Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
As redes dentro do Azure funcionam como uma parte integral de sua plataforma de computação em nuvem, permitindo a conexão e comunicação entre vários serviços e recursos do Azure. A arquitetura de rede no Azure é projetada para ser altamente escalável, segura e personalizável.
No seu núcleo, o Azure fornece uma rede virtual (VNet) que permite aos usuários criar redes isoladas dentro da nuvem do Azure. Dentro dessas VNets, recursos como máquinas virtuais, aplicativos e bancos de dados podem ser hospedados e gerenciados de forma segura. A rede no Azure suporta tanto a comunicação dentro da nuvem (entre serviços do Azure) quanto a conexão com redes externas e a internet.
A segurança é um aspecto crítico da rede do Azure, com várias ferramentas e serviços disponíveis para proteger dados, gerenciar acesso e garantir conformidade. Essas medidas de segurança incluem firewalls, grupos de segurança de rede e capacidades de criptografia, permitindo um alto nível de controle sobre o tráfego e o acesso.
No geral, as capacidades de rede do Azure são projetadas para oferecer flexibilidade, permitindo que os usuários criem um ambiente de rede que atenda às suas necessidades específicas de aplicação e carga de trabalho, mantendo uma forte ênfase na segurança e confiabilidade.
Uma VNet no Azure é essencialmente uma representação da sua própria rede na nuvem. É uma isolação lógica da nuvem do Azure dedicada à sua assinatura. Uma VNet permite que você provisiona e gerencie redes privadas virtuais (VPNs) no Azure e pode ser usada para hospedar e gerenciar múltiplos tipos de recursos do Azure, como Máquinas Virtuais (VMs), bancos de dados e serviços de aplicativos.
As VNets fornecem a você controle total sobre suas configurações de rede, incluindo intervalos de endereços IP, criação de sub-redes, tabelas de roteamento e gateways de rede.
Uma sub-rede é um intervalo de endereços IP na sua VNet. Você pode dividir uma VNet em várias sub-redes para organização e segurança. Cada sub-rede em uma VNet pode ser usada para isolar e agrupar recursos de acordo com sua arquitetura de rede e aplicação.
Além disso, as sub-redes permitem que você segmente sua VNet em uma ou mais sub-redes, fornecendo um intervalo de endereços IP que os recursos podem usar.
Suponha que você tenha uma VNet chamada MyVNet com um intervalo de endereços IP de 10.0.0.0/16. Você pode criar uma sub-rede dentro dessa VNet, digamos Subnet-1, com um intervalo de endereços IP de 10.0.0.0/24 para hospedar seus servidores web. Outra sub-rede, Subnet-2 com um intervalo de 10.0.1.0/24, poderia ser usada para seus servidores de banco de dados. Essa segmentação permite uma gestão eficiente e controles de segurança dentro da rede.
Para listar todas as VNets e sub-redes em uma conta do Azure, você pode usar a Interface de Linha de Comando (CLI) do Azure. Aqui estão os passos:
No Azure, um Grupo de Segurança de Rede (NSG) tem a função principal de filtrar o tráfego de rede tanto para quanto de recursos do Azure dentro de uma Rede Virtual do Azure (VNet). Ele abriga um conjunto de regras de segurança que ditam meticulosamente o fluxo do tráfego de rede.
Aspectos chave do NSG incluem:
Controle de Tráfego: Cada NSG contém regras que são instrumentais para permitir ou obstruir o tráfego de rede de entrada e saída associado a vários recursos do Azure.
Componentes da Regra: As regras dentro de um NSG são altamente específicas, filtrando o tráfego com base em critérios como endereço IP de origem/destino, porta e protocolo. Essa especificidade permite uma gestão granular do tráfego de rede.
Aprimoramento de Segurança: Ao garantir que apenas o tráfego autorizado possa entrar ou sair dos seus recursos do Azure, os NSGs desempenham um papel crucial em fortalecer a postura de segurança da sua infraestrutura de rede.
Imagine que você tem um NSG chamado MyNSG aplicado a uma sub-rede ou a uma máquina virtual específica dentro da sua VNet. Você pode criar regras como:
Uma regra de entrada permitindo tráfego HTTP (porta 80) de qualquer origem para seus servidores web.
Uma regra de saída permitindo apenas tráfego SQL (porta 1433) para um intervalo específico de endereços IP de destino.
O Azure Firewall é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. É um firewall totalmente stateful como serviço, com alta disponibilidade e recursos de escalabilidade integrados.
