Pular para o conteúdo principal

Laboratório Técnico: Associate an ASG to a network interface

Questões

Questão 1 — Múltipla Escolha

Uma equipe de segurança precisa aplicar regras de NSG que controlem o tráfego entre máquinas virtuais de diferentes camadas de uma aplicação (frontend, backend, banco de dados) sem depender de endereços IP individuais. Qual é o benefício direto de usar Application Security Groups (ASGs) nesse cenário em comparação com o uso de intervalos de IP explícitos nas regras do NSG?

A) ASGs substituem o NSG, eliminando a necessidade de criar regras individuais por porta.

B) ASGs permitem referenciar grupos lógicos de VMs nas regras do NSG, tornando as regras independentes dos endereços IP das interfaces.

C) ASGs criam automaticamente regras de allow entre interfaces do mesmo grupo, sem configuração adicional no NSG.

D) ASGs encapsulam o NSG e aplicam políticas de segurança diretamente na camada de aplicação, sem interação com a camada de rede.

Questão 2 — Cenário Técnico

Um administrador associa um ASG chamado asg-backend a uma NIC de uma VM. Em seguida, cria uma regra de entrada no NSG que usa asg-backend como destino. Ao testar a conectividade, o tráfego esperado não chega à VM.

Considere a configuração abaixo:

NSG: nsg-prod
Regra de entrada:
  Prioridade : 300
  Origem     : 10.0.1.0/24
  Destino    : asg-backend
  Porta      : 8080
  Ação       : Allow

NIC da VM   : nic-vm-backend
ASG associado: asg-backend
NSG associado: nsg-prod (associado à subnet)

Qual é a causa mais provável para a falha de conectividade?

A) O ASG asg-backend e o NSG nsg-prod precisam estar na mesma região, e o administrador pode ter criado os recursos em regiões diferentes.

B) ASGs usados como destino em regras de NSG só funcionam quando o NSG está associado diretamente à NIC, e não à subnet.

C) Existe uma regra de negação padrão com prioridade menor que 300 bloqueando o tráfego antes que a regra de allow seja avaliada.

D) Uma regra de entrada com prioridade mais baixa numericamente tem precedência; pode haver uma regra de deny com prioridade inferior a 300 bloqueando o tráfego.

Questão 3 — Verdadeiro ou Falso

Uma NIC pode ter múltiplos ASGs associados simultaneamente, desde que todos os ASGs estejam na mesma região e na mesma rede virtual que a NIC.

Questão 4 — Cenário Técnico

Uma VM tem duas NICs: nic-primary e nic-secondary. O administrador associa o ASG asg-webservers apenas à nic-primary. Uma regra no NSG usa asg-webservers como destino na porta 443.

Qual é o comportamento esperado do tráfego destinado à porta 443?

A) O tráfego será permitido em ambas as NICs, pois a VM inteira é membro do ASG ao receber a associação em qualquer uma de suas interfaces.

B) O tráfego será permitido apenas no endereço IP associado à nic-primary, pois a associação do ASG é feita na NIC, não na VM.

C) A configuração é inválida porque ASGs não podem ser usados em VMs com múltiplas NICs.

D) O tráfego será bloqueado em ambas as NICs até que o ASG seja associado a todas as interfaces da VM.

Questão 5 — Múltipla Escolha

Ao tentar associar um ASG a uma NIC via portal do Azure, o administrador não encontra o ASG desejado na lista de opções disponíveis. A VM e o ASG foram criados com sucesso. Qual das condições abaixo, se verdadeira, explica corretamente essa limitação?

A) O ASG está associado a outro NSG, o que impede sua reutilização em interfaces adicionais.

B) A NIC já possui três ASGs associados, que é o limite máximo permitido por interface.

C) O ASG foi criado em uma região diferente da região onde a NIC está localizada.

D) O ASG não possui nenhuma regra de NSG referenciando-o, tornando-o inelegível para associação.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Explique:

  • ASGs funcionam como rótulos lógicos aplicados a NICs. Quando referenciados em regras de NSG (como origem ou destino), o Azure resolve dinamicamente quais endereços IP correspondem ao grupo. Isso desacopla as regras de segurança da topologia de IP, facilitando escalabilidade e manutenção.
  • A alternativa A é incorreta porque ASGs não substituem NSGs; eles são usados dentro das regras de NSG como referências de origem ou destino.
  • A alternativa C representa um equívoco comum: ASGs não criam permissões automáticas entre membros; toda política de tráfego ainda precisa ser declarada explicitamente em regras de NSG.
  • A alternativa D confunde ASG com um mecanismo de camada 7 (WAF ou similar); ASGs operam na camada de rede como agrupadores de NICs.

Gabarito — Questão 2

Resposta: D

Explique:

  • Em NSGs, menor número de prioridade significa maior precedência. Se existir uma regra de deny com prioridade 200, ela será avaliada antes da regra de allow com prioridade 300 e bloqueará o tráfego, independentemente do ASG estar corretamente configurado.
  • A alternativa A é factualmente correta como restrição geral (ASG e NIC devem estar na mesma região), mas o cenário não indica regiões diferentes; a configuração apresentada é aparentemente válida nesse aspecto.
  • A alternativa B é incorreta: NSGs associados a subnets avaliam corretamente regras que referenciam ASGs como destino, desde que a NIC membro do ASG esteja nessa subnet.
  • A alternativa C inverte a lógica: as regras padrão de negação possuem prioridades altas (65500, 65001), ou seja, são avaliadas por último, não primeiro.

Gabarito — Questão 3

Resposta: Verdadeiro

Explique:

  • Uma NIC pode ser associada a múltiplos ASGs simultaneamente. Isso permite que a mesma interface participe de diferentes agrupamentos lógicos e seja alvo de múltiplas regras de NSG independentes.
  • A restrição real é que todos os ASGs associados a uma NIC devem pertencer à mesma região e à mesma rede virtual que a NIC. Associar um ASG de uma VNet diferente ou de outra região à NIC não é suportado.
  • Esse comportamento é relevante em arquiteturas onde uma VM precisa assumir múltiplos papéis, como ser simultaneamente membro de asg-backend e asg-monitored, recebendo regras distintas para cada função.

Gabarito — Questão 4

Resposta: B

Explique:

  • A associação de um ASG é feita na NIC, não na VM. Quando o NSG avalia uma regra com asg-webservers como destino, ele verifica se a NIC que está recebendo o tráfego é membro daquele ASG. Como apenas nic-primary está associada ao ASG, somente o tráfego destinado ao IP dessa interface corresponderá à regra.
  • A alternativa A representa o equívoco mais comum: tratar a VM como unidade de associação do ASG. Na prática, a granularidade é a NIC.
  • A alternativa C é incorreta: VMs com múltiplas NICs são totalmente compatíveis com ASGs; cada NIC pode ter associações independentes.
  • A alternativa D também está errada: não há exigência de associação uniforme em todas as NICs de uma VM para que a regra funcione nas interfaces que são membros.

Gabarito — Questão 5

Resposta: C

Explique:

  • ASGs são recursos regionais. Uma NIC só pode ser associada a ASGs que estejam na mesma região onde a NIC (e sua VM) foram criados. Se o ASG foi provisionado em uma região diferente, ele simplesmente não aparece como opção disponível durante a associação, o que corresponde exatamente ao comportamento descrito no enunciado.
  • A alternativa A é incorreta: um ASG pode ser referenciado por múltiplos NSGs e associado a múltiplas NICs sem restrição de exclusividade.
  • A alternativa B inverte a restrição real: o limite de ASGs por NIC é de 20, não 3. Além disso, o cenário não menciona saturação de associações existentes.
  • A alternativa D é incorreta: a ausência de regras de NSG referenciando um ASG não impede sua associação a uma NIC. As duas operações são independentes.