Compartilhar via

Práticas recomendadas de Segurança Operacional do Azure

  • Artigo

Este artigo fornece um conjunto de práticas recomendadas operacionais para proteger seus dados, aplicativos e outros ativos no Azure.

As recomendações baseiam-se um consenso de opinião, e trabalhar com recursos da plataforma Windows Azure atuais e conjuntos de recursos. As opiniões e as tecnologias mudam ao longo do tempo, e este artigo será atualizado regularmente para refleti-las.

Definir e implantar práticas fortes de segurança operacional

A segurança operacional do Azure refere-se a serviços, controles e recursos disponíveis aos usuários para proteger seus dados, aplicativos e outros ativos no Azure. A segurança operacional do Azure se baseia em uma estrutura que incorpora o conhecimento adquirido por recursos exclusivos da Microsoft, incluindo o SDL (Security Development Lifecycle), o programa Microsoft Security Response Center e o conhecimento profundo do cenário de ameaças de segurança cibernética.

Impor a verificação multifator para usuários

É recomendável que você exija a verificação em duas etapas para todos os seus usuários. Isso inclui os administradores e outros em sua organização que pode ter um impacto significativo se sua conta for comprometida (por exemplo, gerentes financeiros).

Há várias opções para exigir a verificação em duas etapas. A melhor opção para você depende de suas metas, da edição do Microsoft Entra que está executando e do seu programa de licenciamento. Consulte Como exigir verificação em duas etapas para um usuário para determinar a melhor opção para você. Confira as páginas de preços do Microsoft Entra ID e da autenticação multifator do Microsoft Entra para obter mais informações sobre licenças e preços.

Estas são as opções e benefícios para habilitar a verificação em duas etapas:

Opção 1: habilitar a MFA para todos os usuários e métodos de logon com os Benefícios Padrões do Microsoft Entra Security: essa opção permite que você imponha a MFA de forma fácil e rápida para todos os usuários em seu ambiente com uma política rigorosa para:

  • Desafiar contas administrativas e mecanismos de logon administrativo
  • Exigir desafio de MFA por meio do Microsoft Authenticator para todos os usuários
  • Restringir protocolos de autenticação herdados.

Esse método está disponível a todos os níveis de licenciamento, mas não pode ser misturado com políticas de acesso condicional existentes. Você pode encontrar mais informações em Padrões de segurança do Microsoft Entra

Opção 2: habilite a autenticação multifator alterando o estado do usuário.
Benefício: Esse é o método tradicional para exigir a verificação em duas etapas. Ele funciona com a autenticação multifator do Microsoft Entra na nuvem e com o Servidor de Autenticação Multifator do Microsoft Azure. O uso desse método exigirá que os usuários realizem a verificação em duas etapas sempre que entrarem e substituírem as políticas de acesso condicional.

Para determinar onde a autenticação multifator precisa ser habilitada, confira Qual versão da autenticação multifator do Microsoft Entra é adequada para minha organização?.

Opção 3: habilite a autenticação multifator com a política de Acesso Condicional. Benefício: Essa opção permite que você solicite a verificação em duas etapas sob condições específicas usando o acesso condicional. As condições específicas podem ser entrada do usuário de locais diferentes, não confiável de dispositivos ou aplicativos que você considere arriscadas. Definir condições específicas em que você exige verificação em duas etapas permite que você evite solicitação constante para seus usuários, que podem ser uma experiência de usuário desagradáveis.

Essa é a maneira mais flexível para habilitar a verificação em duas etapas para seus usuários. A habilitação de uma política de Acesso Condicional funciona apenas para a autenticação multifator do Microsoft Entra na nuvem e é um recurso premium do Microsoft Entra ID. Você pode encontrar mais informações sobre esse método em Implantar a autenticação multifator do Microsoft Entra baseada em nuvem.

Opção 4: habilite a autenticação multifator com políticas de Acesso Condicional avaliando as políticas de Acesso Condicional baseadas em risco.
Benefício: Essa opção permite que você:

  • Detectar possíveis vulnerabilidades que afetem as identidades da organização.
  • Configurar respostas automatizadas para ações suspeitas detectadas que se relacionem com as identidades da sua organização.
  • Investigar incidentes suspeitos e tomar as devidas providências para resolvê-los.

