Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Load Balancer fornece recursos de balanceamento de carga de Camada 4 para distribuir o tráfego de entrada entre instâncias de back-end íntegras. Ao implantar esse serviço, é importante seguir as práticas recomendadas de segurança para proteger dados, configurações e infraestrutura.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Azure Load Balancer.
Segurança de rede
A segurança de rede é fundamental para o Azure Load Balancer, pois controla o fluxo de tráfego e o acesso aos recursos de back-end. O Load Balancer Standard segue uma abordagem segura por padrão com conexões de entrada fechadas.
Use o SKU do Standard Load Balancer: implante o Standard Load Balancer em vez do SKU Básico para segurança aprimorada com conexões de entrada fechadas por padrão e modelo de segurança de rede de confiança zero. Confira a visão geral do Azure Load Balancer.
Implementar grupos de segurança de rede em sub-redes: Aplique grupos de segurança de rede em sub-redes de backends e interfaces de rede para permitir explicitamente o tráfego desejado e restringir o acesso a portas de confiança e faixas de endereços IP confiáveis. Consulte a linha de base de segurança do Azure para o Azure Load Balancer.
Permitir tráfego de investigação de integridade do Azure Load Balancer: verifique se os grupos de segurança de rede e as políticas de firewall locais permitem o tráfego do endereço IP 168.63.129.16 para que as investigações de integridade possam alcançar instâncias de back-end. Consulte a sonda de integridade do Azure Load Balancer.
Use o balanceador de carga interno para cargas de trabalho privadas: implante o balanceador de carga interno com endereços IP de front-end privados para isolar recursos de back-end da exposição direta à Internet e permitir o tráfego somente de redes virtuais ou redes emparelhadas. Consulte a configuração de IP de front-end do Load Balancer interno.
Proteger balanceadores de carga públicos com a Proteção contra DDoS do Azure: Ative a Proteção contra DDoS do Azure Standard para balanceadores de carga públicos para fornecer proteção avançada com capacidades de detecção que monitoram endpoints quanto a ameaças e sinais de abuso. Consulte Proteger seu balanceador de carga público com a Proteção contra DDoS do Azure.
Gerenciamento de identidade e acesso
O controle de acesso do Azure Load Balancer concentra-se no gerenciamento de quem pode configurar e modificar recursos e configurações do balanceador de carga por meio do sistema de controle de acesso baseado em função do Azure.
Implementar o controle de acesso baseado em função do Azure: atribua funções apropriadas do Azure a usuários e grupos para gerenciamento de balanceador de carga, usando funções internas como Colaborador de Rede ou criando funções personalizadas com permissões específicas. Consulte funções do Azure, funções do Microsoft Entra e funções de administrador de assinatura clássicas.
Use acesso de privilégio mínimo: conceda aos usuários as permissões mínimas necessárias para executar suas tarefas, evitando funções administrativas amplas quando operações específicas do balanceador de carga forem suficientes. Veja o que é controle de acesso baseado em função (RBAC) do Azure.
Proteção de dados
O Azure Load Balancer opera na Camada 4 e não armazena dados do cliente, mas implementar medidas de proteção de dados adequadas para tráfego e configurações é essencial para uma segurança abrangente.
Implementar criptografia de ponta a ponta: configure a terminação TLS/SSL em instâncias de back-end em vez do balanceador de carga, pois o Load Balancer opera na Camada 4 e não fornece recursos de terminação SSL.
Use o Gateway de Aplicativo para cargas de trabalho HTTP/HTTPS: implante o Gateway de Aplicativo do Azure em vez do Load Balancer para aplicativos HTTP/HTTPS que exigem capacidades de terminação SSL/TLS e firewall de aplicativo Web. Consulte as práticas recomendadas de arquitetura para o Azure Load Balancer.
Log e monitoramento
Recursos abrangentes de monitoramento e registro em log ajudam a detectar ameaças à segurança, problemas de desempenho e fornecem visibilidade sobre operações de balanceador de carga e padrões de tráfego.
Habilitar configurações de diagnóstico: defina as configurações de diagnóstico para enviar métricas e logs do balanceador de carga para logs do Azure Monitor, conta de armazenamento ou Hub de Eventos para análise e alertas. Consulte Monitor Azure Load Balancer.
