Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as melhores práticas de segurança para VMs e sistemas operacionais.
As práticas recomendadas vêm de um consenso de opinião e funcionam com os recursos atuais da plataforma Azure e conjuntos de recursos. Como opiniões e tecnologias podem mudar ao longo do tempo, este artigo é atualizado para refletir essas alterações.
Na maioria dos cenários de IaaS (infraestrutura como serviço), Azure virtual machines (VMs) são a carga de trabalho principal para organizações que usam a computação em nuvem. Esse fato é evidente em cenários híbridos em que as organizações desejam migrar lentamente cargas de trabalho para a nuvem. Nesses cenários, siga o considerações gerais de segurança para IaaSe aplicar práticas recomendadas de segurança para todas as suas VMs.
Proteger VMs usando autenticação e controle de acesso
Para proteger suas VMs, verifique se somente os usuários autorizados podem configurar novas VMs e acessar as VMs existentes.
Note
Para melhorar a segurança das VMs do Linux em Azure, você pode se integrar à autenticação do Microsoft Entra. Ao usar a autenticação Microsoft Entra para VMs Linux, você controla e impõe centralmente políticas que permitem ou negam acesso às VMs.
Prática recomendada: controlar o acesso de VM. Detail: Use Azure policies para estabelecer convenções para recursos em sua organização e criar políticas personalizadas. Aplique essas políticas a recursos, como grupos de recursos. VMs que pertencem a um grupo de recursos herdam suas políticas.
Se sua organização tiver muitas assinaturas, talvez seja necessária uma maneira de gerenciar com eficiência acesso, políticas e conformidade para essas assinaturas. Grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza assinaturas em grupos de gerenciamento (contêineres) e aplica as condições de governança a esses grupos. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo. Os grupos de gerenciamento fornecem gerenciamento de nível empresarial em larga escala, independentemente do tipo de assinaturas que você possa ter.
Prática recomendada: reduza a variabilidade na instalação e na implantação de VMs. Detail: use modelos Azure Resource Manager para fortalecer suas escolhas de implantação e facilitar o entendimento e o inventário das VMs em seu ambiente.
Prática recomendada: proteger o acesso privilegiado. Detail: Use uma abordagem de menor privilégio e funções internas do Azure para permitir que os usuários acessem e configurem VMs:
- Colaborador de Máquina Virtual: pode gerenciar VMs, mas não a rede virtual ou a conta de armazenamento às quais estão conectadas.
- Classic Virtual Machine Contributor: pode gerenciar VMs criadas usando o modelo de implantação clássico, mas não a conta virtual network ou storage à qual as VMs estão conectadas.
- Admin de Segurança: Somente no Microsoft Defender para Nuvem: Pode exibir políticas de segurança, visualizar estados de segurança, editar políticas de segurança, visualizar alertas e recomendações, descartar alertas e recomendações.
- DevTest Labs User: pode exibir tudo e conectar, iniciar, reiniciar e desligar VMs.
Administradores de assinatura e coadmins podem alterar essa configuração, tornando-os administradores de todas as VMs em uma assinatura. Confie em todos os administradores e coadministradores da assinatura para acessar qualquer um de seus computadores.
Note
Consolide as VMs com o mesmo ciclo de vida no mesmo grupo de recursos. Usando grupos de recursos, você pode implantar, monitorar e acumular custos para os seus recursos de cobrança.
As organizações que controlam o acesso e a configuração das VMs melhoram a segurança geral das VMs.
Usar Virtual Machine Scale Sets para alta disponibilidade
Se a VM executar aplicativos críticos que precisam de alta disponibilidade, use Virtual Machine Scale Sets.
Virtual Machine Scale Sets permite que você crie e gerencie um grupo de VMs com o balanceamento de carga. O número de instâncias de VM pode aumentar ou diminuir automaticamente em resposta à demanda ou a um agendamento definido. Os conjuntos de dimensionamento fornecem alta disponibilidade para seus aplicativos e você pode gerenciar, configurar e atualizar muitas VMs centralmente. Não há custo para o conjunto de dimensionamento em si, você paga apenas por cada instância de VM criada.
Você pode implantar máquinas virtuais em um conjunto de dimensionamento em várias zonas de disponibilidade, em uma única zona de disponibilidade ou regionalmente.
Proteção contra malware
Instale a proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados. Você pode instalar o Microsoft Antimalware ou a solução de proteção de ponto de extremidade de um parceiro da Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender e System Center Endpoint Protection).
