Aplicar princípios de Confiança Zero a máquinas virtuais no Azure
Resumo: Para aplicar os princípios de Zero Confiança às máquinas virtuais do Azure, você deve configurar o isolamento lógico com grupos de recursos dedicados, aproveitar o RBAC (Controle de Acesso Baseado em Função), proteger os componentes de inicialização da máquina virtual, habilitar chaves gerenciadas pelo cliente e criptografia dupla, controlar aplicativos instalados, configurar o acesso seguro e a manutenção de máquinas virtuais e habilitar a deteção e a proteção avançadas contra ameaças.
Este artigo fornece etapas para aplicar os princípios do Zero Trust a máquinas virtuais no Azure:
| Princípio Zero Trust | Definição | Cumprido por |
|---|---|---|
| Verificar explicitamente | Sempre autentique e autorize com base em todos os pontos de dados disponíveis. | Use acesso seguro. |
| Use o acesso menos privilegiado | Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. | Aproveite o RBAC (Controle de Acesso Baseado em Função) e controle os aplicativos executados em máquinas virtuais. |
| Assuma a violação | Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. | Isole máquinas virtuais com grupos de recursos, proteja seus componentes, use criptografia dupla e habilite a deteção e proteção avançadas contra ameaças. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust em um ambiente no Azure que inclui uma rede virtual spoke (VNet) hospedando uma carga de trabalho baseada em máquina virtual. Para obter uma visão geral, consulte Aplicar princípios de confiança zero à infraestrutura do Azure.
Arquitetura lógica para máquinas virtuais
Os princípios de Confiança Zero para máquinas virtuais são aplicados em toda a arquitetura lógica, desde o nível de locatário e diretório até a camada de dados e aplicativos em cada máquina virtual.
O diagrama a seguir mostra os componentes da arquitetura lógica.
Neste diagrama:
- A é um conjunto de máquinas virtuais isoladas dentro de um grupo de recursos dedicado que reside em uma assinatura do Azure.
- B é a arquitetura lógica para uma única máquina virtual com os seguintes componentes chamados: aplicativos, sistema operacional, discos, carregadores de inicialização, kernel do sistema operacional, drivers e o componente TPM (Trusted Platform Module).
Este artigo descreve as etapas para aplicar os princípios do Zero Trust nessa arquitetura lógica, usando estas etapas.
| Passo | Tarefa | Princípios Zero Trust aplicados |
|---|---|---|
| 1 | Configure o isolamento lógico implantando máquinas virtuais em um grupo de recursos dedicado. | Assuma a violação |
| 2 | Aproveite o RBAC (Controle de Acesso Baseado em Função). | Verificar explicitamente Use o acesso menos privilegiado |
| 3 | Proteja os componentes de inicialização da máquina virtual, incluindo carregadores de inicialização, kernels do sistema operacional e drivers. Proteja com segurança chaves, certificados e segredos no TPM (Trusted Platform Module). | Assuma a violação |
| 4 | Habilite chaves gerenciadas pelo cliente e criptografia dupla. | Assuma a violação |
| 5 | Controle os aplicativos instalados em máquinas virtuais. | Use o acesso menos privilegiado |
| 6 | Configure o acesso seguro (não mostrado na figura da arquitetura lógica). | Verificar explicitamente Use o acesso menos privilegiado Assuma a violação |
| 7 | Configure a manutenção segura de máquinas virtuais (não mostrada na figura da arquitetura lógica). | Assuma a violação |
| 8 | Habilite a deteção e a proteção avançadas contra ameaças (não mostradas na figura da arquitetura lógica). | Assuma a violação |
Etapa 1: Configurar o isolamento lógico para máquinas virtuais
Comece isolando máquinas virtuais dentro de um grupo de recursos dedicado. Você pode isolar máquinas virtuais em diferentes grupos de recursos com base na finalidade, classificação de dados e requisitos de governança, como a necessidade de controlar permissões e monitoramento.
O uso de grupos de recursos dedicados permite definir políticas e permissões que se aplicam a todas as máquinas virtuais dentro do grupo de recursos. Em seguida, você pode usar o controle de acesso baseado em função (RBAC) para criar acesso menos privilegiado aos recursos do Azure contidos no grupo de recursos.
Para obter mais informações sobre como criar e gerenciar grupos de recursos, consulte Gerenciar grupos de recursos do Azure usando o portal do Azure.
