Resumo
Abordamos muitos aspectos neste módulo para criar uma lista de verificação de segurança de linha de base para os serviços do Azure comumente usados. Vamos recapitular rapidamente o que fizemos:
Habilitar o Microsoft Defender para Nuvem – é gratuito. Atualize sua assinatura do Azure para habilitar o Microsoft Defender para Nuvem. Os recursos de segurança aprimorados do Defender para Nuvem ajudam você a:
- Localizar e corrigir vulnerabilidades de segurança.
- Aplicar controles de acesso e de aplicativo para bloquear atividades mal-intencionadas.
- Detectar ameaças usando análise e inteligência.
- Responder rapidamente quando está sob ataque.
Adotar os parâmetros de comparação do CIS (Center for Internet Security). Aplique os parâmetros de comparação aos locatários existentes.
Usar VMs do CIS para novas cargas de trabalho. Obtenha imagens de VM protegidas por CIS no Azure Marketplace.
Armazenar suas chaves e segredos no Azure Key Vault (não no código-fonte). O Key Vault foi projetado para dar suporte a qualquer tipo de segredo, incluindo senhas, credenciais de banco de dados, chaves de API e certificados.
Instalar um firewall do aplicativo Web. Um WAF (firewall do aplicativo Web) é um recurso do Gateway de Aplicativo do Azure que fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. Terceiros também oferecem WAFs com suporte do Azure.
Impor a verificação multifator para usuários, especialmente para suas contas de administrador. A autenticação multifator do Microsoft Entra ajuda os administradores a protegerem suas organizações e usuários, exigindo mais de um método de autenticação.
Criptografar os arquivos de disco rígido virtual. A criptografia ajuda a proteger o volume de inicialização e os volumes de dados em repouso no armazenamento, juntamente com os segredos e chave de criptografia.
Conectar dispositivos e VMs do Azure a outros dispositivos em rede colocando-os em redes virtuais do Azure. As VMs conectadas a uma rede virtual do Azure podem se conectar a dispositivos na mesma rede virtual, em diferentes redes virtuais, na Internet ou em suas redes locais.
Práticas poderosas de segurança operacional a implementar
Implemente estas práticas de segurança operacional robustas todos os dias:
Gerenciar as atualizações de VM. As VMs do Azure, como todas as VMs locais, devem ser gerenciadas pelo usuário. O Azure não efetua push de atualizações do Windows para essas VMs. Verifique se você tem processos sólidos em vigor para operações importantes, como o gerenciamento de patches e o backup.
Habilitar o gerenciamento de senhas. Use políticas de segurança apropriadas para evitar abusos.
Examinar o painel de proteção da cargas de trabalho regularmente. Tenha uma visão central do estado de segurança de todos os seus recursos do Azure e tome medidas de acordo com as recomendações.
Leitura adicional
Para explorar os tópicos apresentados neste módulo com mais detalhes, consulte CIS Microsoft Azure Foundations Security Benchmark.