O Antimalware da Microsoft inclui recursos como proteção em tempo real, verificação agendada, correção de malware, atualizações de assinatura, atualizações de mecanismo, relatórios de exemplos e coleção de eventos de exclusão. Para ambientes hospedados separadamente do ambiente de produção, use uma extensão antimalware para ajudar a proteger suas VMs e cloud services.
Você pode integrar o Microsoft Antimalware e soluções de parceiros ao Microsoft Defender for Cloud para facilitar a implantação e detecções internas (alertas e incidentes).
Prática recomendada: instalar uma solução antimalware para proteger contra malware.
Detalhe: instalar uma solução de parceiro da Microsoft ou o Microsoft Antimalware
Prática recomendada: integre sua solução antimalware ao Defender para Nuvem para monitorar o status da sua proteção.
Detalhe: Gerenciar problemas de proteção de endpoint com Microsoft Defender for Cloud
Gerenciar as atualizações de VM
Azure VMs, como todas as VMs locais, devem ser gerenciadas pelo usuário. Azure não envia atualizações do Windows para eles. Você deve gerenciar as atualizações da VM.
Prática recomendada: mantenha suas VMs atualizadas.
Detail: use a solução Update Management em Azure Automation para gerenciar atualizações do sistema operacional para seus computadores Windows e Linux implantados em Azure, em ambientes locais ou em outros provedores de nuvem. Você pode avaliar o status de atualizações disponíveis em todos os computadores de agente e gerenciar rapidamente o processo de instalação das atualizações necessárias para os servidores.
Os computadores que são gerenciados pelo Gerenciamento de Atualizações usam as configurações a seguir para realizar implantações de atualização e avaliação:
- Microsoft Monitoring Agent (MMA) para Windows ou Linux
- Configuração do Estado Desejado (DSC) do PowerShell para Linux
- Hybrid Runbook Worker de Automação
- Microsoft Update ou Windows Server Update Services (WSUS) para computadores Windows
Se você usar Windows Update, deixe a configuração de Windows Update automática habilitada.
Prática recomendada: verifique na implantação se as imagens criadas incluem a rodada mais recente de atualizações do Windows.
Detalhe: verifique e instale todas as atualizações do Windows como uma primeira etapa de cada implantação. Essa medida é especialmente importante para aplicar ao implantar imagens que vêm de você ou sua própria biblioteca. Embora as imagens do Azure Marketplace sejam atualizadas automaticamente por padrão, pode haver um tempo de retardo (até algumas semanas) após um lançamento público.
Prática recomendada: reimplantar periodicamente suas VMs para forçar uma nova versão do sistema operacional.
Detail: defina sua VM com um modelo Azure Resource Manager para que você possa reimplantá-la facilmente. Usar um modelo fornece uma VM corrigida e segura quando necessário.
Prática recomendada: aplicar rapidamente atualizações de segurança a VMs.
Detail: habilite Microsoft Defender for Cloud (camada gratuita ou camada Standard) para identificar atualizações de segurança ausentes e aplicá-las.
Prática recomendada: instale as atualizações de segurança mais recentes.
Detail: algumas das primeiras cargas de trabalho que os clientes movem para Azure são laboratórios e sistemas voltados para o externo. Se suas VMs do Azure hospedam aplicativos ou serviços que precisam estar acessíveis à Internet, fique atento à manutenção de atualizações. Patch além do sistema operacional. As vulnerabilidades sem patch em aplicativos de parceiros também podem levar a problemas que podem ser evitados com um bom gerenciamento de patches.
Prática recomendada: implantar e testar uma solução de backup.
Detalhe: um backup precisa ser tratado da mesma maneira que você lida com qualquer outra operação. Esse tratamento é verdadeiro para sistemas que fazem parte do seu ambiente de produção que se estende até a nuvem.
Os sistemas de desenvolvimento e teste devem seguir as estratégias de backup que ofereçam recursos de restauração semelhantes aos que os usuários já utilizam com base em sua experiência com os ambientes locais. As cargas de trabalho de produção movidas para Azure devem se integrar às soluções de backup existentes quando possível. Ou você pode usar Azure Backup para ajudar a atender aos seus requisitos de backup.
As organizações que não impõem diretivas de atualização de software estão mais expostas a ameaças que exploram vulnerabilidades conhecidas anteriormente fixas. Para cumprir as normas do setor, as empresas devem provar que são diligentes e usam controles de segurança corretos para ajudar a garantir a segurança de suas cargas de trabalho localizadas na nuvem.
As práticas recomendadas de atualização de software para um datacenter tradicional e Azure IaaS têm muitas semelhanças. Avalie as políticas de atualização de software atuais para incluir VMs localizadas em Azure.