Você atribui uma máquina virtual a um grupo de recursos quando cria a máquina virtual pela primeira vez, conforme mostrado aqui.
Etapa 2: Aproveitar o controle de acesso baseado em função (RBAC)
O Zero Trust requer a configuração do acesso menos privilegiado. Para fazer isso, você precisa limitar o acesso do usuário com just-in-time e just-enough access (JIT/JEA) com base em sua função, carga de trabalho e classificação de dados.
As seguintes funções internas são comumente usadas para acesso à máquina virtual:
- Login de usuário da máquina virtual: visualize máquinas virtuais no portal e entre como um usuário comum.
- Login de Administração de Máquina Virtual: Exiba máquinas virtuais no portal e entre em máquinas virtuais como Administrador.
- Colaborador de Máquina Virtual: crie e gerencie máquinas virtuais, incluindo redefinir a senha do usuário root e os discos gerenciados. Não concede acesso à rede virtual de gerenciamento (VNet) ou a capacidade de atribuir permissões aos recursos.
Para associar uma máquina virtual a uma rede virtual, você pode usar a permissão personalizada Microsoft.Network/virtualNetworks/subnets/join/action para criar uma função personalizada.
Quando essa função personalizada é usada com a Identidade Gerenciada e a Política de Acesso Condicional, você pode usar o estado do dispositivo, a classificação de dados, as anomalias, o local e a identidade para forçar a autenticação multifator e permitir o acesso granularmente com base na confiança verificada.
Para estender seu domínio de controle além do sistema e permitir que seu locatário do Microsoft Entra ID com o Microsoft Intelligent Security Graph ofereça suporte a acesso seguro, vá para a folha Gerenciamento da máquina virtual e ative a Identidade Gerenciada Atribuída ao Sistema, conforme mostrado aqui.
Nota
Esse recurso só está disponível para a Área de Trabalho Virtual do Azure, Windows Server 2019, Windows 10 e Distros Linux usando acesso baseado em certificado.
Etapa 3: Proteger os componentes de inicialização da máquina virtual
Siga estes passos:
- Ao criar a máquina virtual, certifique-se de configurar a segurança para os componentes de inicialização. A implantação aprimorada de máquinas virtuais permite que você selecione o tipo de segurança e use a inicialização segura e o vTPM.
- Implante com segurança máquinas virtuais com carregadores de inicialização verificados, kernels de sistema operacional e drivers assinados por editores confiáveis para estabelecer uma "raiz". Se a imagem não estiver assinada por um editor confiável, a máquina virtual não será inicializada.
- Proteja com segurança chaves, certificados e segredos nas máquinas virtuais em um Trusted Platform Module.
- Obtenha informações e confiança sobre a integridade de toda a cadeia de inicialização.
- Certifique-se de que as cargas de trabalho são confiáveis e verificáveis. O vTPM permite o atestado medindo toda a cadeia de inicialização da sua máquina virtual (UEFI, SO, sistema e drivers).
A implantação aprimorada de máquinas virtuais permite que você selecione o tipo de segurança e use a inicialização segura e o vTPM ao criá-las, conforme mostrado aqui.
Etapa 4: Habilitar chaves gerenciadas pelo cliente e criptografia dupla
O uso de chaves gerenciadas pelo cliente e criptografia dupla garante que, se um disco for exportado, ele não será legível ou capaz de funcionar. Ao garantir que as chaves são mantidas de forma privada e que os discos são duplamente criptografados, você protege contra violações que tentam extrair informações do disco.
Para obter informações sobre como configurar uma chave de criptografia gerenciada pelo cliente com o Cofre de Chaves do Azure, consulte Usar o portal do Azure para habilitar a criptografia do lado do servidor com chaves gerenciadas pelo cliente para discos gerenciados. Há um custo adicional para usar o Azure Key Vault.
Habilite a criptografia do lado do servidor do Armazenamento em Disco do Azure para:
- Criptografia transparente compatível com FIPS 140-2 com criptografia AES 256.
- Maior flexibilidade para gerir controlos.
- Criptografia definida por hardware (HSM) ou software.
Habilite a criptografia do lado do servidor no host para criptografia de ponta a ponta dos dados da máquina virtual.
Depois de concluir esses procedimentos, você usa sua chave de criptografia gerenciada pelo cliente para criptografar os discos em sua máquina virtual.
