Compartilhar via


Visão geral da segurança de rede do Azure

A segurança de rede pode ser definida como o processo de proteção de recursos contra acesso ou ataque não autorizado, aplicando controles ao tráfego de rede. A meta é garantir que somente o tráfego legítimo tenha permissão. O Azure inclui uma infraestrutura de rede robusta para dar suporte aos requisitos de conectividade de aplicativos e serviços. A conectividade de rede é possível entre recursos localizados no Azure, entre recursos locais e hospedados no Azure e de e para a Internet e o Azure.

Este artigo aborda algumas das opções que o Azure oferece na área de segurança de rede. Você pode aprender sobre:

  • Rede do Azure
  • Controle de acesso à rede
  • Firewall do Azure
  • Acesso remoto seguro e conectividade entre locais
  • Disponibilidade
  • Resolução de nomes
  • Arquitetura de rede de perímetro (DMZ)
  • Proteção contra DDoS do Azure
  • Porta de Entrada do Azure
  • Gerenciador de tráfego
  • Monitoramento e detecção de ameaças

Anotação

Para cargas de trabalho da Web, recomendamos fortemente a utilização da proteção contra DDoS do Azure e de um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é implantar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção contra ataques DDoS em nível de rede na plataforma.

Rede do Azure

O Azure exige que as máquinas virtuais estejam conectadas a uma Rede Virtual do Azure. Uma rede virtual é um constructo lógico criado sobre a estrutura de rede física do Azure. Cada rede virtual é isolada de todas as outras redes virtuais. Isso ajuda a garantir que o tráfego de rede em suas implantações não seja acessível a outros clientes do Azure.

Saiba mais:

Controle de acesso à rede

O controle de acesso à rede é o ato de limitar a conectividade de e para dispositivos ou sub-redes específicos em uma rede virtual. O objetivo do controle de acesso à rede é limitar o acesso às suas máquinas virtuais e serviços a usuários e dispositivos aprovados. Os controles de acesso são baseados em decisões de permitir ou negar conexões de e para a sua máquina virtual ou serviço.

O Azure dá suporte a vários tipos de controle de acesso à rede, como:

  • Controle da camada de rede
  • Controle de rota e túnel forçado
  • Dispositivos de segurança de rede virtual

Controle da camada de rede

Qualquer implantação segura requer algum controle de acesso à rede. O objetivo do controle de acesso à rede é restringir a comunicação da máquina virtual aos sistemas necessários. Outras tentativas de comunicação são bloqueadas.

Anotação

Os Firewalls de Armazenamento são abordados no artigo Visão geral da segurança do armazenamento do Azure

Regras de segurança de rede (NSGs)

Se você precisar de controle de acesso básico em nível de rede (com base no endereço IP e nos protocolos TCP ou UDP), poderá usar Grupos de Segurança de Rede (NSGs). Um NSG é um firewall básico, com estado, de filtragem de pacotes, que permite controlar o acesso com base em um 5 tuplas. Os NSGs incluem funcionalidades para simplificar o gerenciamento e reduzir as chances de erros de configuração:

  • Regras de segurança aprimoradas simplificam a definição de regras de NSG e permitem criar regras complexas em vez de ter que criar várias regras simples para obter o mesmo resultado.
  • Marcas de serviço são rótulos criados pela Microsoft que representam um grupo de endereços IP. Elas são atualizadas dinamicamente para incluir intervalos de IP que atendem às condições que definem a inclusão no rótulo. Por exemplo, se você quiser criar uma regra que se aplique a todo o armazenamento do Azure na região leste, poderá usar Storage.EastUS
  • Grupos de segurança de aplicativos permitem implantar recursos em grupos de aplicativos e controlar o acesso a esses recursos criando regras que usam esses grupos de aplicativos. Por exemplo, se você tiver servidores Web implantados no grupo de aplicativos 'Servidores Web', poderá criar uma regra que aplique um NSG permitindo o tráfego 443 da Internet para todos os sistemas no grupo de aplicativos 'Servidores Web'.

Os NSGs não fornecem inspeção de camada de aplicativo ou controles de acesso autenticado.

