Funcionalidades técnicas de segurança do Azure

  • Artigo

Este artigo fornece uma introdução aos serviços de segurança no Azure que ajudam a proteger seus dados, recursos e aplicativos na nuvem e atender às necessidades de segurança de sua empresa.

Plataforma do Azure

O Microsoft Azure é uma plataforma de nuvem composta de serviços de infraestrutura e de aplicativos, com análise avançada e serviços de dados integrados, além de serviços e ferramentas de desenvolvedor, hospedados nos data centers da nuvem pública da Microsoft. Os clientes usam o Azure para muitos cenários e recursos diferentes, desde computação básica, rede e armazenamento, até serviços de aplicativos Web e móveis, passando por cenários de nuvem completos, como no caso da Internet das Coisas. Esses cenários podem ser usados com tecnologias de software livre e implantados como nuvem híbrida ou hospedados dentro do data center de um cliente. O Azure fornece a tecnologia de nuvem na forma de blocos de construção para ajudar as empresas a economizar custos, inovar rapidamente e gerenciar sistemas de maneira proativa. Ao migrar ativos de TI para um provedor de nuvem ou basear seus ativos nesse provedor, você está confiando na capacidade dessa organização de proteger seus aplicativos e dados com os serviços e os controles que ela oferece para gerenciar a segurança de seus ativos baseados em nuvem.

O Microsoft Azure é o único provedor de computação em nuvem que oferece uma plataforma de aplicativo segura e consistente, com infraestrutura como um serviço, para que as equipes trabalhem com diferentes níveis de habilidades na nuvem e diferentes níveis de complexidade de projeto, com análises e serviços de dados integrados que descobrem inteligência de dados onde ela estiver, seja em estruturas abertas, ferramentas e plataformas da Microsoft ou de terceiros, oferecendo a opção de integrar a nuvem com recursos locais, bem como de implantar os serviços de nuvem do Azure em data centers locais. Como parte da Nuvem Confiável da Microsoft, os clientes confiam no Azure para fornecer o mais elevado nível de segurança, confiabilidade, conformidade e privacidade do setor, bem como uma ampla rede de pessoas, parceiros e processos para dar suporte às organizações na nuvem.

Com o Microsoft Azure, você pode:

  • Acelerar a inovação na nuvem

  • Potencialize as decisões de negócios e os aplicativos com insights

  • Criar livremente e implantar em qualquer lugar

  • Proteger seus negócios

Gerenciar e controlar a identidade e o acesso do usuário

O Azure ajuda a proteger informações pessoais e de negócios, permitindo que você gerencie credenciais e identidades do usuário e controle o acesso.

ID do Microsoft Entra

As soluções de gerenciamento de acesso e identidade da Microsoft ajudam a TI a proteger o acesso aos aplicativos e recursos no datacenter corporativo e na nuvem, permitindo níveis adicionais de validação, como autenticação multifator e políticas de Acesso Condicional. O monitoramento de atividade suspeita por meio de alertas, auditoria e relatórios de segurança avançados ajuda a reduzir potenciais problemas de segurança. ID do Microsoft Entra P1 ou P2 fornece logon único a milhares de aplicativos de nuvem e acesso aos aplicativos Web executados localmente.

Os benefícios de segurança da ID do Microsoft Entra incluem a capacidade de:

  • Crie e gerencie uma identidade única para cada usuário em sua empresa híbrida, mantendo usuários, grupos e dispositivos em sincronia.

  • Fornecer acesso de logon único para seus aplicativos, incluindo milhares de aplicativos de SaaS pré-integrados.

  • Habilitar segurança de acesso do aplicativo por meio da aplicação da autenticação multifator com base em regras para aplicativos locais e na nuvem.

  • Provisionar o acesso remoto seguro a aplicativos Web locais por meio do proxy de aplicativo do Microsoft Entra.

Microsoft Entra ID

A seguir, os principais recursos de gerenciamento de identidade do Azure:

  • Logon único

  • Autenticação multifator

  • Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança

  • Gerenciamento de acesso e identidade do consumidor

  • Registro de dispositivos

  • Privileged Identity Management

  • Proteção de identidade

Logon único

SSO (logon único) significa poder acessar todos os aplicativos e recursos de que você precisa para fazer negócios, conectando-se apenas uma vez usando uma única conta de usuário. Depois de conectado, você pode acessar todos os aplicativos necessários sem precisar ser autenticado (por exemplo, digitar uma senha) uma segunda vez.

