Pular para o conteúdo principal

Laboratório Técnico: Create a network security group (NSG)

Questões

Questão 1 — Múltipla Escolha

Uma equipe de infraestrutura precisa garantir que máquinas virtuais em uma sub-rede específica não recebam tráfego de entrada na porta 3389 (RDP) proveniente da internet, mas ainda possam se comunicar livremente entre si dentro da mesma rede virtual.

Qual é a abordagem correta ao criar uma regra de negação no NSG associado à sub-rede?

A) Criar uma regra de entrada com prioridade 100, origem Internet, porta destino 3389, ação Deny, e deixar a comunicação interna sem regra explícita.

B) Criar uma regra de entrada com prioridade 100, origem Internet, porta destino 3389, ação Deny, e criar uma regra de entrada com prioridade 200, origem VirtualNetwork, porta destino 3389, ação Allow.

C) Criar uma regra de saída com prioridade 100, destino Internet, porta destino 3389, ação Deny.

D) Criar uma regra de entrada com prioridade 4096, origem Internet, porta destino 3389, ação Deny.

Questão 2 — Cenário Técnico

Um administrador associa um NSG a uma interface de rede (NIC) de uma VM e também associa um NSG diferente à sub-rede onde essa VM está conectada. A VM precisa receber tráfego HTTP (porta 80) de um endereço IP externo.

O NSG da sub-rede possui a seguinte regra de entrada:

Prioridade: 200 | Origem: * | Porta destino: 80 | Ação: Allow

O NSG da NIC possui a seguinte regra de entrada:

Prioridade: 100 | Origem: * | Porta destino: 80 | Ação: Deny

Após a configuração, o tráfego HTTP não chega à VM. Qual é a causa correta?

A) O NSG da sub-rede tem prioridade sobre o NSG da NIC para tráfego de entrada, e sua regra de negação bloqueia o tráfego.

B) Para tráfego de entrada, o NSG da sub-rede é avaliado primeiro; como ele permite o tráfego, a avaliação encerra ali e o tráfego deveria passar.

C) Para tráfego de entrada, o NSG da sub-rede é avaliado primeiro e permite o tráfego, mas o NSG da NIC é avaliado em seguida e nega o tráfego antes que ele alcance a VM.

D) NSGs associados a NICs e sub-redes não podem coexistir; a configuração é inválida e o tráfego é bloqueado por padrão.

Questão 3 — Verdadeiro ou Falso

Um NSG pode ser associado simultaneamente a múltiplas sub-redes e a múltiplas interfaces de rede, e qualquer alteração em suas regras é aplicada imediatamente a todos os recursos associados, sem necessidade de reatribuição.

Questão 4 — Cenário Técnico

Um desenvolvedor reporta que uma VM está conseguindo fazer chamadas de saída para a internet na porta 443, mesmo sem nenhuma regra de saída explícita configurada no NSG associado à sua NIC. O time de segurança questiona se o NSG está funcionando corretamente.

Qual é a explicação técnica correta para esse comportamento?

A) O NSG está ignorando as regras de saída porque nenhuma regra de entrada foi configurada, tornando todo o tráfego de saída permitido como fallback.

B) O NSG possui regras padrão não editáveis que permitem todo o tráfego de saída para a internet, e essas regras têm prioridade mais baixa que qualquer regra personalizada, mas são aplicadas na ausência de regras explícitas.

C) O comportamento indica que o NSG não está corretamente associado à NIC, pois o tráfego de saída sempre seria bloqueado sem regra explícita.

D) NSGs não controlam tráfego de saída por padrão; essa função é exclusiva de Azure Firewall.

Questão 5 — Múltipla Escolha

Ao criar um NSG no portal do Azure, um engenheiro observa que as regras padrão incluem uma regra chamada DenyAllInbound com prioridade 65500. Outro colega sugere criar uma regra de negação personalizada com prioridade 65000 para bloquear todo o tráfego de entrada não autorizado, argumentando que isso reforça a segurança.

Qual afirmação descreve corretamente o impacto dessa decisão?

A) A regra personalizada com prioridade 65000 é redundante, pois a regra padrão DenyAllInbound com prioridade 65500 já garante o bloqueio de todo tráfego não permitido por regras anteriores.

B) A regra personalizada com prioridade 65000 é necessária porque as regras padrão podem ser removidas pelo administrador, e a regra personalizada garante que o bloqueio persista.

C) A regra personalizada com prioridade 65000 terá precedência sobre a regra padrão 65500 e bloqueará tráfego antes mesmo das regras de permissão com prioridade superior a 65000.

