Laboratório Técnico: Configure service endpoint policies

Questões

Questão 1 — Múltipla Escolha

Uma equipe de segurança precisa garantir que uma sub-rede em uma VNet do Azure possa acessar apenas uma conta de armazenamento específica, e não qualquer conta de armazenamento da organização ou de outras organizações. O recurso de service endpoint já está habilitado na sub-rede para Microsoft.Storage.

Qual recurso complementar deve ser configurado para atender a esse requisito?

A) Network Security Group (NSG) com regra de saída bloqueando o tag de serviço Storage

B) Service endpoint policy associada à sub-rede, referenciando o recurso de armazenamento específico

C) Azure Firewall com regra de aplicação apontando para o FQDN da conta de armazenamento

D) Private endpoint criado na sub-rede para a conta de armazenamento alvo

Questão 2 — Cenário Técnico

Uma equipe configurou uma service endpoint policy em uma sub-rede e a associou corretamente. Após a configuração, os desenvolvedores relatam que não conseguem mais acessar um Azure Data Lake Storage Gen2 que estava funcionando antes. A policy foi criada com a seguinte definição:

{
  "serviceEndpointPolicyDefinitions": [
    {
      "service": "Microsoft.Storage",
      "serviceResources": [
        "/subscriptions/aaaa-bbbb/resourceGroups/rg-prod/providers/Microsoft.Storage/storageAccounts/contosoprod"
      ]
    }
  ]
}

Qual é a causa mais provável da falha de acesso ao Data Lake Storage Gen2?

A) Service endpoint policies não suportam o tipo Microsoft.Storage, exigindo um tipo separado para Data Lake

B) O Azure Data Lake Storage Gen2 está em uma assinatura diferente e policies não permitem referências entre assinaturas

C) A policy permite apenas a conta contosoprod, e o Data Lake Storage Gen2 é uma conta de armazenamento distinta não listada na policy

D) O campo serviceResources aceita apenas resource groups, não recursos individuais

Questão 3 — Verdadeiro ou Falso

Uma service endpoint policy pode ser associada a múltiplas sub-redes diferentes, mesmo que essas sub-redes pertençam a VNets distintas dentro da mesma região.

Questão 4 — Cenário Técnico

Um arquiteto precisa restringir o acesso de uma sub-rede para que ela alcance apenas recursos do Azure Storage pertencentes à própria organização, sem especificar cada conta individualmente. Ele considera usar o seguinte valor no campo serviceResources:

/subscriptions/aaaa-bbbb-cccc-dddd

Essa abordagem funcionaria conforme o esperado?

A) Sim, o escopo por assinatura é suportado e permitirá acesso a todas as contas de armazenamento daquela assinatura

B) Não, pois service endpoint policies exigem que cada recurso seja especificado individualmente no nível de resource account

C) Sim, mas somente se a assinatura estiver no mesmo tenant que a VNet

D) Não, pois o escopo mínimo suportado é o resource group, e assinaturas não são aceitas como escopo

Questão 5 — Múltipla Escolha

Ao associar uma service endpoint policy a uma sub-rede, qual é o comportamento resultante para o tráfego destinado ao serviço referenciado na policy?

A) Todo tráfego da sub-rede para o serviço é bloqueado por padrão, e apenas os recursos explicitados na policy são liberados

B) O tráfego para recursos não listados na policy é redirecionado via internet, contornando o service endpoint

C) A policy afeta apenas tráfego de entrada na sub-rede, sem impacto no tráfego de saída para o serviço

D) A policy é aplicada somente quando combinada com uma regra de NSG de saída com a mesma tag de serviço

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

As service endpoint policies foram criadas exatamente para resolver esse cenário: restringir o tráfego que já usa service endpoints para atingir apenas recursos específicos dentro de um serviço. Sem a policy, o service endpoint garante roteamento otimizado para qualquer recurso daquele serviço, incluindo contas de outras organizações.

O principal erro conceitual dos distratores está em confundir o propósito das ferramentas. O NSG (A) controla acesso por IP ou tag de serviço inteiro, sem granularidade por recurso individual. O Azure Firewall (C) pode filtrar por FQDN, mas não é o mecanismo nativo e designado para esse controle sobre service endpoints. O private endpoint (D) resolve isolamento por um mecanismo diferente e não se relaciona com service endpoint policies.

Gabarito — Questão 2

Resposta: C

A service endpoint policy funciona como uma lista de permissão explícita: apenas os recursos listados em serviceResources são acessíveis pela sub-rede via service endpoint. O Azure Data Lake Storage Gen2 é, internamente, uma conta de armazenamento separada. Se ela não estiver listada na policy, o tráfego para ela será bloqueado, mesmo que o serviço Microsoft.Storage esteja habilitado na sub-rede.

O distrator A é incorreto porque Microsoft.Storage cobre tanto Blob Storage quanto Data Lake Storage Gen2 dentro do mesmo tipo de serviço. O distrator B é incorreto porque referências entre assinaturas são suportadas em service endpoint policies. O distrator D representa uma confusão comum, pois o campo serviceResources aceita tanto recursos individuais quanto resource groups e assinaturas como escopos.

Gabarito — Questão 3

Resposta: Falso

Uma service endpoint policy pode ser associada a múltiplas sub-redes, mas essas sub-redes precisam pertencer à mesma região que a policy e também à mesma VNet ou VNets na mesma região. O ponto crítico é que a policy em si tem escopo regional: ela é um recurso regional e só pode ser associada a sub-redes na mesma região onde foi criada. Pertencer a VNets distintas na mesma região é permitido, mas a afirmação como apresentada cria ambiguidade ao omitir a restrição de região, sendo tecnicamente falsa como regra geral irrestrita.

Esse comportamento é relevante no planejamento de topologias hub-spoke, onde políticas de sub-rede precisam ser replicadas por região, e não reutilizadas globalmente.

Gabarito — Questão 4

Resposta: A

O campo serviceResources em service endpoint policies suporta três escopos: recurso individual, resource group e assinatura. Especificar o ID de uma assinatura é válido e fará com que todos os recursos daquele serviço dentro daquela assinatura sejam permitidos. Essa é uma abordagem comum quando a organização quer controlar acesso no nível de assinatura sem enumerar cada conta individualmente.

O distrator B nega incorretamente suporte a escopos amplos. O distrator C introduz uma restrição de tenant que não existe na especificação da feature. O distrator D inverte a hierarquia: assinatura é um escopo mais amplo que resource group, e ambos são suportados.

Gabarito — Questão 5

Resposta: A

Esse é o comportamento fundamental das service endpoint policies: elas atuam como uma allowlist sobre o tráfego que já é roteado pelo service endpoint. Recursos do serviço não listados na policy são bloqueados, mesmo que o service endpoint esteja habilitado. O bloqueio se aplica ao tráfego de saída da sub-rede destinado ao serviço.

O distrator B representa um equívoco perigoso: o tráfego não é redirecionado para a internet, ele é simplesmente bloqueado. O distrator C inverte a direção: policies controlam tráfego de saída da sub-rede para o serviço, não de entrada. O distrator D é incorreto porque a policy opera de forma independente de regras de NSG; ela é aplicada diretamente sobre o service endpoint, sem necessidade de configuração adicional no NSG.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​