Laboratório Técnico: Configure an NSG for Remote Server Administration, Including Azure Bastion
Questões
Questão 1 — Múltipla Escolha
Uma equipe de operações precisa administrar VMs Windows e Linux em uma VNet de produção sem expor as portas RDP (3389) e SSH (22) diretamente à internet. A solução adotada foi o Azure Bastion no tier Standard. Após a implantação, o administrador precisa configurar os NSGs corretamente para garantir que o Bastion funcione e que as VMs alvo não recebam conexões RDP/SSH diretas da internet.
Qual conjunto de regras de NSG representa a configuração correta e suficiente?
A) NSG na AzureBastionSubnet: permitir entrada nas portas 443 e 8080 da tag Internet; NSG nas sub-redes das VMs: permitir entrada nas portas 3389 e 22 da tag Internet.
B) NSG na AzureBastionSubnet: permitir entrada na porta 443 da tag Internet e na porta 8080 da tag GatewayManager; NSG nas sub-redes das VMs: permitir entrada nas portas 3389 e 22 somente da tag de serviço VirtualNetwork.
C) NSG na AzureBastionSubnet: permitir entrada na porta 443 da tag Internet e na porta 443 da tag GatewayManager; NSG nas sub-redes das VMs: permitir entrada nas portas 3389 e 22 somente do prefixo de IP da AzureBastionSubnet.
D) Nenhum NSG deve ser associado à AzureBastionSubnet, pois o Azure Bastion gerencia sua própria segurança internamente; NSG nas sub-redes das VMs: bloquear entrada nas portas 3389 e 22 da tag Internet.
Questão 2 — Cenário Técnico
Um administrador tenta conectar-se a uma VM Linux via Azure Bastion pelo portal do Azure. O Bastion está implantado corretamente na AzureBastionSubnet com um IP público associado. A tentativa de conexão falha com erro de timeout.
A configuração do NSG na sub-rede da VM é a seguinte:
Regras de entrada:
Prioridade 100 | Origem: Internet | Destino: Any | Porta: 22 | Ação: Deny
Prioridade 200 | Origem: VirtualNetwork | Destino: Any | Porta: 22 | Ação: Allow
Prioridade 65000 | Origem: VirtualNetwork | Destino: Any | Porta: Any | Ação: Allow (padrão)
Prioridade 65500 | Origem: Any | Destino: Any | Porta: Any | Ação: Deny (padrão)
Qual é a causa do timeout na conexão via Bastion?
A) A tag VirtualNetwork não cobre o tráfego originado do Azure Bastion, pois o Bastion usa um espaço de IP separado que não pertence à VNet.
B) A regra de prioridade 100 bloqueia o tráfego do Bastion antes que a regra de prioridade 200 seja avaliada, porque a tag Internet inclui o IP público do Bastion.
C) O tráfego do Bastion para a VM de destino parte da AzureBastionSubnet, cujo prefixo de IP está contido na tag VirtualNetwork, mas a porta 22 precisa ser liberada especificamente da tag AzureBastionSubnet.
D) O NSG na sub-rede da VM está bloqueando o tráfego porque a regra padrão de prioridade 65500 tem precedência sobre a regra de prioridade 200 para conexões originadas do Bastion.
Questão 3 — Verdadeiro ou Falso
O Azure Bastion no tier Basic suporta o recurso de IP-based connection, que permite conectar-se a VMs por endereço IP mesmo quando essas VMs não estão registradas no Microsoft Entra ID nem ingressadas em domínio.
Verdadeiro ou Falso?
Questão 4 — Múltipla Escolha
Ao projetar a segurança de acesso remoto para um ambiente híbrido, o arquiteto precisa decidir entre duas abordagens:
| Abordagem | Descrição |
|---|---|
| A | Liberar a porta RDP (3389) no NSG apenas para os IPs do escritório corporativo via regra de entrada |
| B | Implantar Azure Bastion e bloquear RDP/SSH direto via NSG, permitindo apenas o tráfego da AzureBastionSubnet |
O requisito de segurança exige que as credenciais de acesso remoto nunca trafeguem pela internet em texto claro e que o acesso seja auditável por sessão.
Qual afirmação justifica tecnicamente a escolha da abordagem B sobre a abordagem A?
A) A abordagem A expõe o protocolo RDP diretamente à internet, mesmo que restrita por IP, e o tráfego RDP não é cifrado por padrão acima da camada de transporte, enquanto o Bastion encapsula a sessão inteiramente em HTTPS/TLS 443.
B) A abordagem A é inviável porque NSGs não suportam endereços IP de origem individuais em regras de entrada, apenas tags de serviço e prefixos CIDR.
C) A abordagem B elimina a necessidade de qualquer NSG nas sub-redes das VMs, simplificando a gestão de segurança.
D) A abordagem A é segura desde que o MFA esteja habilitado no Microsoft Entra ID para as contas de acesso, tornando a abordagem B uma escolha de preferência, não de segurança.
Questão 5 — Cenário Técnico
Uma organização está migrando para o Azure Bastion e precisa garantir que as sessões de administração remota sejam registradas para fins de auditoria e conformidade. O time de segurança solicita que o conteúdo das sessões RDP e SSH seja gravado e armazenado.
