Pular para o conteúdo principal

Laboratório Técnico: Implement and manage virtual network security by using Azure Virtual Network Manager

Questões

Questão 1 — Múltipla Escolha

O Azure Virtual Network Manager (AVNM) opera com dois tipos principais de configuração: conectividade e segurança. Ao projetar uma topologia hub-and-spoke gerenciada pelo AVNM, um arquiteto precisa garantir que as VNets spoke não se comuniquem diretamente entre si, apenas com o hub. Qual recurso do AVNM controla esse comportamento de forma declarativa?

A) Uma configuração de segurança com regras de negação entre os grupos de rede dos spokes, aplicada via deployment.

B) Uma configuração de conectividade do tipo hub-and-spoke com a opção de conectividade direta entre spokes desabilitada.

C) Uma política de roteamento aplicada ao grupo de rede que remove as rotas entre os spokes no nível do UDR.

D) Um NSG administrativo com regras de negação de prioridade máxima associado à subnet de cada spoke.

Questão 2 — Cenário Técnico

Uma equipe de plataforma usa o AVNM para gerenciar 40 VNets distribuídas em três assinaturas. Eles criaram um network group estático chamado ng-producao e adicionaram manualmente 15 VNets. Após uma reorganização, cinco novas VNets de produção foram criadas, mas não aparecem no grupo. O gerente de rede solicita que novas VNets de produção sejam incluídas automaticamente sem intervenção manual.

Qual alteração resolve esse requisito?

A) Converter o grupo de rede para dinâmico e definir uma política de Azure Policy com condição baseada em tags ou nome das VNets.

B) Habilitar a opção de auto-membership nas configurações do AVNM, que detecta VNets criadas após a formação do grupo.

C) Criar uma subscription-level network group que inclui automaticamente todas as VNets das assinaturas selecionadas.

D) Substituir o grupo estático por uma configuração de conectividade com escopo de assinatura, que agrupa VNets implicitamente.

Questão 3 — Verdadeiro ou Falso

No Azure Virtual Network Manager, as regras de administração de segurança (security admin rules) têm precedência sobre as regras de NSG associadas às subnets ou NICs, e não podem ser substituídas por regras de NSG de maior prioridade numérica definidas pelos proprietários das VNets.

Questão 4 — Cenário Técnico

Um engenheiro aplica uma configuração de segurança via AVNM com a seguinte regra de administração:

Regra: block-rdp-inbound
Ação       : Deny
Direção    : Inbound
Protocolo  : TCP
Porta dest.: 3389
Prioridade : 100

Após o deployment, um administrador de uma das VNets gerenciadas cria um NSG com a seguinte regra:

Regra: allow-rdp
Ação       : Allow
Direção    : Inbound
Protocolo  : TCP
Porta dest.: 3389
Prioridade : 100

Qual é o comportamento resultante para o tráfego RDP nas VMs dessa VNet?

A) A regra do NSG prevalece porque tem a mesma prioridade numérica que a regra de administração do AVNM.

B) O tráfego RDP será bloqueado, pois as regras de administração de segurança do AVNM são avaliadas antes das regras de NSG e não podem ser substituídas por elas.

C) O comportamento é indeterminado, pois conflitos de prioridade igual entre regras de origens diferentes exigem resolução manual no portal.

D) A regra do NSG prevalece porque é aplicada diretamente na NIC ou subnet, enquanto a regra do AVNM atua apenas no nível da VNet.

Questão 5 — Múltipla Escolha

Ao trabalhar com o Azure Virtual Network Manager, um engenheiro precisa entender a diferença entre deployment de uma configuração e a simples criação ou edição da configuração no portal. Qual afirmação descreve corretamente essa distinção?

A) A criação da configuração já aplica as políticas nas VNets do grupo de rede; o deployment é necessário apenas para atualizar configurações existentes.

B) O deployment é o processo que efetivamente propaga e aplica a configuração nos recursos de rede das regiões selecionadas; sem ele, as alterações existem apenas como rascunho no AVNM.

C) O deployment replica a configuração entre regiões do Azure para garantir alta disponibilidade do AVNM, sem impacto direto nos recursos de rede.

D) A criação da configuração aplica as regras imediatamente nas VNets, e o deployment é usado apenas para gerar um relatório de conformidade das alterações.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Explique:

  • No AVNM, a configuração de conectividade do tipo hub-and-spoke possui uma opção explícita chamada "direct connectivity" entre spokes. Quando essa opção está desabilitada, o tráfego entre spokes é obrigado a passar pelo hub, respeitando a topologia desejada. Essa configuração é declarativa e gerenciada centralmente pelo AVNM.
  • A alternativa A confunde o mecanismo correto: regras de segurança controlam permissão de tráfego, mas não definem a topologia de conectividade entre VNets. Desabilitar conectividade direta é uma decisão de topologia, não de segurança.
  • A alternativa C é incorreta porque o AVNM não gerencia UDRs diretamente como mecanismo de topologia hub-and-spoke; UDRs são recursos separados.
  • A alternativa D descreve uma abordagem válida de segurança, mas operacionalmente inferior: requer gestão de NSGs individuais em vez de uma configuração centralizada no AVNM.

Gabarito — Questão 2

Resposta: A

Explique:

  • Grupos de rede dinâmicos no AVNM utilizam Azure Policy para definir critérios de inclusão automática. Quando uma VNet é criada e atende à condição definida na política (como uma tag environment=producao ou um padrão de nome), ela é automaticamente incluída no grupo sem intervenção manual.
  • A alternativa B descreve uma funcionalidade que não existe no AVNM: não há uma opção chamada "auto-membership" configurável diretamente no produto; a associação dinâmica é sempre mediada por Azure Policy.
  • A alternativa C é um conceito inexistente: não há um tipo de grupo chamado "subscription-level network group" com inclusão automática de todas as VNets de uma assinatura como comportamento padrão.
  • A alternativa D confunde configuração de conectividade com agrupamento de recursos; as duas são entidades distintas no AVNM e não são intercambiáveis.

Gabarito — Questão 3

Resposta: Verdadeiro

Explique:

  • As security admin rules do AVNM formam uma camada de segurança avaliada antes das regras de NSG. Elas são projetadas para que administradores centrais de plataforma definam políticas que não podem ser contornadas por equipes locais que gerenciam NSGs individuais.
  • Isso é especialmente relevante em organizações com múltiplas equipes: uma regra de deny no AVNM bloqueia o tráfego independentemente de qualquer regra de allow no NSG local, mesmo que o NSG tenha prioridade numérica menor (mais alta em precedência NSG). A hierarquia de avaliação é: security admin rules primeiro, NSG depois.
  • O equívoco comum é assumir que a prioridade numérica de uma regra NSG pode "vencer" uma regra administrativa do AVNM. As duas camadas são independentes e a camada do AVNM sempre tem precedência estrutural.

Gabarito — Questão 4

Resposta: B

Explique:

  • As security admin rules do AVNM são avaliadas pelo plano de dados antes das regras de NSG. Uma regra de Deny no AVNM bloqueia o tráfego na camada de administração de segurança, e esse bloqueio não pode ser revertido por uma regra de Allow em um NSG, independentemente da prioridade numérica desse NSG.
  • A alternativa A representa o erro mais comum: aplicar a lógica de prioridade numérica do NSG (onde regras com menor número têm precedência) ao relacionamento entre AVNM e NSG. Esse relacionamento não é de prioridade numérica comparável, mas de camadas hierárquicas distintas.
  • A alternativa C é incorreta: não existe comportamento indeterminado nesse caso; a especificação do AVNM define claramente que security admin rules têm precedência.
  • A alternativa D inverte a hierarquia: a proximidade física da regra (NIC/subnet) não determina precedência quando há uma camada de administração centralizada pelo AVNM acima dos NSGs.

Gabarito — Questão 5

Resposta: B

Explique:

  • No AVNM, criar ou editar uma configuração é uma operação no plano de controle do gerenciador que produz um rascunho. Somente após o deployment explícito, direcionado a regiões específicas, as configurações são efetivamente aplicadas nos recursos de rede (VNets, grupos de rede). Esse modelo de dois estágios é intencional e permite revisão antes da aplicação.
  • A alternativa A inverte o comportamento: a criação nunca aplica automaticamente; o deployment é obrigatório tanto para configurações novas quanto para atualizações.
  • A alternativa C descreve replicação para alta disponibilidade, que não é a função do deployment; o AVNM não usa deployment como mecanismo de redundância geográfica do serviço em si.
  • A alternativa D também inverte o comportamento e atribui ao deployment uma função de relatório, que não corresponde ao seu papel real de propagação e aplicação efetiva das configurações.