Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Load Balancer fornece capacidades de balanceamento de carga na Camada 4 para distribuir o tráfego de entrada entre instâncias de back-end saudáveis. Ao implantar esse serviço, é importante seguir as práticas recomendadas de segurança para proteger dados, configurações e infraestrutura.
Este artigo fornece orientação sobre como proteger melhor sua implantação do Azure Load Balancer.
Segurança de rede
A segurança de rede é fundamental para o Azure Load Balancer, pois controla o fluxo de tráfego e o acesso aos recursos de back-end. O Standard Load Balancer segue uma abordagem segura por padrão com conexões de entrada fechadas.
Use o SKU do Balanceador de Carga Padrão: implante o Balanceador de Carga Padrão em vez do SKU Básico para maior segurança com conexões de entrada fechadas por padrão e modelo de segurança de rede zero trust. Consulte Visão geral do Azure Load Balancer.
Implementar grupos de segurança de rede em sub-redes: aplique grupos de segurança de rede a sub-redes de back-end e interfaces de rede para permitir explicitamente o tráfego permitido e restringir o acesso a portas confiáveis e intervalos de endereços IP. Consulte Linha de base de segurança do Azure para o Azure Load Balancer.
Permitir o tráfego das sondas de integridade do Azure Load Balancer: certifique-se de que os grupos de segurança de rede e as políticas de firewall local permitam o tráfego do endereço IP 168.63.129.16 para que as sondas de integridade possam alcançar as instâncias de back-end. Consulte Teste de integridade do Balanceador de Carga do Azure.
Use o balanceador de carga interno para cargas de trabalho privadas: implante o balanceador de carga interno com endereços IP de front-end privados para isolar os recursos de back-end da exposição direta à Internet e permitir o tráfego somente de redes virtuais ou redes emparelhadas. Consulte Configuração de IP Frontend do Balanceador de Carga Interno.
Proteja balanceadores de carga públicos com a Proteção contra DDoS do Azure: habilite o Padrão de Proteção contra DDoS do Azure para balanceadores de carga públicos para fornecer proteção avançada com recursos de deteção que monitoram pontos de extremidade em busca de ameaças e sinais de abuso. Consulte Proteger o seu balanceador de carga público com a Proteção contra DDoS do Azure.
Gestão de identidades e acessos
O controle de acesso para o Balanceador de Carga do Azure se concentra no gerenciamento de quem pode configurar e modificar recursos e configurações do balanceador de carga por meio do sistema de controle de acesso baseado em função do Azure.
Implementar o controle de acesso baseado em função do Azure: atribua funções apropriadas do Azure a usuários e grupos para gerenciamento de balanceador de carga, usando funções internas como Colaborador de Rede ou criando funções personalizadas com permissões específicas. Consulte Funções do Azure, funções do Microsoft Entra e funções clássicas de administrador de assinatura.
Usar acesso com privilégios mínimos: conceda aos usuários as permissões mínimas necessárias para executar suas tarefas, evitando funções administrativas amplas quando operações específicas do balanceador de carga forem suficientes. Consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC).
Proteção de dados
O Azure Load Balancer opera na Camada 4 e não armazena dados do cliente, mas a implementação de medidas adequadas de proteção de dados para tráfego e configurações é essencial para uma segurança abrangente.
Implementar criptografia de ponta a ponta: configure a terminação TLS/SSL em instâncias de back-end em vez do balanceador de carga, pois o Load Balancer opera na Camada 4 e não fornece recursos de terminação SSL.
Usar o Gateway de Aplicativo para cargas de trabalho HTTP/HTTPS: implante o Gateway de Aplicativo do Azure em vez do Balanceador de Carga para aplicativos HTTP/HTTPS que exigem terminação SSL/TLS e recursos de firewall de aplicativos Web. Consulte Práticas recomendadas de arquitetura para o Azure Load Balancer.
Registo e monitorização
Recursos abrangentes de monitoramento e registro ajudam a detetar ameaças à segurança, problemas de desempenho e fornecem visibilidade das operações do balanceador de carga e padrões de tráfego.
Habilitar configurações de diagnóstico: configure as definições de diagnóstico para enviar métricas e logs referentes ao balanceador de carga para os Logs do Azure Monitor, Conta de Armazenamento ou Hub de Eventos para análise e alerta. Consulte Monitorar o Balanceador de Carga do Azure.