Este método usa a avaliação de risco do Microsoft Entra ID Protection para determinar se a verificação em duas etapas é necessária com base no risco do usuário e de entrada para todos os aplicativos em nuvem. Esse método requer o licenciamento do Microsoft Entra ID P2. Você pode encontrar mais informações sobre esse método no Microsoft Entra ID Protection.

Observação

A opção 2, permitindo a autenticação multifator alterando o estado do usuário, substitui as políticas de Acesso Condicional. Como as opções 3 e 4 usam políticas de Acesso Condicional, você não pode usar a opção 2 com eles.

As organizações que não adicionam camadas adicionais de proteção de identidade, como verificação em duas etapas, são mais suscetíveis a ataques de roubo de credencial. Um ataque de roubo de credencial pode levar ao comprometimento de dados.

Gerenciar e monitorar senhas de usuário

A seguinte tabela lista algumas das práticas recomendadas relacionadas ao gerenciamento de senhas de usuário:

Prática recomendada: verifique se você tem o nível apropriado de proteção por senha na nuvem.
Detalhe: siga as diretrizes em Diretrizes sobre Senhas da Microsoft, que tem como escopo os usuários das plataformas de identidade da Microsoft (Microsoft Entra ID, Active Directory e conta Microsoft).

Prática recomendada: monitore ações suspeitas relacionadas às suas contas de usuário.
Detalhe: monitoramento para usuários em risco e entradas suspeitas usando os relatórios de segurança do Microsoft Entra.

Prática recomendada: detecte e corrija automaticamente as senhas de alto risco.
Detalhe: Microsoft Entra ID Protection é um recurso da edição P2 do Microsoft Entra ID que permite que você:

  • Detectar possíveis vulnerabilidades que afetem as identidades da organização
  • Configurar respostas automatizadas para ações suspeitas detectadas que se relacionem com as identidades da sua organização
  • Investigar incidentes suspeitos e tomar as devidas providências para resolvê-los

Receber notificações de incidentes da Microsoft

Garanta que sua equipe de operações de segurança receba notificações de incidentes do Azure da Microsoft. Uma notificação de incidente permite que sua equipe de segurança saiba que você comprometeu os recursos do Azure para que eles possam responder rapidamente e corrigir possíveis riscos de segurança.

No portal de registro do Azure, você pode garantir que as informações de contato do administrador incluam detalhes que notificam as operações de segurança. Informações de contato são um número de telefone e um endereço de email.

Organizar assinaturas do Azure em grupos de gerenciamento

Se a organização tiver muitas assinaturas, talvez você precise de uma forma de gerenciar o acesso, as políticas e a conformidade com eficiência para essas assinaturas. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza as assinaturas em contêineres chamados grupos de gerenciamento e aplica suas condições de governança a esses grupos. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo de gerenciamento.

Você pode criar uma estrutura flexível de grupos de gerenciamento e assinaturas em um diretório. Cada diretório recebe um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento "raiz". Esse grupo de gerenciamento raiz é compilado na hierarquia para que todos os grupos de gerenciamento e assinaturas sejam dobrados nele. O grupo de gerenciamento raiz permite que políticas globais e atribuições de função do Azure sejam aplicadas no nível de diretório.

Veja algumas práticas recomendadas para o uso de grupos de gerenciamento:

Prática recomendada: verifique se as novas assinaturas aplicam elementos de governança, como políticas e permissões, à medida que são adicionadas.
Detalhe: use o grupo de gerenciamento raiz para atribuir elementos de segurança de toda a empresa que se aplicam a todos os ativos do Azure. Políticas e permissões são exemplos de elementos.

Prática recomendada: alinhe os principais níveis de grupos de gerenciamento com a estratégia de segmentação para fornecer um ponto de controle e consistência de política dentro de cada segmento.
Detalhe: crie um único grupo de gerenciamento para cada segmento no grupo de gerenciamento raiz. Não crie nenhum outro grupo de gerenciamento na raiz.

Prática recomendada: limite a profundidade do grupo de gerenciamento para evitar confusões que atrapalhem as operações e a segurança.
Detalhe: limite sua hierarquia a três níveis, incluindo a raiz.

