Laboratório Técnico: Evaluate Effective Security Rules in NSGs

Questões

Questão 1 — Múltipla Escolha

Uma VM possui duas NICs: nic-frontend e nic-backend. A nic-frontend está associada a um NSG que permite tráfego de entrada na porta 443. A sub-rede à qual ambas as NICs pertencem está associada a um NSG que nega tráfego de entrada na porta 443 com prioridade 100.

Qual é o comportamento efetivo para tráfego HTTPS de entrada destinado à nic-frontend?

A) O tráfego é permitido, pois regras no NSG da NIC têm precedência sobre regras no NSG da sub-rede.

B) O tráfego é negado, pois o NSG da sub-rede é avaliado primeiro e a negação encerra o processamento.

C) O tráfego é permitido, pois regras de permissão sempre superam regras de negação quando há conflito entre NSGs.

D) O comportamento é indefinido; associar dois NSGs ao mesmo fluxo não é suportado pelo Azure.

Questão 2 — Cenário Técnico

Um administrador precisa diagnosticar por que uma VM não consegue se comunicar com um serviço externo na porta 8080. Ele executa o seguinte comando:

az network watcher test-ip-flow \
  --direction Outbound \
  --protocol TCP \
  --local 10.0.1.4:5000 \
  --remote 203.0.113.50:8080 \
  --vm myVM \
  --resource-group myRG

O resultado retorna Access: Deny e indica o nome de uma regra. O administrador localiza essa regra no NSG da sub-rede e percebe que ela tem prioridade 200 e nega o destino 203.0.113.50. No entanto, no NSG da NIC da VM existe uma regra de prioridade 150 que permite tráfego de saída para qualquer destino na porta 8080.

Por que o tráfego ainda é negado?

A) O IP Flow Verify retorna apenas o resultado do NSG da sub-rede, ignorando o NSG da NIC.

B) Para tráfego de saída, o NSG da NIC é avaliado antes do NSG da sub-rede; como a regra de permissão na NIC tem prioridade 150, ela deveria permitir. O cenário descreve um comportamento impossível.

C) Para tráfego de saída, o NSG da NIC é avaliado primeiro; a regra de permissão na NIC (prioridade 150) permite o tráfego antes que o NSG da sub-rede seja avaliado. O resultado Deny indica que existe uma regra de negação com prioridade mais alta (número menor) no NSG da NIC que o administrador ainda não localizou.

D) Regras de saída em NSGs de sub-rede sempre têm precedência sobre regras de saída em NSGs de NIC, independentemente da prioridade numérica.

Questão 3 — Verdadeiro ou Falso

A tag de serviço VirtualNetwork em uma regra de NSG representa exclusivamente o espaço de endereçamento da VNet local onde o NSG está aplicado, sem incluir VNets emparelhadas ou redes conectadas via VPN Gateway.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Um engenheiro revisa as regras de entrada de um NSG associado a uma sub-rede e encontra a seguinte configuração:

Prioridade	Nome	Porta	Protocolo	Origem	Destino	Ação
100	Allow-SSH	22	TCP	10.10.0.0/24	Any	Allow
200	Deny-Management	22	TCP	Any	Any	Deny
300	Allow-All-Inbound	Any	Any	Any	Any	Allow
65000	AllowVnetInBound	Any	Any	VirtualNetwork	Any	Allow

Uma VM nessa sub-rede recebe uma tentativa de conexão SSH originada do IP 10.10.0.55. O engenheiro afirma que a regra de prioridade 300 seria acionada para esse tráfego. Qual é o erro no raciocínio do engenheiro?

A) A tag VirtualNetwork na regra 65000 impediria qualquer avaliação das regras anteriores.

B) As regras são avaliadas em ordem crescente de prioridade e o processamento para na primeira regra correspondente; o tráfego de 10.10.0.55 corresponde à regra 100 e é permitido sem que as regras 200 ou 300 sejam avaliadas.

C) O erro está em assumir que a prioridade 300 é avaliada; na verdade, as regras são avaliadas em ordem decrescente de prioridade, portanto a regra 65000 seria a primeira a ser verificada.

