Pular para o conteúdo principal

Laboratório Técnico: Configure Azure Storage Firewalls and Virtual Networks

Questões

Questão 1 — Múltipla Escolha

Uma equipe de segurança exige que uma Storage Account aceite tráfego apenas de uma sub-rede específica em uma VNet, bloqueando todo o restante, inclusive o acesso pelo portal do Azure a partir de máquinas fora dessa sub-rede.

Qual combinação de configurações atende corretamente a esse requisito?

A. Definir a ação padrão como Allow e adicionar a sub-rede como regra de rede virtual.

B. Definir a ação padrão como Deny e adicionar a sub-rede como regra de rede virtual, com o service endpoint Microsoft.Storage habilitado na sub-rede.

C. Definir a ação padrão como Deny e adicionar apenas o intervalo de IPs privados da sub-rede como regra de firewall IP.

D. Definir a ação padrão como Deny, adicionar a sub-rede como regra de rede virtual e habilitar a opção Allow trusted Microsoft services.

Questão 2 — Cenário Técnico

Um desenvolvedor configura o firewall de uma Storage Account da seguinte forma:

Ação padrão: Deny
Regras de rede virtual: nenhuma
Regras de IP: nenhuma
Exceções habilitadas: Allow trusted Microsoft services

Ao tentar acessar a storage via Azure Backup, o acesso funciona corretamente. Porém, ao tentar acessar via uma Azure Function hospedada em um plano Consumption, o acesso é negado.

Qual é a causa mais provável desse comportamento?

A. Azure Functions no plano Consumption não suportam integração com VNet, portanto nunca podem acessar storage accounts com firewall restritivo.

B. A opção Allow trusted Microsoft services cobre o Azure Backup por ser um serviço first-party confiável, mas Azure Functions no plano Consumption não são listadas nessa categoria de serviços confiáveis.

C. A Azure Function está tentando usar autenticação por chave de acesso, que é bloqueada automaticamente quando o firewall está ativo.

D. O plano Consumption não permite o uso de Managed Identity, impedindo qualquer forma de acesso autenticado à storage account.

Questão 3 — Verdadeiro ou Falso

Ao adicionar uma regra de IP ao firewall de uma Storage Account, é possível especificar um endereço IP privado RFC 1918 (como 10.0.0.5) para restringir o acesso a recursos dentro de uma VNet do Azure.

Questão 4 — Cenário Técnico

Uma empresa precisa que logs de diagnóstico de recursos do Azure sejam enviados para uma Storage Account protegida por firewall. O diagnóstico é configurado por meio do Azure Monitor. Após habilitar o firewall com ação padrão Deny e sem nenhuma regra adicional, os logs param de chegar.

Qual é a configuração mínima necessária para restaurar o envio dos logs sem expor a storage account a IPs públicos arbitrários?

A. Adicionar o intervalo de IPs públicos do Azure Monitor como regra de firewall IP na storage account.

B. Desabilitar temporariamente o firewall durante a janela de coleta de logs e reabilitá-lo em seguida.

C. Habilitar a exceção Allow trusted Microsoft services na storage account.

D. Criar uma regra de rede virtual apontando para a sub-rede onde o Azure Monitor está hospedado.

Questão 5 — Múltipla Escolha

Ao configurar uma regra de rede virtual em uma Storage Account, um administrador tenta adicionar uma sub-rede, mas a opção está indisponível para aquela sub-rede específica.

Qual é a causa mais provável desse comportamento?

A. A sub-rede pertence a uma VNet em uma região diferente da Storage Account, e regras de rede virtual só aceitam sub-redes da mesma região.

B. O service endpoint Microsoft.Storage não está habilitado na sub-rede em questão.

C. A sub-rede já possui um Network Security Group (NSG) associado, o que impede a configuração de service endpoints.

D. A Storage Account está configurada com redundância GRS, que não é compatível com regras de rede virtual.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Para que somente uma sub-rede tenha acesso, a ação padrão deve ser Deny, bloqueando tudo que não esteja explicitamente permitido. A sub-rede precisa ser adicionada como regra de rede virtual, e para isso o service endpoint Microsoft.Storage deve estar habilitado na sub-rede, pois é ele que permite que o tráfego da VNet alcance o plano de controle da storage account pelo backbone da Microsoft.

A alternativa A falha porque ação padrão Allow libera todo o tráfego por padrão, negando a premissa do requisito. A alternativa C falha porque endereços IP privados RFC 1918 não são aceitos em regras de firewall IP da Storage Account, que exigem IPs públicos. A alternativa D adicionaria também os serviços Microsoft confiáveis como exceção, o que amplia o acesso além do exigido, embora não seja incorreta em todos os contextos, não é a resposta mínima e precisa para o requisito apresentado.

Gabarito — Questão 2

Resposta: B

A opção Allow trusted Microsoft services cobre um conjunto específico e documentado de serviços Microsoft, como Azure Backup, Azure Site Recovery, Azure Monitor, entre outros. Azure Functions no plano Consumption não fazem parte dessa lista porque operam em infraestrutura de computação compartilhada e dinâmica, sem identidade de serviço gerenciada pelo próprio Azure em nível de plataforma para esse fim.

A alternativa A está incorreta: Azure Functions no plano Consumption podem acessar storage accounts com firewall restritivo, desde que configuradas corretamente com integração VNet regional ou outra abordagem válida. A alternativa C está incorreta porque o firewall não bloqueia por tipo de autenticação. A alternativa D está incorreta porque o plano Consumption suporta Managed Identity para autenticação, embora isso não resolva isoladamente o problema de rede descrito.

Gabarito — Questão 3

Falso

As regras de firewall IP de uma Storage Account aceitam apenas endereços IP públicos ou intervalos CIDR públicos. Endereços privados RFC 1918 (como 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) são explicitamente rejeitados pelo portal e pela API. Para restringir o acesso a recursos em uma VNet usando IPs privados, o mecanismo correto é a regra de rede virtual, que requer service endpoint habilitado na sub-rede. Confundir regra de IP com regra de rede virtual é um erro comum que leva a configurações incorretas de isolamento.

Gabarito — Questão 4

Resposta: C

O Azure Monitor é listado entre os trusted Microsoft services suportados pela Storage Account. Habilitar essa exceção permite que o Azure Monitor escreva logs de diagnóstico sem que seja necessário expor a storage a intervalos de IP públicos ou criar regras de rede virtual.

A alternativa A exigiria abrir a storage para um intervalo de IPs públicos dinâmico e amplo, aumentando a superfície de ataque. A alternativa B é operacionalmente insustentável e representa uma falha de controle de segurança. A alternativa D é inviável porque o Azure Monitor não opera a partir de uma sub-rede de VNet controlada pelo cliente, portanto não há sub-rede para referenciar em uma regra de rede virtual.

Gabarito — Questão 5

Resposta: B

Para que uma sub-rede possa ser adicionada como regra de rede virtual em uma Storage Account, o service endpoint Microsoft.Storage deve estar previamente habilitado nessa sub-rede. Sem ele, o portal e a API não reconhecem a sub-rede como elegível para esse tipo de regra.

A alternativa A está incorreta porque regras de rede virtual aceitam sub-redes de VNets em qualquer região, não apenas da mesma região da storage account. A alternativa C está incorreta porque a presença de um NSG não impede a habilitação de service endpoints. A alternativa D está incorreta porque a redundância GRS não tem relação com suporte a regras de rede virtual, ambas são configurações ortogonais.