O Azure Firewall fornece recursos mais avançados do que NSGs, incluindo filtragem em nível de aplicativo, filtragem em nível de rede, filtragem baseada em inteligência de ameaças e integração com o Azure Monitor para registro e análise. Ele pode filtrar tráfego de saída, entrada, de spoke para spoke, VPN e ExpressRoute. Regras de firewall podem ser criadas com base em FQDN (Nome de Domínio Totalmente Qualificado), endereços IP e portas.
Escopo:
NSG: Funciona no nível de sub-rede ou interface de rede. Destina-se a fornecer filtragem básica de tráfego de entrada e saída de interfaces de rede (NIC), VMs ou sub-redes.
Azure Firewall: Opera no nível do VNet, proporcionando um escopo mais amplo de proteção. É projetado para proteger seus recursos de rede virtual e gerenciar o tráfego que entra e sai do VNet.
Capacidades:
NSG: Fornece capacidades básicas de filtragem com base em endereço IP, porta e protocolo. Não suporta recursos avançados como inspeção em nível de aplicativo ou inteligência de ameaças.
Azure Firewall: Oferece recursos avançados como filtragem de tráfego em nível de aplicativo (Camada 7), filtragem baseada em inteligência de ameaças, filtragem de tráfego de rede e mais. Também suporta múltiplos endereços IP públicos.
Casos de Uso:
NSG: Ideal para filtragem básica de tráfego em nível de rede.
Azure Firewall: Adequado para cenários de filtragem mais complexos onde controle em nível de aplicativo, registro e inteligência de ameaças são necessários.
Gerenciamento e Monitoramento:
NSG: Oferece registro básico e integração com o Azure Monitor.
Azure Firewall: Fornece capacidades avançadas de registro e análise através do Azure Monitor, que é essencial para entender a natureza e o padrão do tráfego.
Um Appliance Virtual de Rede (NVA) no Azure é um appliance virtual que realiza funções de rede dentro de uma rede virtual. Os NVAs são tipicamente usados para funções de rede que não estão disponíveis nativamente no Azure ou quando mais personalização é necessária. Eles são essencialmente VMs que executam aplicativos ou serviços de rede, como firewalls, otimizadores de WAN ou balanceadores de carga.
Os NVAs são usados para tarefas complexas de roteamento, segurança e gerenciamento de tráfego de rede. Eles podem ser implantados a partir do Marketplace do Azure, onde muitos fornecedores de terceiros oferecem seus appliances prontos para integração em ambientes Azure.
Uma organização pode implantar um NVA no Azure para criar uma solução de firewall personalizada. Este NVA poderia executar um software de firewall de terceiros, fornecendo recursos avançados como detecção de intrusões, inspeção de pacotes ou conectividade VPN. O NVA pode ser configurado para inspecionar e filtrar o tráfego que passa por ele, garantindo que medidas de segurança aprimoradas estejam em vigor de acordo com as políticas da organização.
As Tabelas de Roteamento do Azure são um recurso dentro do Microsoft Azure que permitem o controle do roteamento de tráfego de rede dentro das Redes Virtuais do Azure (VNets). Essencialmente, elas definem como os pacotes são encaminhados entre sub-redes dentro das VNets, entre VNets ou para redes externas. Cada tabela de roteamento contém um conjunto de regras, conhecidas como rotas, que especificam como os pacotes devem ser roteados com base em seus endereços IP de destino.
As Rotas Definidas pelo Usuário (UDR) no Azure são rotas personalizadas que você cria dentro das Tabelas de Roteamento do Azure para controlar o fluxo de tráfego de rede dentro e entre as Redes Virtuais do Azure (VNets) e para conexões externas. As UDRs oferecem a flexibilidade de direcionar o tráfego de rede de acordo com suas necessidades específicas, substituindo as decisões de roteamento padrão do Azure.
Essas rotas são particularmente úteis para cenários onde você precisa rotear o tráfego através de um appliance virtual, impor um caminho específico para conformidade de segurança ou política, ou integrar com redes locais.
Suponha que você tenha implantado um Appliance Virtual de Rede (NVA) para inspecionar o tráfego entre sub-redes dentro de uma VNet. Você pode criar uma UDR que direciona todo o tráfego de uma sub-rede para outra sub-rede para passar pelo NVA. Essa UDR garante que o NVA inspecione o tráfego para fins de segurança antes que ele chegue ao seu destino.
Azure Private Link é um serviço no Azure que permite acesso privado a serviços do Azure garantindo que o tráfego entre sua rede virtual do Azure (VNet) e o serviço viaje inteiramente dentro da rede backbone do Azure da Microsoft. Ele efetivamente traz o serviço para sua VNet. Essa configuração aumenta a segurança ao não expor os dados à internet pública.
