Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Load Balancer fornece recursos de balanceamento de carga de camada 4 para distribuir o tráfego de entrada e de saída entre instâncias de back-end íntegras. Como Load Balancer opera na camada de transporte, você deve combiná-la com controles de rede, controles de identidade, monitoramento e criptografia no nível da carga de trabalho para proteger a implantação completa.
Este artigo fornece recomendações de segurança para Azure Load Balancer. Implementar essas recomendações ajuda você a cumprir suas obrigações de segurança e aprimora a postura geral de segurança da implantação. Para obter uma visão geral dos serviços de segurança de rede do Azure e como eles funcionam juntos, consulte O que é Azure segurança de rede?.
As recomendações de segurança neste artigo implementam os princípios de Confiança Zero: "Verificar explicitamente", "Usar acesso de privilégio mínimo" e "Presumir violação". Para obter diretrizes abrangentes sobre Confiança Zero, consulte o Centro de Diretrizes de Confiança Zero.
Importante
O balanceador de carga básico foi desativado em 30 de setembro de 2025. Os Load Balancers Básicos Existentes permanecem operacionais, mas não têm suporte e não são cobertos por garantias de SLA. Atualize para Standard Load Balancer o mais rápido possível. Para obter mais informações, consulte Atualização do Basic Load Balancer – Orientações.
Segurança de rede
A segurança de rede para Azure Load Balancer se concentra em limitar a exposição de entrada, controlar a conectividade de saída, validar a integridade do back-end e integrar-se a outros serviços de segurança de rede Azure.
Usar SKU do Standard Load Balancer: implante o Standard Load Balancer para cargas de trabalho de produção. Standard Load Balancer segue um modelo seguro por padrão com conexões de entrada fechadas, dá suporte a zonas de disponibilidade e fornece um SLA de 99,99%. O Load Balancer básico foi desativado em 30 de setembro de 2025 e não deve ser usado para novas implantações. Para obter mais informações, veja Visão geral do Azure Load Balancer.
Implementar grupos de segurança de rede em sub-redes e interfaces de rede: Aplique grupos de segurança de rede (NSGs) a sub-redes de back-end e interfaces de rede para permitir explicitamente apenas as portas, os protocolos e os intervalos de endereços IP de origem necessários. Standard Load Balancer não permite fluxos de entrada até que um NSG permita explicitamente o tráfego. Para obter mais informações, consulte Azure Load Balancer linha de base de segurança.
Permitir o tráfego da investigação de integridade do Azure Load Balancer: garanta que os NSGs, as rotas definidas pelo usuário e as políticas de firewall locais permitam o tráfego da investigação de integridade do endereço IP 168.63.129.16. Investigações bloqueadas fazem com que instâncias de back-end íntegras sejam retiradas de rotação e podem causar indisponibilidades evitáveis. Para obter mais informações, consulte sondas de integridade do Azure Load Balancer.
Use o balanceador de carga interno para cargas de trabalho privadas: implante um balanceador de carga interno com endereços IP de front-end privados quando o serviço não precisar de exposição direta à Internet. Use padrões de emparelhamento de rede virtual, VPN, ExpressRoute, Firewall do Azure ou acesso privado para controlar quem pode acessar o front-end. Para obter mais informações, consulte Azure Load Balancer componentes.
Proteger balanceadores de carga públicos com Azure Proteção contra DDoS: habilite Azure Proteção de Rede DDoS na rede virtual que hospeda balanceadores de carga públicos. A Proteção contra DDoS fornece recursos aprimorados de mitigação e detecção de DDoS que monitoram pontos de extremidade para ameaças e sinais de abuso. Para obter mais informações, consulte Proteça o balanceador de carga público com Azure Proteção contra DDoS.
Use conectividade de saída explícita: não dependa do acesso de saída padrão. O acesso de saída padrão foi descontinuado em 30 de setembro de 2025, portanto use o Gateway da NAT do Azure para ter endereços IP de saída previsíveis ou configure regras de saída explícitas do Standard Load Balancer quando o Gateway da NAT do Azure não for apropriado. Para obter mais informações, consulte As conexões de saída em Azure e Gateway da NAT do Azure visão geral.
Configurar o modo de distribuição apropriado: selecione o modo de distribuição que atenda aos requisitos de segurança e aplicativo. Use o hash de 5 tuplas padrão para a maioria das cargas de trabalho e use a persistência de sessão somente quando o aplicativo exigir, pois a persistência pode criar distribuição desigual e reduzir a resiliência. Para obter mais informações, consulte Azure Load Balancer modos de distribuição.