D) Criar uma regra com prioridade 65000 causará conflito com as regras padrão e resultará em erro de validação no Azure.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Explicação:

  • A regra com origem Internet e ação Deny na porta 3389 bloqueia corretamente o acesso RDP externo. Contudo, a tag de serviço VirtualNetwork já inclui o espaço de endereço da rede virtual, incluindo comunicação interna. Sem uma regra explícita de Allow para VirtualNetwork, a regra de negação para Internet não bloquearia o tráfego interno por si só, mas a alternativa B demonstra o raciocínio correto ao garantir explicitamente que a comunicação interna seja preservada com uma regra de prioridade menor.
  • A alternativa A parece razoável, mas não demonstra consciência de que, em ambientes com múltiplos NSGs ou alterações futuras, a ausência de regras explícitas de permissão pode ser problemática. A alternativa C confunde direção (saída vs. entrada) para o objetivo proposto. A alternativa D usa prioridade 4096, que está fora do intervalo válido (100 a 4096 é válido, mas em contexto de NSG de sub-rede, valores próximos ao máximo são processados por último e podem ser precedidos por outras regras, tornando a negação ineficaz se houver regras de permissão anteriores).
  • A consequência de escolher a alternativa D seria que qualquer regra de permissão existente com prioridade menor que 4096 tomaria precedência, tornando a regra de negação inoperante na prática.

Gabarito — Questão 2

Resposta: C

Explicação:

  • Para tráfego de entrada, o Azure avalia o NSG da sub-rede primeiro e, em seguida, o NSG da NIC. Ambos precisam permitir o tráfego para que ele alcance a VM. No cenário descrito, o NSG da sub-rede permite (prioridade 200, Allow), mas o NSG da NIC nega (prioridade 100, Deny). O tráfego é bloqueado pelo NSG da NIC antes de chegar ao sistema operacional da VM.
  • A alternativa A inverte a ordem de precedência, sugerindo incorretamente que o NSG da sub-rede domina o resultado. A alternativa B descreve a ordem correta de avaliação, mas conclui erroneamente que o processamento encerra no primeiro Allow. A alternativa D é falsa: NSGs em NIC e sub-rede podem coexistir e é uma prática comum.
  • O erro conceitual central nos distratores é tratar a avaliação de NSG como um curto-circuito no primeiro Allow, quando na realidade ambos os NSGs precisam permitir o tráfego para que ele flua.

Gabarito — Questão 3

Resposta: Verdadeiro

Explicação:

  • Um NSG é um recurso independente que pode ser associado a zero ou mais sub-redes e a zero ou mais NICs simultaneamente. Quando suas regras são modificadas, o Azure aplica as alterações a todos os recursos associados de forma imediata e consistente, sem exigir reatribuição ou reinicialização dos recursos.
  • Esse comportamento é relevante do ponto de vista operacional: uma única mudança de regra em um NSG compartilhado pode impactar dezenas de VMs ao mesmo tempo. É um ponto crítico de planejamento em ambientes de produção, pois uma regra incorreta aplicada a um NSG amplamente compartilhado tem alcance proporcional ao número de associações existentes.

Gabarito — Questão 4

Resposta: B

Explicação:

  • Todo NSG no Azure é criado com um conjunto de regras padrão não removíveis. Entre elas está a regra AllowInternetOutbound (prioridade 65001), que permite todo o tráfego de saída com destino à tag de serviço Internet. Por ter prioridade mais baixa que qualquer regra personalizada (mínimo 100), ela só é aplicada quando nenhuma regra personalizada a sobrepõe, mas está sempre presente.
  • A alternativa A descreve um comportamento inexistente: não há relação de dependência entre regras de entrada e saída. A alternativa C sugere que o NSG não está associado, mas o comportamento descrito é exatamente o esperado para um NSG funcionando corretamente sem regras de saída personalizadas. A alternativa D é incorreta: NSGs controlam tráfego de entrada e saída; o Azure Firewall é uma solução complementar, não substituta para esse controle básico.

Gabarito — Questão 5

Resposta: A

Explicação:

  • As regras padrão de um NSG, incluindo DenyAllInbound (prioridade 65500), não podem ser removidas. Elas são inseridas automaticamente pelo Azure e estão sempre presentes. Portanto, uma regra personalizada de negação com prioridade 65000 seria redundante: qualquer tráfego que chegasse à prioridade 65000 sem ter sido permitido por uma regra anterior também seria negado pela regra padrão 65500.
  • A alternativa B parte de uma premissa falsa: as regras padrão são imutáveis e não podem ser excluídas. A alternativa C descreve uma consequência real de como prioridades funcionam, mas não é o impacto correto da decisão no contexto da pergunta, pois uma regra com prioridade 65000 só seria alcançada se não houvesse nenhuma regra personalizada de prioridade menor que a abrangesse. A alternativa D é falsa: não há conflito de validação ao usar prioridades próximas às regras padrão.
  • O ponto de aprendizado central é que as regras padrão existem precisamente para garantir um comportamento seguro de fallback, e compreender sua imutabilidade é fundamental para projetar NSGs sem redundâncias desnecessárias.