Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Balanceador de Carga do Azure fornece capacidades de balanceamento de carga de Camada 4 para distribuir tráfego de entrada e saída entre instâncias backend saudáveis. Como o Balanceador de Carga opera na camada de transporte, deve combiná-lo com controlos de rede, controlos de identidade, monitorização e encriptação ao nível da carga de trabalho para garantir a implementação completa.
Este artigo fornece recomendações de segurança para o Balanceador de Carga do Azure. A implementação destas recomendações ajuda-o a cumprir as suas obrigações de segurança e melhora a postura geral de segurança da sua implantação. Para uma visão geral dos serviços de segurança de rede da Azure e como funcionam em conjunto, veja O que é Azure segurança de rede?.
As recomendações de segurança neste artigo implementam os princípios do Confiança Zero: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". Para obter orientações abrangentes sobre Confiança Zero, consulte o Centro de Orientação Confiança Zero.
Importante
O Basic Balanceador de Carga foi retirado de serviço a 30 de setembro de 2025. Os Balanceadores de Carga Básicos existentes continuam operacionais, mas não são suportados nem estão cobertos pelas garantias de SLA. Atualize para o Balanceador de Carga Standard o mais rápido possível. Para mais informações, consulte Migrar do Balanceador de Carga Básico - Orientações.
Segurança de rede
A segurança de rede para o Balanceador de Carga do Azure foca-se em limitar a exposição de entrada, controlar a conectividade de saída, validar a saúde do backend e integrar-se com outros serviços de segurança de rede do Azure.
Utilizar Balanceador de Carga Standard SKU: Implementar o Balanceador de Carga Standard para cargas de trabalho de produção. O Balanceador de Carga Standard segue um modelo seguro por predefinição, com ligações de entrada bloqueadas, suporta zonas de disponibilidade e oferece um SLA de 99,99%. O Basic Balanceador de Carga foi retirado a 30 de setembro de 2025 e não deve ser usado para novas implementações. Para obter mais informações, consulte Visão geral do Balanceador de Carga do Azure.
Implementar grupos de segurança de rede em sub-redes e interfaces de rede: Aplicar grupos de segurança de rede (NSGs) a sub-redes de backend e interfaces de rede para permitir explicitamente apenas portas, protocolos e intervalos de IP de origem necessários. O Balanceador de Carga Standard não permite fluxos de entrada até que um NSG permita explicitamente o tráfego. Para mais informações, consulte Balanceador de Carga do Azure linha de base de segurança.
Permitir o tráfego da sonda de estado de funcionamento do Balanceador de Carga do Azure: Certifique-se de que os NSGs, as rotas definidas pelo utilizador e as políticas locais de firewall permitem o tráfego da sonda de estado de funcionamento proveniente do endereço IP 168.63.129.16. Sondas bloqueadas fazem com que instâncias backend saudáveis sejam removidas da rotação e podem criar falhas evitáveis. Para mais informações, consulte sondas de estado de funcionamento do Balanceador de Carga do Azure.
Use balanceador de carga interno para cargas de trabalho privadas: Implemente um balanceador de carga interno com endereços IP frontend privados quando o serviço não precisar de exposição direta à internet. Utilize emparelhamento de rede virtual, VPN, ExpressRoute, Azure Firewall ou padrões de acesso privado para controlar quem pode aceder ao front-end. Para mais informações, consulte componentes do Balanceador de Carga do Azure.
Proteja os balanceadores de carga públicos com Azure DDoS Protection: Ative Azure DDoS Network Protection na rede virtual que aloja os load balancers públicos. A Proteção DDoS oferece capacidades melhoradas de mitigação e deteção DDoS que monitorizam os endpoints para ameaças e sinais de abuso. Para mais informações, consulte Proteja o seu balanceador de carga público com Azure DDoS Protection.
