Receber recomendações de segurança de rede com o Microsoft Defender para Nuvem
A segurança de rede abrange uma variedade de tecnologias, dispositivos e processos. Ela fornece um conjunto de regras e configurações projetadas para proteger a integridade, confidencialidade e acessibilidade de redes de computador e dados. Cada organização, independentemente do tamanho, do setor ou da infraestrutura, requer um grau de soluções de segurança de rede em uso para protegê-la contra os riscos crescentes de ataques.
Para o Microsoft Azure, é fundamental proteger ou fornecer a capacidade de proteger recursos como microsserviços, VMs, dados e outros. O Microsoft Azure garante isso por meio de um firewall virtual distribuído.
Uma rede virtual no Microsoft Azure é isolada de outras redes, enquanto se comunica por meio de endereços IP privados.
Segurança de rede
A segurança de rede abrange controles para proteger e proteger redes do Azure, incluindo a proteção de redes virtuais, o estabelecimento de conexões privadas, a prevenção e a mitigação de ataques externos e a proteção do DNS. Uma descrição completa dos controles pode ser encontrada em Controle de Segurança V3: Segurança de rede no Microsoft Docs.
NS-1: estabelecer limites de segmentação de rede
Princípio de segurança: verifique se sua implantação de rede virtual está alinhada à sua estratégia de segmentação corporativa definida no controle de segurança GS-2. Toda carga de trabalho que possa incorrer em risco maior para a organização deve estar em redes virtuais isoladas. Exemplos de carga de trabalho de alto risco incluem:
- Um aplicativo que armazena ou processa dados altamente confidenciais.
- Um aplicativo externo voltado para a rede acessível pelo público ou pelos usuários fora da sua organização.
- Um aplicativo que usa uma arquitetura insegura ou que contém vulnerabilidades que não podem ser facilmente corrigidas.
Para aprimorar sua estratégia de segmentação corporativa, restrinja ou monitore o tráfego entre os recursos internos usando os controles de rede. Para aplicativos específicos e bem definidos (como um aplicativo de três camadas), isso pode ser uma abordagem altamente segura de "negar por padrão, permitir por exceção" restringindo as portas, protocolos, IPs de origem e destino do tráfego de rede. Se você tiver muitos aplicativos e pontos de extremidade interagindo entre si, o bloqueio de tráfego pode não ser bem escalado e você pode ser capaz somente de monitorar o tráfego.
Diretrizes do Azure: criar uma VNet (rede virtual) como uma abordagem de segmentação fundamental em sua rede do Azure, para que recursos como VMs possam ser implantados na VNet dentro de um limite de rede. Para segmentar ainda mais a rede, você pode criar sub-redes dentro da VNet para sub-redes menores.
Use NSG (grupos de segurança de rede) como um controle de camada de rede para restringir ou monitorar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino.
Você também pode usar ASGs (grupos de segurança de aplicativos) para simplificar a configuração complexa. Em vez de definir a política com base em endereços IP explícitos nos grupos de segurança de rede, os ASGS permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.
NS-2: proteger serviços de nuvem com controles de rede
Princípio de segurança: proteger serviços de nuvem estabelecendo um ponto de acesso privado para os recursos. Você também deve desabilitar ou restringir o acesso da rede pública quando possível.
Diretrizes do Azure: implantar pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso de link privado, para estabelecer um ponto de acesso privado para os recursos. Você também deve desabilitar ou restringir o acesso à rede pública aos serviços onde for viável.
Para determinados serviços, você também tem a opção de implantar a integração de VNet para o serviço em que você pode restringir a VNET para estabelecer um ponto de acesso privado para o serviço.
NS-3: implantar firewall na borda da rede corporativa
Princípio de segurança: implante um firewall para executar a filtragem avançada no tráfego de rede de e para redes externas. Você também pode usar firewalls entre segmentos internos para dar suporte a uma estratégia de segmentação. Se necessário, use rotas personalizadas para sua sub-rede para substituir a rota do sistema quando você precisar forçar o tráfego de rede a passar por um dispositivo de rede para fins de controle de segurança.
No mínimo, bloqueie endereços IP incorretos e protocolos de alto risco conhecidos, como o gerenciamento remoto (por exemplo, RDP e SSH) e protocolos de intranet (por exemplo, SMB e Kerberos).
Diretrizes do Azure: use o Firewall do Azure para fornecer restrição de tráfego na camada de aplicativo totalmente com estado (como filtragem de URL) e/ou gerenciamento central em um grande número de segmentos corporativos ou spokes (em uma topologia hub/spoke).
Se você tiver uma topologia de rede complexa, como uma configuração de hub/spoke, talvez seja necessário criar UDR (rotas definidas pelo usuário) para garantir que o tráfego passe pela rota desejada. Por exemplo, você tem a opção de usar uma UDR para redirecionar o tráfego de saída da Internet por meio de um Firewall do Azure específico ou uma solução de virtualização de rede.