Saiba mais:

Acesso à VM just-in-time do Defender para Nuvem

O Microsoft Defender para Nuvem pode gerenciar os NSGs nas VMs e bloquear o acesso à VM até um usuário com permissões apropriadas de RBAC do Azure de controle de acesso baseado em função do Azure solicitar acesso. Quando o usuário é autorizado com sucesso, o Microsoft Defender para Nuvem faz modificações NSGs a fim de permitir o acesso a portas selecionadas durante o tempo especificado. Quando o tempo expira, os NSGs são restaurados ao estado seguro anterior.

Saiba mais:

Pontos de extremidade de serviço

Os pontos de extremidade de serviço são outra maneira de aplicar controle sobre o tráfego. Você pode limitar a comunicação com serviços com suporte apenas às suas VNets por meio de uma conexão direta. O tráfego da sua VNet para o serviço do Azure especificado permanece na rede de backbone do Microsoft Azure.

Saiba mais:

Controle de rota e túnel forçado

A capacidade de controlar o comportamento de roteamento em suas redes virtuais é fundamental. Se o roteamento estiver configurado incorretamente, os aplicativos e serviços hospedados na sua máquina virtual poderão se conectar a dispositivos não autorizados, incluindo sistemas de propriedade e operação de possíveis invasores.

A rede do Azure dá suporte à capacidade de personalizar o comportamento de roteamento para o tráfego de rede em suas redes virtuais. Isso permite alterar as entradas padrão da tabela de roteamento na sua rede virtual. O controle do comportamento de roteamento ajuda a garantir que todo o tráfego de um determinado dispositivo ou grupo de dispositivos entre ou saia da rede virtual por meio de um local específico.

Por exemplo, você pode ter um dispositivo de segurança de rede virtual na sua rede virtual. Você quer garantir que todo o tráfego de e para a rede virtual passe por esse dispositivo de segurança virtual. Você pode fazer isso configurando Rotas Definidas pelo Usuário (UDRs) no Azure.

Túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na internet. Observe que isso é diferente de aceitar conexões recebidas e então respondê-las. Os servidores Web front-end precisam responder a solicitações de hosts da internet, portanto, o tráfego proveniente da internet tem permissão de entrada para esses servidores Web, que podem responder.

O que você não deve permitir é que um servidor Web front-end inicie uma solicitação de saída. Essas solicitações podem representar um risco de segurança, pois essas conexões podem ser usadas para baixar malware. Mesmo que você queira que esses servidores front-end iniciem solicitações de saída para a internet, talvez queira forçá-los a passar pelos proxies Web locais. Isso permite que você usufrua de filtragem de URL e registro em log.

Em vez disso, use o túnel forçado para impedir isso. Quando você habilita o túnel forçado, todas as conexões com a internet são forçadas a passar pelo gateway local. Você pode configurar o túnel forçado aproveitando as vantagens de UDRs.

Saiba mais:

Dispositivos de segurança de rede virtual

Embora NSGs, UDRs e túnel forçado forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, talvez você também queira habilitar a segurança na camada de aplicativo.

Por exemplo, seus requisitos de segurança podem incluir:

  • Autenticação e autorização antes de permitir o acesso ao aplicativo
  • Detecção e resposta a intrusões
  • Inspeção da camada de aplicativo para protocolos de alto nível
  • Filtragem de URL
  • Antivírus e Antimalware de nível de rede
  • Proteção contra bots
  • Controle de acesso do aplicativo
  • Proteção adicional contra DDoS (além da proteção contra DDoS fornecida pela própria malha do Azure)

Você pode acessar esses recursos avançados de segurança de rede usando uma solução de parceiros do Azure. Você pode encontrar as soluções de segurança de rede de parceiros do Azure mais atuais visitando o Azure Marketplace e pesquisando "segurança" e "segurança de rede".

Firewall do Azure

O Firewall do Azure é um serviço de segurança de firewall de rede nativo de nuvem e inteligente que oferece proteção contra ameaças para suas cargas de trabalho em nuvem em execução no Azure. É um firewall totalmente com estado como serviço, com alta disponibilidade interna e escalabilidade ilimitada na nuvem. O Firewall do Azure inspeciona o tráfego leste-oeste e norte-sul.