Muitas organizações contam com aplicativos de SaaS (software como serviço), como o Microsoft 365, o Box e o Salesforce, para aumentar a produtividade do usuário final. Historicamente, a equipe de TI precisava criar e atualizar individualmente as contas de usuário em cada aplicativo SaaS e os usuários precisavam lembrar uma senha para cada aplicativo SaaS.

A ID do Microsoft Entra estende o Active Directory local na nuvem, permitindo que os usuários usem sua conta organizacional primária para não apenas entrarem nos seus dispositivos ingressados no domínio e recursos da empresa, mas também todos os aplicativos Web e SaaS necessários para seu trabalho.

Os usuários não precisam gerenciar vários conjuntos de nomes de usuário e senhas, o acesso a aplicativos pode ser provisionado ou desconfigurado automaticamente com base em grupos organizacionais e seu status como funcionário. A ID do Microsoft Entra apresenta controles de governança de segurança e acesso que permitem gerenciar centralmente o acesso dos usuários nos aplicativos SaaS.

Autenticação multifator

A Autenticação multifator (MFA) do Microsoft Entra é um método de autenticação que requer o uso de mais de um método de verificação e adiciona uma segunda camada crítica de segurança nas entradas e transações do usuário. A MFA ajuda a proteger o acesso a dados e aplicativos, ao mesmo tempo em que atende à demanda dos usuários por um processo de entrada simples. Ela fornece autenticação forte por meio de uma variedade de opções de verificação – chamada telefônica, mensagem de texto, notificação de aplicativo móvel ou código de verificação e tokens OAuth de terceiros.

Relatórios baseados em aprendizado de máquina, alertas e monitoramento de segurança

Monitoramento e alertas de segurança e relatórios baseados no aprendizado de máquina que identificam padrões de acesso inconsistentes podem ajudá-lo a proteger seus negócios. Você pode usar os relatórios de acesso e uso da ID do Microsoft Entra para obter visibilidade da integridade e segurança do diretório da sua organização. Com essas informações, um administrador de diretório pode determinar melhor onde possíveis riscos de segurança podem estar, de modo que pode fazer planos adequados para mitigar esses riscos.

No portal do Azure, os relatórios são categorizados das seguintes maneiras:

  • Relatórios de anomalias: contêm eventos de entrada que nós identificamos como anômalos. Nossa meta é que você fique ciente dessas atividades e possa decidir se um evento é suspeito ou não.

  • Relatórios de aplicativos integrados — fornecem um panorama de como os aplicativos em nuvem estão sendo usados na sua organização. A ID do Microsoft Entra oferece integração com milhares de aplicativos de nuvem.

  • Relatórios de erros: indicam erros que podem ocorrer ao provisionar contas para aplicativos externos.

  • Relatórios específicos do usuário – exibem dados de atividade do dispositivo e de entrada para um usuário específico.

  • Logs de atividades – contêm um registro de todos os eventos auditados nas últimas 24 horas, nos últimos 7 dias ou 30 dias, bem como alterações de atividades do grupo e atividades de registro e redefinição de senha.

Gerenciamento de acesso e identidade do consumidor

O Azure Active Directory B2C é um serviço de gerenciamento de identidade global e altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades. Ele pode ser integrado a plataformas móveis e da Web. Seus clientes podem fazer logon em todos os seus aplicativos por meio de experiências personalizáveis usando suas contas sociais existentes ou criando novas credenciais.

No passado, os desenvolvedores de aplicativos que desejavam inscrever e conectar consumidores a seus aplicativos teriam escrito o seu próprio código. E eles teriam usado sistemas ou bancos de dados locais para armazenar nomes de usuário e senhas. O Azure Active Directory B2C oferece à sua organização uma maneira melhor de integrar o gerenciamento de identidade do consumidor a aplicativos com a ajuda de uma plataforma segura baseada em padrões e um grande conjunto de políticas extensíveis.

Quando você usa o Azure Active Directory B2C, os consumidores poderão se inscrever nos seus aplicativos usando suas contas sociais existentes (Facebook, Google, Amazon, LinkedIn) ou criando novas credenciais (endereço de email e senha ou o nome de usuário e a senha).

Registro de dispositivos

O Registro de dispositivo do Microsoft Entra é a base dos cenários de Acesso Condicional baseados no dispositivo. Quando um dispositivo é registrado, o registro de dispositivo do Microsoft Entra fornece ao dispositivo uma identidade que é usada para autenticar o dispositivo quando o usuário entra. O dispositivo autenticado e os atributos desse dispositivo podem então ser usados para impor políticas de Acesso Condicional para aplicativos locais e hospedados em nuvem.

