Visão geral – Aplicar princípios de Confiança Zero à rede do Azure

Esta série de artigos ajuda você a aplicar os princípios da Confiança Zero à sua infraestrutura de rede no Microsoft Azure com base em uma abordagem multidisciplinar. Confiança Zero é uma estratégia de segurança. Não se trata de um produto ou serviço, mas de uma abordagem para projetar e implementar o seguinte conjunto de princípios de segurança:

• Verificação explícita
• Usar o acesso de privilégio mínimo
• Pressupor a violação

A implementação da mentalidade de Confiança Zero para "presumir a violação, nunca confiar, sempre verificar" exige mudanças na infraestrutura de nuvem, na estratégia de implantação e na implementação.

Os seguintes artigos mostram como aplicar a abordagem de Confiança Zero à rede para serviços de infraestrutura do Azure implantados frequentemente:

• Criptografia
• Segmentação
• Obter visibilidade do seu tráfego de rede
• Descontinuar a tecnologia de segurança de rede herdada

Importante

Esta orientação de Confiança Zero descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:

• Parâmetro de comparação do Microsoft Cloud Security
• Linha de base de segurança do Microsoft Cloud

Para descrever as instruções de como aplicar a abordagem Confiança Zero, esta diretriz tem como meta um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, o que às vezes é chamado de "lift-and-shift".

Proteção contra ameaças com o Microsoft Defender para Nuvem

Para o princípio de Confiança Zero de presumir a violação para a rede do Azure, o Microsoft Defender para Nuvem é uma solução de detecção e resposta estendida (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, de ameaça e de alerta de todo o seu ambiente. O Defender para Nuvem destina-se a ser usado com o Microsoft Defender XDR para fornecer maior alcance de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.

No diagrama:

• O Defender para Nuvem está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
• O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais do AD DS (Active Directory Domain Services).

Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender para Nuvem, veja:

• Organizar assinaturas em grupos de gerenciamento e atribuir funções aos usuários
• Habilitar o Defender para Nuvem em todas as assinaturas de um grupo de gerenciamento

Recursos adicionais

Consulte estes artigos adicionais para aplicar princípios de Confiança Zero ao IaaS do Azure:

• Para IaaS do Azure:
  • Armazenamento do Azure
  • Máquinas virtuais
  • Redes virtuais spoke
  • Redes virtuais de hub
  • Redes virtuais spoke com serviços PaaS do Azure
• Área de Trabalho Virtual do Azure
• WAN Virtual do Azure
• Aplicativos IaaS no Amazon Web Services
• Microsoft Sentinel e Microsoft Defender XDR