Utilize conectividade de saída explícita: Não dependa do acesso de saída por defeito. O acesso de saída predefinido foi descontinuado em 30 de setembro de 2025, pelo que deve utilizar o Azure NAT Gateway para obter endereços IP de saída previsíveis, ou configurar regras de saída explícitas no Balanceador de Carga Standard quando o NAT Gateway não for adequado. Para mais informações, consulte Ligações de saída no Azure e Descrição geral do Azure NAT Gateway.
Configure o modo de distribuição adequado: Selecione o modo de distribuição que se adeque aos requisitos da sua aplicação e segurança. Use o hash padrão de 5 tuplas para a maioria das cargas de trabalho e use a persistência da sessão apenas quando a aplicação o exigir, pois a persistência pode criar distribuição desigual e reduzir a resiliência. Para mais informações, consulte Balanceador de Carga do Azure modos de distribuição.
Ativar o TCP reset para um tratamento mais claro das ligações: Configure o TCP reset nas regras de balanceamento de carga para que os clientes e as aplicações de backend recebam pacotes de TCP reset em ambas as direções quando o tempo limite de inatividade for atingido. O estado claro da ligação ajuda as aplicações a recuperarem mais rapidamente e reduz ligações ambíguas e meio abertas. Para mais informações, consulte melhores práticas do Balanceador de Carga do Azure.
Designs seguros de IP flutuante e Balanceador de Carga Gateway: Quando utiliza IP flutuante para cenários de alta disponibilidade, configure corretamente as interfaces de loopback e aplique os controlos do firewall do host. Para o Gateway Balanceador de Carga e dispositivos virtuais de rede, separe o tráfego confiável e o não confiável em diferentes interfaces de túnel e tenha em conta a sobrecarga do cabeçalho VXLAN. Para mais informações, consulte melhores práticas do Balanceador de Carga do Azure.
Integre serviços de inspeção quando necessário: O Balanceador de Carga do Azure é um serviço de camada 4 e não inspeciona os payloads das aplicações. Encaminhe o tráfego através do Azure Firewall, appliances virtuais de rede, Application Gateway ou Azure Front Door quando precisar de firewall, firewall de aplicações web ou inspeção da Camada 7. Para mais informações, consulte Práticas de Arquitetura para Balanceador de Carga do Azure.
Gestão de identidades e acessos
A gestão de identidades e acessos do Balanceador de Carga do Azure controla quem pode criar, atualizar, eliminar e rever recursos do balanceador de carga, regras, sondas, IPs de front-end, conjuntos de back-end e conectividade de saída.
Use Microsoft Entra ID para acesso ao plano de gestão: Exigir que os administradores se autentiquem com Microsoft Entra ID ao utilizar o portal Azure, CLI do Azure, Azure PowerShell ou Azure Resource Manager APIs. Aplique controlos de Acesso Condicional, como autenticação multifator, requisitos de dispositivos conformes e políticas de risco de início de sessão para funções de rede privilegiada. Para mais informações, consulte Acesso Condicional do Microsoft Entra.
Implementar o controlo de acesso baseado em funções do Azure: Atribuir funções RBAC do Azure a utilizadores, grupos, identidades geridas e contas de automatização que gerem balanceadores de carga. Use funções incorporadas, como Contribuidor de Redes, apenas quando o âmbito completo da gestão de rede for necessário. Para mais informações, consulte O que é Azure controlo de acesso baseado em funções?.
Use o acesso com privilégios mínimos: Evite atribuições amplas de Proprietário ou Contribuidor para operações rotineiras de balanceador de carga. Crie funções personalizadas quando os operadores necessitarem apenas de permissões específicas para operações de leitura, escrita, regras, sondas ou conjunto de back-end do balanceador de carga. Para obter mais informações, consulte Funções personalizadas do Azure.
Utilize o Privileged Identity Management para acesso com privilégios elevados: Configure as funções de alto impacto como elegíveis, em vez de serem atribuídas permanentemente, através do Microsoft Entra Privileged Identity Management (PIM). Exigir aprovação, autenticação multifator, justificação e ativação temporária para funções que possam alterar os balanceadores de carga de produção. Para obter mais informações, consulte O que é o Microsoft Entra Privileged Identity Management?.
Separação de responsabilidades entre as equipas de rede e de cargas de trabalho: Limite quem pode alterar regras de balanceamento de carga, regras de NAT de entrada, regras de saída, pertença ao conjunto de back-end e definições da sonda. A separação de funções reduz o risco de que uma única identidade comprometida possa tanto expor um serviço como alterar a carga de trabalho por trás dele. Para obter mais informações, consulte Práticas recomendadas do RBAC do Azure.
Alterações ao plano de gestão: Monitorizar os eventos do Registo de Atividade Azure para alterações de configuração do balanceador de carga, atribuição de funções e alterações nas definições de diagnóstico. Alerte sobre atualizações inesperadas nas configurações de IPs frontend, mapeamentos de regras, regras de saída ou adesão ao backend pool. Para mais informações, consulte Monitor Balanceador de Carga do Azure.
Proteção de dados
A proteção de dados para Balanceador de Carga do Azure foca-se em proteger o tráfego tratado pelas cargas de trabalho backend e proteger a configuração e a telemetria, porque o Balanceador de Carga não armazena dados das aplicações do cliente.
Cifre o tráfego da aplicação de ponta a ponta: o Balanceador de Carga do Azure funciona na Camada 4 e não termina TLS nem inspeciona cargas úteis. Configure o TLS na aplicação backend ou num serviço de Camada 7 à frente do backend para que o tráfego permaneça encriptado onde necessário. Para mais informações, consulte Práticas de Arquitetura para Balanceador de Carga do Azure.
Use o serviço certo para terminação TLS: Se a sua carga de trabalho HTTP ou HTTPS exigir terminação TLS, gestão de certificados, encaminhamento de URLs ou inspeção de firewall de aplicações web, use Gateway de Aplicação do Azure ou Azure Front Door em vez de depender de Balanceador de Carga para essas funções. Para obter mais informações, consulte Visão geral do Balanceador de Carga do Azure.
Proteger segredos e certificados backend: Armazene certificados TLS, chaves privadas e segredos de aplicação usados pelas instâncias backend em Azure Key Vault. Use identidades geridas para cargas de trabalho backend em vez de incorporar segredos em scripts, templates ou extensões de VM. Para mais informações, consulte a visão geral do Azure Key Vault.
Destinos seguros de dados de diagnóstico: Métricas de balanceador de carga, registos de fluxo e diagnósticos arquivados podem incluir endereços IP, portas e detalhes de topologia. Restringa o acesso a espaços de trabalho da Log Analytics, contas de armazenamento e Centros de Eventos que recebam diagnósticos, e utilize chaves geridas pelo cliente para contas de armazenamento quando os seus requisitos de conformidade o exigirem. Para obter mais informações, consulte Criptografia do Armazenamento do Azure.
Evite expor topologias sensíveis em nomes e etiquetas: Não inclua segredos, nomes internos de projetos ou detalhes sensíveis da rede em nomes de balanceadores de carga, nomes de regras, etiquetas DNS de IP públicas ou etiquetas de recursos. Estes valores podem aparecer em registos, exportações, alertas e análises de acesso. Para obter mais informações, consulte Regras e restrições de nomenclatura para recursos do Azure.
Registo e monitorização
O registo e monitorização do Balanceador de Carga do Azure proporciona visibilidade sobre a disponibilidade, sondagens de saúde, padrões de tráfego e alterações de configuração, permitindo que as equipas detetem rapidamente problemas de segurança e fiabilidade.
Ativar as definições de diagnóstico: Configurar as definições de diagnóstico para enviar métricas do balanceador de carga e registos suportados para um espaço de trabalho Log Analytics, conta de armazenamento ou Centros de Eventos para análise e retenção. Para mais informações, consulte Monitor Balanceador de Carga do Azure.
Use Azure Monitor Insights: Implemente o Balanceador de Carga Insights para visualizar painéis pré-configurados, diagramas de dependências funcionais, saúde dos recursos e métricas para monitorização proativa. Para mais informações, consulte Use Insights para monitorizar e configurar Balanceador de Carga do Azure.
Configure monitorização de sondas de saúde: Implemente sondas de saúde que representem com precisão a prontidão da aplicação, não apenas a disponibilidade do host. Monitorize o estado da sonda para que falhas no backend, bloqueios de firewall e falhas de aplicações sejam detetados antes de os utilizadores serem afetados. Para mais informações, consulte Gerenciar sondas de saúde para Balanceador de Carga do Azure.
Monitorizar métricas de ligação e disponibilidade: Acompanhar métricas como Disponibilidade de Caminhos de Dados, Estado da Sonda de Saúde, Contagem SYN, Contagem de Ligação SNAT e Portas SNAT Atribuídas. Use alertas para identificar backends falhados, picos anómalos de ligação ou esgotamento das portas de saída. Para mais informações, consulte Diagnósticos do Balanceador de Carga Standard com métricas, alertas e estado de funcionamento dos recursos.
Ative registos de fluxo de rede virtual: Configure registos de fluxo de rede virtual para analisar padrões de tráfego em sub-redes de backend e identificar fluxos suspeitos ou inesperados. Encaminhe os registos para o seu sistema de gestão de informação e eventos de segurança (SIEM) para correlação com a carga de trabalho e os eventos de identidade. Para mais informações, consulte Monitor Balanceador de Carga do Azure.
Configure alertas de segurança e operações: Crie alertas Azure Monitor para sondas de saúde falhadas, baixa disponibilidade de caminhos de dados, aumentos invulgares de tráfego, indicadores de exaustão de SNAT e alterações inesperadas no Registo de Atividade. Inclua links do runbook e informação sobre o proprietário nas ações de alerta. Para mais informações, consulte Monitor Balanceador de Carga do Azure.
Conformidade e governança
A conformidade e a governação do Balanceador de Carga do Azure ajudam a garantir configurações consistentes, suportáveis e auditáveis em subscrições, regiões e ambientes.
Implementar controlos do Azure Policy: Utilize o Azure Policy para auditar e impor requisitos do balanceador de carga, como a utilização do SKU Standard, definições de diagnóstico, atribuição de etiquetas e associações de NSG em sub-redes de back-end. Para mais informações, consulte Balanceador de Carga do Azure linha de base de segurança.
Padronize a implementação com infraestrutura como código: Implemente balanceadores de carga, IPs públicos, regras, sondas, conjuntos de back-end e configurações de saída com modelos ARM, Bicep ou outros pipelines de infraestrutura como código aprovados. Modelos controlados por versões reduzem a deriva e fornecem evidências para revisões de conformidade. Para mais informações, consulte Crie um balanceador de carga público usando Bicep e Crie um balanceador de carga público usando um modelo ARM.
Use etiquetagem de recursos: Aplique etiquetas consistentes para o proprietário da carga de trabalho, classificação de dados, ambiente, criticidade de negócio e nível de recuperação de desastres. As etiquetas suportam a gestão de custos, o acompanhamento de conformidade, o encaminhamento de incidentes e as revisões de propriedade. Para mais informações, consulte guia de decisões sobre nomenclatura e etiquetagem de recursos do Azure.
Revise configurações não suportadas e legadas: Inventory Basic Load Balancers, dependências implícitas de saída, IPs públicos não geridos e diagnósticos em falta. Priorize a migração para Balanceador de Carga Standard, NAT Gateway ou regras explícitas de saída, e configurações monitorizadas. Para mais informações, consulte Atualização do Balanceador de Carga Básico para o Standard.