Use o Azure Monitor Insights: implante o Load Balancer Insights para acessar painéis pré-configurados, exibições de dependência funcional e visualização de métricas para monitoramento proativo. Consulte Usando Insights para monitorar e configurar o Azure Load Balancer.
Configurar monitoramento de investigação de integridade: implemente investigações de integridade abrangentes para monitorar a integridade de instâncias de back-end e configurar intervalos e limites apropriados para uma detecção precisa de integridade. Consulte Gerenciar investigações de integridade para o Azure Load Balancer.
Monitorar métricas de conexão: acompanhe as principais métricas, incluindo Disponibilidade do Caminho de Dados, Status da Investigação de Integridade e Contagem de SYN para identificar possíveis ameaças à segurança e problemas de desempenho. Consulte o diagnóstico do balanceador de carga Standard com métricas, alertas e saúde do recurso.
Habilitar logs de fluxo de VNet: configure logs de fluxo de rede virtual para analisar os padrões de tráfego que fluem pelo balanceador de carga e identificar possíveis ameaças à segurança ou comportamento anômalo. Consulte Monitoramento do Azure Load Balancer.
Configurar alertas de segurança: crie alertas do Azure Monitor para eventos relevantes à segurança, como investigações de integridade com falha, padrões de tráfego incomuns ou alterações de configuração. Consulte Monitoramento do Azure Load Balancer.
Conformidade e governança
Os controles de governança garantem a configuração de segurança consistente e a conformidade com políticas organizacionais e requisitos regulatórios em implantações de balanceador de carga.
Implementar controles do Azure Policy: implante definições do Azure Policy para auditar e impor configurações de segurança do balanceador de carga, incluindo requisitos de SKU e associações de grupo de segurança de rede. Consulte a linha de base de segurança do Azure para o Azure Load Balancer.
Use a marcação de recursos: aplique marcas consistentes aos recursos do balanceador de carga para controle, gerenciamento de custos e acompanhamento de conformidade de segurança. Consulte as práticas recomendadas de arquitetura para o Azure Load Balancer.
Segurança específica do serviço
O Azure Load Balancer tem considerações de segurança exclusivas relacionadas a algoritmos de distribuição de tráfego, persistência de sessão e integração com outros serviços de rede do Azure.
Configurar modo de distribuição apropriado: selecione o modo de distribuição ideal (5-tuplas, 2-tuplas ou hash de 3-tuplas) com base nos requisitos de segurança, considerando que a persistência de sessão pode criar uma distribuição de carga desigual. Consulte os modos de distribuição do Azure Load Balancer.
Habilite a redefinição de TCP para uma melhor segurança: configure a redefinição de TCP nas regras de balanceamento de carga para enviar pacotes de redefinição de TCP bidirecional no tempo limite ocioso, fornecendo informações mais claras de estado de conexão aos aplicativos. Consulte as práticas recomendadas do Azure Load Balancer.
Proteger configurações de IP flutuante: ao usar o IP flutuante para cenários de alta disponibilidade, verifique a configuração adequada das interfaces de loopback em sistemas operacionais convidados e implemente os controles de segurança apropriados. Consulte as práticas recomendadas do Azure Load Balancer.
Implementar segurança do Balanceador de carga do gateway: para soluções de virtualização de rede, separe o tráfego confiável e o não confiável em diferentes interfaces de túnel e aumente os limites de MTU para evitar quedas de pacotes de cabeçalhos VXLAN. Consulte as práticas recomendadas do Azure Load Balancer.
Integrar com o Firewall do Azure: rotear o tráfego por meio do Firewall do Azure ao usar balanceadores de carga internos para recursos adicionais de inspeção de segurança e proteção contra ameaças. Consulte as práticas recomendadas de arquitetura para o Azure Load Balancer.
Use o Gateway de NAT para conectividade de saída: implante o Gateway nat do Azure para endereços IP de saída previsíveis e segurança aprimorada em comparação com os mecanismos de IP de acesso de saída padrão. Confira o Tutorial: Proteger seu balanceador de carga público com a Proteção contra DDoS do Azure.