Pular para o conteúdo principal

Laboratório Técnico: Create an Application Security Group (ASG)

Questões

Questão 1 — Múltipla Escolha

Você está projetando regras de segurança para uma aplicação em camadas hospedada em uma rede virtual do Azure. O time de segurança exige que apenas as VMs da camada de aplicação possam iniciar conexões com as VMs da camada de banco de dados, independentemente dos endereços IP atribuídos a essas VMs.

Qual abordagem atende a esse requisito da forma mais sustentável ao longo do tempo?

A) Criar regras de NSG usando os endereços IP privados de cada VM da camada de banco de dados como destino.

B) Criar um ASG para as VMs da camada de aplicação e outro para as VMs da camada de banco de dados, e referenciar esses ASGs nas regras do NSG.

C) Associar um NSG diretamente a cada NIC das VMs da camada de banco de dados, permitindo tráfego apenas da sub-rede da camada de aplicação.

D) Utilizar rotas definidas pelo usuário (UDR) para redirecionar o tráfego entre as camadas através de um firewall, eliminando a necessidade de regras de NSG.

Questão 2 — Cenário Técnico

Um engenheiro configurou o seguinte ambiente:

  • ASG chamado asg-webservers com três VMs associadas
  • ASG chamado asg-dbservers com duas VMs associadas
  • Regra de NSG de entrada na sub-rede:
    • Origem: asg-webservers
    • Destino: asg-dbservers
    • Porta: 1433
    • Ação: Allow

Ao testar a conectividade, uma das VMs de asg-dbservers não recebe conexões na porta 1433 vindo de asg-webservers. As outras quatro VMs funcionam corretamente.

Qual é a causa mais provável do problema?

A) O NSG não foi associado à NIC da VM com problema, apenas à sub-rede.

B) A VM com problema não teve sua NIC adicionada ao ASG asg-dbservers.

C) A regra de NSG não suporta ASGs como destino quando o NSG está associado à sub-rede.

D) O ASG asg-dbservers atingiu o limite máximo de membros permitidos.

Questão 3 — Verdadeiro ou Falso

Uma mesma NIC pode ser associada a múltiplos ASGs, desde que todos esses ASGs estejam na mesma rede virtual.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Um administrador tenta criar uma regra de NSG com a seguinte configuração:

Origem:  asg-frontend   (VNet: vnet-prod, região: East US)
Destino: asg-backend    (VNet: vnet-dev,  região: East US)
Porta:   8080
Ação:    Allow

Ambas as VNets estão conectadas via VNet Peering. O portal do Azure retorna um erro ao tentar salvar a regra.

Qual é a razão do erro?

A) VNet Peering não permite o uso de ASGs em regras de NSG entre VNets distintas.

B) ASGs referenciados na mesma regra de NSG devem pertencer à mesma rede virtual.

C) A porta 8080 não é permitida em regras que utilizam ASGs como origem e destino simultaneamente.

D) ASGs só podem ser usados em regras de saída quando referenciados como destino.

Questão 5 — Múltipla Escolha

Ao comparar o uso de ASGs com o uso de prefixos de IP como origem ou destino em regras de NSG, qual afirmação descreve corretamente uma limitação dos prefixos de IP que os ASGs resolvem?

A) Prefixos de IP não podem ser usados em regras de NSG associadas a sub-redes, apenas a NICs.

B) Prefixos de IP exigem atualização manual das regras sempre que o endereço IP de uma VM muda ou novas VMs são adicionadas ao grupo lógico.

C) Prefixos de IP não suportam tráfego IPv6 dentro de redes virtuais do Azure.

D) Prefixos de IP não podem ser combinados com tags de serviço na mesma regra de NSG.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

ASGs permitem agrupar VMs sob um identificador lógico e referenciar esse identificador diretamente nas regras de NSG. Ao criar asg-appservers e asg-dbservers e usá-los como origem e destino, a regra permanece válida independentemente de IPs reatribuídos, VMs substituídas ou escaladas.

A alternativa A cria acoplamento direto a endereços IP, o que exige manutenção constante. A alternativa C utiliza granularidade de sub-rede, que é menos precisa quando múltiplas camadas compartilham a mesma sub-rede ou quando o requisito é granular por função. A alternativa D resolve o problema de segmentação, mas com complexidade arquitetural desproporcional à necessidade descrita, além de não ser o mecanismo correto para o que os ASGs foram projetados.

Gabarito — Questão 2

Resposta: B

O funcionamento de um ASG depende diretamente da associação entre a NIC de cada VM e o ASG correspondente. Se a NIC de uma VM não foi adicionada ao asg-dbservers, essa VM não é reconhecida como destino pela regra de NSG, mesmo que a VM esteja na mesma sub-rede ou no mesmo resource group.

A alternativa A é um equívoco comum, mas a regra de NSG aplicada na sub-rede cobre todas as VMs dela, inclusive a com problema. A alternativa C está incorreta porque NSGs associados a sub-redes suportam plenamente ASGs como destino. A alternativa D é implausível: o limite de membros por ASG no Azure é de 4.000 NICs por ASG em uma assinatura, tornando o atingimento desse limite improvável em cenários comuns.

Gabarito — Questão 3

Resposta: Verdadeiro

Uma NIC pode ser membro de múltiplos ASGs simultaneamente. A restrição existente não é sobre a quantidade de ASGs por NIC, mas sim sobre a origem desses ASGs: todos os ASGs associados a uma NIC devem pertencer à mesma rede virtual que a NIC. Isso permite modelar papéis sobrepostos, como uma VM que é ao mesmo tempo membro de asg-webservers e asg-monitored-vms, recebendo regras de ambos os grupos.

O ponto não óbvio aqui é que essa flexibilidade existe e é intencional, mas está condicionada ao escopo da VNet, não ao escopo do resource group ou da assinatura.

Gabarito — Questão 4

Resposta: B

ASGs têm escopo de rede virtual. Uma regra de NSG não pode referenciar dois ASGs que pertençam a VNets diferentes, mesmo que essas VNets estejam conectadas via peering. A origem e o destino de uma mesma regra devem estar na mesma VNet quando ASGs são utilizados.

A alternativa A é incorreta: o VNet Peering em si não impede o uso de ASGs, a limitação é de escopo de VNet dos próprios ASGs. As alternativas C e D descrevem restrições que não existem na plataforma. Este cenário representa um erro de design comum ao tentar centralizar NSGs em ambientes multi-VNet sem considerar o escopo dos ASGs.

Gabarito — Questão 5

Resposta: B

A limitação central dos prefixos de IP em regras de NSG é operacional: qualquer mudança no endereço IP de uma VM ou adição de nova VM ao grupo lógico exige atualização manual das regras. ASGs resolvem exatamente isso ao desacoplar a identidade lógica do grupo do endereçamento IP. A associação da NIC ao ASG é o único passo necessário para que a VM passe a ser coberta pelas regras existentes.

As alternativas A, C e D descrevem limitações que não correspondem ao comportamento real da plataforma. A alternativa B captura o problema de manutenção que motivou a criação do recurso de ASG, tornando-a a resposta tecnicamente fundamentada.