Resumo

  • 3 minutos

Neste módulo, você aprendeu a planejar e implementar medidas de segurança avançadas para recursos de computação do Azure para proteger contra vulnerabilidades e ameaças de segurança em evolução.

Principais aprendizados

Você explorou estratégias de segurança abrangentes em vários serviços de computação do Azure:

Proteger o acesso remoto

  • O Azure Bastion fornece acesso seguro de RDP/SSH sem expor máquinas virtuais à Internet pública, com quatro camadas de SKU:
    • SKU do desenvolvedor: opção econômica para cenários de desenvolvimento/teste (duas conexões simultâneas)
    • SKU básica: acesso remoto seguro padrão (sem suporte a cliente nativo)
    • SKU Padrão: recursos aprimorados, incluindo suporte ao cliente nativo e links compartilháveis
    • SKU Premium: funcionalidades avançadas, incluindo gravação de sessão, implantação somente privada e suporte à porta personalizada
  • O acesso à VM just-in-time (JIT) reduz as superfícies de ataque fornecendo acesso limitado a máquinas virtuais

Segurança do AKS (Serviço de Kubernetes do Azure)

  • A identidade de carga de trabalho com federação OIDC fornece autenticação segura para recursos do Azure (substitui a identidade gerenciada por pod obsoleta)
  • O isolamento de rede por meio de políticas de rede controla a comunicação entre pods.
  • Os Padrões de Segurança do Pod impõem políticas de segurança no nível do pod
  • O AKS Automatic oferece configuração de cluster simplificada e pronta para produção
  • O Azure Linux 3 deve ser usado à medida que o suporte do Azure Linux 2.0 termina em 30 de novembro de 2025.

Segurança e monitoramento do contêiner

  • O Microsoft Defender para Contêineres fornece proteção abrangente contra ameaças em cinco domínios principais:
    • Gerenciamento de postura de segurança de nuvem
    • Avaliação de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender (MDVM)
    • Detecção de ameaças em tempo de execução
    • Fortalecimento do ambiente do Kubernetes
    • Proteção da cadeia de fornecimento de software
  • O Container Insights (um recurso do Azure Monitor) fornece monitoramento de desempenho e integridade para cargas de trabalho em contêineres
  • A implantação restrita (GA)impede que imagens vulneráveis sejam implantadas na produção
  • A verificação do contêiner em tempo de execução (GA) fornece avaliação contínua de vulnerabilidades

Segurança do registro de contêiner

  • O ACR (Registro de Contêiner do Azure) dá suporte a sete funções RBAC internas para controle de acesso granular
  • Os métodos de autenticação incluem identidades do Microsoft Entra, permissões com escopo de repositório e contas de administrador
  • A integração com a ID do Microsoft Entra permite o gerenciamento de identidade centralizado

Proteção de dados

  • O ADE (Azure Disk Encryption) usa o BitLocker (Windows) e o dm-crypt (Linux) para criptografar discos de VM
  • A criptografia no host fornece criptografia de ponta a ponta para dados de VM
  • A criptografia de disco confidencial protege cargas de trabalho confidenciais com segurança baseada em hardware
  • O Azure Key Vault serve como gerenciamento centralizado de chaves e certificados
  • A criptografia de envelope com a hierarquia DEK/KEK fornece proteção de dados em camadas

Segurança da API

  • A linha de base de segurança do Gerenciamento de API do Azure está alinhada com o Microsoft Cloud Security Benchmark (versão prévia v2 disponível)
  • A integração de Rede Virtual permite configurações de rede internas ou externas
  • Pontos de extremidade privados fornecem acesso seguro sem exposição pública
  • A integração do Microsoft Entra ID habilita a autenticação do OAuth 2.0 para APIs
  • Identidades gerenciadas simplificam o acesso seguro aos recursos do Azure, como o Key Vault

Práticas recomendadas aplicadas

Ao longo deste módulo, você aprendeu a aplicar as práticas recomendadas de segurança:

  • Use a identidade da carga de trabalho em vez da identidade gerenciada por pod obsoleta para autenticação AKS
  • Sempre que possível, habilite a autenticação do Microsoft Entra ID em vez dos métodos de autenticação locais
  • Implementar acesso com privilégios mínimos usando o RBAC do Azure para controle de permissão granular
  • Usar identidades gerenciadas para evitar o armazenamento de credenciais em código ou configuração
  • Habilitar criptografia em repouso e criptografia em trânsito para todos os dados confidenciais
  • Implantar pontos de extremidade privados para manter o tráfego fora da Internet pública
  • Monitore com o Microsoft Defender para contêineres e Container Insights para obter visibilidade abrangente
  • Aplicar políticas de rede para impor a micro segmentação em clusters do AKS
  • Armazenar segredos e chaves no Azure Key Vault em vez de no código do aplicativo
  • Usar o Azure Policy para impor configurações de segurança entre recursos

Próximas etapas

Para continuar fortalecendo sua experiência em segurança do Azure: