Laboratório Técnico: Choose when to use a service endpoint

Questões

Questão 1 — Múltipla Escolha

Uma equipe de desenvolvimento mantém uma aplicação hospedada em uma subnet de uma Virtual Network no Azure. Essa aplicação precisa acessar um Azure Storage Account com a seguinte exigência: o tráfego não deve atravessar a internet pública, mas a equipe quer manter a simplicidade operacional sem gerenciar endereços IP privados adicionais nem zonas DNS privadas.

Qual abordagem atende melhor a esses requisitos?

A) Configurar um Private Endpoint para o Storage Account na subnet da aplicação.

B) Habilitar um Service Endpoint do tipo Microsoft.Storage na subnet e restringir o firewall do Storage Account para aceitar apenas aquela subnet.

C) Associar um Network Security Group (NSG) à subnet com uma regra de saída bloqueando todo tráfego que não seja para o IP público do Storage Account.

D) Utilizar uma User-Defined Route (UDR) para redirecionar o tráfego ao Storage Account por meio de um Network Virtual Appliance (NVA).

Questão 2 — Cenário Técnico

Um arquiteto está revisando a configuração abaixo de uma Virtual Network com Service Endpoints habilitados:

VNet: vnet-prod (10.0.0.0/16)
  Subnet: snet-app (10.0.1.0/24)
    Service Endpoint: Microsoft.KeyVault
  Subnet: snet-data (10.0.2.0/24)
    Nenhum Service Endpoint configurado

O Key Vault está configurado com a seguinte política de rede:

Allow access from: Selected networks
  Virtual Networks:
    - vnet-prod / snet-app
  Firewall (IP Rules): nenhuma regra

Uma VM na subnet snet-data tenta acessar o Key Vault via SDK e recebe erro 403 Forbidden. O arquiteto afirma que basta mover a VM para snet-app para resolver o problema.

Essa afirmação está correta? Qual é a explicação técnica mais precisa?

A) Não está correta. O Service Endpoint precisa ser habilitado no Key Vault, não na subnet.

B) Está correta. O Service Endpoint na snet-app garante que qualquer VM nela consiga acessar o Key Vault sem autenticação adicional.

C) Está correta. Mover a VM para snet-app faz com que o tráfego saia por um caminho autorizado, mas a VM ainda precisa de permissão de identidade (como RBAC) para acessar segredos.

D) Não está correta. Service Endpoints não funcionam com Azure Key Vault, apenas com Storage e SQL.

Questão 3 — Verdadeiro ou Falso

Afirmação: Quando um Service Endpoint é habilitado em uma subnet, os recursos dentro dessa subnet passam a acessar o serviço Azure de destino por meio de um endereço IP privado atribuído à subnet, eliminando completamente o uso de endereços IP públicos no caminho do tráfego.

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma empresa tem workloads em duas regiões: East US e West Europe. Em East US, há uma VNet com Service Endpoint habilitado para Microsoft.Sql. O banco de dados Azure SQL está hospedado em West Europe.

A equipe observa que, após habilitar o Service Endpoint e restringir o firewall do SQL Server para aceitar apenas a subnet de East US, as conexões da aplicação passam a falhar intermitentemente.

Qual é a causa mais provável do problema?

A) Service Endpoints são restritos à mesma região da VNet e não cobrem serviços em regiões diferentes por padrão, sendo necessário habilitar explicitamente o acesso entre regiões no endpoint ou usar outro mecanismo.

B) O firewall do Azure SQL não suporta restrições por subnet de outra região; somente regras de IP são aceitas nesses casos.

C) O Service Endpoint roteia o tráfego pela internet pública quando a origem e o destino estão em regiões diferentes, o que é bloqueado pelo NSG padrão da subnet.

D) A falha ocorre porque Service Endpoints do tipo Microsoft.Sql exigem que o banco de dados esteja na mesma assinatura que a VNet.

Questão 5 — Múltipla Escolha

Ao comparar Service Endpoints e Private Endpoints para proteger o acesso a um Azure Storage Account a partir de uma VNet, qual afirmação descreve corretamente uma diferença fundamental entre as duas abordagens?

A) Service Endpoints expõem o Storage Account com um IP privado dentro da VNet, enquanto Private Endpoints mantêm o IP público do serviço visível na rede.

B) Com Service Endpoints, o Storage Account continua acessível pela internet pública a menos que seu firewall seja explicitamente configurado para negar esse acesso; com Private Endpoints, o acesso é inerentemente restrito ao escopo privado.

C) Private Endpoints são gerenciados no nível da subnet, enquanto Service Endpoints criam um recurso de rede dedicado com IP próprio dentro da VNet.

D) Service Endpoints requerem uma zona DNS privada para funcionar corretamente, enquanto Private Endpoints utilizam a resolução DNS pública padrão do Azure.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

Um Service Endpoint habilitado na subnet redireciona o tráfego destinado ao serviço Azure pela rede backbone da Microsoft, sem exposição à internet pública. Combinado com a restrição no firewall do Storage Account para aceitar apenas aquela subnet, o requisito de isolamento é atendido com configuração mínima.

A alternativa A (Private Endpoint) também impede tráfego pela internet, mas introduz um IP privado dedicado, uma NIC na VNet e, na maioria dos casos, uma zona DNS privada para resolução correta. Isso vai além da simplicidade exigida no enunciado.

A alternativa C não impede o roteamento pela internet; apenas bloqueia determinados destinos no nível do NSG, sem otimizar o caminho do tráfego. A alternativa D adiciona complexidade desnecessária e não responde diretamente ao requisito de não atravessar a internet pública.

Gabarito — Questão 2

Resposta: C

A afirmação do arquiteto está parcialmente correta do ponto de vista de rede: mover a VM para snet-app faz com que o tráfego saia pela subnet que possui o Service Endpoint habilitado e que está autorizada no firewall do Key Vault. Isso resolve o bloqueio de rede.

Porém, o Service Endpoint não concede permissão de acesso ao conteúdo. O Key Vault usa RBAC do Azure (e políticas de acesso legadas) para controlar quem pode ler, escrever ou listar segredos. A VM ainda precisa de uma identidade com a role adequada (por exemplo, Key Vault Secrets User). A alternativa C captura ambas as dimensões: o caminho de rede e o controle de identidade.

A alternativa D é um distrator comum, porém incorreto: Service Endpoints suportam Microsoft.KeyVault normalmente. A alternativa B é perigosa porque sugere que o Service Endpoint substitui a autenticação, o que nunca é verdade.

Gabarito — Questão 3

Resposta: Falso

Esta é uma das confusões mais frequentes sobre Service Endpoints. O tráfego não usa um IP privado atribuído à subnet. O que ocorre é que o endereço IP de origem das requisições passa a ser o IP privado da VNet (em vez do IP público do recurso), mas o serviço Azure de destino ainda é alcançado pelo seu endpoint público (IP público do serviço), com o tráfego roteado pela rede backbone da Microsoft.

Essa distinção é fundamental: Service Endpoints otimizam o caminho e restringem quem pode acessar o serviço, mas não eliminam o endereço público do serviço. É exatamente por isso que Private Endpoints existem como solução complementar: eles de fato atribuem um IP privado ao serviço dentro da VNet.

Gabarito — Questão 4

Resposta: A

Por padrão, um Service Endpoint habilitado em uma subnet cobre o serviço na mesma região da VNet. Para acessar um serviço Azure em outra região, é necessário verificar se o tipo de endpoint suporta acesso inter-regional e, quando suportado, habilitar essa opção explicitamente. Para o Microsoft.Sql, o Azure oferece suporte a regiões emparelhadas, mas isso precisa ser configurado.

Como o firewall do SQL Server foi configurado para aceitar apenas aquela subnet, e o Service Endpoint não cobre o serviço na região West Europe por padrão, as conexões são rejeitadas, pois o tráfego não é reconhecido como originado de um endpoint autorizado.

A alternativa B é incorreta: o firewall do Azure SQL suporta sim restrições por subnet de outras regiões quando o endpoint está corretamente configurado. A alternativa C é incorreta porque Service Endpoints sempre roteiam pelo backbone da Microsoft, nunca pela internet pública. A alternativa D é uma restrição inexistente.

Gabarito — Questão 5

Resposta: B

Esta é a diferença operacional mais importante entre as duas abordagens. Um Service Endpoint não desabilita o acesso público ao serviço automaticamente: o Storage Account continua com seu endpoint público ativo. Para restringir o acesso, é necessário configurar explicitamente o firewall do serviço para negar tráfego que não venha de redes autorizadas. Se essa configuração for esquecida, o serviço continua acessível pela internet.

Um Private Endpoint, por sua vez, cria uma interface de rede privada dentro da VNet com um IP dedicado. O acesso ao serviço por esse endpoint é intrinsecamente privado; o acesso público pode ser desabilitado de forma independente, mas o Private Endpoint em si não depende de regras de firewall adicionais para garantir o isolamento da rota privada.

A alternativa A inverte a lógica das duas soluções. A alternativa C descreve o oposto do que ocorre: é o Private Endpoint que cria um recurso de rede dedicado com IP próprio, não o Service Endpoint. A alternativa D inverte a dependência de DNS: é o Private Endpoint que tipicamente requer uma zona DNS privada para resolução correta.

Questões​

Questão 1 — Múltipla Escolha​

Questão 2 — Cenário Técnico​

Questão 3 — Verdadeiro ou Falso​

Questão 4 — Cenário Técnico​

Questão 5 — Múltipla Escolha​

Gabarito e Explicações​

Gabarito — Questão 1​

Gabarito — Questão 2​

Gabarito — Questão 3​

Gabarito — Questão 4​

Gabarito — Questão 5​