O Firewall do Azure está disponível em três SKUs: Básico, Standard e Premium.

  • Firewall do Azure Básico oferece segurança simplificada semelhante à SKU Standard, mas sem recursos avançados.
  • Firewall do Azure Standard fornece filtragem L3-L7 e feeds de inteligência contra ameaças diretamente da Segurança Cibernética da Microsoft.
  • Firewall do Azure Premium inclui funcionalidades avançadas, como IDPS baseado em assinatura para rápida detecção de ataques, identificando padrões específicos.

Saiba mais:

Acesso remoto seguro e conectividade entre locais

A configuração e o gerenciamento dos recursos do Azure precisam ser feitos remotamente. Além disso, talvez você queira implantar soluções híbridas de TI que tenham componentes locais e na nuvem pública do Azure. Esses cenários exigem acesso remoto seguro.

A rede do Azure dá suporte aos seguintes cenários de acesso remoto seguro:

  • Conectar estações de trabalho individuais a uma rede virtual
  • Conectar sua rede local a uma rede virtual com uma VPN
  • Conectar sua rede local a uma rede virtual com um link WAN dedicado
  • Conectar redes virtuais entre si

Conectar estações de trabalho individuais a uma rede virtual

Talvez você queira habilitar desenvolvedores ou operadores individuais para gerenciar máquinas virtuais e serviços no Azure. Por exemplo, se você precisar de acesso a uma máquina virtual em uma rede virtual, mas sua política de segurança proibir o acesso remoto RDP ou SSH a máquinas virtuais individuais, será possível usar uma conexão VPN ponto a site.

Uma conexão VPN ponto a site permite estabelecer uma conexão privada e segura entre o usuário e a rede virtual. Depois que a conexão VPN é estabelecida, o usuário pode usar RDP ou SSH pelo link VPN em qualquer máquina virtual na rede virtual, desde que esteja autenticado e autorizado. A VPN ponto a site dá suporte a:

  • Secure Sockets Tunneling Protocol (SSTP): um protocolo VPN proprietário baseado em SSL que pode penetrar em firewalls, pois a maioria dos firewalls abre a porta TCP 443, usada pelo TLS/SSL. O SSTP tem suporte em dispositivos Windows (Windows 7 e posterior).
  • VPN IKEv2: uma solução VPN IPsec baseada em padrões que pode ser usada para conectar dispositivos Mac (versões do OSX 10.11 e superiores).
  • Protocolo OpenVPN: um protocolo VPN baseado em SSL/TLS que pode penetrar em firewalls, pois a maioria dos firewalls abre a porta TCP 443 de saída, usada pelo TLS. O OpenVPN pode ser usado para se conectar a partir de dispositivos Android, iOS (versões 11.0 e superiores), Windows, Linux e Mac (versões do macOS 10.13 e superiores). As versões com suporte são TLS 1.2 e TLS 1.3 com base no handshake TLS.

Saiba mais:

Conectar sua rede local a uma rede virtual com um Gateway de VPN

Para conectar toda a sua rede corporativa ou segmentos específicos a uma rede virtual, considere usar uma VPN site a site. Essa abordagem é comum em cenários de TI híbrida em que partes de um serviço são hospedadas no Azure e localmente. Por exemplo, você pode ter servidores Web front-end no Azure e bancos de dados back-end locais. As VPNs site a site aprimoram a segurança do gerenciamento de recursos do Azure e possibilitam cenários como a extensão de controladores de domínio do Active Directory para o Azure.

Uma VPN site a site difere de uma VPN ponto a site, pois conecta uma rede inteira (como a sua rede local) a uma rede virtual, em vez de apenas um único dispositivo. As VPNs site a site usam o protocolo de VPN de modo de túnel IPsec altamente seguro para estabelecer essas conexões.

Saiba mais:

As conexões VPN ponto a site e site a site são úteis para habilitar a conectividade entre locais. No entanto, elas têm algumas limitações:

  • As conexões VPN transmitem dados pela Internet, expondo-os a potenciais riscos de segurança associados a redes públicas. Além disso, a confiabilidade e a disponibilidade das conexões de Internet não podem ser garantidas.
  • Conexões VPN a redes virtuais podem não fornecer largura de banda suficiente para determinados aplicativos, normalmente atingindo no máximo cerca de 200 Mbps.

