Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste artigo, você aprenderá sobre os diferentes modos de acesso e como fazer a transição para um perímetro de segurança de rede no Azure. Os modos de acesso controlam o acesso aos recursos e o comportamento de registo, ajudando-o a proteger os seus recursos do Azure.
[!INCLUDE mensagem-de-pré-visualização-do-perímetro-de-segurança-de-rede]
Ponto de configuração do modo de acesso em associações de recursos
O ponto de configuração do modo de acesso faz parte de uma associação de recursos no perímetro e, portanto, pode ser definido pelo administrador do perímetro.
A propriedade accessMode pode ser definida em uma associação de recurso para controlar o acesso à rede pública do recurso.
Os valores possíveis de accessMode são atualmente Enforced e Transition.
| Modo de Acesso | Descrição |
|---|---|
| Transição | Este é o modo de acesso padrão. A avaliação neste modo usa a configuração do perímetro de segurança de rede como uma linha de base. Quando não encontra uma regra correspondente, a avaliação recai sobre a configuração do firewall de recursos, que pode aprovar o acesso com as configurações existentes. |
| Imposta | Quando definido explicitamente, o recurso obedece apenas às regras de acesso ao perímetro de segurança da rede. |
Evite interrupções de conectividade ao adotar o perímetro de segurança da rede
Ativar o modo de transição
Para evitar interrupções indesejáveis de conectividade ao adotar o perímetro de segurança de rede para recursos de PaaS existentes e garantir uma transição suave para configurações seguras, os administradores podem adicionar recursos de PaaS ao perímetro de segurança de rede no modo de transição (anteriormente modo de aprendizagem). Embora esta etapa não proteja os recursos de PaaS, ela irá:
- Permitir que as conexões sejam estabelecidas de acordo com a configuração do perímetro de segurança da rede. Além disso, os recursos nessa configuração passam a respeitar as regras de firewall definidas por recursos e o comportamento de acesso confiável quando as conexões não são permitidas pelas regras de acesso de perímetro de segurança de rede.
- Quando os logs de diagnóstico são ativados, gera logs que detalham se as ligações foram aprovadas com base nos parâmetros do perímetro de segurança da rede ou na configuração do recurso. Os administradores podem analisar esses logs para identificar lacunas nas regras de acesso, associações de perímetro ausentes e conexões indesejadas.
Importante
Operar recursos de PaaS no modo de transição (anteriormente Aprendizagem) deve servir apenas como uma etapa de transição. Agentes mal-intencionados podem explorar recursos não seguros para exfiltrar dados. Portanto, é crucial fazer a transição para uma configuração totalmente segura o mais rápido possível com o modo de acesso definido como Enforced.
Transição para o modo imposto para recursos existentes
Para proteger totalmente o seu acesso público, é essencial passar para o modo reforçado no perímetro de segurança da rede. Coisas a considerar antes de passar para o modo obrigatório são o impacto no acesso público, privado, confiado e de perímetro. Quando no modo imposto, o comportamento do acesso à rede em recursos PaaS associados em diferentes tipos de recursos PaaS pode ser resumido da seguinte forma:
- Acesso público: o acesso público refere-se a solicitações de entrada ou saída feitas através de redes públicas. Os recursos de PaaS protegidos por um perímetro de segurança de rede têm seu acesso público de entrada e saída desabilitado por padrão, mas as regras de acesso ao perímetro de segurança de rede podem ser usadas para permitir seletivamente o tráfego público que corresponde a eles.
- Acesso de perímetro: o acesso de perímetro refere-se a solicitações de entrada ou saída entre os recursos que fazem parte do mesmo perímetro de segurança de rede. Para evitar a infiltração e exfiltração de dados, esse tráfego de perímetro nunca cruzará os limites do perímetro, a menos que seja explicitamente aprovado como tráfego público na origem e no destino em modo imposto. A identidade de gestão precisa ser atribuída nos recursos para acesso ao perímetro.
- Acesso confiável: o acesso de serviço confiável refere-se a um recurso de alguns serviços do Azure que permite o acesso por meio de redes públicas quando sua origem são serviços específicos do Azure que são considerados confiáveis. Como o perímetro de segurança de rede fornece um controle mais granular do que o acesso confiável, o acesso confiável não é suportado no modo imposto.
- Acesso privado: O acesso através de Links Privados não é afetado pelo perímetro de segurança da rede.
Movendo novos recursos para o perímetro de segurança da rede
O perímetro de segurança de rede suporta o comportamento seguro por padrão, introduzindo uma nova propriedade chamada publicNetworkAccessSecuredbyPerimeter. Quando definido, bloqueia o acesso público e impede que os recursos de PaaS sejam expostos a redes públicas.
Na criação de recursos, se publicNetworkAccess estiver definido como SecuredByPerimeter, o recurso será criado no modo de bloqueio, mesmo quando não estiver associado a um perímetro. Somente o tráfego de link privado será permitido se estiver configurado. Uma vez associado a um perímetro, o perímetro de segurança de rede controla o comportamento de acesso aos recursos. A tabela a seguir resume o comportamento de acesso em vários modos e a configuração de acesso à rede pública:
| Perfil não associado | Modo de acesso de associação: Transição | Modo de acesso à associação: Forçado | |
|---|---|---|---|
| Acesso à rede pública: ativado |
Entrada: Regras de recursos Saída: Permitida |
Entrada: Perímetro de segurança de rede + Regras de recursos Saída: Regras de perímetro de segurança de rede + Permitido |
Entrada: Regras de segurança do perímetro da rede Saída: Regras de perímetro de segurança de rede |
| Acesso à rede pública: Desativado |
Entrada: Negado Saída: Permitido |
Tráfego de entrada: Regras de segurança para o perímetro de rede Outbound: Regras de perímetro de segurança de rede + Autorizado |
Entrada: Regras de perímetro de segurança de rede Saída: Regras do perímetro de segurança da rede |
| Acesso à rede pública: SecuredByPerimeter |
Entrada: Negado Saída: Negado |
Tráfico de entrada: Regras para o perímetro de segurança da rede Saída: Regras de perímetro de segurança de rede |
Entrada: Regras de perímetro de segurança de rede Regras de tráfego de saída: Perímetro de segurança de rede |
Etapas para configurar as propriedades publicNetworkAccess e accessMode
Ambas as propriedades publicNetworkAccess e accessMode podem ser definidas usando o portal do Azure, realizando os seguintes passos:
Navegue até o recurso de perímetro de segurança de rede no portal do Azure.
Selecione Configurações>Recursos associados para exibir a lista de recursos associados ao perímetro.
Selecione ... (reticências) ao lado do recurso que você deseja configurar.
No menu suspenso, selecione Configurar acesso à rede pública e selecione o modo de acesso desejado entre as três opções disponíveis: Habilitado, Desabilitado ou SecuredByPerimeter.
Para definir o modo de acesso, selecione Alterar modo de acesso no menu suspenso e, em seguida, selecione o modo de acesso desejado entre as duas opções disponíveis: Aprendizagem ou Imposto.
