Microsoft Azure: Como criar uma VM de forma segura?

Por Johnny Hudaba

A todo instante uma nova tecnologia surge no mercado, sempre com o intuito de melhorar e agregar, seja a equipe de atendimento ao suporte ou a infraestrutura de uma empresa.

Hoje em dia, com a era da tecnologia em nuvem, ou Cloud, como muitos preferem dizer, muitos avanços foram alcançados, entre eles, um dos temas mais abordados pela nossa equipe de atendimento ao suporte que é “como criar uma VM (Virtual Machine) de forma segura”.

Mas antes de começar, é preciso pontuar, afinal, “O que seria um ambiente em Cloud?”

O ambiente em Cloud é um serviço que abrange todos os componentes de um servidor ou um computador pessoal, seja hardware ou software (banco de dados, sistema operacional, fileserver, rede etc.) que são necessários para suportar os requisitos para um modelo de computação em nuvem ou Cloud Computing.

E é a partir desta tecnologia que é possível criar uma VM (Virtual Machine) através do Portal Azure, e hoje demonstraremos neste artigo, como é possível fazer isso.

Criando uma VM

Abaixo demonstraremos um passo a passo de como criar uma VM através do portal Azure.

1 – Através do Azure é importante que tudo seja muito bem-organizado e para isso, antes de tudo, crie um Grupo de Recurso e o nomeie para que tenha facilidade em compreender do que se trata.

Neste caso, criamos um grupo chamado RG_Lab (RG = Resource Group).

2 – Selecionando o grupo de recursos, clique em “+ Adicionar” para adicionarmos uma nova máquina.

3 – Clique em “Computação” e depois em “Máquina Virtual”.

4 – Para criarmos uma máquina virtual, precisamos preencher alguns tópicos que são divididos em Básico/ Discos/ Rede/ Gerenciamento/ Avançado/ Marcas e Revisão.

Em básico, precisamos selecionar opções como:

Assinatura;
Qual grupo de recurso usar;
Nome da Máquina Virtual;
Região;
Opções de disponibilidade;
Sistema Operacional;
Instancia no Azure Spot;
Tamanho da Máquina;
Nome de usuário;
Senha;
Portas de Entrada Pública;
Licenciamento;

Como podemos ver nas imagens acima, esta máquina virtual será alocada no grupo de recurso que havíamos criado anteriormente, o RG_Lab.

Demos o nome de SrvLab e ela será instalada no ambiente Sul do Brasil, mas nós poderíamos colocar esta máquina em diversas localidades, mas isso vai depender de como será usada esta máquina, pois no Brasil a latência é menor, ou seja, o acesso será mais rápido, mas se for nos Estados Unidos, a latência será maior e os acessos serão mais lentos.

Então esta configuração vai de acordo com a usabilidade da máquina.

Em Opções de Disponibilidade, neste exemplo, não configuramos nenhuma, mas se precisar configurar uma redundância da máquina, por exemplo, em 2 localidades diferentes, você pode fazer por aqui.

Na imagem escolhemos o Windows Server 2019, mas pode ser tanto Windows quanto Linux.

O tamanho desta máquina varia de acordo com o precisamos, neste exemplo, estamos usando uma B2ms que possui 2 processadores e 8GB de memória RAM, mas se precisar de uma máquina maior, fica a seu critério. Lembrando que os valores aumentam de acordo com o “tamanho” da máquina, então seja consciente e faça um levantamento para dimensionar o tamanho real que precisa ser configurado.
Nome de usuário e senha é o acesso padrão de administração, então lembre-se de guardar a senha em um local seguro e não informe uma senha fraca ou que seja fácil lembrar.

Já em regras de portas de entrada, neste exemplo, configuramos como nenhum.

O papel desta regra, é limitar os acessos que podem ser feitos através da porta 80, 22 ou até mesmo a 3389, mas caso configurarmos esta regra diretamente na VM, esta regra vai valer somente para a máquina virtual, ou seja, caso criarmos uma nova máquina teremos que fazer o mesmo processo.

Mas há uma forma mais fácil e segura de criar uma regra de liberação das portas, caso se interessarem, podemos criar um artigo a respeito.

E por último o licenciamento, ou seja, caso o cliente possua uma licença do Windows Server 2019, se habilitarmos esta opção, ele poderá inserir a licença e ativar na máquina.

5 – Avançando as configurações, chegaremos na aba para configurarmos o disco da VM.

Onde podemos configurar:

Tipo de disco;
Tipo de criptografia;
Habilitar a compatibilidade com o disco Ultra:
Disco de dados;

Iremos configurar a nossa VM com um disco SSD Standard e com a criptografia padrão.