Prática recomendada: selecione cuidadosamente quais itens aplicar a toda a empresa com o grupo de gerenciamento raiz.
Detalhe: verifique se os elementos do grupo de gerenciamento raiz têm uma clara necessidade de serem aplicados em todos os recursos e se eles têm baixo impacto.

Bons candidatos incluem:

  • Requisitos regulatórios com um impacto comercial claro (por exemplo, restrições relacionadas à soberania de dados)
  • Requisitos com potencial de efeito negativo próximo de zero nas operações, como política com efeito de auditoria ou atribuições de permissão RBAC do Azure cuidadosamente revisadas

Prática recomendada: planeje e teste cuidadosamente todas as alterações em toda a empresa no grupo de gerenciamento raiz antes de aplicá-las (política, modelo de RBAC do Azure e assim por diante).
Detalhe: as alterações no grupo de gerenciamento raiz podem afetar cada recurso no Azure. Embora eles forneçam uma maneira poderosa de garantir a consistência em toda a empresa, os erros ou o uso incorreto podem afetar negativamente as operações de produção. Teste todas as alterações no grupo de gerenciamento raiz em um laboratório de teste ou em um piloto de produção.

Simplifique a criação do ambiente com blueprints

O serviço Azure Blueprints permite que arquitetos de nuvem e grupos centrais de tecnologia da informação definam um conjunto repetível de recursos do Azure que implementa e segue os padrões, níveis e requisitos de uma organização. O Azure Blueprints possibilita que as equipes de desenvolvimento criem e deem suporte rápido para novos ambientes com um conjunto de componentes internos e a confiança de que estão criando esses ambientes dentro da conformidade organizacional.

Monitorar serviços de armazenamento quanto a mudanças inesperadas no comportamento

Questões de diagnóstico e de solução de problemas em um aplicativo distribuído hospedado em um ambiente de nuvem podem ser mais complexas que em ambientes tradicionais. Aplicativos podem ser implantados em uma infraestrutura PaaS ou IaaS, local, em um dispositivo móvel ou em alguma combinação desses ambientes. Tráfego de rede do seu aplicativo pode passar por redes públicas e privadas, e seu aplicativo poderá usar várias tecnologias de armazenamento.

Você deve monitorar continuamente os serviços de armazenamento que o aplicativo usa para qualquer mudança inesperada em comportamento (como tempos de resposta mais lentos). Use o log para coletar dados mais detalhados e analisar o problema em profundidade. As informações de diagnósticos que você obtiver tanto do monitoramento quanto do registro em log o ajudarão a determinar a raiz do problema que o seu aplicativo encontrou. Você poderá solucionar o problema e determinar as etapas apropriadas para corrigi-lo.

A Análise de Armazenamento do Azure executa o registro em log e fornece dados de métrica para uma conta de armazenamento do Azure. Recomendamos que você use esses dados para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento.

Evitar, detectar e reagir a ameaças

O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças, fornecendo maior visibilidade (e controle) sobre a segurança dos seus recursos do Azure. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com um diversas soluções de segurança.

A camada Gratuita do Defender para Nuvem oferece segurança limitada para os recursos no Azure, bem como recursos habilitados para Arc fora do Azure. Os Recursos de Segurança Avançados estendem esses recursos para incluir gerenciamento de ameaças e vulnerabilidades, bem como relatórios de conformidade regulatória. Os Planos do Defender para Nuvem ajudam a localizar e corrigir vulnerabilidades de segurança, aplicar controles de acesso e de aplicativo para bloquear atividades mal-intencionadas, detectar ameaças usando a análise e inteligência e responder rapidamente quando sob ataque. Você pode experimentar a camada Standard do Defender para Nuvem gratuitamente nos primeiros 30 dias. Recomendamos que você habilite recursos de segurança avançados em suas assinaturas do Azure no Defender para Nuvem.

Use o Defender para Nuvem para obter uma exibição central do estado de segurança de todos os recursos em seus próprios data centers, Azure e outras nuvens. Verifique rapidamente se os controles de segurança apropriados estão em vigor e configurados de maneira correta, além disso, identifique com rapidez os recursos que exigem atenção.

