Criar a primeira camada de defesa com os serviços de Segurança do Azure

Você pode criar uma infraestrutura de TI inteira para executar sua organização usando vários serviços do Azure. O Azure também oferece serviços de segurança para proteger sua infraestrutura. Usando os serviços de segurança do Azure, você pode melhorar a postura de segurança do seu ambiente de TI. Você pode mitigar vulnerabilidades e evitar violações implementando uma solução bem arquitetada que siga as recomendações da Microsoft.

Alguns serviços de segurança incorrem em taxas, enquanto outros não têm custos adicionais. Os serviços gratuitos incluem NSGs (grupos de segurança de rede), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e muitos outros. Este artigo aborda esses serviços.

Este artigo é o terceiro de uma série de cinco. Para revisar os dois artigos anteriores desta série, incluindo a introdução e uma revisão de como você pode mapear ameaças contra um ambiente de TI, consulte os seguintes artigos:

• Usar o monitoramento do Azure para integrar componentes de segurança
• Mapear ameaças ao seu ambiente de TI

Possíveis casos de uso

Este artigo apresenta os serviços de segurança do Azure de acordo com cada serviço do Azure. Dessa forma, você pode pensar em uma ameaça específica contra o recurso – uma VM (máquina virtual), um sistema operacional, uma rede do Azure, um aplicativo – ou um ataque que pode comprometer usuários e senhas. Em seguida, use o diagrama neste artigo para ajudar você a entender quais serviços de segurança do Azure usar para proteger recursos e identidades de usuário contra esse tipo de ameaça.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

A camada de segurança do Azure neste diagrama é baseada no ASB (Azure Security Benchmark.) v3, que é um conjunto de regras de segurança implementadas por meio de políticas do Azure. O ASB é baseado em uma combinação de regras do CIS Center for Internet Security e do National Institute of Standards and Technology. Para obter mais informações sobre o ASB, consulte Visão geral do Azure Security Benchmark v3.

O diagrama não contém todos os serviços de segurança do Azure disponíveis, mas mostra os serviços de segurança mais usados pelas organizações. Todos os serviços de segurança identificados no diagrama de arquitetura podem trabalhar juntos em qualquer combinação de acordo com seu ambiente de TI e os requisitos de segurança de sua organização.

Workflow

Esta seção descreve os componentes e serviços que aparecem no diagrama. Muitos deles são rotulados com seus códigos de controle ASB, além de seus rótulos abreviados. Os códigos de controle correspondem aos domínios de controle listados em Controles.

1. AZURE SECURITY BENCHMARK

   Cada controle de segurança refere-se a um ou mais serviços de segurança específicos do Azure. A referência de arquitetura neste artigo mostra alguns deles e seus números de controle de acordo com a documentação do ASB. Os controles incluem:

   • Segurança de rede
   • Gerenciamento de identidades
   • Acesso privilegiado
   • Proteção de dados
   • Gerenciamento de ativos
   • Registro em log e detecção de ameaças
   • Resposta a incidentes
   • Gerenciamento de vulnerabilidades e postura
   • Segurança do ponto de extremidade
   • Backup e recuperação
   • Segurança de DevOps
   • Governança e estratégia

   Para obter mais informações sobre os controles de segurança, consulte Visão geral do Azure Security Benchmark (v3).

2. REDE

   A tabela a seguir descreve os serviços de rede no diagrama.

