Proteger seus recursos de rede

Artigo
04/23/2023

O Microsoft Defender para Nuvem analisa continuamente o estado de segurança dos seus recursos do Azure para as práticas recomendadas de segurança de rede. Quando o Defender para Nuvem identifica possíveis vulnerabilidades de segurança, ela cria recomendações que guiam você pelo processo de configuração dos controles necessários para fortalecer e proteger seus recursos.

Para obter uma lista completa das recomendações de rede, confira Recomendações de rede.

Este artigo aborda recomendações que se aplicam a seus recursos do Azure de uma perspectiva de segurança de rede. As recomendações de rede centram-se em firewalls de próxima geração, grupos de segurança de rede, acesso JIT à VM, regras de tráfego de entrada excessivamente permissivas, entre outros. Para obter uma lista de recomendações de rede e ações de correção, consulte Gerenciando recomendações de segurança no Microsoft Defender para Nuvem.

Os recursos de rede do Defender para Nuvem incluem:

Mapa de rede (requer o Plano 2 do Microsoft Defender para Servidores)
Proteção de rede adaptável (requer o Plano 2 do Microsoft Defender para Servidores)
Recomendações de segurança de rede

Ver seus recursos de rede e as recomendações

Na página do inventário de ativos, use o filtro de tipo de recurso para selecionar os recursos de rede que deseja investigar:

Mapa de rede

O mapa de rede interativo fornece uma visualização gráfica com sobreposições de segurança, fornecendo recomendações e insights para proteger seus recursos de rede. Usando o mapa, você pode ver a topologia de rede das cargas de trabalho do Azure, as conexões entre as máquinas virtuais e as sub-redes e a capacidade de detalhar o mapa em recursos específicos e as recomendações desses recursos.

Para abrir o mapa de rede:

No menu do Defender para Nuvem, abra o painel de proteções de carga de trabalho.
Selecionar mapa de rede.

Selecione o menu Camadas e escolha Topologia.

A visualização padrão do mapa de topologia é exibida:

Assinaturas atualmente selecionadas – o mapa é otimizado para as assinaturas que você selecionou no Portal. Se você modificar sua seleção, o mapa será regenerado com as novas seleções.
VMs, sub-redes e VNets do tipo de recurso do Resource Manager (não há suporte para os recursos "clássicos" do Azure)
VNets emparelhadas
Somente recursos que possuem recomendações de rede com alta ou média gravidade
Recursos voltado para Internet

Noções básicas sobre o mapa de rede

O mapa de rede pode mostrar seus recursos do Azure em uma exibição de Topologia e de Tráfego.

O modo de exibição de topologia

Na visualização Topologia do mapa de rede, você pode visualizar os seguintes insights sobre seus recursos de rede:

No círculo interno, você pode ver todas as Vnets dentro de suas assinaturas selecionadas, o próximo círculo é todas as sub-redes, o círculo externo é todas as máquinas virtuais.
As linhas que conectam os recursos no mapa informam quais recursos estão associados entre si e como sua rede do Azure está estruturada.
Use os indicadores de gravidade para obter rapidamente uma visão geral de quais recursos têm recomendações abertas do Defender para Nuvem.
Você pode selecionar qualquer um dos recursos para analisar os detalhes dele e suas recomendações diretamente e no contexto do mapa de rede.
Se houver muitos recursos exibidos no mapa, o Microsoft Defender para Nuvem usará seu algoritmo proprietário para agrupar seus recursos de forma inteligente, destacando os que estão no estado mais crítico e as recomendações de maior gravidade.

Como o mapa é interativo e dinâmico, todos os nós são clicáveis e a exibição pode ser alterada com base nos filtros:

Você pode modificar o que vê no mapa de rede usando os filtros na parte superior. Você pode se concentrar o mapa com base em:
- Integridade da segurança: você pode filtrar o mapa com base na gravidade (alta, média, baixa) dos recursos do Azure.
- Recomendações : você pode selecionar quais recursos são exibidos com base nas recomendações ativas nesses recursos. Por exemplo, você pode exibir apenas os recursos para os quais o Defender para Nuvem recomenda que você ative os Grupos de Segurança de Rede.
- Zonas de rede: por padrão, o mapa exibe apenas recursos voltados para a Internet, você também pode selecionar VMs internas.
Você pode selecionar Redefinir no canto superior esquerdo a qualquer momento para retornar o mapa ao seu estado padrão.

Para fazer drill down em um recurso:

Quando você seleciona um recurso específico no mapa, o painel direito é aberto e fornece informações gerais sobre o recurso, soluções de segurança conectadas, se houver, e as recomendações relevantes para o recurso. É o mesmo tipo de comportamento para cada tipo de recurso que você selecionar.
Ao passar o mouse sobre um nó no mapa, você pode exibir informações gerais sobre o recurso, incluindo assinatura, tipo de recurso e grupo de recursos.
Use o link para ampliar a dica de ferramenta e refocar o mapa nesse nó específico.
Para refocar o mapa de um nó específico, diminua o zoom.

O modo de exibição de tráfego

A visualização Tráfego fornece um mapa de todo o tráfego possível entre seus recursos. Isso fornece um mapa visual de todas as regras configuradas que definem quais recursos podem se comunicar com quem. Isso permite que você veja a configuração existente dos grupos de segurança de rede e identifique rapidamente possíveis configurações de risco em suas cargas de trabalho.

Descubra conexões indesejadas

A força dessa visão está em sua capacidade de mostrar a você essas conexões permitidas junto com as vulnerabilidades existentes, para que você possa usar essa seção transversal de dados para executar o endurecimento necessário em seus recursos.

Por exemplo, você pode detectar duas máquinas que você não sabia que poderiam se comunicar, permitindo isolar melhor as cargas de trabalho e as sub-redes.

Investigar recursos