Laboratório Técnico: Create and configure NSG inbound and outbound security rules
Questões
Questão 1 — Múltipla Escolha
Uma equipe de segurança precisa garantir que nenhum tráfego de saída para a internet seja permitido a partir de uma sub-rede específica, exceto para o serviço de atualização do Windows. As regras de NSG existentes na sub-rede permitem todo o tráfego de saída por padrão.
Qual é a abordagem correta para implementar esse controle sem impactar outros serviços internos?
- A) Adicionar uma regra de saída bloqueando a Service Tag
Internetcom prioridade mais alta do que a regra padrãoAllowInternetOutBound, e uma regra de saída permitindo a Service TagWindowsUpdatecom prioridade ainda mais alta. - B) Remover a regra padrão
AllowInternetOutBounddo NSG e adicionar uma regra de saída permitindo a Service TagWindowsUpdate. - C) Adicionar uma regra de saída bloqueando todos os destinos (
*) com prioridade mais alta do que a regra padrãoAllowInternetOutBound, sem adicionar nenhuma regra de permissão. - D) Substituir a regra padrão
AllowInternetOutBoundpor uma regra de saída que permita apenas a Service TagWindowsUpdate.
Questão 2 — Cenário Técnico
Um administrador configurou o seguinte NSG associado a uma NIC de uma VM:
| Prioridade | Nome | Porta | Protocolo | Origem | Destino | Ação | Direção |
|---|---|---|---|---|---|---|---|
| 100 | Allow-RDP | 3389 | TCP | 10.0.1.0/24 | * | Allow | Inbound |
| 200 | Deny-All-Inbound | * | * | * | * | Deny | Inbound |
| 65000 | AllowVNetInBound | * | * | VirtualNetwork | VirtualNetwork | Allow | Inbound |
Um operador na sub-rede 10.0.2.5 tenta conectar via RDP à VM e a conexão é recusada. Qual é a causa raiz?
- A) A regra
Deny-All-Inboundtem prioridade 200, que é processada antes da regra padrãoAllowVNetInBound, bloqueando o tráfego de10.0.2.5porque ele não está no range permitido pela regra 100. - B) A regra
AllowVNetInBoundde prioridade 65000 permitiria o tráfego, mas é sobreposta pela regraDeny-All-Inboundde prioridade 200 antes de ser avaliada. - C) O NSG associado à NIC não processa regras de subnet; por isso, a regra
Allow-RDPé ignorada. - D) A porta 3389 está bloqueada por padrão em NSGs associados a NICs e requer liberação explícita no NSG da sub-rede também.
Questão 3 — Verdadeiro ou Falso
Quando um NSG é associado simultaneamente a uma sub-rede e à NIC de uma VM dentro dessa sub-rede, o tráfego de entrada é avaliado primeiro pelas regras do NSG da NIC e depois pelas regras do NSG da sub-rede.
Questão 4 — Cenário Técnico
Uma VM hospeda uma aplicação web que deve aceitar tráfego HTTP e HTTPS de qualquer origem, mas apenas de dentro da rede virtual para conexões de gerenciamento SSH (porta 22). O administrador criou as seguintes regras de entrada no NSG da NIC:
Prioridade 100 | Allow-HTTP | TCP 80 | * -> * | Allow
Prioridade 110 | Allow-HTTPS | TCP 443 | * -> * | Allow
Prioridade 120 | Allow-SSH-VNet | TCP 22 | VirtualNetwork | Allow
Prioridade 130 | Deny-SSH-Public | TCP 22 | * | Deny
Prioridade 200 | Deny-All | * | * | Deny
Um auditor aponta que a configuração apresenta uma falha de segurança. Qual é o problema identificado?
- A) A regra
Deny-Allde prioridade 200 é redundante porque a regra padrãoDenyAllInBoundjá existe com prioridade 65500, tornando a configuração confusa mas não insegura. - B) A regra
Allow-SSH-VNetde prioridade 120 permite tráfego SSH de qualquer endereço dentro da Service TagVirtualNetwork, que inclui VNets peered e redes conectadas via VPN, ampliando o escopo além da intenção declarada. - C) As regras
Allow-HTTPeAllow-HTTPSdeveriam ter prioridade menor do que a regraDeny-All, caso contrário o tráfego web é bloqueado antes de ser avaliado. - D) A regra
Deny-SSH-Publicé inatingível porque a regraAllow-SSH-VNetde prioridade 120 já permite todo tráfego SSH antes que ela seja avaliada.
Questão 5 — Múltipla Escolha
Um engenheiro precisa permitir que VMs em uma sub-rede se comuniquem com o Azure Key Vault sem expor tráfego à internet pública. Ele opta por criar uma regra de saída no NSG usando uma Service Tag.
Qual Service Tag deve ser usada na regra de saída e qual é o comportamento esperado?