O Defender para Nuvem também se integra ao Microsoft Defender para Ponto de Extremidade, que fornece recursos de EDR (Detecção e Resposta de Ponto de Extremidade) abrangentes. Com a integração do Microsoft Defender para Ponto de Extremidade, você pode detectar anormalidades e vulnerabilidades. Você também pode detectar e responder a ataques avançados em pontos de extremidade de servidor monitorados pelo Defender para Nuvem.

Quase todas as organizações empresariais têm um sistema SIEM (gerenciamento de informações e eventos de segurança) para ajudar a identificar ameaças emergentes, consolidando informações de log de diferentes dispositivos de coleta de sinais. Os logs são então analisados por um sistema de análise de dados para ajudar a identificar o que é "interessante" no ruído que é inevitável em todas as soluções de coleta e análise de log.

O Microsoft Azure Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Azure Sentinel fornece análise de segurança inteligente e inteligência contra ameaças por meio de detecção de alertas, visibilidade de ameaças, busca proativa e resposta automatizada contra ameaças.

Veja algumas práticas recomendadas para impedir, detectar e responder a ameaças:

Prática recomendada: aumente a velocidade e a escalabilidade de sua solução SIEM usando um SIEM baseado em nuvem.
Detalhe: investigue os recursos e as capacidades do Microsoft Azure Sentinel e compare-os com os recursos do que você está usando no momento. Considere a adoção do Microsoft Azure Sentinel se ele atender aos requisitos de SIEM de sua organização.

Prática recomendada: encontre as vulnerabilidades de segurança mais sérias para que possa priorizar a investigação.
Detalhe: examine sua Pontuação de segurança do Azure para ver as recomendações resultantes das políticas e iniciativas do Azure criadas no Microsoft Defender para Nuvem. Essas recomendações ajudam a lidar com os principais riscos, como atualizações de segurança, proteção de ponto de extremidade, criptografia, configurações de segurança, WAF ausente, VMs conectadas à Internet e muitos mais.

A classificação de segurança, que é baseada em controles de CIS (Center for Internet Security), oferece um parâmetro de comparação da segurança do Azure da sua organização em relação a fontes externas. A validação externa ajuda a validar e enriquecer a estratégia de segurança de sua equipe.

Prática recomendada: monitore a postura de segurança de máquinas, redes, armazenamento e serviços de dados e aplicativos para descobrir e priorizar possíveis problemas de segurança.
Detalhe: siga as recomendações de segurança no Defender para Nuvem, começando com os itens de prioridade mais alta.

Prática recomendada: integre alertas do Defender para Nuvem à sua solução de SIEM (gerenciamento de informações e eventos de segurança).
Detalhe: a maioria das organizações com um SIEM o utiliza como uma câmara de compensação central para alertas de segurança que exigem uma resposta do analista. Eventos processados produzidos pelo Defender para Nuvem são publicados no Log de Atividades do Azure, um log de tipos disponíveis por meio do Azure Monitor. O Azure Monitor oferece um pipeline consolidado para qualquer um dos seus dados de monitoramentos de roteamento para uma ferramenta do SIEM. Veja mais instruções em Transmitir alertas para uma solução de Gerenciamento de Serviços de TI, de SIEM ou SOAR. Se você estiver usando o Microsoft Azure Sentinel, confira Conectar Microsoft Defender para Nuvem.

Prática recomendada: integre os logs do Azure ao SIEM.
Detalhe: use o Azure Monitor para coletar e exportar dados. Essa prática é essencial para habilitar a investigação de incidentes de segurança e a retenção de log online é limitada. Se você está usando o Microsoft Azure Sentinel, confira Conectar fontes de dados.

Prática recomendada: acelere seus processos de investigação e busca e reduza os falsos positivos integrando recursos de EDR (Detecção e Resposta de Ponto de Extremidade) à sua investigação de ataque.
Detalhe: habilite a integração do Microsoft Defender para Ponto de Extremidade por meio da política de segurança do Defender para Nuvem. Considere usar o Microsoft Azure Sentinel para a busca de ameaças e a resposta a incidentes.

Acompanhar monitoramento de rede baseado em cenário de ponta a ponta

Os clientes criam uma rede de ponta a ponta no Azure, combinando recursos de rede como rede virtual, ExpressRoute, Gateway de Aplicativo e balanceadores de carga. O monitoramento está disponível em cada um dos recursos da rede.

O Observador de Rede do Azure é um serviço regional. Use suas ferramentas de diagnóstico e visualização para monitorar e diagnosticar condições em um nível de cenário de rede no Azure, para o Azure e do Azure.

A seguir estão as melhores práticas para as ferramentas disponíveis e monitoramento de rede.

Melhor prática: automatize o monitoramento remoto de rede com a captura de pacote.
Detalhe: monitore e realize o diagnóstico de problemas de rede sem fazer logon em suas VMs usando o Observador de Rede. Disparar captura de pacote por meio da configuração de alertas e obter acesso a informações de desempenho em tempo real no nível de pacote. Ao ver um problema, você poderá investigar os detalhes para um diagnóstico melhor.

Prática recomendada: obtenha insight sobre seu tráfego de rede usando logs de fluxo.
Detalhe: desenvolva um entendimento aprofundado sobre padrões de tráfego de rede usando os logs de fluxo do grupo de segurança de rede. As informações em logs de fluxo ajudam a coletar dados para conformidade, auditoria e monitoramento do seu perfil de segurança de rede.

Prática recomendada: diagnosticar problemas de conectividade de VPN.
Detalhe: use o Observador de Rede para diagnosticar os problemas mais comuns de Gateway de VPN e conexão. Você pode não apenas identificar o problema, como também usar logs detalhados para investigar ainda mais.

Implantação segura usando ferramentas do DevOps comprovadas

Use as seguintes práticas recomendadas de DevOps para garantir que suas equipes e sua empresa sejam produtivas e eficientes.

Prática recomendada: automatizar a compilação e a implantação de serviços.
Detalhe: infraestrutura como código é um conjunto de técnicas e práticas recomendadas que ajudam os profissionais de TI a remover a sobrecarga de compilação e do gerenciamento diários da infraestrutura modular. Habilita os profissionais de TI a criar e realizar a manutenção do ambiente de servidor moderno de maneira semelhante a como os desenvolvedores de software criam e mantêm o código do aplicativo.

Você pode usar o Azure Resource Manager para provisionar seus aplicativos usando um modelo declarativo. Em um modelo único, você pode implantar vários serviços, juntamente com suas dependências. Use o mesmo modelo para implantar repetidamente seu aplicativo em cada estágio do ciclo de vida do aplicativo.

Melhor prática: compile e implante automaticamente serviços de nuvem ou aplicativos Web do Azure.
Detalhe: você pode configurar seus Azure DevOps Projects para fazer a criação e implantação automática em aplicativos da Web do Azure ou serviços em nuvem. O Azure DevOps implanta os binários automaticamente depois de fazer uma compilação para o Azure após cada verificação do código. O processo de build do pacote é equivalente ao comando Package no Visual Studio, e as etapas de publicação equivalem ao comando Publish do Visual Studio.

Melhor prática: automatizar o gerenciamento de versão.
Detalhe:Azure Pipelines é uma solução para automatizar a implantação em vários estágios e gerenciar o processo de lançamento. Crie pipelines de implantação gerenciados e contínuos, a fim de lançar com rapidez, facilidade e frequência. Com o Azure Pipelines, você pode automatizar o processo de liberação e pode ter fluxos de trabalho de aprovação predefinidos. Implante localmente e na nuvem, estenda e personalize conforme a necessidade.

Melhor prática: verifique o desempenho de seu aplicativo antes de inicializá-lo ou implantar atualizações na produção.
Detalhe: execute testes de carga baseados em nuvem para:

  • Localizar problemas de desempenho em seu aplicativo Web.
  • Melhorar a qualidade da implantação.
  • Garantir que seu aplicativo esteja sempre disponível.
  • Garantir que seu aplicativo possa lidar com o tráfego da sua próxima campanha de marketing ou de seu próximo lançamento.

O Apache JMeter é uma ferramenta de software livre gratuita e popular com um forte suporte de comunidade.