Mas é possível utilizar outros discos, como:

HDD Standard
SSD Standard;
SSD Premium

Conforme a escolha do disco, o desempenho é alterado, ou seja, o disco SSD Premium tem um desempenho melhor que o HDD Standard e consequentemente possui um valor maior também.

Também podemos escolher outros tipos de criptografia, como:

Criptografia em repouso com uma chave gerenciada pelo cliente;
Criptografia dupla com chaves gerenciadas pelo Azure e pelo cliente;

Devemos ficar atentos com a escolha da criptografia e principalmente se o cliente ficar responsável em gerenciar a chave que a guarde muito bem.

A compatibilidade com o Disco Ultra será utilizada quando a VM terá altos desempenhos de consumo, ou seja, processará diversos dados.
Agora se a máquina será utilizada para feitos como para uso de AD, por exemplo, não vemos necessidade de habilitar esta opção.

6 – O próximo passo é configurarmos a rede da nossa VM, para isso temos alguns pontos a serem configurados, como:

Rede Virtual;
Sub-rede;
IP Publico
Grupo de Segurança da rede;
Portas de Entrada Públicas;

Neste artigo, como estamos criando um ambiente totalmente do zero, não temos uma rede virtual criada ou até mesmo um IP Público no tenant, sendo assim, quando estamos criando a VM, o próprio Azure cria como default, todas as opções de rede para nós, como podemos ver na imagem abaixo.

Lembramos que todas as configurações podem ser customizadas, dependendo de como o seu ambiente será executado, mas neste lab, manteremos as configurações em default.

Em grupos de segurança de rede e portas de entrada públicas, também manteremos como default, conforme já havíamos configurado na aba Básico, desta forma podemos criar um grupo de segurança, não diretamente na VM e sim no grupo de recursos, facilitando o gerenciamento de segurança.

7 – Agora em “Gerenciamento”, podemos executar algumas ações que protegem a nossa VM, como por exemplo:

Monitoramento;
Diagnostico do convidado no SO;
Identidade;
Desligamento Automático;
Backup;
Atualização de Patch;

No tópico “Monitoramento”, automaticamente é selecionada a opção “Habilitar com a conta de armazenamento gerenciada”, ou seja, será habilitada uma Storage Account em seu tenant e neste local poderá armazenar dados ou até mesmo o backup de sua VM como podemos ver mais à frente.

Podemos habilitar também o diagnóstico de todos os aplicativos usados em nossa VM através da opção “Habilitar o diagnóstico do SO”.

A próxima opção é “Identidade gerenciada atribuída ao sistema” sendo possível você habilitá-la ou não e a sua função é habilitar recursos do Azure para autenticar os serviços em nuvem, por exemplo, o Azure Key Vault, sem que seja armazenado as credenciais no código do sistema.

Habilitando o desligamento automático, é possível configurar o horário em que a VM será desligada.

Mas fica a dúvida, e como posso ligar a minha VM?

Comente neste artigo, se vocês possuem interesse em demonstrarmos como habilitar e configurar o processo de automação do Azure que é responsável em criar um processo de ligar as máquinas virtuais.

Então, neste caso, nós configuramos que a máquina será desligada às 19h Horário de Brasilia e sempre receberei uma notificação por e-mail de quando a máquina será desligada.

Já em “Backup”, como citado em “Monitoramento”, nós criamos uma Storage Account em nosso Tenant e dentro dele será criado um cofre para armazenar os backups da nossa VM, onde também podemos configurar uma política de backup, ou seja quando e como faze-la.

8 – Através da aba “Marcas”, temos alguns campos como:

Nome;
Valor

Onde é necessário classificar os recursos, fazendo com que no relatório de faturamento, seja possível interpretar o curso de cada recurso.
Neste exemplo, estamos configurando o nome como “Ambiente” e o valor como “SrvLab”.

9 – Finalizando na aba Revisão, a nossa máquina virtual será validada pelo Azure e caso aprovada podemos executar com a criação da mesma.

Lembre-se de revisar todos os pontos configurados e veja se não há nada de erro antes de criar a sua VM, pois caso tenha configurado errado, terá que exclui-la e refazer a VM novamente.

10 – Pronto, sua VM está pronta!

Conclusão

Através destes procedimentos, percebemos o quanto é rápido e seguro criar uma máquina virtual (VM) através do Azure.

Podemos criar diversos ambientes em questões de minutos, entregando satisfação para nós e para o nosso cliente.

O ambiente Cloud traz ao mundo, novas formas de entregar uma VM e lembramos que não devemos pensar em custos, mas sim no quanto o ambiente em Cloud pode agregar no nosso dia a dia.