NS-4: implantar IDS/IPS (sistemas de detecção/prevenção de intrusões)
Princípio de segurança: use os IDS e IPS de rede para inspecionar a rede e a carga de tráfego de ou para sua carga de trabalho. Verifique se os IDS/IPS estão sempre ajustados para fornecer alertas de alta qualidade para sua solução SIEM.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, use IDS/IPS baseados em host ou uma solução de EDR (detecção e resposta de ponto de extremidade) baseada em host junto aos IDS/IPS de rede.
Diretrizes do Azure: use a capacidade do IDPS do Firewall do Azure em sua rede para alertar e/ou bloquear o tráfego de e para domínios e endereços IP mal-intencionados conhecidos.
Para obter mais detalhes sobre a capacidade de detecção e prevenção de nível de host, implante IDS/IPS baseados em host ou uma solução de EDR baseada em host, como o Microsoft Defender para Ponto de Extremidade, no nível da VM junto aos IDS/IPS de rede.
NS-5: implantar proteção contra DDOS
Princípio de segurança: implante a proteção contra DDoS (negação de serviço distribuído) para proteger sua rede e aplicativos contra ataques.
Diretrizes do Azure: Habilite o plano de Proteção de Rede contra DDoS em sua VNet para proteger os recursos expostos às redes públicas.
NS-6: implantar firewall do aplicativo Web
Princípio de segurança: implante um WAF (firewall do aplicativo Web) e configure as regras apropriadas para proteger seus aplicativos Web e APIs de ataques específicos do aplicativo.
Diretrizes do Azure: use os recursos do WAF (firewall do aplicativo web) no Gateway de Aplicativo do Azure, no Azure Front Door e no CDN (Rede de Distribuição de Conteúdo do Microsoft Azure) para proteger seus aplicativos, serviços e APIs contra ataques de camada de aplicativo na borda da sua rede. Defina seu WAF em "detecção" ou "modo de prevenção", dependendo de suas necessidades e do cenário da ameaça. Escolha um conjunto de regras interno, como as 10 principais vulnerabilidades do OWASP e ajuste-o para seu aplicativo.
NS-7: simplificar a configuração da segurança de rede
Princípio de segurança: ao gerenciar um ambiente de rede complexo, use ferramentas para simplificar, centralizar e aprimorar o gerenciamento de segurança de rede.
Diretrizes do Azure: use os seguintes recursos para simplificar a implementação e o gerenciamento do NSG e das regras de Firewall do Azure:
- Use a proteção de rede adaptável do Microsoft Defender para Nuvem para recomendar regras de proteção de NSG que limitam ainda mais portas, protocolos e IPs de origem com base na inteligência contra ameaças e no resultado da análise de tráfego.
- Use o Gerenciador de Firewall do Azure para centralizar a política de firewall e o gerenciamento de rotas da rede virtual. Para simplificar a implementação de regras de firewall e grupos de segurança de rede, você também pode usar o modelo do ARM (Azure Resource Manager) do Gerenciador de Firewall do Azure.
NS-8: detectar e desabilitar serviços e protocolos não seguros
Princípio de segurança: detectar e desabilitar serviços e protocolos inseguros na camada de pacote do software, aplicativo ou sistema operacional. Implantar controles de compensação se não for possível desabilitar serviços e protocolos inseguros.
Diretrizes do Azure: use a pasta de trabalho do protocolo inseguro interna do Azure Sentinel para descobrir o uso de serviços e protocolos inseguros, como SSL/TLSv1, SSHv1, SMBV1, LM/NTLMv1, WDigest, associações LDAP não assinadas e criptografias fracas no Kerberos. Desabilite serviços e protocolos inseguros que não atendem ao padrão de segurança apropriado.
Observação
Se não for possível desabilitar serviços ou protocolos não seguros, use controles de compensação, como bloqueio do acesso aos recursos por meio do grupo de segurança de rede, do Firewall do Azure ou do Firewall de Aplicativo Web do Azure, para reduzir a superfície de ataque.
NS-9: conectar rede local ou na nuvem em particular
Princípio de segurança: use conexões privadas para comunicação segura entre redes diferentes, como data centers do provedor de serviço de nuvem e infraestrutura local em um ambiente de colocação.
Diretrizes do Azure: use conexões privadas para comunicação segura entre redes diferentes, como data centers do provedor de serviço de nuvem e infraestrutura local em um ambiente de colocação.
Para conectividade leve entre site a site ou ponto a site, use a VPN (rede virtual privada) do Azure para criar uma conexão segura entre seu site local ou dispositivo de usuário final à rede virtual do Azure.