Melhor prática: monitorar o desempenho do aplicativo.
Detalhe: o Azure Application Insights é um serviço de APM (gerenciamento de desempenho de aplicativo) extensível para desenvolvedores da Web em várias plataformas. Use o Application Insights para monitorar seu aplicativo Web em tempo real. Ele detecta anomalias de desempenho automaticamente. Ele inclui ferramentas de análise para ajudar você a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Ele foi projetado para ajudar você a aprimorar continuamente o desempenho e a usabilidade do seu aplicativo.

Atenuação de riscos e proteção contra DDoS

Ataque de DDoS (negação de serviço distribuído) é um tipo de ataque que tenta esgotar os recursos do aplicativo. A meta é afetar a disponibilidade do aplicativo e sua capacidade de lidar com solicitações legítimas. Esses ataques estão se tornando cada vez mais sofisticados e maiores tanto em termos de tamanho quanto de impacto. Eles podem ser direcionados a qualquer ponto de extremidade publicamente acessível pela Internet.

Projetar e criar para garantir a resiliência contra DDoS exige planejar e projetar para uma variedade de modos de falha. A seguir, estão as melhores práticas para a criação de serviços resilientes a DDoS no Azure.

Melhor prática: garanta que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo, desde o design e implementação até a implantação e as operações. Os aplicativos podem ter bugs que permitam que um volume relativamente baixo de solicitações use muitos recursos, resultando em uma interrupção de serviço.
Detalhe: para ajudar a proteger um serviço em execução no Microsoft Azure, você deve ter uma boa compreensão da arquitetura de seus aplicativos e se concentrar nos Cinco pilares de qualidade de software. Você deve conhecer os volumes de tráfego típicos, o modelo de conectividade entre o aplicativo e outros aplicativos e os pontos de extremidade de serviço expostos à Internet pública.

O mais importante é garantir que um aplicativo seja resiliente o suficiente para lidar com uma negação de serviço direcionados ao próprio aplicativo. A segurança e a privacidade estão incorporadas na plataforma do Azure, começando com o SDL (Security Development Lifecycle). O SDL trata da segurança em cada fase do desenvolvimento e garante que o Azure seja atualizado continuamente para torná-lo ainda mais seguro.

Melhor prática: projete seus aplicativos para que sejam escalados horizontalmente para atender à demanda de uma carga amplificada, especificamente em caso de ataque de DDoS. Se seu aplicativo depender de uma única instância de um serviço, ele criará um único ponto de falha. O provisionamento de várias instâncias torna o sistema mais resiliente e mais escalonável.
Detalhe: para o Serviço de Aplicativo do Azure, selecione um Plano do Serviço de Aplicativo que ofereça várias instâncias.

Para Serviços de Nuvem do Azure, configure cada uma das suas funções para usar várias instâncias.

Para Máquinas Virtuais do Azure, verifique se sua arquitetura de VM inclui mais de uma VM e se cada uma delas está incluída em um conjunto de disponibilidade. É recomendável usar Conjuntos de Dimensionamento de Máquinas Virtuais para obter recursos de dimensionamento automático.

Melhor prática: dispor as defesas de segurança em camadas em um aplicativo reduz a possibilidade de sucesso de um ataque. Implemente designs seguros para seus aplicativos ao utilizar recursos internos da plataforma Azure.
Detalhe: por exemplo, o risco de ataque aumenta conforme o tamanho (área da superfície) do aplicativo. Você pode reduzir a área da superfície usando uma lista de aprovação para fechar o espaço de endereço IP exposto e portas de escuta que não são necessárias nos balanceadores de carga (Azure Load Balancer e Gateway de Aplicativo do Azure).

Grupos de segurança de rede são outra maneira de reduzir a superfície de ataque. Você pode usar marcas de serviço e grupos de segurança de aplicativo para minimizar a complexidade da criação de regras de segurança e a configuração da segurança de rede, como uma extensão natural da estrutura do aplicativo.

Você deve implantar os serviços do Azure em uma rede virtual sempre que possível. Esta prática permite que os recursos de serviço se comuniquem por meio de endereços IP privados. O tráfego do serviço do Azure de uma rede virtual usa Endereços IP Públicos como endereços IP de origem por padrão.

Usar pontos de extremidade de serviço altera o tráfego de serviço para usar endereços de rede virtual privados como endereços IP de origem ao acessar o serviço do Azure de uma rede virtual.