Selecione o tipo de criptografia na folha Discos para a configuração da máquina virtual. Em Tipo de criptografia, selecione Criptografia dupla com chaves gerenciadas pela plataforma e pelo cliente, conforme mostrado aqui.
Etapa 5: Controlar os aplicativos instalados em máquinas virtuais
É importante controlar os aplicativos instalados em suas máquinas virtuais:
- As extensões de navegador (APIs) são difíceis de proteger, o que pode levar à entrega de URL maliciosa.
- Os aplicativos não sancionados podem não ser corrigidos, pois são objetos de TI sombra (as equipes de TI não estão preparadas ou não têm conhecimento de que eles estão instalados).
Você pode usar o recurso Aplicativos de Máquina Virtual para controlar os aplicativos instalados em máquinas virtuais. Com esse recurso, você seleciona quais aplicativos de máquina virtual instalar. Esse recurso usa a Galeria de Computação do Azure para simplificar o gerenciamento de aplicativos para máquinas virtuais. Quando usado em conjunto com o RBAC, você pode garantir que apenas aplicativos confiáveis estejam disponíveis para os usuários.
Você seleciona os aplicativos de máquina virtual na folha Avançado para a configuração da máquina virtual, conforme mostrado aqui.
Etapa 6: Configurar o acesso seguro
Para configurar o acesso seguro:
- Configurar a comunicação segura dentro do ambiente do Azure entre componentes que estão acessando máquinas virtuais diretamente
- Configurar a autenticação multifator com acesso condicional
- Usar estações de trabalho de acesso privilegiado (PAWs)
No diagrama:
- A autenticação multifator com acesso condicional é configurada no Microsoft Entra ID e portais relacionados.
- Os administradores usam estações de trabalho de acesso privilegiado (PAWs) para acessar máquinas virtuais diretamente.
Configurar a comunicação segura no ambiente do Azure para máquinas virtuais
Primeiro, certifique-se de que a comunicação entre os componentes no ambiente do Azure é segura.
Na arquitetura de referência, o Azure Bastion fornece conexões seguras para máquinas virtuais. O Azure Bastion atua como um agente RDP/SSH e não interage com o protocolo RDP do seu sistema físico. Isso também permite reduzir o número de endereços IP voltados para o público.
O diagrama a seguir mostra os componentes de comunicações seguras para máquinas virtuais.
Configurar a autenticação multifator com acesso condicional
No Passo 2. Aproveite o Controle de Acesso Baseado em Função, você configurou a integração do Microsoft Entra e a identidade gerenciada. Isso permite que você configure a autenticação multifator do Azure para a Área de Trabalho Virtual do Azure ou para servidores que executam o Windows Server 2019 ou mais recente. Você também pode fazer login em uma VM Linux com credenciais do Microsoft Entra. O benefício adicional disso é que a máquina que se conecta à máquina virtual também deve ser registrada no locatário do Microsoft Entra ID para ter permissão para se conectar.
Ao configurar a autenticação multifator com acesso condicional e políticas relacionadas, use o conjunto de políticas recomendado para Zero Trust como guia. Isso inclui políticas de ponto de partida que não exigem gerenciamento de dispositivos. Idealmente, os dispositivos que acessam suas máquinas virtuais são gerenciados e você pode implementar as políticas corporativas, o que é recomendado para Zero Trust. Para obter mais informações, consulte Common Zero Trust identity and device access policies.
O diagrama a seguir mostra as políticas recomendadas para Zero Trust.
Lembre-se que os nomes de utilizador e palavras-passe podem ser 100% comprometidos. Usando a autenticação multifator, você reduz o risco de comprometimento em 99,9%. Isso requer licenças do Microsoft Entra ID P1.
Nota
Você também pode usar VPNs usadas para se conectar a máquinas virtuais no Azure. No entanto, você deve ter certeza de usar métodos para verificar explicitamente. Criar um túnel que seja "confiável", independentemente de como eles são usados, pode ser mais arriscado do que ter conexões específicas altamente verificadas.
Nenhuma quantidade de segurança nas camadas de Rede, Transporte ou Aplicativo é importante se você não vier de uma fonte confiável, verificada e segura.
Usar PAWs
Use estações de trabalho de acesso privilegiado (PAWs) para garantir que os dispositivos que acessam máquinas virtuais estejam íntegros. Os PAWs são configurados especificamente para acesso privilegiado para que os administradores usem um dispositivo que tenha:
- Controles de segurança e políticas que restringem o acesso administrativo local.