Gerenciar sua postura de segurança de VM
As ameaças cibernéticas estão sempre evoluindo. Proteger suas VMs requer uma funcionalidade de monitoramento que pode detectar ameaças rapidamente, evitar access não autorizados para seus recursos, disparar alertas e reduzir falsos positivos.
Para monitorar a postura de segurança das VMs Windows e Linux, use Microsoft Defender for Cloud. No Defender para Nuvem, você protege as VMs aproveitando os seguintes recursos:
- Aplicar configurações de segurança do sistema operacional com as regras de configuração recomendadas.
- Identificar e baixar a segurança do sistema e as atualizações críticas que podem estar faltando.
- Implantar recomendações para proteção antimalware de ponto de extremidade.
- Validar criptografia de disco.
- Avaliar e corrigir vulnerabilidades.
- Detectar ameaças.
O Defender para Nuvem pode monitorar ativamente as ameaças e alertas de segurança expõem possíveis ameaças. As ameaças correlacionadas são agregadas em uma única exibição chamada incidente de segurança.
O Defender para Nuvem armazena dados em logs Azure Monitor. Azure Monitor logs fornece um mecanismo de análise e linguagem de consulta que fornece insights sobre a operação de seus aplicativos e recursos. Os dados também são coletados do Azure Monitor, soluções de gerenciamento e agentes instalados em virtual machines na nuvem ou no local. Essa funcionalidade compartilhada ajuda a formar uma imagem completa do seu ambiente.
Se você não impor uma forte segurança para suas VMs, você permanecerá sem saber das possíveis tentativas de usuários não autorizados de contornar os controles de segurança.
Monitorar o desempenho de VM
Abuso de recursos pode ser um problema quando os processos VM consomem mais recursos do que deveriam. Problemas de desempenho com uma máquina virtual podem levar a interrupção do serviço, o que viola o princípio de segurança de disponibilidade. Esse problema é particularmente importante para VMs que hospedam o IIS ou outros servidores Web, pois o alto uso de CPU ou memória pode indicar um ataque de Negação de Serviço (DoS). É imperativo monitorar o acesso à VM não apenas de forma reativa enquanto um problema está ocorrendo, mas também de forma proativa em relação ao desempenho de referência, conforme medido durante a operação normal.
Use Azure Monitor para ganhar visibilidade da integridade dos seus recursos. recursos do Azure Monitor:
- Resource diagnostic log files: monitora os recursos da VM e identifica possíveis problemas que podem comprometer o desempenho e a disponibilidade.
- Azure Diagnostics extensão: fornece recursos de monitoramento e diagnóstico em VMs do Windows. Você pode habilitar esses recursos incluindo a extensão como parte do modelo Azure Resource Manager.
Se você não monitorar o desempenho da VM, não poderá determinar se determinadas alterações nos padrões de desempenho são normais ou anormais. Uma VM que consome mais recursos do que o normal pode indicar um ataque de um recurso externo ou de um processo comprometido em execução na VM.
Criptografar os arquivos de disco rígido virtual
Criptografe seus VHDs (discos rígidos virtuais) para ajudar a proteger seu volume de inicialização e volumes de dados em repouso no armazenamento, juntamente com suas chaves de criptografia e segredos.
Importante
A Azure Disk Encryption está programada para aposentadoria no 15 de setembro de 2028. Até essa data, você pode continuar a usar Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.
Use a criptografia no host para novas VMs ou considere tamanhos de VM confidenciais com criptografia de disco do sistema operacional para workloads de computação confidenciais. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar de Azure Disk Encryption para criptografia no host para obter detalhes.
Criptografia no hospedeiro fornece, por padrão, criptografia de ponta a ponta para seus dados de VM, criptografando discos temporários, caches de discos do sistema operacional e de dados, e fluxos de dados para o Azure Storage. Por padrão, a criptografia no host usa chaves gerenciadas pela plataforma sem a necessidade de configuração adicional. Opcionalmente, você pode configurar a solução para usar chaves gerenciadas pelo cliente armazenadas em Azure Key Vault ou Azure Key Vault HSM Gerenciado quando precisar controlar e gerenciar suas próprias chaves de criptografia de disco. A solução garante que todos os dados nos discos da máquina virtual sejam criptografados em repouso em Azure Storage.
As seguintes práticas recomendadas ajudam você a usar a criptografia no host:
Prática recomendada: habilite a criptografia no host em VMs por padrão.