Quando combinados com uma solução de gerenciamento de dispositivo móvel (MDM), como o Intune, os atributos do dispositivo na ID do Microsoft Entra são atualizados com informações adicionais sobre o dispositivo. Isso permite que você crie regras de Acesso Condicional que imponham que o acesso dos dispositivos atendam aos padrões de segurança e conformidade.

Privileged Identity Management

O Microsoft Entra Privileged Identity Management permite gerenciar, controlar e monitorar suas identidades privilegiadas e o acesso a recursos na ID do Microsoft Entra, bem como outros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Às vezes, os usuários precisam executar operações privilegiadas em recursos do Azure ou Microsoft 365 ou outros aplicativos SaaS. Isso geralmente significa que as organizações precisam conceder-lhes acesso privilegiado permanente na ID do Microsoft Entra. Esse é um risco de segurança cada vez maior para recursos hospedados em nuvem porque as organizações não podem monitorar de maneira suficiente o que esses usuários estão fazendo com seus privilégios de administrador. Além disso, se uma conta de usuário com acesso privilegiado for comprometida, essa falha poderá afetar a segurança geral da nuvem. O Microsoft Entra Privileged Identity Management ajuda a mitigar esse risco.

O Microsoft Entra Privileged Identity Management permite que você:

  • Veja quais usuários são administradores do Microsoft Entra

  • Habilitar o acesso administrativo "just in timw" sob demanda para os serviços online da Microsoft, como Microsoft 365 e Intune

  • Obter relatórios sobre o histórico de acesso de administrador e as alterações nas atribuições de administrador

  • Receber alertas sobre o acesso a uma função com privilégios

Proteção de identidade

A ID de Proteção do Microsoft Entra é um serviço de segurança que fornece uma exibição consolidada sobre detecções de risco e possíveis vulnerabilidades que afetam as identidades da sua organização. O Identity Protection usa os recursos de detecção de anomalias da ID do Microsoft Entra existentes (disponíveis pelos Relatórios de Atividade Anômala da ID do Microsoft Entra) e introduz novos tipos de detecção de risco que podem detectar anomalias em tempo real.

Acesso de recurso seguro

O controle de acesso no Azure parte de uma perspectiva de cobrança. O proprietário de uma conta do Azure, acessada visitando o portal do Azure, é o Administrador da Conta (AA). As assinaturas são um contêiner para cobrança, mas também atuam como um limite de segurança: cada assinatura tem um Administrador de Serviços (SA) que pode adicionar, remover e modificar recursos do Azure nessa assinatura usando o Portal do Azure. O SA padrão de uma nova assinatura é o AA, mas o AA pode alterar o SA no portal do Azure.

Secured resource access in Azure

As assinaturas também têm uma associação com um diretório. O diretório define um conjunto de usuários. Eles podem ser usuários corporativos ou de estudantes que criaram o diretório ou podem ser usuários externos (ou seja, Contas da Microsoft). As assinaturas são acessíveis por um subconjunto desses usuários do diretório que foram atribuídos como um serviço SA (Administrador) ou CA (Coadministrador); a única exceção é que, por motivos de herança, Contas da Microsoft (anteriormente chamadas de Windows Live ID) podem ser atribuídas como SA ou CA sem estarem presentes no diretório.

As empresas direcionadas a segurança devem focar em fornecer aos funcionários as permissões exatas necessárias. Muitas permissões podem expor uma conta a ataques. Permissões insuficientes fazem com que os funcionários não consigam trabalhar com eficiência. O controle de acesso baseado em função do Azure (Azure RBA) ajuda a resolver esse problema ao oferecer o gerenciamento de acesso refinado para o Azure.

Secured resource access

Com o Azure RBAC, você pode separar as tarefas dentro de sua equipe e permitir somente a quantidade de acesso de que os usuários precisam para realizar os trabalhos deles. Em vez de apresentar todos irrestrito permissões em sua assinatura do Azure ou recursos, você pode permitir apenas determinadas ações. Por exemplo, use o RBAC para permitir que um funcionário gerencie máquinas virtuais em uma assinatura, enquanto outro pode gerenciar bancos de dados SQL dentro da mesma assinatura.

Secured resource access using Azure RBAC

Segurança e criptografia de dados

Uma das chaves de proteção de dados na nuvem é responsável por possíveis estados em que os dados podem ocorrer e quais controles estão disponíveis para esse estado. Com relação às práticas recomendadas de criptografia e segurança de dados no Azure, as recomendações são feitas para os seguintes estados de dados.

  • Em repouso: isso inclui todos os objetos de armazenamento, contêineres e tipos de informações que existem estaticamente em mídia física, seja ela magnética ou disco óptico.
  • Em trânsito: quando dados estão sendo transferidos entre componentes, locais ou programas, como através da rede, através de um barramento de serviço (do local para a nuvem e vice-versa, incluindo conexões híbridas, como o ExpressRoute) ou durante um processo de entrada/saída, ele é considerado como estando em trânsito.

Criptografia em repouso

A criptografia em repouso é discutida em detalhes na Criptografia de dados do Azure em repouso.

Criptografia em trânsito

A proteção dos dados em trânsito deve ser parte essencial de sua estratégia de proteção de dados. Já que os dados se movem entre vários locais, a recomendação geral é que você sempre use protocolos SSL/TLS para trocar dados entre diferentes locais. Em alguns casos, convém isolar todo o canal de comunicação entre suas infraestruturas locais e na nuvem usando uma VPN (rede virtual privada).

Para dados que se movem entre sua infraestrutura local e o Azure, você deve considerar proteções adequadas, como HTTPS ou VPN.

Para organizações que precisam proteger o acesso de várias estações de trabalho localizadas localmente ao Azure, use VPN site a site do Azure.

Para organizações que precisam proteger o acesso de uma estação de trabalho localizada localmente local ao Azure, use VPN Ponto a Site.

Conjuntos de dados maiores podem ser movidos em um link WAN de alta velocidade dedicado, como o ExpressRoute. Se você optar por usar o ExpressRoute, também poderá criptografar os dados no nível do aplicativo usando SSL/TLS ou outros protocolos para proteção adicional.

Se você estiver interagindo com o Armazenamento do Azure pelo portal do Azure, todas as transações ocorrerão via HTTPS. A API REST de armazenamento sobre HTTPS também pode ser usada para interagir com o Armazenamento do Azure e com o Banco de Dados SQL do Azure.

Você pode aprender mais sobre a opção de VPN do Azure lendo o artigo Planejamento e design para o Gateway de VPN.

Impor criptografia de dados no nível do arquivo

O Azure RMS (Azure Rights Management) usa políticas de criptografia, identidade e autorização para ajudar a proteger seus arquivos e email. O Azure RMS funciona em vários dispositivos, como telefones, tablets e PCs, protegendo-os dentro e fora da sua organização. Esse recurso é possível porque o Azure RMS adiciona um nível de proteção que permanece com os dados, mesmo quando eles saem dos limites da organização.

Proteger seu aplicativo

Enquanto o Azure é responsável por proteger a infraestrutura e a plataforma em que seu aplicativo é executado, é sua responsabilidade proteger o aplicativo em si. Em outras palavras, você precisa desenvolver, implantar e gerenciar o código e o conteúdo do aplicativo de maneira segura. Caso contrário, o código ou conteúdo do aplicativo pode ficar vulnerável a ameaças.

Firewall do aplicativo Web

O WAF (firewall do aplicativo Web) é um recurso do Gateway de Aplicativo que fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns.

O firewall de aplicativo Web tem base em regras dos conjuntos de regras principais do OWASP. Os aplicativos Web cada vez mais são alvos de ataques mal-intencionados que exploram vulnerabilidades conhecidas comuns. Os ataques de injeção de SQL, os ataques de scripts entre sites, entre outros, são comuns entre essas explorações. Pode ser difícil impedir esses ataques no código do aplicativo e pode exigir manutenção rigorosa, aplicação de patches e monitoramento em várias camadas da topologia do aplicativo. Um firewall de aplicativo Web centralizado ajuda a simplificar bastante o gerenciamento de segurança e oferece mais garantia ao administrador do aplicativo contra ameaças ou invasões. Uma solução WAF também pode reagir a uma ameaça de segurança mais rapidamente ao aplicar um patch contra uma vulnerabilidade conhecida em um local central do que a proteção de cada um dos aplicativos Web individuais. Os gateways de aplicativos existentes podem ser facilmente convertidos em um gateway de aplicativo com firewall de aplicativo Web.