- Ferramentas de produtividade para minimizar a superfície de ataque apenas para o que é absolutamente necessário para executar tarefas administrativas confidenciais.
Para obter mais informações sobre opções de implantação, consulte Implantação de acesso privilegiado.
Etapa 7: Configurar a manutenção segura de máquinas virtuais
A manutenção segura de máquinas virtuais inclui:
- Usando antimalware
- Automatizando atualizações de máquinas virtuais
Usar antimalware em máquinas virtuais
O antimalware ajuda a proteger sua máquina virtual contra ameaças, como arquivos maliciosos e adware, etc. Você pode usar software antimalware de uma opção de fornecedores como Microsoft, Symantec, Trend Micro e Kaspersky.
O Microsoft Antimalware é um recurso gratuito que fornece recursos de proteção em tempo real para ajudar na deteção, quarentena e erradicação de software mal-intencionado, spyware e vírus:
- É executado em segundo plano com a necessidade de interação do usuário
- Fornece alertas quando software indesejado ou mal-intencionado é baixado, instalado ou executado
- Oferece configuração segura por padrão e monitoramento antimalware
- Análise programada
- Atualizações de assinatura
- Atualizações do mecanismo e da plataforma antimalware
- Proteção Ativa
- Relatórios de amostras
- Exclusões
- Recolha de eventos antimalware
Automatize as atualizações da máquina virtual
A automatização das atualizações dos sistemas garante que eles estejam protegidos contra os mais recentes malwares e explorações de configuração incorreta. Há atualização automática com ajuda no processo de verificação da plataforma confiável.
Concentre-se na Manutenção e Atualizações da Máquina Virtual do Azure para garantir que seus sistemas sejam protegidos contra inseguranças de configuração:
- O Azure Automation Update Management pode ajudar no gerenciamento do seu processo de atualização. Com este utilitário, você pode verificar o status de atualização de seus sistemas, gerenciar, agendar e reinicializar servidores.
- O Agente de Máquina Virtual do Azure é usado para gerenciar suas máquinas virtuais e oferece a capacidade de usar extensões para gerenciamento.
Os sistemas operacionais suportados pelo Gerenciamento de Atualizações incluem o seguinte:
- Cada máquina virtual do Windows - Gerenciamento de atualizações faz uma verificação duas vezes por dia para cada máquina.
- Cada máquina virtual Linux - Gerenciamento de atualizações faz uma verificação a cada hora.
Consulte estas orientações adicionais:
- Planejar a implantação para atualizar VMs do Windows no Azure
- Usar o Azure Private Link para conectar redes com segurança à Automação do Azure Garante que as máquinas virtuais se conectem de forma isolada e controlada e não pela Internet para atualizações.
Etapa 8: Habilitar a deteção e a proteção avançadas contra ameaças
A proteção contra ameaças para a infraestrutura do Azure é fornecida pelo Microsoft Defender for Cloud. Essa proteção é estendida para máquinas virtuais quando você provisiona o Microsoft Defender for Servers, conforme mostrado no diagrama a seguir.
No diagrama:
- Conforme descrito no artigo de visão geral Aplicar princípios de confiança zero ao Azure IaaS, o Defender for Cloud é habilitado no nível de uma assinatura do Azure ou no nível de um grupo de gerenciamento do Azure que inclui várias assinaturas do Azure.
- Além de habilitar o Defender for Cloud, o Defender for Servers é provisionado.
A proteção avançada contra ameaças verifica as atividades que ocorrem em máquinas virtuais com base na inteligência de ameaças da Microsoft. Ele procura configurações e atividades específicas que sugerem que pode haver uma violação. Ele permite que os princípios Verificar explicitamente e Assumir violem os princípios Zero Trust.
O Microsoft Defender for Servers inclui o seguinte:
- Acesso aos dados do Microsoft Defender for Endpoint relacionados a vulnerabilidades, software instalado e alertas para seus pontos de extremidade para deteção e resposta de ponto de extremidade (EDR).
- Scanner integrado de avaliação de vulnerabilidades para servidores do Defender for Cloud.
- Descubra vulnerabilidades e configurações incorretas em tempo real com o Microsoft Defender for Endpoint, e sem a necessidade de outros agentes ou verificações periódicas.
- O scanner Qualys integrado do Defender for Cloud para Azure e máquinas híbridas permite que você use uma ferramenta líder na identificação de vulnerabilidades em tempo real sem a necessidade de uma licença Qualys.