Private Link pode ser usado com vários serviços do Azure, como Azure Storage, Azure SQL Database e serviços personalizados compartilhados via Private Link. Ele fornece uma maneira segura de consumir serviços de dentro de sua própria VNet ou até mesmo de diferentes assinaturas do Azure.
NSGs não se aplicam a endpoints privados, o que significa claramente que associar um NSG a uma sub-rede que contém o Private Link não terá efeito.
Considere um cenário onde você tem um Azure SQL Database que deseja acessar de forma segura a partir de sua VNet. Normalmente, isso poderia envolver a travessia da internet pública. Com o Private Link, você pode criar um endpoint privado em sua VNet que se conecta diretamente ao serviço Azure SQL Database. Esse endpoint faz com que o banco de dados pareça parte de sua própria VNet, acessível via um endereço IP privado, garantindo assim acesso seguro e privado.
Os Pontos de Extremidade do Serviço Azure estendem o espaço de endereço privado da sua rede virtual e a identidade da sua VNet para serviços Azure por meio de uma conexão direta. Ao habilitar os pontos de extremidade de serviço, recursos na sua VNet podem se conectar com segurança a serviços Azure, como Azure Storage e Azure SQL Database, usando a rede backbone do Azure. Isso garante que o tráfego da VNet para o serviço Azure permaneça dentro da rede Azure, proporcionando um caminho mais seguro e confiável.
Por exemplo, uma conta de Azure Storage por padrão é acessível pela internet pública. Ao habilitar um ponto de extremidade de serviço para Azure Storage dentro da sua VNet, você pode garantir que apenas o tráfego da sua VNet possa acessar a conta de armazenamento. O firewall da conta de armazenamento pode então ser configurado para aceitar tráfego apenas da sua VNet.
A Microsoft recomenda o uso de Links Privados na docs:\
Endpoints de Serviço:
O tráfego da sua VNet para o serviço Azure viaja pela rede backbone da Microsoft Azure, contornando a internet pública.
O endpoint é uma conexão direta ao serviço Azure e não fornece um IP privado para o serviço dentro da VNet.
O serviço em si ainda é acessível através de seu endpoint público de fora da sua VNet, a menos que você configure o firewall do serviço para bloquear esse tráfego.
É uma relação um-para-um entre a sub-rede e o serviço Azure.
Menos caro do que Links Privados.
Links Privados:
O Link Privado mapeia serviços Azure na sua VNet através de um endpoint privado, que é uma interface de rede com um endereço IP privado dentro da sua VNet.
O serviço Azure é acessado usando este endereço IP privado, fazendo parecer que é parte da sua rede.
Serviços conectados via Link Privado podem ser acessados apenas da sua VNet ou redes conectadas; não há acesso à internet pública ao serviço.
Ele permite uma conexão segura a serviços Azure ou seus próprios serviços hospedados no Azure, bem como uma conexão a serviços compartilhados por outros.
Ele fornece um controle de acesso mais granular através de um endpoint privado na sua VNet, em oposição a um controle de acesso mais amplo no nível da sub-rede com endpoints de serviço.
Em resumo, enquanto tanto os Endpoints de Serviço quanto os Links Privados fornecem conectividade segura a serviços Azure, os Links Privados oferecem um nível mais alto de isolamento e segurança, garantindo que os serviços sejam acessados de forma privada sem expô-los à internet pública. Os Endpoints de Serviço, por outro lado, são mais fáceis de configurar para casos gerais onde é necessário um acesso simples e seguro aos serviços Azure sem a necessidade de um IP privado na VNet.
Azure Front Door é um ponto de entrada escalável e seguro para entrega rápida de suas aplicações web globais. Ele combina vários serviços como balanceamento de carga global, aceleração de site, descarregamento de SSL e capacidades de Firewall de Aplicação Web (WAF) em um único serviço. O Azure Front Door fornece roteamento inteligente com base na localização de borda mais próxima do usuário, garantindo desempenho e confiabilidade ideais. Além disso, oferece roteamento baseado em URL, hospedagem em múltiplos sites, afinidade de sessão e segurança em nível de aplicação.
Azure Front Door WAF é projetado para proteger aplicações web contra ataques baseados na web sem modificação do código de back-end. Inclui regras personalizadas e conjuntos de regras gerenciadas para proteger contra ameaças como injeção SQL, script entre sites e outros ataques comuns.
Imagine que você tem uma aplicação distribuída globalmente com usuários em todo o mundo. Você pode usar o Azure Front Door para rotear solicitações de usuários para o data center regional mais próximo que hospeda sua aplicação, reduzindo assim a latência, melhorando a experiência do usuário e defendendo-a de ataques web com as capacidades do WAF. Se uma região específica sofrer uma interrupção, o Azure Front Door pode automaticamente redirecionar o tráfego para a próxima melhor localização, garantindo alta disponibilidade.
Azure Application Gateway é um balanceador de carga de tráfego web que permite gerenciar o tráfego para suas aplicações web. Ele oferece balanceamento de carga de Camada 7, terminação SSL e capacidades de firewall de aplicação web (WAF) no Controlador de Entrega de Aplicação (ADC) como um serviço. As principais características incluem roteamento baseado em URL, afinidade de sessão baseada em cookie e descarregamento de camada de soquete seguro (SSL), que são cruciais para aplicações que requerem capacidades complexas de balanceamento de carga, como roteamento global e roteamento baseado em caminho.
Considere um cenário onde você tem um site de e-commerce que inclui múltiplos subdomínios para diferentes funções, como contas de usuário e processamento de pagamentos. Azure Application Gateway pode rotear o tráfego para os servidores web apropriados com base no caminho da URL. Por exemplo, o tráfego para example.com/accounts poderia ser direcionado para o serviço de contas de usuário, e o tráfego para example.com/pay poderia ser direcionado para o serviço de processamento de pagamentos.
E proteger seu site contra ataques usando as capacidades do WAF.
VNet Peering é um recurso de rede no Azure que permite que diferentes Redes Virtuais (VNets) sejam conectadas diretamente e de forma contínua. Através do VNet peering, recursos em uma VNet podem se comunicar com recursos em outra VNet usando endereços IP privados, como se estivessem na mesma rede. O VNet Peering também pode ser usado com redes locais configurando uma VPN site-a-site ou Azure ExpressRoute.
Azure Hub e Spoke é uma topologia de rede usada no Azure para gerenciar e organizar o tráfego de rede. O "hub" é um ponto central que controla e roteia o tráfego entre diferentes "spokes". O hub normalmente contém serviços compartilhados, como appliances virtuais de rede (NVAs), Azure VPN Gateway, Azure Firewall ou Azure Bastion. Os "spokes" são VNets que hospedam cargas de trabalho e se conectam ao hub usando VNet peering, permitindo que aproveitem os serviços compartilhados dentro do hub. Este modelo promove um layout de rede limpo, reduzindo a complexidade ao centralizar serviços comuns que várias cargas de trabalho em diferentes VNets podem usar.
O emparelhamento de VNET não é transitivo no Azure, o que significa que se o spoke 1 estiver conectado ao spoke 2 e o spoke 2 estiver conectado ao spoke 3, então o spoke 1 não pode se comunicar diretamente com o spoke 3.
Imagine uma empresa com departamentos separados como Vendas, RH e Desenvolvimento, cada um com sua própria VNet (os spokes). Essas VNets precisam de acesso a recursos compartilhados como um banco de dados central, um firewall e um gateway de internet, que estão todos localizados em outra VNet (o hub). Usando o modelo Hub e Spoke, cada departamento pode conectar-se de forma segura aos recursos compartilhados através da VNet do hub sem expor esses recursos à internet pública ou criar uma estrutura de rede complexa com inúmeras conexões.
Uma VPN Site-a-Site no Azure permite que você conecte sua rede local à sua Rede Virtual (VNet) do Azure, permitindo que recursos como VMs dentro do Azure apareçam como se estivessem em sua rede local. Essa conexão é estabelecida através de um gateway VPN que criptografa o tráfego entre as duas redes.
Uma empresa com seu escritório principal localizado em Nova York possui um data center local que precisa se conectar de forma segura à sua VNet no Azure, que hospeda suas cargas de trabalho virtualizadas. Ao configurar uma VPN Site-a-Site, a empresa pode garantir conectividade criptografada entre os servidores locais e as VMs do Azure, permitindo que os recursos sejam acessados de forma segura em ambos os ambientes como se estivessem na mesma rede local.
Azure ExpressRoute é um serviço que fornece uma conexão privada, dedicada e de alta velocidade entre sua infraestrutura local e os data centers do Azure. Essa conexão é feita através de um provedor de conectividade, contornando a internet pública e oferecendo mais confiabilidade, velocidades mais rápidas, latências mais baixas e maior segurança do que as conexões típicas da internet.
Uma corporação multinacional requer uma conexão consistente e confiável aos seus serviços do Azure devido ao alto volume de dados e à necessidade de alta capacidade de transferência. A empresa opta pelo Azure ExpressRoute para conectar diretamente seu data center local ao Azure, facilitando transferências de dados em larga escala, como backups diários e análises de dados em tempo real, com maior privacidade e velocidade.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