Controle as alterações através de fluxos de trabalho aprovados: Exija a revisão das alterações para IPs de front-end, regras de entrada, regras NAT, regras de saída, associação ao conjunto de back-end, caminhos das sondas e definições de tempo limite de inatividade. Use o Registo de Atividades do Azure e o histórico de implementação para validar que as alterações vieram de identidades aprovadas e pipelines. Para mais informações, consulte Azure Resource Manager histórico de implementação.
Backup e recuperação
O backup e recuperação do Balanceador de Carga do Azure foca-se em preservar a configuração, documentar dependências e desenhar topologias resilientes que mantenham o tráfego a circular durante falhas de instância, zona ou região.
Exportar e versionar a configuração do balanceador de carga: Exportar a configuração do Balanceador de Carga Standard como um modelo ARM ou ficheiro Bicep e armazená-la no controlo de código-fonte. Captura configurações de IP frontend, recursos públicos de IP, pools backend, regras de balanceamento de carga, regras NAT de entrada, regras de saída, sondas de saúde e dependências para que possas restaurar ou recriar a implementação rapidamente. Para mais informações, consulte Exportar templates no portal Azure e Exportar templates com CLI do Azure.
Documente a topologia antes das alterações: Registe os endereços IP do frontend, os nomes DNS, os membros do conjunto de back-end, os mapeamentos entre regras e sondas, os mapeamentos NAT, a conceção da conectividade de saída, as dependências dos NSG, as tabelas de rotas e as equipas responsáveis antes das alterações planeadas. A documentação atual reduz o tempo de recuperação quando é necessária uma reversão ou a reconstrução de uma região. Para mais informações, consulte componentes do Balanceador de Carga do Azure.
Utilize um balanceador de carga entre regiões para failover multi-região: Implemente um balanceador de carga entre regiões, também conhecido como balanceador de carga global, quando precisar de um frontend global único que distribua o tráfego entre balanceadores de carga regionais. Combine-o com monitorização regional de saúde e procedimentos de failover testados. Para mais informações, consulte Balanceador de carga entre regiões e Implantar um balanceador de carga entre regiões usando um modelo ARM.
Utilize frontends com redundância entre zonas para resiliência das zonas de disponibilidade: Utilize o Balanceador de Carga Standard com configurações de IP de frontend com redundância entre zonas, onde houver suporte para zonas de disponibilidade. O SKU padrão inclui suporte integrado para redundância entre zonas, e um front-end com redundância entre zonas ajuda a manter o caminho de dados disponível se uma zona falhar. Para mais informações, consulte as melhores práticas do Balanceador de Carga do Azure.
Distribuir conjuntos de back-end por várias zonas: Coloque instâncias de back-end em várias zonas de disponibilidade, utilizando Conjuntos de Dimensionamento de Máquinas Virtuais ou máquinas virtuais zonais. Os conjuntos de servidores de back-end com redundância entre zonas reduzem a probabilidade de que a falha de uma única zona retire de rotação todas as instâncias em bom estado. Para mais informações, consulte Migrar o Balanceador de Carga para o suporte de zonas de disponibilidade.
Configurar sondas de saúde para failover automático dentro da região: As sondas de saúde determinam quais as instâncias backend que recebem tráfego. Configure sondas para pontos finais prontos para a aplicação, escolha intervalos e limiares adequados e teste o comportamento das sondas durante a manutenção para que o tráfego seja automaticamente encaminhado para instâncias em bom estado na região. Para mais informações, consulte Gerenciar sondas de saúde para Balanceador de Carga do Azure.
Teste o failover regularmente: Teste cenários de failover de instância, de zona e regionais de acordo com um calendário definido. Valide que as sondas removem instâncias em mau estado, que o balanceador de carga entre regiões ou o encaminhamento por DNS encaminham o tráfego para a região secundária, que a conectividade de saída continua a funcionar e que os alertas de monitorização chegam às equipas de resposta adequadas. Para mais informações, consulte as melhores práticas do Balanceador de Carga do Azure.