D) A regra de prioridade 200 negaria o tráfego antes de qualquer outra regra, pois regras de negação sempre têm precedência em NSGs do Azure.

Questão 5 — Múltipla Escolha

Ao analisar as regras efetivas de uma NIC via portal do Azure ou CLI, o que exatamente é exibido?

A) Apenas as regras do NSG diretamente associado à NIC, excluindo regras herdadas da sub-rede.

B) A união das regras de todos os NSGs da assinatura que referenciam a sub-rede ou a NIC, ordenadas por prioridade global.

C) A combinação das regras dos NSGs associados à NIC e à sub-rede, apresentadas como uma lista consolidada que permite identificar qual regra seria aplicada a um determinado fluxo.

D) Apenas as regras padrão do Azure, pois regras personalizadas só são visíveis diretamente em cada NSG.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Para tráfego de entrada, o Azure avalia o NSG da sub-rede antes do NSG da NIC. Se o NSG da sub-rede contiver uma regra que nega o tráfego, o pacote é descartado imediatamente e o NSG da NIC nunca é consultado. A afirmação de que o NSG da NIC tem precedência (alternativa A) inverte a ordem de avaliação para tráfego de entrada. A alternativa C introduz um princípio inexistente no Azure: não há hierarquia entre permissão e negação além da ordem de prioridade numérica dentro do mesmo NSG. A alternativa D é falsa; associar NSGs tanto à sub-rede quanto à NIC é um cenário totalmente suportado e comum.

Gabarito — Questão 2

Resposta: C

Para tráfego de saída, a ordem é invertida em relação à entrada: o NSG da NIC é avaliado primeiro. Se a regra de permissão na NIC (prioridade 150) fosse realmente a mais restritiva naquele NSG, o tráfego seria permitido sem chegar ao NSG da sub-rede. O resultado Deny retornado pelo IP Flow Verify, que aponta para a sub-rede, indica que existe uma regra de negação com prioridade numericamente menor que 150 no NSG da NIC que o administrador não identificou ainda. A alternativa A está incorreta porque o IP Flow Verify avalia ambos os NSGs e aponta com precisão qual regra em qual NSG causou o bloqueio. A alternativa D inverte a precedência correta para tráfego de saída.

Gabarito — Questão 3

Resposta: Falso

A tag VirtualNetwork abrange o espaço de endereçamento da VNet local e também todos os espaços de endereçamento de VNets emparelhadas, redes locais conectadas via VPN Gateway ou ExpressRoute, e outros espaços conectados que o Azure considera parte do ambiente virtual. Esse comportamento é frequentemente subestimado e pode resultar em regras de NSG mais permissivas do que o administrador pretendia, especialmente em arquiteturas hub-and-spoke onde diversas VNets estão emparelhadas.

Gabarito — Questão 4

Resposta: B

O NSG avalia regras em ordem crescente de prioridade (menor número = maior precedência) e interrompe a avaliação na primeira regra que corresponder ao tráfego. O IP 10.10.0.55 pertence ao bloco 10.10.0.0/24, portanto a regra 100 é correspondida e o tráfego é permitido. As regras 200, 300 e 65000 nunca são avaliadas para esse pacote. O engenheiro cometeu o erro clássico de ignorar que o processamento para na primeira correspondência. A alternativa C inverte a direção de avaliação, e a alternativa D descreve um comportamento inexistente: não há prioridade automática para regras de negação em NSGs do Azure.

Gabarito — Questão 5

Resposta: C

A funcionalidade de regras efetivas (Effective Security Rules) consolida em uma única visualização as regras dos NSGs associados tanto à NIC quanto à sua sub-rede. Isso permite que o administrador identifique, sem alternar entre dois NSGs separados, qual regra seria aplicada a um determinado tipo de tráfego. A alternativa A descreve apenas a visão do NSG da NIC isoladamente, que pode ser obtida diretamente no recurso NSG, mas não representa as regras efetivas. A alternativa B é incorreta porque o escopo é restrito aos NSGs do caminho de rede daquela NIC específica, não de toda a assinatura. A alternativa D contradiz o funcionamento básico do recurso.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​