Algumas das vulnerabilidades da Web comuns contra as quais o firewall do aplicativo Web protege incluem:

  • Proteção contra injeção de SQL

  • Proteção contra scripts entre sites

  • Proteção Contra Ataques Comuns da Web, como a injeção de comandos, as solicitações HTTP indesejadas, a divisão de resposta HTTP e o ataque de inclusão de arquivo remoto

  • Proteção contra violações de protocolo HTTP

  • Proteção contra anomalias de protocolo HTTP, como ausência de host de agente do usuário e de cabeçalhos de aceitação

  • Prevenção contra bots, rastreadores e scanners

  • Detecção de problemas de configuração de aplicativo comuns (ou seja, Apache, IIS etc.)

Observação

Para obter uma lista mais detalhada das regras e suas proteções, confira os seguintes Conjuntos de regras principais.

O Azure fornece vários recursos fáceis de usar para ajudar a proteger o tráfego de entrada e de saída do seu aplicativo. O Azure ajuda os clientes a proteger o código de seu aplicativo fornecendo funcionalidade externa para verificar se há vulnerabilidades em seu aplicativo Web. Consulte Serviços de Aplicativos do Azure para saber mais.

O Serviço de Aplicativo do Azure usa a mesma solução Antimalware usada pelos Serviços de Nuvem do Azure e pelas máquinas virtuais. Para saber mais sobre isso, confira nossa documentação antimalware.

Proteger suas redes

O Microsoft Azure inclui uma infraestrutura de rede robusta para dar suporte a seus requisitos de conectividade de aplicativo e de serviço. A conectividade de rede é possível entre os recursos localizados no Azure, entre os recursos locais e aqueles hospedados no Azure e de origem e destino à Internet e ao Azure.

A infraestrutura de rede do Azure permite que você conecte com segurança os recursos do Azure uns com os outros usando redes virtuais (VNets). Uma VNet é uma representação da sua própria rede na nuvem. Uma VNet é um isolamento lógico da rede de nuvem do Azure dedicada à sua assinatura. Você pode conectar VNets às suas redes locais.

Secure your network (protect)

Caso você precise de um controle de acesso no nível de rede básico (baseado no endereço IP e nos protocolos TCP ou UDP), é possível usar os Grupos de Segurança de Rede. Um NSG (Grupo de Segurança de Rede) é um firewall básico de filtragem de pacotes com estado que permite o controle do acesso.

O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele fornece inspeção de tráfego de leste a oeste e de norte a sul.

O Firewall do Azure é oferecido em dois SKUs: Standard e Premium. O Firewall do Azure Standard fornece filtragem L3-L7 e feeds de inteligência contra ameaças diretamente da Segurança Cibernética da Microsoft. O Firewall do Azure Premium fornece funcionalidades avançadas que incluem IDPS baseado em assinatura para permitir a detecção rápida de ataques procurando padrões específicos.

A rede do Azure dá suporte à capacidade de personalizar o comportamento de roteamento do tráfego de rede nas Redes Virtuais do Azure. É possível fazer isso configurando Rotas Definidas pelo Usuário no Azure.

túnel forçado é um mecanismo que pode ser usado para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet.

O Azure dá suporte a conectividade do link WAN dedicado para sua rede local e a uma Rede Virtual do Azure com o ExpressRoute. O link entre o Azure e seu site utiliza uma conexão dedicada que não passa pela Internet pública. Se seu aplicativo Azure estiver sendo executado em vários datacenters, você poderá usar o Gerenciador de Tráfego do Azure para rotear solicitações de usuários de maneira inteligente entre as instâncias do aplicativo. Você também pode rotear o tráfego para serviços que não estejam sendo executados no Azure, desde que possam ser acessados pela Internet.

O Azure também dá suporte à conectividade privada e segura para seus recursos de PaaS (por exemplo, armazenamento do Azure e banco de dados SQL) de sua rede virtual do Azure com o Link Privado do Azure. O recurso PaaS é mapeado para um ponto de extremidade privado em sua rede virtual. O vínculo entre o ponto de extremidade privado em sua rede virtual e o recurso de PaaS usa a rede de backbone da Microsoft e não passa pela Internet pública. Expor seu serviço à Internet pública não é mais necessário. Você também pode usar o Link Privado do Azure para acessar os serviços hospedados de propriedade do cliente e parceiro do Azure em sua rede virtual. Além disso, o Link Privado do Azure permite que você crie seu próprio serviço de vínculo privado em sua rede virtual e entregue-o aos seus clientes de forma privada em suas redes virtuais. A configuração e o consumo usando o Link Privado do Azure são consistentes entre os serviços de parceiro de PaaS do Azure, de propriedade do cliente e de parceiros compartilhados.