Para uma conexão de alto desempenho de nível corporativo, use o Azure ExpressRoute (ou WAN virtual) para conectar os datacenters do Azure e a infraestrutura local em um ambiente de colocação.
Para conectar duas ou mais redes virtuais do Azure, use o emparelhamento de rede virtual. O tráfego de rede entre redes virtuais emparelhadas é privado e é mantido na rede de backbone do Azure.
NS-10: garantir a segurança do DNS (Sistema de Nomes de Domínio)
Princípio de segurança: certifique-se de que a configuração de segurança do DNS protege contra riscos conhecidos:
- Use serviços de DNS confiáveis e recursivos em seu ambiente de nuvem para garantir que o cliente (como sistemas operacionais e aplicativos) receba o resultado de resolução correto.
- Separe a resolução do DNS público e privado para que o processo de resolução do DNS da rede privada possa ser isolado da rede pública.
- Verifique se a sua estratégia de segurança do DNS também inclui mitigações contra ataques comuns, como DNS pendente, ataques de amplificação de DNS, envenenamento e falsificação de DNS e assim por diante.
Diretrizes do Azure: use o DNS recursivo do Azure ou um servidor DNS externo confiável na sua configuração do DNS recursivo da carga de trabalho, como no sistema operacional da VM ou no aplicativo.
Use o DNS privado do Azure para configuração da zona DNS privada no qual o processo de resolução do DNS não saia da rede virtual. Use um DNS personalizado para restringir a resolução do DNS que permite somente a resolução confiável para o cliente.
Use o Azure Defender para DNS para a proteção avançada contra as seguintes ameaças de segurança à sua carga de trabalho ou ao seu serviço DNS:
- Exfiltração dos dados de seus recursos do Azure usando túnel DNS
- Malware comunicando-se com servidor de comando e de controle
- Comunicação com domínios mal-intencionados, como phishing e mineração de criptografia
- Ataques ao DNS em comunicação com resolvedores de DNS mal-intencionados
Você também pode usar o Azure Defender para Serviço de Aplicativo a fim de detectar registros DNS pendentes se você descomissionar um site do Serviço de Aplicativo sem remover seu domínio personalizado do registrador DNS.
Referência de segurança de nuvem da Microsoft
A Microsoft descobriu que o uso de parâmetros de comparação de segurança pode ajudar você a proteger rapidamente as implantações em nuvem. Uma estrutura abrangente de melhores práticas de segurança dos provedores de serviços de nuvem pode fornecer um ponto de partida para selecionar definições de configuração de segurança específicas no seu ambiente de nuvem, em vários provedores de serviços e permitir que você monitore essas configurações usando um só painel de controle.
O MCSB (parâmetro de comparação de segurança da nuvem) da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que você pode usar para ajudar a proteger seus serviços de nuvem em um ambiente único ou multinuvem. As recomendações do MCSB incluem dois aspectos principais:
- Controles de segurança: essas recomendações têm aplicação geral nas cargas de trabalho de nuvem. Cada recomendação identifica uma lista de stakeholders que geralmente estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
- Linhas de base de serviço: aplicam os controles a serviços de nuvem individuais para fornecer recomendações sobre a configuração de segurança desse serviço específico. Atualmente, só temos linhas de base de serviço disponíveis para o Azure.
Implementar o parâmetro de comparação de segurança da nuvem da Microsoft
- Planeje sua implementação do MCSB lendo a documentação dos controles corporativos e das linhas de base específicas do serviço para planejar sua estrutura de controle e como ela será mapeada para as diretrizes como os Controles do CIS (Center for Internet Security), o NIST (National Institute of Standards and Technology) e a estrutura PCI-DSS (Payment Card Industry Data Security Standard).
- Monitore sua conformidade com o status do MCSB (e outros conjuntos de controle) usando o Microsoft Defender para Nuvem – Painel de Conformidade Regulatória para seu ambiente multinuvem.
- Estabeleça verificadores de integridade para automatizar configurações seguras e impor a conformidade com o MCSB (e outros requisitos da sua organização) usando recursos como o Azure Blueprints, o Azure Policy ou as tecnologias equivalentes de outras plataformas de nuvem.
Terminologia
Os termos controle e linha de base são frequentemente usados na documentação do parâmetro de comparação de segurança da nuvem da Microsoft e é importante entender como o Azure usa esses termos.
| Termo | Descrição | Exemplo |
|---|---|---|
| Control | Um controle é uma descrição de alto nível de um recurso ou uma atividade que precisa ser resolvida e não é específica para uma tecnologia ou implementação. | A Proteção de Dados é uma das famílias de controles de segurança. A Proteção de Dados contém ações específicas que devem ser abordadas para ajudar a garantir que os dados estejam protegidos. |
| Linha de base | Uma linha de base é a implementação do controle nos serviços individuais do Azure. Cada organização determina a recomendação do parâmetro de comparação, e as configurações correspondentes são necessárias no Azure. Observação: atualmente, só temos linhas de base de serviço disponíveis para o Azure. | A empresa Contoso busca habilitar os recursos de segurança do SQL do Azure seguindo a configuração recomendada na linha de base de segurança do SQL do Azure. |
Uso do Microsoft Defender para Nuvem para conformidade regulatória
O Microsoft Defender para Nuvem ajuda a simplificar o processo para atender aos requisitos de conformidade regulatória, usando o painel de conformidade regulatória.