Para organizações que exigem os mais altos níveis de segurança e disponibilidade para suas conexões entre locais, links WAN dedicados são frequentemente preferenciais. O Azure oferece soluções como ExpressRoute, ExpressRoute Direct e Alcance Global do ExpressRoute para facilitar essas conexões dedicadas entre sua rede local e redes virtuais do Azure.

Saiba mais:

Conectar redes virtuais entre si

É possível usar várias redes virtuais nas suas implantações por vários motivos, como simplificar o gerenciamento ou aumentar a segurança. Independentemente da motivação, pode haver momentos em que você deseja que os recursos em diferentes redes virtuais se conectem entre si.

Uma opção é fazer com que os serviços de uma rede virtual se conectem a serviços de outra rede virtual "fazendo um loop de volta" pela internet. Isso significa que a conexão começa em uma rede virtual, passa pela internet e, em seguida, chega à rede virtual de destino. No entanto, isso expõe a conexão aos riscos de segurança inerentes à comunicação pela internet.

Uma opção melhor é criar uma VPN site a site que conecte as duas redes virtuais. Esse método usa o mesmo protocolo de modo de túnel IPsec da conexão VPN site a site entre locais mencionada anteriormente.

A vantagem dessa abordagem é que a conexão VPN é estabelecida pela malha de rede do Azure, fornecendo uma camada extra de segurança em comparação com VPNs site a site que se conectam pela internet.

Saiba mais:

Outro método para conectar suas redes virtuais é por meio do emparelhamento de VNets. O emparelhamento de VNets permite a comunicação direta entre duas redes virtuais do Azure pela infraestrutura de backbone da Microsoft, sem passar pela Internet pública. Esse recurso dá suporte a emparelhamento na mesma região ou entre diferentes regiões do Azure. Você também pode usar Grupos de Segurança de Rede (NSGs) para controlar e restringir a conectividade entre sub-redes ou sistemas nas redes emparelhadas.

Disponibilidade

A disponibilidade é crucial para qualquer programa de segurança. Se os usuários e sistemas não puderem acessar os recursos necessários, o serviço estará efetivamente comprometido. O Azure oferece tecnologias de rede que dão suporte a mecanismos de alta disponibilidade, incluindo:

  • Balanceamento de carga baseado em HTTP
  • Balanceamento de carga no nível da rede
  • Balanceamento de carga global

O balanceamento de carga distribui as conexões uniformemente entre vários dispositivos, com o objetivo de:

  • Aumentar a disponibilidade: ao distribuir conexões, o serviço permanece operacional mesmo que um ou mais dispositivos fiquem indisponíveis. Os dispositivos restantes continuam a fornecer o conteúdo.
  • Aprimorar o desempenho: a distribuição de conexões reduz a carga em qualquer dispositivo, espalhando as demandas de processamento e memória por vários dispositivos.
  • Facilitar a escalabilidade: à medida que a demanda aumenta, você pode adicionar mais dispositivos ao balanceador de carga, permitindo que ele manipule mais conexões.

Balanceamento de carga baseado em HTTP

Organizações que executam serviços baseados na Web geralmente se beneficiam do uso de um balanceador de carga baseado em HTTP para garantir alto desempenho e disponibilidade. Ao contrário dos balanceadores de carga tradicionais baseados em rede que dependem de protocolos de camada de rede e transporte, os balanceadores de carga baseados em HTTP tomam decisões com base nas características do protocolo HTTP.

O Gateway de Aplicativo do Azure e o Azure Front Door oferecem balanceamento de carga baseado em HTTP para serviços Web. Ambos os serviços dão suporte a:

  • Afinidade de sessão baseada em cookie: garante que as conexões estabelecidas com um servidor permaneçam consistentes entre o cliente e o servidor, mantendo a estabilidade da transação.
  • Descarregamento de TLS: criptografa sessões entre o cliente e o balanceador de carga usando HTTPS (TLS). Para aprimorar o desempenho, a conexão entre o balanceador de carga e o servidor Web pode usar HTTP (sem criptografia), reduzindo a sobrecarga de criptografia nos servidores Web e permitindo que eles manipulem solicitações com mais eficiência.
  • Roteamento de conteúdo baseado em URL: permite que o balanceador de carga encaminhe conexões com base na URL de destino, proporcionando maior flexibilidade do que decisões baseadas em endereço IP.
  • Firewall de Aplicativo Web: oferece proteção centralizada para aplicativos Web contra ameaças e vulnerabilidades comuns.