Segurança de máquina virtual

As máquinas virtuais do Azure permitem que você implante uma ampla gama de soluções de computação de forma ágil. Com suporte para o Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Serviços BizTalk do Azure, você pode implantar qualquer carga de trabalho e qualquer linguagem em praticamente qualquer sistema operacional.

Com o Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro e Kaspersky para proteger suas máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças.

O Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais do Azure é uma funcionalidade de proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware fornece alertas configuráveis quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure.

O Backup do Azure é uma solução escalonável que protege os dados de seu aplicativo sem nenhum investimento de capital e com custos operacionais mínimos. Erros de aplicativo podem corromper seus dados e erros humanos podem introduzir bugs em seus aplicativos. Com o Backup do Azure, suas máquinas virtuais executando Windows e Linux estão protegidas.

O Azure Site Recovery ajuda a orquestrar a replicação, failover e recuperação dos aplicativos e cargas de trabalho para que eles estejam disponíveis a partir de um local secundário, caso o local principal fique inativo.

Garantia de conformidade: lista de verificação de inspeção detalhada dos serviços de nuvem

A Microsoft desenvolveu a Lista de verificação de inspeção detalhada dos serviços de nuvem para ajudar as organizações a realizarem inspeções detalhadas conforme elas consideram migrar para a nuvem. Ela fornece uma estrutura para organizações de qualquer tamanho e tipo — empresas privadas e organizações do setor público, incluindo organizações governamentais de todos os níveis e organizações sem fins lucrativos — identificarem seus próprios objetivos e requisitos de desempenho, serviço, gerenciamento de dados e governança. Isso permite comparar ofertas de diferentes provedores de serviços de nuvem, levando à formação de uma base para um contrato de serviço de nuvem.

A lista de verificação fornece uma estrutura alinhada cláusula a cláusula com um novo padrão internacional para contratos de serviço de nuvem, o ISO/IEC 19086. Esse padrão oferece um conjunto unificado de considerações para as organizações a fim de ajudá-las a tomar decisões sobre a adoção da nuvem e a criar uma base comum para comparar ofertas de serviços de nuvem.

A lista de verificação promove uma movimentação para a nuvem cuidadosamente examinada, proporcionando uma orientação estruturada e uma abordagem consistente e reproduzível para escolher um provedor de serviços de nuvem.

A adoção da nuvem não é simplesmente uma decisão tecnológica. Uma vez que os requisitos da lista de verificação abordam todos os aspectos de uma organização, eles servem para reunir todos os principais tomadores de decisão internos — o CIO e o CISO, bem como profissionais dos setores jurídico, de gerenciamento de riscos, de aquisições e de conformidade. Isso aumenta a eficiência do processo de tomada de decisão e baseia as decisões em um raciocínio coerente, reduzindo assim a probabilidade de problemas imprevistos com a adoção.

Além disso, a lista de verificação:

  • Expõe os principais tópicos de discussão para os tomadores de decisões no início do processo de adoção da nuvem.

  • Dá suporte a discussões de negócios completas sobre regulamentos e os próprios objetivos da organização para privacidade, informações pessoais e segurança de dados.

  • Ajuda as organizações a identificar problemas potenciais que podem afetar um projeto de nuvem.

  • Fornece um conjunto consistente de perguntas com os mesmos termos, definições, métricas e resultados para cada provedor, de forma a simplificar o processo de comparação de ofertas de diferentes provedores de serviços de nuvem.

Validação de segurança de aplicativo e infraestrutura do Azure

A Segurança Operacional do Azure refere-se a serviços, controles e recursos disponíveis aos usuários para proteger seus dados, aplicativos e outros recursos no Microsoft Azure.

security validation (detect)

A segurança operacional do Azure se baseia em uma estrutura que incorpora o conhecimento adquirido por vários recursos exclusivos da Microsoft, incluindo o SDL (Security Development Lifecycle) da Microsoft, o programa Microsoft Security Response Center e o profundo conhecimento do cenário de ameaças de segurança cibernética.

Microsoft Azure Monitor

Azure Monitor é a solução de gerenciamento de TI para a nuvem híbrida. Usados isoladamente ou para estender sua implantação existente do System Center, os logs do Azure Monitor oferecem máxima flexibilidade e controle para o gerenciamento baseado em nuvem da sua infraestrutura.

Azure Monitor

Com o Azure Monitor, é possível gerenciar qualquer instância em qualquer nuvem, incluindo o Azure, o AWS, o Windows Server, o Linux, o VMware e o OpenStack, a um custo menor do que as soluções concorrentes. Criado para o mundo em nuvem, o Azure Monitor oferece uma nova abordagem para gerenciar sua empresa que é a maneira mais rápida e econômica de atender a novos desafios de negócios e acomodar novas cargas de trabalho, aplicativos e ambientes de nuvem.

