Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O modelo de Confiança Zero pressupõe uma violação e verifica cada solicitação como se ela se originasse de uma rede descontrolada. Os serviços de segurança de rede do Azure desempenham um papel fundamental na imposição de princípios de Confiança Zero inspecionando, filtrando e registrando tráfego em log em seu ambiente de nuvem.
As recomendações a seguir ajudam você a avaliar e proteger sua postura de segurança de rede do Azure. Cada recomendação é vinculada a um guia detalhado que descreve a verificação de segurança, seu nível de risco e as etapas de correção.
Dica
Algumas organizações podem tomar estas recomendações exatamente como escritas, enquanto outras podem optar por efetuar modificações com base nas suas próprias necessidades empresariais. Recomendamos que todos os controles a seguir sejam implementados quando aplicável. Esses padrões e práticas ajudam a fornecer uma base para um ambiente de rede seguro do Azure. Serão adicionados mais controlos a este documento ao longo do tempo.
Avaliação automatizada
Verificar manualmente essas diretrizes em relação à configuração do seu ambiente pode ser demorado e propenso a erros. A Avaliação de Confiança Zero transforma este processo com automatização para testar estes itens de configuração de segurança e muito mais. Saiba mais em O que é a Avaliação do Confiança Zero?
Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure protege seus recursos voltados para o público contra ataques de negação de serviço distribuídos. As recomendações a seguir verificam se a proteção contra DDoS está habilitada e monitorada corretamente.
Para obter mais informações, consulte Zero Trust recommendations for Azure DDoS Protection.
| Recomendação | Nível de risco | Impacto ao usuário | Custo de implementação |
|---|---|---|---|
| A Proteção contra DDoS está habilitada para todos os endereços IP públicos em VNets | Alto | Baixo | Baixo |
| As métricas estão habilitadas para IPs públicos protegidos por DDoS | Medium | Baixo | Baixo |
| O registro de diagnóstico está habilitado para IPs públicos protegidos por DDoS | Medium | Baixo | Baixo |
Firewall do Azure
O Firewall do Azure fornece a imposição e o registro em log de políticas de segurança de rede centralizadas em suas redes virtuais. As recomendações a seguir verificam se os recursos de proteção de chave estão ativos.
Para obter mais informações, consulte As recomendações de Confiança Zero para o Firewall do Azure.
| Recomendação | Nível de risco | Impacto ao usuário | Custo de implementação |
|---|---|---|---|
| O tráfego de saída de cargas de trabalho integradas à VNet é roteado por meio do Firewall do Azure | Alto | Baixo | Medium |
| A inteligência de ameaças está habilitada no modo de negação no Azure Firewall | Alto | Baixo | Baixo |
| A inspeção IDPS está habilitada no modo de negação no Azure Firewall | Alto | Baixo | Baixo |
| A inspeção do tráfego TLS de saída está habilitada no Firewall do Azure | Alto | Baixo | Baixo |
| O log de diagnóstico está habilitado no Firewall do Azure | Alto | Baixo | Baixo |
WAF do Gateway do Aplicativo
O Firewall do Aplicativo Web do Azure no Gateway de Aplicativo protege os aplicativos Web contra explorações e vulnerabilidades comuns. As recomendações a seguir verificam se o WAF está configurado e monitorado corretamente.
Para obter mais informações, consulte Zero Trust recommendations for Application Gateway WAF.
| Recomendação | Nível de risco | Impacto ao usuário | Custo de implementação |
|---|---|---|---|
| Application Gateway WAF está habilitado no modo de prevenção | Alto | Baixo | Baixo |
| A inspeção do corpo da solicitação está habilitada no WAF do Gateway de Aplicativos | Alto | Baixo | Baixo |
| O conjunto de regras padrão está habilitado no WAF do Gateway de Aplicativo | Alto | Baixo | Baixo |
| O conjunto de regras de proteção contra bots está habilitado e atribuído no Application Gateway WAF | Alto | Baixo | Baixo |
| As regras de proteção contra DDoS HTTP estão habilitadas no WAF do Gateway de Aplicação | Alto | Baixo | Baixo |
| A limitação de taxa está habilitada no WAF do Gateway de Aplicativo | Alto | Baixo | Medium |
| O desafio JavaScript está habilitado no WAF do Gateway de Aplicativo | Medium | Baixo | Baixo |
| O log de diagnóstico está habilitado no WAF do Gateway de Aplicações | Alto | Baixo | Baixo |
WAF do Azure Front Door
O Firewall do Aplicativo Web do Azure no Front Door protege os aplicativos Web na borda da rede. As recomendações a seguir verificam se o WAF está configurado e monitorado corretamente.
Para obter mais informações, consulte As recomendações de Confiança Zero para o WAF do Azure Front Door.
| Recomendação | Nível de risco | Impacto ao usuário | Custo de implementação |
|---|---|---|---|
| Azure Front Door WAF está habilitado no modo de prevenção | Alto | Baixo | Baixo |
| A inspeção do corpo da requisição está ativada no WAF do Azure Front Door | Alto | Baixo | Baixo |
| O conjunto de regras padrão é atribuído no WAF do Azure Front Door | Alto | Baixo | Baixo |
| O conjunto de regras de proteção de bot está habilitado e atribuído no WAF do Azure Front Door | Alto | Baixo | Baixo |
| A limitação de taxa está habilitada no WAF do Azure Front Door | Alto | Baixo | Medium |
| O desafio JavaScript está habilitado no WAF do Azure Front Door | Medium | Baixo | Baixo |
| O desafio CAPTCHA está habilitado no WAF do Azure Front Door | Medium | Baixo | Baixo |
| O registro de diagnóstico foi habilitado no WAF do Azure Front Door | Alto | Baixo | Baixo |