Laboratório Técnico: Associate a NSG to a Resource
Questões
Questão 1 — Múltipla Escolha
Uma equipe de infraestrutura precisa aplicar um Network Security Group (NSG) para controlar o tráfego de uma máquina virtual específica sem afetar outras VMs na mesma sub-rede. Qual é a abordagem correta?
A) Associar o NSG à sub-rede, pois é a única forma suportada pelo Azure.
B) Associar o NSG à interface de rede (NIC) da VM, pois permite controle granular por recurso individual.
C) Associar o NSG ao recurso de Public IP Address vinculado à VM.
D) Associar o NSG ao Virtual Network (VNet), pois isso garante cobertura de todos os recursos internos.
Questão 2 — Cenário Técnico
Um administrador associou um NSG à sub-rede snet-backend e outro NSG à NIC de uma VM chamada vm-api dentro dessa mesma sub-rede. O NSG da sub-rede possui a seguinte regra de entrada:
Prioridade: 200
Protocolo: TCP
Porta de destino: 8080
Ação: Deny
O NSG da NIC possui:
Prioridade: 100
Protocolo: TCP
Porta de destino: 8080
Ação: Allow
Um cliente externo tenta se conectar à porta 8080 da vm-api. O que acontece?
A) A conexão é permitida, pois a regra Allow da NIC tem prioridade mais alta (número menor) e sobrepõe o NSG da sub-rede.
B) A conexão é bloqueada, pois em tráfego de entrada o NSG da sub-rede é avaliado primeiro, e a regra Deny impede a passagem antes de chegar à NIC.
C) O Azure retorna um erro de configuração conflitante e nenhuma das regras é aplicada.
D) A conexão é permitida, pois regras Allow sempre prevalecem sobre regras Deny quando há associações múltiplas.
Questão 3 — Verdadeiro ou Falso
É possível associar o mesmo NSG simultaneamente a múltiplas sub-redes e a múltiplas interfaces de rede, desde que todos os recursos estejam na mesma região do Azure.
Questão 4 — Cenário Técnico
Uma VM foi criada com duas NICs: nic-primary e nic-secondary. A equipe associou um NSG chamado nsg-restrictivo apenas à nic-primary. Após a configuração, foi observado que tráfego não autorizado ainda chegava à VM pela nic-secondary.
Qual é a causa raiz do problema e qual é a ação correta?
A) O NSG associado a uma NIC se propaga automaticamente para todas as NICs da mesma VM; o problema está em regras mal configuradas no nsg-restrictivo.
B) NSGs não podem ser associados a NICs de VMs com múltiplas interfaces; a associação deve ser feita exclusivamente na sub-rede.
C) A associação do NSG a uma NIC protege apenas aquela interface; é necessário associar um NSG separado à nic-secondary ou à sub-rede correspondente.
D) O comportamento é esperado, pois NSGs só filtram tráfego de saída em NICs secundárias.
Questão 5 — Múltipla Escolha
Qual das afirmações abaixo descreve corretamente uma restrição de associação de NSGs no Azure?
A) Um NSG pode ser associado a recursos em VNets diferentes, desde que estejam na mesma assinatura.
B) Um NSG pode ser associado apenas a sub-redes ou NICs que estejam na mesma região que o NSG.
C) Um NSG associado a uma sub-rede é automaticamente herdado por todas as VNets em peering com aquela sub-rede.
D) Um NSG só pode estar associado a um único recurso por vez, seja uma sub-rede ou uma NIC.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
Explicação:
- NSGs podem ser associados a sub-redes ou a interfaces de rede (NICs), sendo estas duas as únicas opções suportadas. Associar à NIC aplica as regras exclusivamente àquela VM, sem interferir em outras VMs da sub-rede.
- O principal erro dos distratores está em apontar recursos inválidos: Public IP e VNet não suportam associação direta de NSG. Sub-redes suportam, mas o enunciado exige escopo por VM individual.
- Escolher a alternativa A implicaria sobrecarga desnecessária de regras e impacto em toda a sub-rede, violando o princípio do menor privilégio.
Gabarito — Questão 2
Resposta: B
Explicação:
- A ordem de avaliação de NSGs no Azure para tráfego de entrada é determinística: o NSG da sub-rede é processado primeiro; somente se o tráfego for permitido nessa camada ele alcança o NSG da NIC.
- O número de prioridade (100 vs 200) é relevante apenas entre regras dentro do mesmo NSG, não entre NSGs distintos. Portanto, a regra Allow na NIC nunca chega a ser avaliada.
- A alternativa A confunde o conceito de prioridade intra-NSG com precedência inter-NSG. A alternativa D é tecnicamente incorreta: a ação (Allow/Deny) não determina precedência entre NSGs.
Gabarito — Questão 3
Resposta: Verdadeiro
Explicação:
- Um NSG é um recurso reutilizável: pode ser associado a múltiplas sub-redes e múltiplas NICs ao mesmo tempo, independentemente de quantas forem.
- A restrição real é de região: o NSG deve estar na mesma região que os recursos aos quais é associado. Não há restrição de assinatura ou VNet para esse tipo de reúso.
- Esse comportamento é intencional e permite padronização de políticas de segurança em escala, sem duplicação de regras.
Gabarito — Questão 4
Resposta: C
Explicação:
- No Azure, cada NIC é um recurso independente. A associação de um NSG a uma NIC protege somente aquela interface; não há propagação automática para outras NICs da mesma VM.
- A solução correta é associar um NSG à
nic-secondarydiretamente, ou associar um NSG à sub-rede em que ela está conectada, cobrindo assim o caminho de entrada daquela interface. - A alternativa A descreve um comportamento que não existe no Azure. A alternativa B está errada pois NICs de VMs multi-interface suportam NSGs normalmente. A alternativa D inverte a lógica: NSGs filtram tráfego de entrada e saída em NICs, sem distinção entre primária e secundária.
Gabarito — Questão 5
Resposta: B
Explicação:
- A restrição fundamental de associação de NSG é a região: o NSG e o recurso associado (sub-rede ou NIC) devem pertencer à mesma região do Azure. Não há restrição de assinatura ou VNet.
- A alternativa A está incorreta pois mistura a ausência de restrição de assinatura com a ausência de restrição de região, que de fato existe.
- A alternativa C descreve um comportamento inexistente: NSGs não se propagam por peering de VNets.
- A alternativa D está errada pois um NSG pode ser associado a múltiplos recursos simultaneamente, sendo esse um dos seus principais valores operacionais.