Laboratório Técnico: Create and configure network security groups (NSGs) and application security groups
Questões
Questão 1 — Múltipla Escolha
Uma equipe de segurança precisa bloquear todo o tráfego de saída de um conjunto de VMs para a internet, mas manter a comunicação entre as próprias VMs na mesma sub-rede. O NSG foi associado à sub-rede e contém as seguintes regras de saída:
| Prioridade | Nome | Porta | Protocolo | Destino | Ação |
|---|---|---|---|---|---|
| 100 | Allow-Internal | Any | Any | VirtualNetwork | Allow |
| 200 | Deny-Internet | Any | Any | Internet | Deny |
| 65000 | AllowVnetOutBound | Any | Any | VirtualNetwork | Allow |
| 65001 | AllowInternetOutBound | Any | Any | Internet | Allow |
Qual é o comportamento efetivo para tráfego de saída em direção à internet?
A) O tráfego é permitido porque a regra padrão AllowInternetOutBound tem prioridade sobre regras customizadas.
B) O tráfego é bloqueado porque a regra Deny-Internet de prioridade 200 é avaliada antes da regra padrão de prioridade 65001.
C) O tráfego é bloqueado porque a regra Allow-Internal não cobre o destino Internet, ativando o deny implícito.
D) O comportamento é indefinido porque há conflito entre a regra customizada e a regra padrão para o mesmo destino.
Questão 2 — Cenário Técnico
Um administrador associou um NSG diretamente a uma NIC (network interface card) de uma VM e também associou um NSG diferente à sub-rede onde essa VM está hospedada. A VM tenta receber uma conexão TCP na porta 443.
Qual é a ordem correta de avaliação das regras de entrada e qual é o critério para que a conexão seja estabelecida?
A) As regras do NSG da sub-rede são avaliadas primeiro; se permitidas, as regras do NSG da NIC são avaliadas em seguida. A conexão só é estabelecida se ambos os NSGs permitirem o tráfego.
B) As regras do NSG da NIC são avaliadas primeiro; se permitidas, as regras do NSG da sub-rede são avaliadas em seguida. A conexão só é estabelecida se ambos os NSGs permitirem o tráfego.
C) Apenas o NSG mais restritivo entre os dois é aplicado, descartando o outro automaticamente.
D) As regras são mescladas em um único conjunto e o Azure avalia a regra de menor prioridade numérica dentre todos os NSGs.
Questão 3 — Verdadeiro ou Falso
Um Application Security Group (ASG) pode ser usado diretamente como origem ou destino em uma regra de NSG mesmo que as VMs membros do ASG estejam distribuídas em sub-redes diferentes dentro da mesma VNet.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa segmentou suas VMs em três ASGs: asg-web, asg-app e asg-db. O administrador criou a seguinte regra em um NSG associado à sub-rede de banco de dados:
Nome: Allow-App-To-DB
Prioridade: 300
Origem: asg-app
Destino: asg-db
Porta: 1433
Protocolo: TCP
Ação: Allow
Durante testes, uma VM do grupo asg-web consegue se conectar ao banco de dados na porta 1433. Qual é a causa mais provável?
A) ASGs não filtram tráfego entre VMs na mesma VNet; a regra só funciona para tráfego externo.
B) Existe uma regra de prioridade menor que Allow-App-To-DB permitindo tráfego de origem mais ampla, como VirtualNetwork, que também cobre a VM do asg-web.
C) Uma NIC só pode pertencer a um único ASG; como a VM de asg-web não possui ASG, ela não é filtrada por nenhuma regra de ASG.
D) O NSG foi associado à sub-rede errada; para filtrar com ASG, o NSG deve ser associado à NIC das VMs de destino, não à sub-rede.
Questão 5 — Múltipla Escolha
Ao criar uma regra de NSG, um administrador define a origem como 10.0.1.0/24 e o destino como 10.0.2.0/24. Posteriormente, a equipe decide substituir os endereços IP por Application Security Groups para simplificar a manutenção. Qual limitação técnica deve ser considerada nessa migração?