Muitos recursos locais dos clientes são atacados juntamente com seus recursos no Azure. Se você estiver conectando um ambiente local ao Azure, minimize a exposição dos recursos locais à Internet pública.

O Azure tem duas ofertas de serviço contra DDoS que fornecem proteção contra ataques de rede:

  • A proteção básica é integrada à plataforma do Azure por padrão, sem custos adicionais. A escala e a capacidade da rede implantada globalmente do Azure fornecem defesa contra ataques de camada de rede comum por meio de monitoramento de tráfego sempre ativo e mitigação em tempo real. A básica não exige nenhuma alteração ao aplicativo ou à configuração do usuário e ajuda a proteger todos os serviços do Azure, incluindo serviços de PaaS, como o DNS do Azure.
  • A proteção Standard fornece funcionalidades avançadas de atenuação de DDoS contra ataques de rede. Se ajusta automaticamente para proteger os recursos específicos do Azure. É muito simples habilitar a proteção durante a criação de redes virtuais. Isso também pode ser feito após a criação e não requer nenhuma alteração de aplicativo ou recurso.

Habilitar o Azure Policy

O Azure Policy é um serviço no Azure que você pode usar para criar, atribuir e gerenciar políticas. Essas políticas impõem regras e efeitos sobre seus recursos, de forma que esses recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço. O Azure Policy atende a essa necessidade, avaliando os recursos quanto à não conformidade com políticas atribuídas.

Habilite o Azure Policy para monitorar e impor a política de escrita da sua organização. Isso garantirá a conformidade com os requisitos de sua empresa, ou de segurança regulatória, gerenciando centralmente políticas de segurança em suas cargas de trabalho de nuvem híbrida. Saiba como criar e gerenciar políticas para impor a conformidade. Confira a Estrutura de definição de Azure Policy para obter uma visão geral dos elementos de uma política.

Veja algumas práticas recomendadas de segurança a serem seguidas depois que você adotar o Azure Policy:

Prática recomendada: a política dá suporte a vários tipos de efeitos. Você pode ler sobre eles na Estrutura de definição de Azure Policy. As operações de negócios podem ser afetadas negativamente pelos efeitos de negação e correção. Portanto, comece com o efeito de auditoria para limitar o risco de impacto negativo da política.
Detalhe: Inicie as implantações de política no modo de auditoria e, posteriormente, progrida para negação ou correção. Teste e examine os resultados do efeito de auditoria antes de mover para negação ou correção.

Para saber mais, confira Criar e gerenciar políticas para impor conformidade.

Prática recomendada: identifique as funções responsáveis pelo monitoramento de violações de política e garanta que a ação de correção correta seja executada rapidamente.
Detalhe: tenha a conformidade do monitor de função atribuída por meio da portal do Azure ou por meio da linha de comando.

Prática recomendada: o Azure Policy é uma representação técnica das políticas gravadas de uma organização. Mapeie todas as definições do Azure Policy para políticas organizacionais a fim de reduzir a confusão e aumentar a consistência.
Detalhe: mapeamento de documentos na documentação da sua organização ou na definição do Azure Policy, adicionando uma referência à política organizacional na definição de política ou na descrição da definição de iniciativa.

Monitorar os relatórios de risco do Microsoft Entra

A grande maioria das violações de segurança ocorre quando os invasores conseguem acessar a um ambiente roubando a identidade de um usuário. Descobrir identidades comprometidas não é uma tarefa fácil. O Microsoft Entra ID usa algoritmos adaptativos de aprendizado de máquina e heurística para detectar ações suspeitas relacionadas às suas contas de usuário. Cada ação suspeita detectada é armazenada em um registro chamado detecção de risco. As detecções de risco são registradas nos relatórios de segurança do Microsoft Entra. Para saber mais, confira o relatório de segurança de usuários em risco e o relatório de segurança de entradas arriscadas.

Próximas etapas

Veja Melhores práticas e padrões de segurança do Azure para obter melhores práticas segurança complementares a serem usadas ao projetar, implantar e gerenciar as soluções de nuvem, usando o Azure.

Os seguintes recursos estão disponíveis para fornecer mais informações gerais sobre a segurança do Azure e os serviços da Microsoft relacionados: