Compartilhar via

Azure visão geral da segurança operacional

Azure segurança operacional refere-se aos serviços, controles e recursos disponíveis aos usuários para proteger seus dados, aplicativos e outros ativos no Microsoft Azure. É uma estrutura que incorpora o conhecimento adquirido por uma variedade de funcionalidades que são exclusivas à Microsoft. Essas funcionalidades incluem o Microsoft Security Development Lifecycle (SDL), o programa Microsoft Security Response Center e um entendimento profundo do cenário de ameaças à segurança cibernética.

serviços de gerenciamento de Azure

Uma equipe de operações de TI é responsável por gerenciar a infraestrutura do datacenter, os aplicativos e os dados, incluindo a estabilidade e a segurança desses sistemas. No entanto, a obtenção de informações de segurança em ambientes de TI cada vez mais complexos geralmente exige que as empresas reúnam dados de vários sistemas de gerenciamento e segurança.

Microsoft Azure Monitor logs é uma solução de gerenciamento de TI baseada em nuvem que ajuda você a gerenciar e proteger sua infraestrutura local e de nuvem. Sua funcionalidade principal é fornecida pelos serviços a seguir executados em Azure. Azure inclui vários serviços que ajudam você a gerenciar e proteger sua infraestrutura local e de nuvem. Cada serviço fornece uma função de gerenciamento específica. Você pode combinar serviços para obter diferentes cenários de gerenciamento.

Monitor do Azure

Azure Monitor coleta dados de fontes gerenciadas em armazenamentos de dados centrais. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos por meio da API. Depois de coletados, os dados ficam disponíveis para alertas, análise e exportação.

Você pode consolidar dados de uma variedade de fontes e combinar dados de seus serviços de Azure com seu ambiente local existente. Os logs do Azure Monitor também separam claramente a coleta dos dados da ação executada sobre esses dados, de forma que todas as ações estão disponíveis para todos os tipos de dados.

Automação

Azure Automation fornece uma maneira de automatizar as tarefas manuais, de execução longa, propensas a erros e frequentemente repetidas que são normalmente executadas em um ambiente de nuvem e empresarial. Ela poupa tempo e aumenta a confiabilidade de tarefas administrativas. Até mesmo agenda essas tarefas para que sejam executadas automaticamente em intervalos regulares. Você pode automatizar processos usando runbooks ou automatizar o gerenciamento de configuração usando Desired State Configuration.

Backup

Azure Backup é o serviço baseado em Azure que você pode usar para fazer backup (ou proteger) e restaurar seus dados no Microsoft Cloud. Azure Backup substitui sua solução de backup local ou fora do site por uma solução baseada em nuvem confiável, segura e econômica.

Azure Backup oferece componentes que você baixa e implanta no computador ou servidor apropriado ou na nuvem. O componente ou o agente que você implanta depende daquilo que deseja proteger. Todos os componentes Azure Backup (seja você protegendo dados locais ou na nuvem) podem ser usados para fazer backup de dados em um cofre dos Serviços de Recuperação Azure no Azure.

Para obter mais informações, consulte a tabela de componentes Azure Backup.

Site Recovery

Azure Site Recovery fornece continuidade dos negócios orquestrando a replicação de máquinas virtuais e físicas locais para Azure ou para um site secundário. Caso o site primário não esteja disponível, faça failover para o local secundário, de modo que os usuários possam continuar trabalhando. Faça failback quando os sistemas voltarem a funcionar corretamente. Use Microsoft Defender for Cloud para executar uma detecção de ameaças mais inteligente e eficaz.

Microsoft Entra ID

Microsoft Entra ID é um serviço de identidade abrangente que:

  • Habilita o IAM (gerenciamento de identidade e acesso) como um serviço em nuvem.
  • Fornece gerenciamento central de acesso, autenticação única (SSO) e relatórios.
  • Dá suporte ao gerenciamento integrado de acesso para milhares de aplicativos no Azure Marketplace, incluindo Salesforce, Google Apps, Box e Concur.

Microsoft Entra ID também inclui um conjunto completo de capacidades de gerenciamento de identidade, incluindo estes:

Com o Microsoft Entra ID, todos os aplicativos que você publica para seus parceiros e clientes (empresas ou consumidores) têm as mesmas capacidades de identidade e gerenciamento de acesso. Isso permite que você reduza significativamente os custos operacionais.

Microsoft Defender for Cloud

Microsoft Defender for Cloud ajuda você a prevenir, detectar e responder a ameaças com maior visibilidade sobre (e controlar) a segurança de seus recursos Azure. Fornece monitoramento de segurança integrada e gerenciamento de política em suas assinaturas. Ela ajuda a detectar ameaças que poderiam não ser notadas de outra forma e funciona com um amplo ecossistema de soluções de segurança.

Proteja os dados da máquina virtual (VM) no Azure, fornecendo visibilidade das configurações de segurança da sua máquina virtual e monitorando ameaças. O Defender para a Nuvem pode monitorar suas máquinas virtuais para as:

  • Configurações de segurança do sistema operacional com as regras de configuração recomendadas.
  • Atualizações críticas e de segurança do sistema que estão ausentes.
  • Recomendações de proteção de ponto de extremidade.
  • Validação de criptografia de disco.
  • Ataques baseados em rede.

O Defender para Nuvem usa controle de acesso baseado em função do Azure (Azure RBAC). Azure RBAC fornece funções compiladas que podem ser atribuídas a usuários, grupos e serviços em Azure.

O Defender para Nuvem avalia a configuração de seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender para Nuvem, você vê apenas as informações relacionadas a um recurso quando for atribuído à função de proprietário, colaborador ou leitor da assinatura ou do grupo de recursos ao qual o recurso pertence.

Observação

Para saber mais sobre funções e ações permitidas no Defender para Nuvem, consulte Permissions no Microsoft Defender for Cloud.

O Defender para Nuvem usa o Microsoft Monitoring Agent. Esse é o mesmo agente que o serviço Azure Monitor usa. Os dados coletados desse agente são armazenados em um workspace existente do Log Analytics associado à sua assinatura do Azure ou a um novo workspace, levando em conta a geolocalização da VM.

Monitor do Azure

Problemas de desempenho em seu aplicativo de nuvem podem afetar seus negócios. Com diversos componentes interconectados e frequentes lançamentos, degradações podem ocorrer a qualquer momento. E se você estiver desenvolvendo um aplicativo, seus usuários normalmente descobrirão problemas que você não encontrou durante os testes. Você deve tomar conhecimento dessas questões imediatamente e ter ferramentas para diagnosticar e corrigir os problemas.

Azure Monitor é uma ferramenta básica para monitorar serviços em execução no Azure. Ele fornece dados de nível da infraestrutura sobre a taxa de transferência de um serviço e o ambiente em redor. Se você estiver gerenciando seus aplicativos em Azure e decidindo se deseja escalar ou reduzir os recursos, Azure Monitor será o local para começar.

Use também os dados de monitoramento para obter mais insights sobre seu aplicativo. Esse conhecimento pode ajudá-lo a melhorar o desempenho ou a capacidade de manutenção do aplicativo ou automatizar ações que normalmente exigiriam intervenção manual.

Azure Monitor inclui os seguintes componentes.

log de atividades do Azure

O log de atividades Azure fornece informações sobre as operações executadas em recursos em sua assinatura. Ele era conhecido como "Log de Auditoria" ou "Log Operacional", pois relata eventos de plano de controle de suas assinaturas.

os logs de diagnóstico do Azure

Logs de diagnóstico do Azure são emitidos por um recurso e fornecem dados ricos e frequentes sobre a operação desse recurso. O conteúdo desses logs varia de acordo com o tipo de recurso.

Os logs do sistema de eventos do Windows são uma categoria de logs de diagnóstico para VMs. Os logs de blob, tabela e fila são categorias de logs de diagnóstico para contas de armazenamento.

Os logs de diagnóstico diferem do Activity Log. O Log de Atividades fornece informações sobre as operações executadas em recursos em sua assinatura. Os logs de diagnóstico fornecem insights sobre as operações que o recurso executou por conta própria.