O arquiteto verifica que o Bastion está implantado no tier Standard. Qual configuração adicional é necessária para atender ao requisito de gravação de sessões?
A) Habilitar o Diagnostic Settings no recurso do Azure Bastion e direcionar os logs para um Log Analytics Workspace, o que automaticamente grava o conteúdo visual das sessões.
B) Habilitar o recurso de Session Recording no Azure Bastion, disponível no tier Standard, e configurar uma conta de armazenamento para receber os arquivos de gravação.
C) Configurar o Azure Monitor para capturar pacotes de rede na AzureBastionSubnet via Network Watcher, reconstituindo as sessões a partir dos dados capturados.
D) Integrar o Azure Bastion com o Microsoft Sentinel via conector nativo, que passa a gravar automaticamente o conteúdo das sessões em uma tabela dedicada do Log Analytics Workspace.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: C
O NSG na AzureBastionSubnet deve permitir entrada na porta 443 da tag Internet (tráfego do usuário final para o Bastion) e na porta 443 da tag GatewayManager (tráfego de gerenciamento do plano de controle do Azure). O tráfego do Bastion para as VMs parte dos IPs da AzureBastionSubnet, de modo que liberar as portas 3389 e 22 especificamente desse prefixo de IP é a regra mais restritiva e correta.
A alternativa A expõe RDP e SSH diretamente da internet, anulando o propósito do Bastion. A alternativa B usa a tag VirtualNetwork para as VMs, o que é funcional mas menos restritivo do que referenciar apenas o prefixo da AzureBastionSubnet. A alternativa D está incorreta: a AzureBastionSubnet pode e deve ter NSG associado, com as regras exigidas pela documentação do serviço.
Gabarito — Questão 2
Resposta: C
O tráfego de sessão que o Azure Bastion encaminha para a VM de destino parte dos endereços IP da AzureBastionSubnet, que está dentro da mesma VNet. A tag VirtualNetwork cobre esse espaço de endereço, portanto a regra de prioridade 200 deveria, em princípio, permitir a conexão. O problema é que a regra de prioridade 100 bloqueia Internet, e o IP público do Bastion não é a origem do tráfego para a VM. A origem real é o IP privado da AzureBastionSubnet.
O comportamento observado indica que a regra de prioridade 200 deveria funcionar, mas em muitos ambientes a sub-rede do Bastion não é explicitamente coberta pela regra existente por questão de especificidade. A solução mais precisa é criar uma regra que permita a porta 22 explicitamente do prefixo CIDR da AzureBastionSubnet, garantindo que não haja ambiguidade na avaliação. A alternativa B está incorreta porque o tráfego para a VM não vem do IP público do Bastion. A alternativa D está errada porque regras de menor prioridade numérica são avaliadas antes, não depois.
Gabarito — Questão 3
Resposta: Falso
O recurso de IP-based connection está disponível apenas no tier Standard do Azure Bastion, não no tier Basic. O tier Basic suporta conexão apenas a VMs na mesma VNet ou em VNets com peering, identificadas pelo recurso de VM no portal do Azure. O tier Standard expande as possibilidades com recursos como IP-based connection, tunneling nativo e suporte a gravação de sessões. Confundir as capacidades dos tiers é um erro comum que pode levar a decisões de dimensionamento inadequadas.
Gabarito — Questão 4
Resposta: A
A justificativa técnica central é que o protocolo RDP, quando exposto diretamente na porta 3389, transmite a sessão com criptografia nativa do protocolo, mas a superfície de ataque é significativamente maior: o endpoint RDP fica acessível para tentativas de força bruta, exploração de vulnerabilidades do protocolo e ataques de credential stuffing. O Azure Bastion encapsula toda a comunicação em HTTPS/TLS na porta 443, eliminando a exposição do protocolo RDP/SSH à internet e centralizando o ponto de auditoria.
A alternativa B é incorreta: NSGs suportam plenamente endereços IP individuais e prefixos CIDR como origem. A alternativa C está errada porque as sub-redes das VMs ainda precisam de NSGs corretamente configurados. A alternativa D minimiza indevidamente os riscos da exposição direta do RDP; MFA protege credenciais, mas não elimina vulnerabilidades no protocolo ou no serviço exposto.
Gabarito — Questão 5
Resposta: B
O recurso de Session Recording é uma funcionalidade específica do tier Standard do Azure Bastion que permite gravar o conteúdo visual das sessões RDP e SSH e armazená-las em uma conta de armazenamento configurada pelo administrador. Essa funcionalidade atende diretamente ao requisito de auditoria de conteúdo de sessão.
A alternativa A descreve os Diagnostic Settings, que registram metadados de sessão como IPs, usuários e timestamps, mas não gravam o conteúdo visual da sessão. A alternativa C é inviável operacionalmente para reconstituição de sessões e não é uma abordagem suportada para esse fim. A alternativa D confunde integração de logs com gravação de sessão: o Microsoft Sentinel pode receber eventos de auditoria do Bastion, mas não grava o conteúdo das sessões automaticamente.