de eventos localizados no mesmo perímetro. Outros destinos exigem uma regra de acesso de saída baseada no FQDN (Nome de Domínio Totalmente Qualificado) do destino.
Utilize o seguinte processo para adicionar uma regra de acesso de saída ao perímetro de segurança de rede usando o portal do Azure:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Perfis e, em seguida, o perfil que está a utilizar com o perímetro de segurança da rede.
Selecione Regras de acesso de saída.
Clique em Adicionar ou Adicionar regra de acesso de saída. Introduza ou selecione os seguintes valores:
Configurações Valor Nome da regra O nome da regra de acesso de saída. Por exemplo , MyOutboundAccessRule. Tipo de destino Deixe como FQDN. Destinos permitidos Insira uma lista separada por vírgulas de FQDNs aos quais você deseja permitir o acesso de saída. Selecione Adicionar para criar a regra de acesso de saída.
Coletar logs de acesso
Os logs de recursos fornecem informações sobre a operação dos perímetros de segurança de rede e ajudam a diagnosticar quaisquer problemas. Consulte Logs de recursos para perímetro de segurança de rede para obter detalhes sobre como criar uma configuração de diagnóstico para coletar logs de recursos para um perímetro de segurança de rede.
Próximos passos
- Leia mais sobre o Perímetro de Segurança de Rede no Azure.
- Siga as orientações para fazer a transição dos seus recursos em Transição para um perímetro de segurança de rede no Azure.