Métricas

Azure Monitor fornece telemetria que fornece visibilidade sobre o desempenho e a integridade de suas cargas de trabalho em Azure. O tipo mais importante de dados de telemetria do Azure são as métricas (também chamadas de contadores de desempenho) emitidas pela maioria dos recursos do Azure. Azure Monitor fornece várias maneiras de configurar e consumir essas métricas para monitoramento e solução de problemas.

Azure diagnostics

Azure Diagnostics habilita a coleta de dados de diagnóstico em um aplicativo implantado. Use a extensão de Diagnóstico em várias fontes. Atualmente, há suporte para funções de serviço em nuvem do Azure, máquinas virtuais do Azure executando Microsoft Windows e o Service Fabric do Azure.

Azure Network Watcher

Os clientes criam uma rede de ponta a ponta em Azure orquestrando e redigindo recursos de rede individuais, como redes virtuais, Azure ExpressRoute, Azure Application Gateway e balanceadores de carga. O monitoramento está disponível em cada um dos recursos da rede.

A rede de ponta a ponta pode ter configurações complexas e interações entre recursos. O resultado são cenários complexos que precisam de monitoramento baseado em cenário por meio de Azure Network Watcher.

Network Watcher simplifica o monitoramento e o diagnóstico da rede Azure. Você pode usar as ferramentas de diagnóstico e visualização no Network Watcher para:

  • Faça capturas de pacotes remotos em uma máquina virtual Azure.
  • Obter insights sobre o tráfego de rede usando os logs de fluxo.
  • Diagnosticar Azure VPN Gateway e conexões.

Network Watcher atualmente tem os seguintes recursos:

  • Topologia: fornece uma exibição das várias interconexões e associações entre os recursos de rede em um grupo de recursos.
  • Captura de pacote variável: captura os dados do pacote dentro e fora de uma máquina virtual. As opções avançadas de filtragem e os controles ajustados, como o recurso de definir o tempo e as limitações de tamanho, fornecem versatilidade. Os dados do pacote podem ser armazenados em um armazenamento de blobs ou no disco local no formato .cap.
  • Verificação de fluxo de IP: verifica se um pacote é permitido ou negado com base nos parâmetros do pacote de 5 tuplas das informações do fluxo (IP de destino, IP de origem, porta de destino, porta de origem e protocolo). Se um grupo de segurança nega o pacote, a regra e o grupo que negaram o pacote são retornados.
  • Próximo salto: Determina o próximo salto para pacotes que estão sendo roteados na malha de rede do Azure, para diagnosticar qualquer rota definida pelo usuário que esteja incorreta.
  • Exibição do grupo de segurança: obtém as regras de segurança em vigor e aplicadas que são aplicadas em uma VM.
  • Logs de fluxo do NSG para grupos de segurança de rede: permitem capturar os logs relacionados ao tráfego que é permitido ou negado pelas regras de segurança no grupo. O fluxo é definido por informações de 5 tuplas: IP de origem, IP de destino, porta de origem, porta de destino e protocolo.
  • Gateway de rede virtual e solução de problemas de conexão: oferece a capacidade de solucionar problemas em gateways de rede virtual e conexões.
  • Limites de assinatura da rede: permite exibir o uso dos recursos de rede em relação aos limites.
  • Logs de diagnóstico: fornece um só painel para habilitar ou desabilitar os logs de diagnóstico para os recursos de rede em um grupo de recursos.

Para obter mais informações, consulte Configure Network Watcher.

Transparência de acesso do provedor de serviços de nuvem

Customer Lockbox for Microsoft Azure é um serviço integrado ao Portal do Azure que fornece controle explícito no raro caso em que um Engenheiro de Suporte da Microsoft possa precisar acessar seus dados para resolver um problema. Isso ocorre em pouquíssimos casos, como quando há um problema de acesso remoto de depuração, quando um engenheiro do Suporte da Microsoft precisa de permissões elevadas para resolver esse problema. Nesses casos, os engenheiros da Microsoft usam o serviço de acesso just-in-time que fornece autorização limitada e restrita por tempo, com acesso limitado somente ao serviço.
Embora a Microsoft sempre tenha obtido o consentimento do cliente para acesso, o Customer Lockbox agora oferece a você a capacidade de examinar e aprovar ou negar essas solicitações do portal do Azure. Os engenheiros de suporte da Microsoft não receberão acesso até que você aprove o pedido.

Implantações padronizadas e compatíveis

Azure Blueprints permitem que arquitetos de nuvem e grupos centrais de tecnologia da informação definam um conjunto repetível de recursos Azure que implementam e aderem aos padrões, padrões e requisitos de uma organização.
Isso possibilita que equipes do DevOps criem e configurem rapidamente novos ambientes e saibam que os estão criando com uma infraestrutura que mantém a conformidade organizacional. Os blueprints fornecem uma maneira declarativa de orquestrar a implantação de vários modelos de recursos e outros artifacts como:

  • Atribuições de Funções
  • Atribuições de Políticas
  • modelos de Azure Resource Manager
  • Grupos de recursos

DevOps

Antes do desenvolvimento de aplicativos de Developer Operations (DevOps), as equipes eram responsáveis por coletar requisitos empresariais para um programa de software e escrever código. Em seguida, uma equipe separada de garantia de qualidade testava o programa em um ambiente de desenvolvimento isolado. Se os requisitos fossem atendidos, a equipe de garantia de qualidade liberaria o código para ser implantado pelas operações. As equipes de implantação eram ainda fragmentadas em grupos como rede e banco de dados. Sempre que um programa de software era passado para uma equipe independente, isso gerava gargalos.

O DevOps permite que as equipes entreguem soluções mais seguras e de melhor qualidade com mais agilidade e economia. Os clientes esperam uma experiência dinâmica e confiável ao consumir serviços e software. As equipes precisam iterar com agilidade pelas atualizações de software e avaliar o impacto das atualizações. Elas precisam responder rapidamente com novas iterações de desenvolvimento para resolver problemas ou oferecer mais valor.

Plataformas de nuvem como a Microsoft Azure removeram gargalos tradicionais e ajudaram a melhorar a infraestrutura. Softwares estão presentes em todas as empresas como o principal diferencial nos resultados dos negócios. Nenhuma organização, desenvolvedor ou trabalhador de TI pode ou deve evitar o movimento do DevOps.

Os profissionais de DevOps experientes adotam várias das práticas a seguir. Essas práticas envolvem pessoas para formar estratégias com base em cenários de negócios. As ferramentas podem ajudar a automatizar as várias práticas.

  • Planejamento ágil e gerenciamento de projetos são usados para planejar e isolar o trabalho em sprints, gerenciar a capacidade da equipe e ajudar as equipes a se adaptarem rapidamente às mudanças nas necessidades de negócios.
  • O controle de versão, geralmente com Git, permite que equipes localizadas em qualquer lugar do mundo compartilhem fontes e integrem a ferramentas de desenvolvimento de software para automatizar o pipeline da versão.
  • A integração contínua conduz a mesclagem contínua e o teste do código, o que permite a localização antecipada dos defeitos. Outros benefícios incluem menos tempo gasto no combate a problemas de mesclagem e o recebimento de comentários rapidamente as para equipes de desenvolvimento.
  • A entrega contínua de soluções de software para ambientes de produção e teste ajuda as organizações a corrigir bugs rapidamente e atender aos requisitos de negócios em constante mudança.
  • O monitoramento dos aplicativos em execução – incluindo ambientes de produção para a integridade do aplicativo, assim como o uso do cliente – ajuda as organizações a formular uma hipótese e validar ou refutar rapidamente as estratégias. Dados avançados são capturados e armazenados em vários formatos de log.
  • Infrastructure as Code (IaC) é uma prática que permite a automação e a validação da criação e da desmontagem de redes e máquinas virtuais para ajudar a fornecer plataformas de hospedagem de aplicativos seguras e estáveis.
  • A arquitetura de microsserviços é usada para isolar casos de uso de negócios em serviços menores reutilizáveis. Essa arquitetura oferece eficiência e escalabilidade.

Próximas etapas

Para saber mais sobre a solução de Segurança e Auditoria, consulte os seguintes artigos:

  • Last updated on