Use o Azure Monitor Insights: implante o Load Balancer Insights para acessar painéis pré-configurados, exibições de dependência funcional e visualização de métricas para monitoramento proativo. Consulte Usando o Insights para monitorar e configurar seu Balanceador de Carga do Azure.
Configurar monitoramento de sonda de integridade: implemente testes de integridade abrangentes para monitorar a integridade da instância de back-end e configure intervalos e limites apropriados para deteção precisa de integridade. Consulte Gerenciar testes de integridade para o Azure Load Balancer.
Monitore as métricas de conexão: acompanhe as principais métricas, incluindo disponibilidade do caminho de dados, status da sonda de integridade e contagem de SYN para identificar possíveis ameaças à segurança e problemas de desempenho. Consulte Diagnóstico do balanceador de carga padrão com métricas, alertas e integridade do recurso.
Habilitar logs de fluxo de rede virtual: configure logs de fluxo de rede virtual para analisar padrões de tráfego que fluem através do balanceador de carga e identificar possíveis ameaças à segurança ou comportamento anômalo. Consulte Monitorar o Balanceador de Carga do Azure.
Configurar alertas de segurança: crie alertas do Azure Monitor para eventos relevantes para a segurança, como testes de integridade com falha, padrões de tráfego incomuns ou alterações de configuração. Consulte Monitorar o Balanceador de Carga do Azure.
Conformidade e governança
Os controles de governança garantem a configuração de segurança consistente e a conformidade com políticas organizacionais e requisitos normativos em implantações de balanceadores de carga.
Implementar controles de Política do Azure: implante definições de Política do Azure para auditar e impor configurações de segurança do balanceador de carga, incluindo requisitos de SKU e associações de grupos de segurança de rede. Consulte Linha de base de segurança do Azure para o Azure Load Balancer.
Usar marcação de recursos: aplique tags consistentes aos recursos do balanceador de carga para governança, gerenciamento de custos e controle de conformidade de segurança. Consulte Práticas recomendadas de arquitetura para o Azure Load Balancer.
Segurança específica do serviço
O Azure Load Balancer tem considerações de segurança exclusivas relacionadas a algoritmos de distribuição de tráfego, persistência de sessão e integração com outros serviços de rede do Azure.
Configurar o modo de distribuição apropriado: selecione o modo de distribuição ideal (hash de 5 tuplas, 2 tuplas ou 3 tuplas) com base nos requisitos de segurança, considerando que a persistência da sessão pode criar uma distribuição de carga desigual. Consulte Modos de distribuição do Balanceador de Carga do Azure.
Habilite a redefinição de TCP para melhor segurança: configure a redefinição de TCP em regras de balanceamento de carga para enviar pacotes de redefinição de TCP bidirecionais no tempo limite de inatividade, fornecendo informações mais claras sobre o estado da conexão para os aplicativos. Consulte Práticas recomendadas do Azure Load Balancer.
Configurações seguras de IP flutuante: Ao usar IP flutuante para cenários de alta disponibilidade, garanta a configuração adequada de interfaces de loopback em sistemas operacionais convidados e implemente controles de segurança apropriados. Consulte Práticas recomendadas do Azure Load Balancer.
Implementar a segurança do Balanceador de Carga Gateway: Para dispositivos virtuais de rede, separe o tráfego confiável e não confiável em diferentes interfaces de túnel e aumente os limites de MTU para evitar quedas de pacotes a partir dos cabeçalhos VXLAN. Consulte Práticas recomendadas do Azure Load Balancer.
Integração com o Firewall do Azure: roteie o tráfego por meio do Firewall do Azure ao usar balanceadores de carga internos para recursos adicionais de inspeção de segurança e proteção contra ameaças. Consulte Práticas recomendadas de arquitetura para o Azure Load Balancer.
Usar o Gateway NAT para conectividade de saída: implante o Gateway NAT do Azure para endereços IP de saída previsíveis e segurança aprimorada em comparação com os mecanismos IP de acesso de saída padrão. Consulte Tutorial: Proteja seu balanceador de carga público com a Proteção contra DDoS do Azure.