Habilitar o reset de TCP para um gerenciamento de conexões mais claro: configure o reset de TCP nas regras de balanceamento de carga para que clientes e aplicativos de back-end recebam pacotes bidirecionais de reset de TCP quando o tempo limite de inatividade for atingido. Um estado de conexão bem definido ajuda os aplicativos a se recuperem mais rapidamente e reduz conexões semiabertas ambíguas. Para obter mais informações, consulte Azure Load Balancer práticas recomendadas.
Proteja arquiteturas de IP flutuante e de Gateway Load Balancer: Quando você usa IP flutuante em cenários de alta disponibilidade, configure corretamente as interfaces de loopback e aplique controles de firewall no host. Para o Balanceador de carga do gateway e soluções de virtualização de rede, separe o tráfego confiável e o não confiável em diferentes interfaces de túnel e considere a sobrecarga do cabeçalho VXLAN. Para obter mais informações, consulte Azure Load Balancer práticas recomendadas.
Integre serviços de inspeção quando necessário: o Azure Load Balancer é um serviço de camada 4 e não inspeciona as cargas úteis da aplicação. Encaminhe o tráfego pelo Firewall do Azure, por dispositivos virtuais de rede, pelo Application Gateway ou pelo Azure Front Door quando precisar de recursos de firewall, firewall de aplicativos web ou inspeção de Camada 7. Para obter mais informações, consulte as melhores práticas de arquitetura para o Azure Load Balancer.
Gerenciamento de identidade e acesso
O gerenciamento de identidades e acesso do Azure Load Balancer controla quem pode criar, atualizar, excluir e revisar recursos, regras, investigações, IPs de front-end, pools de back-end e conectividade de saída do balanceador de carga.
Use o Microsoft Entra ID para acesso ao plano de gerenciamento: Exigir que os administradores se autentiquem com o Microsoft Entra ID ao usar o portal do Azure, a CLI do Azure, o Azure PowerShell ou as APIs do Azure Resource Manager. Aplique controles de Acesso Condicional, como autenticação multifator, requisitos de dispositivo em conformidade e políticas de risco de entrada para funções de rede privilegiadas. Para obter mais informações, veja Microsoft Entra Acesso Condicional.
Implementar o controle de acesso baseado em função do Azure: Atribuir funções do RBAC do Azure a usuários, grupos, identidades gerenciadas e contas de automação que gerenciam balanceadores de carga. Use funções internas, como Colaborador de Rede, somente em que o escopo completo de gerenciamento de rede é necessário. Para obter mais informações, consulte O que é Azure controle de acesso baseado em função?.
Use o princípio do menor privilégio: evite atribuições amplas de Proprietário ou Colaborador para operações rotineiras do balanceador de carga. Crie funções personalizadas quando os operadores precisarem apenas de permissões específicas para operações de leitura, gravação, regras, investigação ou pool de back-end do balanceador de carga. Para obter mais informações, confira Funções personalizadas do Azure.
Use o Privileged Identity Management para acesso privilegiado: torne as funções de alto impacto elegíveis em vez de atribuídas de forma permanente usando o Microsoft Entra Privileged Identity Management (PIM). Exigir aprovação, autenticação multifator, justificativa e ativação de limite de tempo para funções que podem alterar balanceadores de carga de produção. Para obter mais informações, consulte o que é o Microsoft Entra Privileged Identity Management?.
Separar tarefas para equipes de rede e carga de trabalho: limite quem pode alterar regras de balanceamento de carga, regras NAT de entrada, regras de saída, associação do pool de back-end e configurações de investigação. A separação de tarefas reduz o risco de que uma única identidade comprometida possa expor um serviço e alterar a carga de trabalho por trás dela. Para obter mais informações, consulte as práticas recomendadas do RBAC do Azure.
Auditar alterações no plano de gerenciamento: Monitore os eventos do Log de Atividades do Azure para alterações na configuração do balanceador de carga, atribuições de função e alterações nas configurações de diagnóstico. Alerte sobre atualizações inesperadas em configurações de IP de front-end, mapeamentos de regras, regras de saída ou associação do pool de back-end. Para obter mais informações, consulte Monitor Azure Load Balancer.
Proteção de dados
A proteção de dados para Azure Load Balancer concentra-se na proteção do tráfego manipulado por cargas de trabalho de back-end e na proteção da configuração e da telemetria porque Load Balancer não armazena dados de aplicativo do cliente.
Criptografe o tráfego do aplicativo de ponta a ponta: o Azure Load Balancer opera na Camada 4 e não encerra conexões TLS nem inspeciona cargas úteis. Configure o TLS no aplicativo de back-end ou em um serviço de Camada 7 na frente do back-end para que o tráfego permaneça criptografado quando necessário. Para obter mais informações, consulte as melhores práticas de arquitetura para o Azure Load Balancer.