Saiba mais:

Balanceamento de carga no nível da rede

Ao contrário do balanceamento de carga baseado em HTTP, o balanceamento de carga no nível da rede toma decisões com base no endereço IP e no número da porta (TCP ou UDP). O Azure Load Balancer fornece balanceamento de carga no nível da rede com as seguintes características principais:

  • Equilibra o tráfego com base no endereço IP e no número da porta.
  • Dá suporte a qualquer protocolo de camada de aplicativo.
  • Distribui o tráfego para máquinas virtuais do Azure e instâncias de função de serviço de nuvem.
  • Pode ser usado para aplicativos e máquinas virtuais com ou sem exposição à Internet (balanceamento de carga externo e interno).
  • Inclui o monitoramento de ponto de extremidade para detectar e responder a indisponibilidade do serviço.

Saiba mais:

Balanceamento de carga global

Algumas organizações desejam o mais alto nível de disponibilidade possível. Uma maneira de alcançar essa meta é hospedar aplicativos em datacenters distribuídos globalmente. Quando um aplicativo é hospedado em datacenters localizados em todo o mundo, é possível que uma região geopolítica inteira fique indisponível e ainda assim o aplicativo continue em funcionamento.

Essa estratégia de balanceamento de carga também pode gerar benefícios de desempenho. Você pode direcionar solicitações para o datacenter mais próximo do dispositivo que está fazendo a solicitação.

No Azure, você pode aproveitar os benefícios do balanceamento de carga global usando o Gerenciador de Tráfego do Azure para balanceamento de carga baseado em DNS, o Balanceador de Carga Global para balanceamento de carga na camada de transporte ou o Azure Front Door para balanceamento de carga baseado em HTTP.

Saiba mais:

Resolução de nomes

A resolução de nomes é essencial para todos os serviços hospedados no Azure. Do ponto de vista da segurança, comprometer a função de resolução de nomes pode permitir que invasores redirecionem solicitações dos seus sites para sites mal-intencionados. Portanto, a resolução de nomes segura é crucial para todos os seus serviços hospedados na nuvem.

Há dois tipos de resolução de nomes a serem considerados:

  • Resolução de nomes interna: usada por serviços nas suas redes virtuais, redes locais ou ambas. Esses nomes não são acessíveis pela Internet. Para obter segurança ideal, garanta que seu esquema de resolução de nomes interno não seja exposto a usuários externos.
  • Resolução de nomes externa: usada por pessoas e dispositivos fora das suas redes locais e virtuais. Esses nomes são visíveis na Internet e direcionam conexões para seus serviços baseados em nuvem.

Para resolução de nomes interna, você tem duas opções:

  • Servidor DNS da rede virtual: quando você cria uma nova rede virtual, o Azure fornece um servidor DNS que pode resolver os nomes dos computadores dentro dessa rede virtual. Esse servidor DNS é gerenciado pelo Azure e não é configurável, ajudando a proteger sua resolução de nomes.
  • Traga seu próprio servidor DNS: você pode implantar um servidor DNS de sua escolha na rede virtual. Esse servidor pode ser um servidor DNS integrado ao Active Directory ou uma solução de servidor DNS dedicado de um parceiro do Azure, disponível no Azure Marketplace.

Saiba mais:

Para resolução de nomes externa, há duas opções:

  • Hospedar seu próprio servidor DNS externo localmente.
  • Usar um provedor de serviços DNS externo.

Grandes organizações geralmente hospedam seus próprios servidores DNS localmente devido à sua experiência em redes e presença global.

No entanto, para a maioria das organizações, usar um provedor de serviços DNS externo é preferível. Esses provedores oferecem alta disponibilidade e confiabilidade para serviços DNS, o que é crucial, pois falhas de DNS podem tornar seus serviços voltados para a Internet inacessíveis.