   Etiqueta	Descrição	Documentação
   NSG	Um serviço gratuito que você anexa a uma interface de rede ou sub-rede. Um NSG permite filtrar o tráfego do protocolo TCP ou UDP usando intervalos de endereços IP e portas para conexões de entrada e saída.	Grupos de segurança de rede
   VPN	Um gateway de VPN (rede virtual privada) que fornece um túnel com proteção IPSEC (IKE v1/v2).	Gateway de VPN
   FIREWALL DO AZURE	Uma PaaS (plataforma como serviço) que oferece proteção na camada 4 e está conectada a uma rede virtual inteira.	O que é o Firewall do Azure?
   APLICATIVO GW + WAF	Gateway de Aplicativo do Azure com WAF (Firewall do Aplicativo Web) O Gateway de Aplicativo é um balanceador de carga para tráfego da Web que funciona na camada 7 e adiciona WAF para proteger aplicativos que usam HTTP e HTTPS.	O que é o Gateway de Aplicativo do Azure?
   NVA	A NVA (Solução de Virtualização de Rede), um serviço de segurança virtual do mercado provisionado em VMs no Azure.	Soluções de virtualização de rede
   DDOS	Proteção contra DDoS implementada na rede virtual para ajudar você a mitigar diferentes tipos de ataques contra DDoS.	Visão geral da Proteção de Rede contra DDoS do Azure
   TLS/SSL	O TLS/SSL fornece criptografia em trânsito para a maioria dos serviços do Azure que trocam informações, como o Armazenamento do Azure e os Aplicativos Web.	Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell
   LINK PRIVADO	Serviço que permite criar uma rede privada para um serviço do Azure que inicialmente é exposto à Internet.	O que é o Link Privado do Azure?
   PONTO DE EXTREMIDADE PRIVADO	Cria uma interface de rede e a anexa ao serviço do Azure. O Ponto de Extremidade Privado faz parte do Link Privado. Essa configuração permite que o serviço, usando um ponto de extremidade privado, faça parte da sua rede virtual.	O que é um ponto de extremidade privado?

3. INFRAESTRUTURA E PONTOS DE EXTREMIDADE

   A tabela a seguir descreve a infraestrutura e os serviços de ponto de extremidade mostrados no diagrama.

   Etiqueta	Descrição	Documentação
   BASTION	O Bastion fornece funcionalidade de servidor de salto. Esse serviço permite que você acesse suas VMs por meio de protocolo RDP (Remote Desktop Protocol) ou SSH sem expor suas VMs à Internet.	O que é o Azure Bastion?
   ANTIMALWARE	O Microsoft Defender fornece serviço antimalware e faz parte do Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019.	Microsoft Defender Antivirus no Windows
   CRIPTOGRAFIA DE DISCO	A Criptografia de Disco permite criptografar o disco de uma VM.	Azure Disk Encryption para VMs do Windows
   KEYVAULT	Key Vault, um serviço para armazenar chaves, segredos e certificados com FIPS 140-2 Nível 2 ou 3.	Conceitos básicos do Azure Key Vault
   SHORT RDP	Shortpath RDP da Área de Trabalho Virtual do Azure Esse recurso permite que usuários remotos se conectem ao serviço de Área de Trabalho Virtual de uma rede privada.	Shortpath de RDP da Área de Trabalho Virtual do Azure para redes gerenciadas
   CONEXÃO REVERSA	Um recurso de segurança interno da Área de Trabalho Virtual do Azure. A conexão reversa garante que os usuários remotos recebam apenas fluxos de pixels e não alcancem as VMs do host.	Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure

4. APLICATIVO E DADOS

   A tabela a seguir descreve o aplicativo e os serviços de dados mostrados no diagrama.

   Etiqueta	Descrição	Documentação
   FRONTDOOR + WAF	Uma CDN (rede de distribuição de conteúdo). O Front Door combina vários pontos de presença para oferecer uma melhor conexão para os usuários que acessam o serviço e adiciona WAF.	O que é o Azure Front Door?
   GERENCIAMENTO DE API	Um serviço que fornece segurança para chamadas de API e gerencia APIs em ambientes.	Sobre o Gerenciamento de API
   TESTE PENTEST	Um conjunto de práticas recomendadas para executar um teste de penetração em seu ambiente, incluindo recursos do Azure.	Teste de penetração
   TOKEN SAS DE ARMAZENAMENTO	Um token de acesso compartilhado para permitir que outras pessoas acessem sua conta de armazenamento do Azure.	Conceder acesso limitado aos recursos de Armazenamento do Azure usando as SAS (assinaturas de acesso compartilhado)
   PONTO DE EXTREMIDADE PRIVADO	Crie uma interface de rede e anexe-a à sua conta de armazenamento para configurá-la em uma rede privada no Azure.	Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure
   FIREWALL DE ARMAZENAMENTO	O firewall que permite definir um intervalo de endereços IP que podem acessar sua conta de armazenamento.	Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure
   CRIPTOGRAFIA (Armazenamento do Microsoft Azure)	Protege sua conta de armazenamento com criptografia em repouso.	Criptografia do Armazenamento do Azure para dados em repouso
   AUDITORIA SQL	Rastreia eventos de banco de dados e os grava em um log de auditoria na conta de armazenamento do Azure.	Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics
   AVALIAÇÃO DE VULNERABILIDADES	Serviço que ajuda você a descobrir, rastrear e corrigir possíveis vulnerabilidades de banco de dados.	A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados
   CRIPTOGRAFIA (SQL do Azure)	A TDE (Transparent Data Encryption) ajuda a proteger os serviços de banco de dados SQL do Azure ao criptografar os dados em repouso.	Transparent Data Encryption para Banco de Dados SQL, Instância Gerenciada de SQL e Azure Synapse Analytics