Utilize o serviço correto para terminação TLS: se sua carga de trabalho HTTP ou HTTPS exigir encerramento de TLS, gerenciamento de certificados, roteamento de URL ou inspeção de firewall de aplicativo Web, use Gateway de Aplicativo do Azure ou Azure Front Door em vez de depender de Load Balancer para essas funções. Para obter mais informações, veja Visão geral do Azure Load Balancer.
Proteger segredos e certificados de back-end: armazene certificados TLS, chaves privadas e segredos do aplicativo usados por instâncias de back-end em Azure Key Vault. Use identidades gerenciadas para cargas de trabalho de back-end em vez de inserir segredos em scripts, modelos ou extensões de VM. Para obter mais informações, consulte a visão geral do Azure Key Vault.
Destinos de dados de diagnóstico seguros: métricas do balanceador de carga, logs de fluxo e diagnóstico arquivado podem incluir endereços IP, portas e detalhes de topologia. Restrinja o acesso aos espaços de trabalho do Log Analytics, às contas de armazenamento e aos Event Hubs que recebem dados de diagnóstico, e use chaves gerenciadas pelo cliente para as contas de armazenamento quando seus requisitos de conformidade exigirem isso. Para obter mais informações, consulte Criptografia do Armazenamento do Azure.
Evite expor topologias confidenciais em nomes e marcas: não inclua segredos, nomes de projeto internos ou detalhes confidenciais da rede em nomes de balanceador de carga, nomes de regra, rótulos DNS ip públicos ou marcas de recurso. Esses valores podem aparecer em logs, exportações, alertas e revisões de acesso. Para obter mais informações, consulte regras de nomenclatura e restrições para recursos do Azure.
Log e monitoramento
O registro em log e o monitoramento do Azure Load Balancer oferecem visibilidade da disponibilidade, das sondas de integridade, dos padrões de tráfego e das alterações de configuração, para que as equipes possam detectar rapidamente problemas de segurança e confiabilidade.
Habilitar configurações de diagnóstico: defina configurações de diagnóstico para enviar métricas do balanceador de carga e logs compatíveis para um workspace do Log Analytics, uma conta de armazenamento ou Event Hubs para análise e retenção. Para obter mais informações, consulte Monitor Azure Load Balancer.
Use Azure Monitor Insights: implante Load Balancer Insights para exibir painéis pré-configurados, diagramas de dependência funcional, integridade de recursos e métricas para monitoramento proativo. Para obter mais informações, consulte Use Insights para monitorar e configurar Azure Load Balancer.
Configurar o monitoramento das sondas de integridade: implemente sondas de integridade que representem com precisão a prontidão do aplicativo, e não apenas a disponibilidade do host. Monitore o status da investigação para que falhas de back-end, blocos de firewall e interrupções de aplicativo sejam detectados antes que os usuários sejam afetados. Para obter mais informações, consulte Gerenciar sondas de integridade do Azure Load Balancer.
Monitore métricas de conexão e disponibilidade: acompanhe métricas como disponibilidade do caminho de dados, status da sonda de integridade, contagem de SYN, contagem de conexões SNAT e portas SNAT alocadas. Use alertas para identificar back-ends com falha, picos de conexão anômalos ou esgotamento de portas de saída. Para obter mais informações, consulte diagnósticos do Standard Load Balancer com métricas, alertas e integridade dos recursos.
Habilitar logs de fluxo de rede virtual: configure logs de fluxo de rede virtual para analisar padrões de tráfego em sub-redes de back-end e identificar fluxos suspeitos ou inesperados. Encaminhe logs para o sistema SIEM (gerenciamento de eventos e informações de segurança) para correlação com eventos de carga de trabalho e identidade. Para obter mais informações, consulte Monitor Azure Load Balancer.
Configurar alertas de segurança e operações: crie alertas do Azure Monitor para investigações de integridade com falha, baixa disponibilidade do caminho de dados, aumentos incomuns de tráfego, indicadores de esgotamento de SNAT e alterações inesperadas no Log de Atividades. Inclua links de runbook e informações do proprietário em ações de alerta. Para obter mais informações, consulte Monitor Azure Load Balancer.
Conformidade e governança
A conformidade e a governança para Azure Load Balancer ajudam a garantir configurações consistentes, compatíveis e auditáveis entre assinaturas, regiões e ambientes.
Implementar controles do Azure Policy: use o Azure Policy para auditar e aplicar requisitos do balanceador de carga, como o uso da SKU Standard, configurações de diagnóstico, marcação e associações de NSG em sub-redes de back-end. Para obter mais informações, consulte Azure Load Balancer linha de base de segurança.
Padronizar a implantação com infraestrutura como código: implante balanceadores de carga, IPs públicos, regras, investigações, pools de back-end e configurações de saída com modelos do ARM, Bicep ou outros pipelines aprovados de infraestrutura como código. Modelos controlados por versão reduzem o descompasso e fornecem evidências para revisões de conformidade. Para obter mais informações, consulte Criar um balanceador de carga público usando Bicep e Criar um balanceador de carga público usando um modelo ARM.