Logs do Azure Monitor

Os logs do Azure Monitor fornecem serviços de monitoramento, coletando dados de recursos gerenciados em um repositório central. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos pela API. Depois de coletados, os dados ficam disponíveis para alertas, análise e exportação.

Azure Monitor logs

Esse método permite consolidar dados de várias fontes para que você possa combinar dados de serviços do Azure com o ambiente local existente. Ele também separa a coleta dos dados da ação executada neles para que todas as ações fiquem disponíveis para todos os tipos de dados.

Microsoft Sentinel

O Microsoft Azure Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração de segurança, automação e resposta). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.

Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos seus recursos do Azure. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.

O Defender para Nuvem analisa periodicamente o estado de segurança de seus recursos do Azure para identificar possíveis vulnerabilidades na segurança. Uma lista de recomendações orienta você no processo de configuração dos controles necessários.

Os exemplos incluem:

  • Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado

  • Configurando os grupos de segurança de rede e as regras para controlar o tráfego para máquinas virtuais

  • Provisionamento de firewalls do aplicativo Web para ajudar a proteger contra ataques direcionados aos seus aplicativos Web

  • Como implantar atualizações de sistema ausentes

  • Endereçamento de configurações do sistema operacional que não coincidem com as linhas de base recomendadas

O Defender para Nuvem coleta, analisa e integra automaticamente os dados de registro de seus recursos do Azure, da rede e das soluções de parceiros como programas antimalware e firewalls. Quando forem detectadas ameaças, é criado um alerta de segurança. Os exemplos abrangem a detecção de:

  • As máquinas virtuais comprometidas se comunicam com os endereços IP mal-intencionados conhecidos

  • Malware avançado detectado usando o relatório de erros do Windows

  • Ataques por força bruta contra máquinas virtuais

  • Alertas de segurança dos firewalls e programas antimalware integrados

Azure Monitor

O Azure Monitor fornece ponteiros para informações sobre tipos específicos de recursos. Ele oferece visualização, consulta, roteamento, alertas, escala automática e automação nos dados por meio da infraestrutura do Azure (Logs de Atividades) e de cada recurso individual do Azure (Logs de Diagnóstico).

Os aplicativos em nuvem são complexos com muitas partes móveis. O monitoramento fornece dados para garantir que seu aplicativo permaneça ativo e em execução em um estado íntegro. Ele também ajuda a afastar os problemas potenciais ou solucionar problemas antigos.

Diagram that shows you can use monitoring data to gain deep insights about your application. Além disso, você pode usar os dados de monitoramento para obter mais informações sobre seu aplicativo. Esse conhecimento pode ajudá-lo a melhorar o desempenho ou a capacidade de manutenção do aplicativo ou automatizar ações que normalmente exigiriam intervenção manual.

A auditoria da segurança de sua rede é fundamental para detectar vulnerabilidades de rede e garantir a conformidade com o modelo de governança regulatória e segurança de TI. Com a exibição Grupo de Segurança, você pode recuperar o Grupo de Segurança de Rede configurado e as regras de segurança, bem como as regras de segurança efetivas. Com a lista de regras aplicadas, é possível determinar as portas que estão abertas e avaliar a vulnerabilidade da rede.

Observador de Rede

O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível de rede em, para e do Azure. As ferramentas de diagnóstico e visualização da rede disponíveis com o Observador de Rede ajudam a entender, diagnosticar e ter informações para sua rede no Azure. Esse serviço inclui a captura de pacotes, próximo salto, verificação do fluxo de IP, exibição do grupo de segurança e logs de fluxo de NSG. O monitoramento no nível do cenário fornece uma exibição completa dos recursos de rede em contraste com o monitoramento de recursos de rede individual.

Análise de armazenamento

A Análise de Armazenamento pode armazenar métricas que incluem estatísticas de transação agregadas e dados de capacidade sobre solicitações em um serviço de armazenamento. As transações são relatadas no nível de operação da API, bem como no nível de serviço de armazenamento, e a capacidade é relatada no nível de serviço de armazenamento. Os dados de métricas podem ser usados para analisar o uso do serviço de armazenamento, diagnosticar problemas com solicitações feitas no serviço de armazenamento e melhorar o desempenho de aplicativos que usam um serviço.

Application Insights

O Application Insights é um serviço APM (Gerenciamento de Desempenho de Aplicativos) extensível para desenvolvedores da Web em várias plataformas. Use-o para monitorar seu aplicativo Web online. Ele detectará anomalias de desempenho automaticamente. Ele inclui ferramentas de análise avançadas para ajudar você a diagnosticar problemas e entender o que os usuários fazem com seu aplicativo. Ele foi projetado para ajudar você a aprimorar continuamente o desempenho e a usabilidade do seu aplicativo. Ele funciona com aplicativos em uma ampla variedade de plataformas incluindo .NET, Node.js e Java EE, hospedados localmente ou na nuvem. Ele é integrado ao seu processo de DevOps e tem pontos de conexão para várias ferramentas de desenvolvimento.

Ele monitora:

  • Taxas de solicitação, tempos de resposta e taxas de falha - descubra quais páginas estão mais populares, em que momentos do dia, e onde os usuários estão. Confira as páginas que têm melhor desempenho. Se as taxas de falha e os tempos de resposta ficam altos quando há mais solicitações, possivelmente você tem um problema de alocação de recursos.

  • Taxas de dependência, tempos de resposta e taxas de falha - descubra se os serviços externos estão atrasando você.

  • Exceções – analise as estatísticas agregadas ou escolha instâncias específicas e faça uma busca detalhada no rastreamento de pilha e nas solicitações relacionadas. A maioria das exceções de navegador e servidor são relatadas.

  • Exibições de página e o desempenho de carregamento - relatados por navegadores dos usuários.

  • Chamadas AJAX de páginas da web - taxas, tempos de resposta e taxas de falha.

  • Contagens de seção e usuários.

  • Contadores de desempenho de suas máquinas de servidor Linux ou Windows server, como CPU, memória e uso da rede.

  • Diagnósticos de host do Docker ou do Azure.

  • Logs de rastreamento de diagnóstico do seu aplicativo - para que você possa correlacionar eventos de rastreamento com solicitações.

  • Métricas e eventos personalizados que você escreve no código de cliente ou servidor, a fim de acompanhar eventos de negócios como itens vendidos ou jogos vencidos.

A infraestrutura do seu aplicativo geralmente é composta de vários componentes; talvez uma máquina virtual, uma conta de armazenamento e uma rede virtual, ou aplicativo Web, banco de dados, servidor de banco de dados e serviços de terceiros. Tais componentes não são vistos como entidades separadas, em vez disso, eles são mostrados como partes relacionadas e interdependentes de uma única entidade. Você deseja implantar, gerenciar e monitorá-los como um grupo. O Azure Resource Manager permite trabalhar com os recursos da sua solução como um grupo.

Você pode implantar, atualizar ou excluir todos os recursos da sua solução em uma única operação coordenada. Usar um modelo para a implantação e esse modelo pode ser útil para ambientes diferentes, como teste, preparação e produção. O Gerenciador de Recursos fornece recursos de segurança, auditoria e marcação para ajudá-lo a gerenciar seus recursos após a implantação.

Os benefícios de usar o Gerenciador de Recursos

O Gerenciador de Recursos fornece vários benefícios:

  • Você pode implantar, gerenciar e monitorar todos os recursos da sua solução como um grupo em vez de tratá-los individualmente.

  • Você pode implantar a solução repetidamente em todo seu ciclo de vida de desenvolvimento e com a confiança de que seus recursos serão implantados em um estado consistente.

  • Você pode gerenciar sua infraestrutura por meio de modelos declarativos em vez de scripts.

  • Você pode definir as dependências entre os recursos para que eles sejam implantados na ordem correta.

  • Você pode aplicar o controle de acesso a todos os serviços em seu grupo de recursos porque o Azure RBAC (controle de acesso baseado em função) do Azure é integrado nativamente à plataforma de gerenciamento.

  • Você pode aplicar marcas aos recursos para organizar de modo lógico todos os recursos em sua assinatura.

  • Você pode esclarecer a cobrança da sua organização exibindo os custos para um grupo de recursos que compartilha a mesma marcação.

Observação

O Gerenciador de Recursos fornece uma nova maneira de implantar e gerenciar suas soluções. Se você tiver usado o modelo de implantação anterior e quiser saber mais sobre as alterações, confira Noções básicas sobre a implantação do Resource Manager e a implantação clássica.

Próxima etapa

O parâmetro de comparação de segurança da nuvem da Microsoft inclui uma coleção de recomendações de segurança que você pode usar para ajudar a proteger os serviços que você usa no Azure.