5. IDENTITY

   A tabela a seguir descreve os serviços de identidade mostrados no diagrama.

   Etiqueta	Descrição	Documentação
   RBAC	O controle de acesso baseado em função do Azure (RBAC do Azure) ajuda você a gerenciar o acesso aos serviços do Azure usando permissões granulares baseadas nas credenciais do Microsoft Entra dos usuários.	O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
   MFA	A autenticação multifator oferece tipos adicionais de autenticação além de nomes de usuário e senhas.	Como isso funciona: Autenticação multifator do Microsoft Entra
   PROTEÇÃO DE ID	O Identity Protection, um serviço de segurança do Microsoft Entra ID, analisa trilhões de sinais por dia para identificar e proteger os usuários contra ameaças.	O que é proteção de identidade?
   PIM	PIM (Privileged Identity Management), um serviço de segurança do Microsoft Entra ID. Ele ajuda você a fornecer privilégios de superusuário temporariamente para o Microsoft Entra ID (por exemplo, Administrador Global) e assinaturas do Azure (por exemplo, proprietário ou colaborador).	O que é o Privileged Identity Management do Microsoft Entra?
   ACESSO CONDICIONAL	O Acesso Condicional é um serviço de segurança inteligente que usa políticas definidas por você para várias condições para bloquear ou conceder acesso aos usuários.	O que é Acesso Condicional?

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

• Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

• A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

• O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

• As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

• O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

• A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

• O Aplicativos Web do Serviço de Aplicativo é um serviço com base em HTTP para hospedagem de aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

• O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

• O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Rudnei Oliveira | Engenheiro Sênior de Clientes

Outros colaboradores:

• Gary Moore | Programador/escritor
• Andrew Nathan | Gerente Sênior de Engenharia de Clientes

Próximas etapas

A Microsoft tem mais documentação que pode ajudá-lo a proteger seu ambiente de TI, e os seguintes artigos podem ser particularmente úteis:

• Segurança no Microsoft Cloud Adoption Framework para Azure. O Cloud Adoption Framework fornece diretrizes de segurança para seu percurso na nuvem ao esclarecer os processos, as melhores práticas, os modelos e a experiência.
• Microsoft Azure Well-Architected Framework. O Azure Well-Architected Framework é um conjunto de princípios de orientação que você pode usar para aprimorar a qualidade de uma carga de trabalho. A estrutura se baseia em cinco pilares: confiabilidade, segurança, otimização de custos, excelência operacional e eficiência de desempenho.
• Melhores práticas de segurança da Microsoft. As Melhores Práticas de Segurança da Microsoft (anteriormente conhecidas como Azure Security Compass ou Microsoft Security Compass) são uma coleção de melhores práticas que fornecem diretrizes acionáveis claras para decisões relacionadas à segurança.
• Arquiteturas de Referência de Segurança Cibernética da Microsoft (MCRA). MCRA é uma compilação de várias arquiteturas de referência de segurança da Microsoft.

Nos recursos a seguir, você pode encontrar mais informações sobre os serviços, tecnologias e terminologias mencionados neste artigo:

• O que são nuvens públicas, privadas e híbridas?
• Visão geral do Azure Security Benchmark (v3)
• Adotar a segurança proativa com Confiança Zero
• Informações de assinatura do Microsoft 365
• Microsoft Defender XDR

Recursos relacionados

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série:

• Parte 1: Usar o monitoramento do Azure para integrar componentes de segurança
• Parte 2: Mapear ameaças para seu ambiente de TI
• Parte 4: Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR
• Parte 5: Integração entre serviços de segurança do Azure e do Microsoft Defender XDR