- A)
AzureKeyVault, que representa os endereços IP públicos do Key Vault gerenciados pela Microsoft; o tráfego sairá pela internet pública, mas limitado ao endpoint do serviço. - B)
AzureKeyVault, que inclui apenas os IPs privados do Key Vault acessíveis via Private Endpoint, garantindo que o tráfego nunca saia pela internet. - C)
AzureKeyVault, que representa os intervalos de IP gerenciados pela Microsoft para o serviço; o NSG permitirá o tráfego para esses IPs, mas a garantia de não exposição à internet depende de configurações adicionais como Service Endpoints ou Private Endpoints. - D)
Storage, porque o Key Vault armazena segredos internamente no Azure Storage e essa é a Service Tag correta para esse serviço.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: A
A ordem de avaliação das regras de NSG é determinada pela prioridade: quanto menor o número, maior a prioridade. Para bloquear a internet mas permitir o WindowsUpdate, é necessário:
- Uma regra de permissão para
WindowsUpdatecom prioridade mais baixa numericamente (exemplo: 100). - Uma regra de bloqueio para
Internetcom prioridade numericamente maior que a anterior, mas menor que a regra padrãoAllowInternetOutBound(prioridade 65001).
As regras padrão de NSG não podem ser removidas nem modificadas (alternativa B e D estão erradas por pressupor isso). A alternativa C bloquearia também os serviços internos ao negar * sem primeiro abrir exceções necessárias.
O principal erro conceitual dos distratores é assumir que regras padrão são editáveis ou que uma negação geral é suficiente sem proteger as exceções desejadas com prioridade adequada.
Gabarito — Questão 2
Resposta: A
As regras de NSG são avaliadas em ordem crescente de prioridade. Para tráfego de entrada vindo de 10.0.2.5:
- Prioridade 100 (
Allow-RDP): verifica se a origem está em10.0.1.0/24. O endereço10.0.2.5não pertence a esse range. A regra não se aplica. - Prioridade 200 (
Deny-All-Inbound): corresponde a qualquer origem. O tráfego é negado aqui.
A regra padrão AllowVNetInBound (65000) jamais é avaliada porque a regra de prioridade 200 já tomou uma decisão. Este é o comportamento esperado: o NSG para de processar regras assim que encontra a primeira correspondência.
A alternativa B descreve o mecanismo corretamente mas inverte a lógica de sobreposição. As alternativas C e D introduzem comportamentos que não existem no modelo de processamento de NSG.
Gabarito — Questão 3
Resposta: Falso
O comportamento é o inverso: para tráfego de entrada, as regras do NSG da sub-rede são avaliadas primeiro, e somente então as regras do NSG da NIC. Para tráfego de saída, a ordem se inverte: NIC primeiro, sub-rede depois.
Esse comportamento é não óbvio porque intuitivamente se esperaria que a NIC, por estar mais próxima da VM, fosse o primeiro ponto de controle. Na prática, o tráfego de entrada atravessa primeiro a fronteira da sub-rede antes de chegar à interface de rede. Compreender essa ordem é crítico para diagnosticar por que um tráfego é bloqueado mesmo com regras permissivas no NSG da NIC.
Gabarito — Questão 4
Resposta: B
A Service Tag VirtualNetwork não representa apenas a VNet local. Ela inclui:
- O espaço de endereçamento da VNet local
- Espaços de endereço de VNets peered
- Redes conectadas via VPN Gateway ou ExpressRoute
Se a intenção é restringir SSH apenas a administradores dentro da VNet local, o uso de VirtualNetwork pode expor o acesso SSH a redes externas conectadas por peering ou VPN, contrariando a política de segurança declarada. O correto seria usar o CIDR exato da VNet local ou da sub-rede de gerenciamento.
A alternativa A descreve uma redundância real, mas não constitui uma falha de segurança. A alternativa D está errada porque a regra 130 ainda é alcançável para tráfego que não corresponde à regra 120 (origens fora da Service Tag VirtualNetwork). A alternativa C inverte a lógica de prioridade.
Gabarito — Questão 5
Resposta: C
A Service Tag AzureKeyVault representa os intervalos de IP públicos gerenciados pela Microsoft para o serviço Key Vault em uma determinada região. Usar essa tag em uma regra de NSG permite que as VMs alcancem esses IPs, mas o tráfego ainda pode transitar pela internet pública dependendo da topologia de rede.
Para garantir que o tráfego não saia pela internet, é necessário configurar complementarmente:
- Service Endpoints: roteiam o tráfego pelo backbone da Microsoft, sem IP privado no Key Vault.
- Private Endpoints: atribuem um IP privado ao Key Vault dentro da VNet, eliminando qualquer exposição pública.
A alternativa B está errada porque Service Tags não têm relação com Private Endpoints e não limitam IPs privados. A alternativa D confunde a camada de armazenamento interno do serviço com o plano de rede. O NSG por si só não garante a ausência de exposição à internet; ele controla apenas quais destinos são permitidos ou negados na saída.