O DNS do Azure oferece uma solução DNS externa altamente disponível e de alto desempenho. Ele aproveita a infraestrutura global do Azure, permitindo que você hospede seu domínio no Azure com as mesmas credenciais, APIs, ferramentas e cobrança que os outros serviços do Azure. Além disso, ele se beneficia dos robustos controles de segurança do Azure.

Saiba mais:

Arquitetura de rede de perímetro

Muitas grandes organizações usam redes de perímetro para segmentar suas redes e criar uma zona de buffer entre a Internet e seus serviços. A parte de perímetro da rede é considerada uma zona de baixa segurança, e nenhum ativo de alto valor é colocado nesse segmento de rede. Normalmente, você verá dispositivos de segurança de rede que têm uma interface de rede no segmento de rede de perímetro. Outra interface de rede está conectada a uma rede que tem máquinas virtuais e serviços que aceitam conexões de entrada da Internet.

Você pode projetar redes de perímetro de várias maneiras diferentes. A decisão de implantar uma rede de perímetro e, em seguida, qual tipo de rede de perímetro usar, se você decidir usar uma, depende dos requisitos de segurança da rede.

Saiba mais:

Proteção contra DDoS do Azure

Os ataques de negação de serviço distribuído (DDoS) são ameaças significativas à disponibilidade e à segurança de aplicativos de nuvem. Esses ataques visam esgotar os recursos de um aplicativo, tornando-o inacessível para usuários legítimos. Qualquer ponto de extremidade publicamente acessível pode ser um alvo.

Os recursos da Proteção contra DDoS incluem:

  • Integração nativa à plataforma: totalmente integrada ao Azure, com configuração disponível no portal do Azure. Entende seus recursos e suas configurações.
  • Proteção pronta para uso: protege automaticamente todos os recursos em uma rede virtual assim que a Proteção contra DDoS é habilitada, sem exigir intervenção do usuário. A mitigação começa imediatamente após a detecção do ataque.
  • Monitoramento de tráfego sempre ativo: monitora o tráfego do aplicativo 24 horas por dia, 7 dias por semana, em busca de sinais de ataques DDoS e inicia a mitigação quando as políticas de proteção são violadas.
  • Relatórios de Mitigação de Ataques: fornece informações detalhadas sobre ataques usando dados de fluxo de rede agregados.
  • Logs de Fluxo de Mitigação de Ataques: oferece logs quase em tempo real do tráfego descartado e encaminhado durante um ataque DDoS ativo.
  • Ajuste adaptável: aprende os padrões de tráfego do seu aplicativo ao longo do tempo e ajusta o perfil de proteção conforme necessário. Oferece proteção da Camada 3 à Camada 7 quando usado com um firewall de aplicativo Web.
  • Extensa escala de mitigação: pode mitigar mais de 60 tipos de ataques com capacidade global para lidar com os maiores ataques DDoS conhecidos.
  • Métricas de ataque: métricas resumidas de cada ataque estão disponíveis por meio do Azure Monitor.
  • Alerta de ataque: alertas configuráveis para início, parada e duração de um ataque, com integração a ferramentas como logs do Azure Monitor, Splunk, Armazenamento do Azure, Email e portal do Azure.
  • Garantia de custo: oferece créditos de serviço para transferência de dados e expansão de aplicativos em ataques DDoS documentados.
  • Resposta Rápida a DDoS: fornece acesso a uma Equipe de Resposta Rápida durante um ataque ativo para investigação, mitigações personalizadas e análise pós-ataque.

Saiba mais:

Porta de Entrada do Azure

O Azure Front Door permite definir, gerenciar e monitorar o roteamento global do tráfego da Web, otimizando-o para desempenho e alta disponibilidade. Ele permite criar regras de firewall de aplicativo Web (WAF) personalizadas para proteger suas cargas de trabalho HTTP/HTTPS contra exploração com base em endereços IP de cliente, códigos de país e parâmetros HTTP. Além disso, o Front Door dá suporte a regras de limitação de taxa para combater o tráfego de bots mal-intencionados, inclui descarregamento de TLS e fornece processamento de camada de aplicativo por solicitação HTTP/HTTPS.