Usar marcação de recursos: aplique marcas consistentes para o proprietário da carga de trabalho, a classificação de dados, o ambiente, a criticidade dos negócios e a camada de recuperação de desastres. Tags oferecem suporte ao gerenciamento de custos, ao monitoramento de conformidade, ao roteamento de incidentes e às revisões de responsabilidade. Para obter mais informações, consulte Azure guia de decisão de nomenclatura e marcação de recursos.
Examine configurações sem suporte e herdadas: Inventário de Balanceadores de Carga Básicos, dependências de saída implícitas, IPs públicos não gerenciados e diagnósticos ausentes. Priorize a migração para Standard Load Balancer, Gateway nat ou regras de saída explícitas e configurações monitoradas. Para obter mais informações, consulte Fazer upgrade de Basic para Standard Load Balancer.
Controle as alterações por meio de fluxos de trabalho aprovados: Exija revisão de alterações para IPs de frontend, regras de entrada, regras NAT, regras de saída, associação ao pool de backend, caminhos de sondagem e configurações de tempo limite de inatividade. Use o Log de Atividades do Azure e o histórico de implantação para validar se as alterações vieram de identidades e pipelines aprovados. Para obter mais informações, consulte Azure Resource Manager histórico de implantação.
Backup e recuperação
O backup e a recuperação de Azure Load Balancer se concentram em preservar a configuração, documentar dependências e projetar topologias resilientes que mantêm o tráfego fluindo durante falhas regionais, de zona ou de instância.
Exporte e versione a configuração do balanceador de carga: exporte a configuração do Standard Load Balancer como um modelo do ARM ou um arquivo Bicep e armazene-a no controle de versão. Capture configurações de IP de front-end, recursos de IP público, pools de back-end, regras de balanceamento de carga, regras NAT de entrada, regras de saída, investigações de integridade e dependências, para que você possa restaurar ou recriar a implantação rapidamente. Para obter mais informações, consulte modelos Export no portal Azure e modelos Export com CLI do Azure.
Documentar a topologia antes das alterações: registre endereços IP de front-end, nomes de DNS, membros do pool de back-end, mapeamentos rule-to-probe, mapeamentos NAT, arquitetura da conectividade de saída, dependências de NSG, tabelas de rotas e equipes responsáveis antes das alterações planejadas. A documentação atual reduz o tempo de recuperação quando é necessário fazer um rollback ou uma reconstrução regional. Para obter mais informações, consulte Azure Load Balancer componentes.
Use um balanceador de carga entre regiões para failover multirregional: Implante um Balanceador de Carga entre regiões, também conhecido como Balanceador de Carga Global, quando precisar de um único frontend global que distribua o tráfego entre balanceadores de carga regionais. Combine isso com o monitoramento de integridade regional e os procedimentos de failover testados. Para obter mais informações, consulte Balanceador de carga entre regiões e implante um balanceador de carga entre regiões usando um modelo do ARM.
Usar front-ends com redundância de zona para resiliência de zonas de disponibilidade: use o Standard Load Balancer com configurações de IP front-end com redundância de zona onde houver suporte para zonas de disponibilidade. O SKU Standard inclui suporte integrado para redundância entre zonas, e um frontend com redundância entre zonas ajuda a manter o caminho de dados disponível se uma zona falhar. Para obter mais informações, consulte Azure Load Balancer práticas recomendadas.
Distribua conjuntos de back-end entre zonas: coloque instâncias de back-end em várias zonas de disponibilidade usando as Conjuntos de Dimensionamento de Máquinas Virtuais ou máquinas virtuais zonais. Os pools de back-end com redundância de zona reduzem a chance de uma falha de zona única remover todas as instâncias íntegras da rotação. Para obter mais informações, consulte Migrar o Load Balancer para oferecer suporte a zonas de disponibilidade.
Configurar investigações de integridade para failover automático na mesma região: as investigações de integridade determinam quais instâncias de back-end recebem tráfego. Configure investigações em pontos de extremidade prontos para aplicativos, escolha intervalos e limites apropriados e teste o comportamento das investigações durante a manutenção para que o tráfego seja automaticamente redirecionado para instâncias íntegras na região. Para obter mais informações, consulte Gerenciar sondas de integridade do Azure Load Balancer.
Testar o failover regularmente: pratique cenários de failover de instância, de zona e regional em um cronograma definido. Valide se as sondas removem instâncias não saudáveis, se o balanceador de carga entre regiões ou o roteamento por DNS encaminham o tráfego para a região secundária, se a conectividade de saída ainda funciona e se os alertas de monitoramento chegam aos responsáveis corretos. Para obter mais informações, consulte Azure Load Balancer práticas recomendadas.