O painel de conformidade regulatória mostra o status de todas as avaliações no seu ambiente para os seus padrões e regulamentos escolhidos. Conforme você tomar decisões com base nas recomendações e reduzir os fatores de risco em seu ambiente, sua postura de conformidade melhorará.
Painel de conformidade regulatória
O painel mostra uma visão geral de seu status de conformidade com o conjunto de regulamentos de conformidade compatíveis. Você poderá ver sua pontuação geral de conformidade e o número de avaliações aprovadas versus reprovadas associadas a cada padrão.
Controles de conformidade
- As assinaturas nas quais o padrão é aplicado.
- Lista de todos os controles para esse padrão.
- Exiba os detalhes das avaliações de aprovação e desaprovação associadas a esse controle.
- Número de recursos afetados.
Alguns controles estão esmaecidos. Esses controles não têm nenhuma avaliação de nuvem do Microsoft Defender associada a eles. Verifique os requisitos e avalie-os no seu ambiente. Alguns deles podem ser relacionados ao processo e não técnicos.
Explorando os detalhes da conformidade com um padrão específico
Para gerar um relatório em PDF com um resumo do seu status de conformidade atual para um padrão específico, selecione Baixar o relatório.
O relatório fornece um resumo de alto nível do seu status de conformidade para o padrão selecionado com base nos dados de avaliações do Microsoft Defender para Nuvem. O relatório é organizado de acordo com os controles desse padrão. O relatório pode ser compartilhado com stakeholders relevantes e pode servir para fornecer evidências aos auditores internos e externos.
Alertas no Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem coleta, analisa e integra automaticamente os dados de log dos seus recursos do Azure, da rede e das soluções de parceiros conectadas, como as soluções de firewall e de proteção do ponto de extremidade, a fim de detectar ameaças reais e reduzir os falsos positivos. Uma lista de alertas de segurança priorizados é mostrada no Microsoft Defender para Nuvem junto com as informações necessárias para investigar rapidamente o problema e as etapas a serem seguidas para corrigir um ataque.
Gerenciar os seus alertas de segurança
A página de visão geral do Microsoft Defender para Nuvem mostra o bloco Alertas de segurança na parte superior da página e como um link da barra lateral.
A página de alertas de segurança mostra os alertas ativos. Você pode classificar a lista por Gravidade, Título do alerta, Recurso afetado, Hora de início da atividade. Táticas de ATAQUE MITRE e status.
Para filtrar a lista de alertas, selecione qualquer um dos filtros relevantes. Você pode adicionar mais filtros com a opção Adicionar filtro.
A lista é atualizada de acordo com as opções de filtragem selecionadas. A filtragem pode ser muito útil. Por exemplo, convém lidar com os alertas de segurança que ocorreram nas últimas 24 horas porque você está investigando uma possível falha no sistema.
Responder a alertas de segurança
Na lista Alertas de segurança, selecione um alerta. Um painel lateral é aberto e mostra uma descrição do alerta e todos os recursos afetados.
Exibir detalhes completos mostra informações adicionais, conforme a seguinte imagem:
O painel esquerdo da página alerta de segurança mostra informações de alto nível sobre o alerta de segurança: título, severidade, status, tempo de atividade, descrição da atividade suspeita e o recurso afetado. Com o recurso afetado estão as marcas do Azure relevantes para o recurso. Use-as para inferir o contexto organizacional do recurso ao investigar o alerta.
O painel direito inclui a guia Detalhes do alerta que contém mais detalhes do alerta para ajudar você a investigar o problema: endereços IP, arquivos, processos e muito mais.
Além disso, no painel direito há a guia Executar ação. Use essa guia para executar outras ações em relação ao alerta de segurança. Ações como:
- Atenuar a ameaça: Fornece etapas de correção manual para este alerta de segurança.
- Evitar ataques futuros: Fornece recomendações de segurança para ajudar a reduzir a superfície de ataque, aumentar a postura de segurança e, portanto, evitar ataques futuros.
- Disparar uma resposta automatizada: Oferece a opção de disparar um aplicativo lógico como uma resposta a este alerta de segurança.
- Suprimir alertas semelhantes: Oferece a opção de suprimir alertas futuros com características semelhantes se o alerta não for relevante para sua organização.