Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O modelo Zero Trust assume a violação e verifica cada pedido como se tivesse origem numa rede não controlada. Os serviços de segurança de rede Azure desempenham um papel fundamental na aplicação dos princípios de Zero Trust ao inspecionar, filtrar e registar o tráfego em todo o seu ambiente cloud.
As seguintes recomendações ajudam-no a avaliar e reforçar a sua postura de segurança de rede Azure. Cada recomendação liga a um guia detalhado que descreve a verificação de segurança, o seu nível de risco e os passos de remediação.
Sugestão
Algumas organizações podem tomar essas recomendações exatamente como escritas, enquanto outras podem optar por fazer modificações com base em suas próprias necessidades de negócios. Recomendamos que todos os seguintes controlos sejam implementados quando aplicável. Estes padrões e práticas ajudam a fornecer uma base para um ambiente de rede Azure seguro. Mais controles serão adicionados a este documento ao longo do tempo.
Avaliação automatizada
Verificar manualmente esta orientação em relação à configuração do seu ambiente pode ser demorado e propenso a erros. A Zero Trust Assessment transforma este processo com automação para testar estes itens de configuração de segurança e muito mais. Saiba mais em O que é a Avaliação Zero Trust?
Azure DDoS Protection
O Azure DDoS Protection protege os seus recursos públicos contra ataques distribuídos de negação de serviço. As seguintes recomendações verificam que a proteção contra DDoS está ativada e devidamente monitorizada.
Para mais informações, consulte as recomendações do Zero Trust para a Proteção DDoS do Azure.
| Recommendation | Nível de risco | Impacto do utilizador | Custo de implementação |
|---|---|---|---|
| A Proteção DDoS está ativada para todos os endereços IP públicos em VNets | Alto | Low | Low |
| As métricas estão ativadas para IPs públicos protegidos contra DDoS | Medium | Low | Low |
| O registo de diagnóstico está ativado para IPs públicos protegidos contra DDoS | Medium | Low | Low |
Azure Firewall
O Azure Firewall fornece aplicação centralizada de políticas de segurança de rede e registo em todas as suas redes virtuais. As seguintes recomendações verificam que as principais características de proteção estão ativas.
Para mais informações, consulte as recomendações Zero Trust para Azure Firewall.
| Recommendation | Nível de risco | Impacto do utilizador | Custo de implementação |
|---|---|---|---|
| O tráfego de saída de cargas de trabalho integradas no VNet é encaminhado através do Azure Firewall | Alto | Low | Medium |
| A inteligência de ameaças está ativada em modo de negação no Azure Firewall | Alto | Low | Low |
| A inspeção IDPS está ativada em modo de negação no Azure Firewall | Alto | Low | Low |
| A inspeção do tráfego TLS de saída está ativada no Azure Firewall | Alto | Low | Low |
| O registo de diagnóstico está ativado no Azure Firewall | Alto | Low | Low |
Gateway de Aplicações WAF
O Azure Web Application Firewall no Application Gateway protege as aplicações web de explorações e vulnerabilidades comuns. As seguintes recomendações verificam que o WAF está devidamente configurado e monitorizado.
Para mais informações, consulte as recomendações de Zero Trust para o WAF do Gateway de Aplicações.
| Recommendation | Nível de risco | Impacto do utilizador | Custo de implementação |
|---|---|---|---|
| Application Gateway WAF está ativado em modo de prevenção | Alto | Low | Low |
| A inspeção do corpo da requisição está ativada no WAF do Gateway de Aplicações | Alto | Low | Low |
| O conjunto de regras padrão está ativado no WAF do Application Gateway | Alto | Low | Low |
| O conjunto de regras de proteção de bots está ativado e atribuído no Application Gateway WAF | Alto | Low | Low |
| O conjunto de regras de proteção DDoS HTTP está ativado no WAF do Gateway de Aplicações | Alto | Low | Low |
| A limitação de taxa está ativada no Application Gateway WAF | Alto | Low | Medium |
| O desafio JavaScript está ativado no Application Gateway WAF | Medium | Low | Low |
| O registo de diagnóstico está ativado no Application Gateway WAF | Alto | Low | Low |
Azure Front Door WAF
O Azure Web Application Firewall no Front Door protege as aplicações web na periferia da rede. As seguintes recomendações verificam que o WAF está devidamente configurado e monitorizado.
Para mais informações, consulte as recomendações do Zero Trust para o Azure Front Door WAF.
| Recommendation | Nível de risco | Impacto do utilizador | Custo de implementação |
|---|---|---|---|
| Azure Front Door WAF está ativado em modo de prevenção | Alto | Low | Low |
| Inspeção do corpo da solicitação está ativada no Azure Front Door WAF | Alto | Low | Low |
| O conjunto de regras padrão é atribuído no Azure Front Door WAF | Alto | Low | Low |
| O conjunto de regras de proteção contra bots está ativado e atribuído no Azure Front Door WAF | Alto | Low | Low |
| A limitação de taxa está ativada no Azure Front Door WAF | Alto | Low | Medium |
| O desafio JavaScript está ativado no Azure Front Door WAF | Medium | Low | Low |
| O desafio CAPTCHA está ativado no Azure Front Door WAF | Medium | Low | Low |
| O registo de diagnóstico está ativado no Azure Front Door WAF | Alto | Low | Low |