A plataforma Front Door é protegida pela proteção contra DDoS no nível da infraestrutura do Azure. Para proteção avançada, você pode habilitar a Proteção de Rede DDoS do Azure em suas VNets para proteger recursos contra ataques de camada de rede (TCP/UDP) por meio de ajuste automático e mitigação. Como proxy reverso de camada 7, o Front Door só permite a passagem de tráfego da Web para servidores de back-end, bloqueando outros tipos de tráfego por padrão.

Anotação

Para cargas de trabalho da Web, recomendamos fortemente a utilização da proteção contra DDoS do Azure e de um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é implantar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção contra ataques DDoS em nível de rede na plataforma.

Saiba mais:

Gerenciador de Tráfego do Azure

O Gerenciador de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que distribui o tráfego para serviços em regiões globais do Azure, garantindo alta disponibilidade e capacidade de resposta. Ele usa o DNS para rotear solicitações de clientes para o ponto de extremidade de serviço mais adequado com base em um método de roteamento de tráfego e na integridade dos pontos de extremidade. Um ponto de extremidade pode ser qualquer serviço voltado para a Internet hospedado dentro ou fora do Azure. O Gerenciador de Tráfego monitora continuamente os pontos de extremidade e evita direcionar o tráfego para qualquer um que esteja indisponível.

Saiba mais:

Monitoramento e detecção de ameaças

O Azure oferece funcionalidades para ajudar você nessa área essencial com detecção precoce, monitoramento, coleta e revisão do tráfego de rede.

Observador de Rede do Azure

O Observador de Rede do Azure fornece ferramentas para ajudar a solucionar e identificar problemas de segurança.

  • Exibição do Grupo de Segurança: audita e garante a conformidade de segurança das Máquinas Virtuais comparando políticas de linha de base com regras efetivas, ajudando a identificar descompassos de configuração.
  • Captura de Pacotes: captura o tráfego de rede de e para máquinas virtuais, ajudando na coleta de estatísticas de rede e na solução de problemas de aplicativos. Ele também pode ser disparado pelo Azure Functions em resposta a alertas específicos.

Para obter mais informações, consulte a visão geral do monitoramento do Observador de Rede do Azure.

Anotação

Para obter as atualizações mais recentes sobre disponibilidade e status do serviço, visite a página de atualizações do Azure.

Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças, e fornece maior visibilidade e controle sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com um grande conjunto de soluções de segurança.

O Microsoft Defender para Nuvem ajuda a otimizar e a monitorar a segurança da rede:

  • Fornecendo recomendações de segurança de rede.
  • Monitorando o estado da configuração de segurança da rede.
  • Alertando você sobre ameaças baseadas em rede, tanto no ponto de extremidade quanto na rede.

Saiba mais:

TAP de Rede Virtual

O TAP (Ponto de Acesso do Terminal) de rede virtual do Azure permite que você faça streaming contínuo do tráfego de rede da máquina virtual para um coletor de pacotes de rede ou ferramenta de análise. O coletor ou a ferramenta de análise é fornecido por um parceiro de solução de virtualização de rede. Você pode usar o mesmo recurso TAP de rede virtual para agregar tráfego de várias interfaces de rede na mesma assinatura ou em assinaturas diferentes.

Saiba mais:

Registro em Log

O registro em log no nível da rede é uma função essencial para qualquer cenário de segurança de rede. No Azure, você pode registrar informações obtidas para NSGs para obter informações de registro em log no nível da rede. Com o registro em log de NSG, você obtém informações de:

  • Logs de atividades. Use esses logs para exibir todas as operações enviadas para suas assinaturas do Azure. Esses logs são habilitados por padrão e podem ser usados no portal do Azure. Eles eram anteriormente conhecidos como logs de auditoria ou operacionais.
  • Logs de eventos. Esses logs fornecem informações sobre quais regras de NSG foram aplicadas.
  • Logs de contadores. Esses logs informam quantas vezes cada regra de NSG foi aplicada para negar ou permitir tráfego.

Você também pode usar o Microsoft Power BI, uma poderosa ferramenta de visualização de dados, para exibir e analisar esses logs. Saiba mais: