NSG – Grupo de Segurança no Azure

Se você já instalou uma máquina virtual no Azure solicitando a criação de uma rede virtual durante a instalação, já deve ter notado, o tão comentado NSG.

NSG (Networking Security Group) é um serviço PaaS do Azure com objetivo de filtrar o tráfego de entrada e saída nas sub redes em que ele está vinculado. Apenas por ser um recurso simplificado com objetivos específicos, muitos profissionais o comparam a um Firewall mas o que pouca gente sabe, é que você pode instalar quantos NSGs forem necessários em sua arquitetura de serviços no Azure, lembrando que a regra básica é: o NSG terá efeito apenas nas redes em que estiver vinculado ou em VMs em que estiver associado. Diferente de um Firewall, lembre-se de que o NSG possui apenas o objetivo de filtrar o tráfego. Ahh e claro, ele é gratuíto.

Veja o diagrama com diferentes aplicações do NSG:

Para instalar o serviço, localize o NSG no Marketplace do Azure. Após a instalação, abra o serviço e associe o NSG a uma sub rede do Azure (por exemplo):

Na sequencia, configure as regras de filtro para entrada e saída:

O campo de prioridade pode ser utilizado para sobreposição de regras em caso de uso de mais serviços controladores de filtro de tráfego.

É importante observar que as regras de segurança em um NSG associado a uma sub-rede podem afetar a conectividade entre as VMs dentro dela. Por exemplo, se uma regra for adicionada a NSG1 que nega todo o tráfego de entrada e de saída, VM1 e VM2 não poderão se comunicar entre si. Outra regra teria que ser adicionada especificamente para permitir isso.

Também é importante compreender que um NSG pode ser associado diretamente ao adaptador de rede de VMs no Azure, ao invés de sub redes controlando diretamente o tráfego de entrada e saída das máquinas virtuais. Veja:

E para finalizar, você pode habilitar o log de transações para monitorar todo o tráfego de rede que passar pelo NSG, auditando posteriormente os filtros que foram aplicados:

Gostou? Simples, né? Para conhecer mais sobre os serviços de Segurança em Cloud moderno, participe das trilhas de formação do Azure Academy. Conheça as turmas disponíveis: www.azureacademy.com.br