Detalhe: a criptografia no host é habilitada por padrão para novas VMs e fornece criptografia transparente usando chaves gerenciadas pela plataforma sem a necessidade de configuração extra. Se você optar por usar chaves gerenciadas pelo cliente, armazene-as em Azure Key Vault ou Azure Key Vault HSM Gerenciado. A autenticação do Microsoft Entra é necessária para acesso. Para fins de autenticação, você pode usar a autenticação baseada em segredo do cliente ou a autenticação do Microsoft Entra baseada em certificado do cliente.
Prática recomendada: ao usar chaves gerenciadas pelo cliente, use uma KEK (chave de criptografia de chave) para uma camada extra de segurança para chaves de criptografia.
Detail: ao usar chaves gerenciadas pelo cliente, use o cmdlet Add-AzKeyVaultKey para criar uma chave de criptografia de chave no Azure Key Vault ou HSM Gerenciado. Você também pode importar um KEK do HSM (módulo de segurança de hardware) local. Para obter mais informações, consulte a documentação Key Vault. Ao especificar uma chave de criptografia, a criptografia no host usa essa chave para encapsular os segredos de criptografia. Manter uma cópia em custódia dessa chave em um HSM de gerenciamento de chaves nas instalações oferece proteção extra contra a exclusão acidental de chaves.
Best practice: faça um snapshot e/ou backup antes de fazer alterações na configuração de criptografia. Os backups fornecem uma opção de recuperação se ocorrer uma falha inesperada.
Detalhe: Fazer backup de VMs com discos gerenciados regularmente. Para obter mais informações sobre como fazer backup e restaurar VMs criptografadas, consulte o artigo Azure Backup.
Prática recomendada: ao usar chaves gerenciadas pelo cliente, verifique se os segredos de criptografia não ultrapassam os limites regionais localizando seu serviço de gerenciamento de chaves e VMs na mesma região.
Detail: Quando usar chaves gerenciadas pelo cliente, crie e use um cofre de chaves ou HSM gerenciado que esteja na mesma região que a VM a ser criptografada.
Ao aplicar criptografia no host, você pode atender às seguintes necessidades comerciais:
- As VMs da IaaS são protegidas em repouso por meio da tecnologia de criptografia padrão do setor para atender aos requisitos de segurança e conformidade da organização.
- As VMs de IaaS começam em políticas e chaves controladas pelo cliente e você pode auditar seu uso em seu serviço de gerenciamento de chaves.
Restringir a conectividade direta com a Internet
Monitore e restrinja a conectividade direta com a Internet da VM. Os invasores verificam constantemente os intervalos de IP de nuvem pública em busca de portas de gerenciamento abertas e tentam ataques "fáceis", como senhas comuns e vulnerabilidades não emparelhadas conhecidas. A seguinte tabela lista as melhores práticas para ajudar a proteger contra esses ataques:
Prática recomendada: impedir a exposição inadvertida ao roteamento e à segurança de rede.
Detail: use Azure RBAC para garantir que somente o grupo de rede central tenha permissão para recursos de rede.
Best practice: Identificar e corrigir VMs expostas que permitem acesso de "qualquer" endereço IP de origem.
Detalhe: use o Microsoft Defender para Nuvem. O Microsoft Defender para Nuvem recomenda que você limite o acesso por meio de pontos de extremidade voltados para a Internet se algum de seus grupos de segurança de rede tiver uma ou mais regras de entrada que permitam o acesso de "qualquer" endereço IP de origem. O Defender para Nuvem recomenda que você edite essas regras de entrada para restringir o acesso a endereços IP de origem que realmente precisam de acesso.
Prática recomendada: restringir portas de gerenciamento (RDP, SSH).
Detalhe: Use o acesso just-in-time (JIT) para VMs para bloquear o tráfego de entrada para as suas Azure VMs. Ele reduz a exposição a ataques, fornecendo acesso fácil para se conectar às VMs quando necessário. Quando você habilita o JIT, o Defender para Nuvem bloqueia o tráfego de entrada para suas VMs Azure criando uma regra de grupo de segurança de rede. Selecione as portas na VM para as quais o tráfego de entrada está bloqueado. A solução JIT controla essas portas.
Próximas etapas
Para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando Azure, consulte Azure melhores práticas e padrões de segurança.
Os recursos a seguir fornecem informações mais gerais sobre Azure segurança e serviços relacionados da Microsoft:
- Blog da Equipe de Segurança do Azure – para obter informações atualizadas sobre as novidades mais recentes em Segurança do Azure
- Microsoft Security Response Center - em que você pode relatar vulnerabilidades de segurança da Microsoft, incluindo problemas com Azure ou enviar um email para secure@microsoft.com