- Implemente o acesso à máquina virtual Just-in-time no Defender for Cloud. Isso cria uma regra de negação explícita para RDP/SSH e lhe dá acesso JIT no nível do servidor quando você precisar e permite limitar o período de acesso.
- O monitoramento da integridade de arquivos no Defender for Cloud permite alterar o monitoramento de arquivos e registros do sistema de operações, software de aplicativo e outras alterações que permitem validar a integridade de seus sistemas de arquivos.
- Os controles de aplicativos adaptáveis no Defender for Cloud fornecem uma solução automatizada para criar e definir listas de permissões para aplicativos seguros conhecidos e geram alertas de segurança se um novo aplicativo for executado diferente daqueles que você define como seguros para uso.
- A proteção de rede adaptável no Defender for Cloud usa algoritmos de aprendizado de máquina que calculam seu tráfego atual, inteligência de ameaças, indicadores de comprometimento e configurações confiáveis conhecidas para fornecer recomendações para proteger seus Grupos de Segurança de Rede.
Formação recomendada
proteger os seus discos da máquina virtual do Azure
| Formação | Proteja seus discos de máquina virtual do Azure |
|---|---|
|
Saiba como usar o Azure Disk Encryption (ADE) para criptografar o sistema operacional e discos de dados em máquinas virtuais novas e existentes. Neste módulo, você aprenderá a: |
Para obter mais treinamento no Azure, consulte todo o catálogo da Microsoft:
Consultar todos os produtos da categoria - Formação | Microsoft Learn
Implementar a segurança de anfitriões de máquinas virtuais no Azure
| Formação | Implementar segurança de host de máquina virtual no Azure |
|---|---|
|
Neste caminho de aprendizagem, saiba como proteger e proteger as suas máquinas virtuais no Azure. |
Para obter mais treinamento sobre máquinas virtuais no Azure, consulte estes recursos no catálogo da Microsoft:
Máquinas virtuais no Azure | Microsoft Learn
Passos Seguintes
Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:
- Visão geral do Azure IaaS
- Área de Trabalho Virtual do Azure
- WAN Virtual do Azure
- Aplicativos IaaS na Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Ilustrações técnicas
Este cartaz fornece uma visão rápida e de página única dos componentes da IaaS do Azure como arquiteturas lógicas e de referência, juntamente com as etapas para garantir que esses componentes tenham os princípios "nunca confie, sempre verifique" do modelo Zero Trust aplicado.
| Item | Description |
|---|---|
 PDF | Visio Atualizado em março de 2024 |
Use esta ilustração junto com este artigo: Aplicar princípios de Zero Confiança à visão geral de IaaS do Azure Guias de solução relacionados |
Este cartaz fornece as arquiteturas lógicas e de referência e as configurações detalhadas dos componentes separados do Zero Trust para IaaS do Azure. Use as páginas deste cartaz para departamentos ou especialidades de TI separados ou, com a versão do arquivo do Microsoft Visio, personalize os diagramas para sua infraestrutura.
| Item | Description |
|---|---|
 PDF | Visio Atualizado em março de 2024 |
Use estes diagramas juntamente com os artigos que começam aqui: Aplicar princípios de Zero Trust à visão geral de IaaS do Azure Guias de solução relacionados |
Para ilustrações técnicas adicionais, clique aqui.
Referências
- Gerenciar grupos de recursos do Azure com o portal do Azure
- Arranque seguro
- Visão geral do vTPM
- Atestado
- Habilitar a criptografia do lado do servidor do Armazenamento em Disco do Azure
- Encriptação AES 256
- Azure Bastion
- Autenticação multifator do Azure para a Área de Trabalho Virtual do Azure
- Windows Servers 2019 ou mais recente
- Faça login em uma VM Linux com credenciais do Microsoft Entra
- Políticas comuns de identidade e acesso a dispositivos Zero Trust
- Estações de trabalho de acesso privilegiado (PAW)
- Implantação de acesso privilegiado
- Microsoft Anti-malware
- Agente de máquina virtual
- Planejar a implantação para atualizar VMs do Windows no Azure - Cenários de exemplo do Azure
- Utilizar o Azure Private Link para se ligar em segurança a redes da Automatização do Azure
- Microsoft Defender para servidores
- Microsoft Defender para Ponto de Extremidade
- Avaliação de vulnerabilidade integrada do Defender for Cloud