A) Não é possível usar ASGs em regras que especificam portas individuais; eles só funcionam com intervalos de portas.
B) Uma regra de NSG não pode misturar um ASG como origem com um intervalo de IP como destino, nem um IP como origem com um ASG como destino; origem e destino devem seguir o mesmo tipo de especificação quando ASGs estão envolvidos.
C) ASGs só podem ser referenciados em regras de entrada; regras de saída devem continuar usando endereços IP.
D) Para usar ASGs, o NSG deve estar associado exclusivamente a NICs; a associação com sub-redes invalida o uso de ASGs nas regras.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
No Azure, as regras de NSG são processadas em ordem crescente de prioridade numérica. A primeira regra que corresponde ao tráfego é aplicada e o processamento encerra. A regra Deny-Internet (prioridade 200) é avaliada antes da regra padrão AllowInternetOutBound (prioridade 65001), portanto o bloqueio ocorre.
O erro conceitual representado pela alternativa A é supor que regras padrão têm precedência sobre regras customizadas. Ocorre exatamente o contrário: as regras padrão existem justamente para serem sobrescritas por regras de menor valor numérico. Escolher A levaria um administrador a acreditar erroneamente que seus bloqueios customizados são ignorados.
Gabarito — Questão 2
Resposta: A
Para tráfego de entrada, o Azure avalia primeiro o NSG associado à sub-rede e, se o tráfego for permitido, avalia em seguida o NSG associado à NIC. Ambos precisam permitir o tráfego para que a conexão seja estabelecida. Para tráfego de saída, a ordem se inverte: NIC primeiro, sub-rede depois.
A alternativa B inverte a ordem para tráfego de entrada, o que é um equívoco comum. As alternativas C e D descrevem comportamentos inexistentes no Azure: NSGs nunca são mesclados automaticamente nem há seleção do mais restritivo como política única.
Gabarito — Questão 3
Resposta: Verdadeiro
Um ASG agrupa NICs logicamente, independentemente da sub-rede em que as VMs estão. A restrição relevante é que todas as NICs associadas a um mesmo ASG devem estar na mesma VNet. Não existe exigência de que estejam na mesma sub-rede.
Esse comportamento é justamente o valor central dos ASGs: permitir segmentação baseada em função (web, app, db) sem depender de topologia de rede. Confundir o escopo de VNet com o escopo de sub-rede é um erro frequente ao avaliar os limites de aplicação de ASGs.
Gabarito — Questão 4
Resposta: B
ASGs funcionam como filtro complementar dentro de um NSG, mas não substituem uma análise completa de todas as regras presentes. Se existir uma regra de prioridade numericamente menor (por exemplo, prioridade 100 permitindo VirtualNetwork para asg-db na porta 1433), ela será avaliada antes da regra Allow-App-To-DB e cobrirá qualquer VM na VNet, incluindo as de asg-web.
A alternativa C contém uma premissa incorreta: uma NIC pode pertencer a múltiplos ASGs, e VMs sem ASG associado simplesmente não correspondem a regras que usam ASG como filtro de origem ou destino, sendo avaliadas pelas demais regras disponíveis. As alternativas A e D descrevem restrições que não existem no comportamento real dos NSGs com ASGs.
Gabarito — Questão 5
Resposta: B
Quando uma regra de NSG referencia um ASG, tanto a origem quanto o destino devem seguir o mesmo tipo de especificação na dimensão de endereçamento: não é válido combinar um ASG em um lado com um endereço IP ou prefixo CIDR no outro. Ambos os lados devem ser ASGs, ou nenhum deles deve ser.
Essa limitação exige que a migração de IPs para ASGs seja feita de forma completa em cada regra, o que pode demandar a criação de ASGs intermediários. As alternativas A, C e D descrevem restrições inexistentes: ASGs funcionam com portas individuais, em regras de saída, e em NSGs associados a sub-redes sem nenhum problema.