Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Managed Redis fornece um armazenamento de dados totalmente gerido em memória baseado no software Redis Enterprise. Ao implementar este serviço, é importante seguir as melhores práticas de segurança para proteger os seus dados em cache, configurações e infraestrutura.
As recomendações de segurança neste artigo implementam os princípios do Zero Trust: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". Para obter orientações abrangentes sobre Zero Trust, consulte o Centro de Orientação Zero Trust.
Este artigo fornece recomendações de segurança para ajudar a proteger a sua implementação do Azure Managed Redis.
Proteção de dados
Proteger os dados em repouso e em trânsito é crucial para manter a confidencialidade e integridade da sua cache.
Mantenha o acesso sem TLS desativado: O Azure Managed Redis requer TLS 1.2 ou 1.3 para todas as ligações por defeito, garantindo que os dados em trânsito estão encriptados. Mantenha o acesso sem TLS desativado para evitar comunicações não encriptadas. Se ativar o acesso não-TLS para aplicações legadas, planeie migrar essas aplicações para clientes com TLS. Veja a configuração TLS para Azure Managed Redis.
Use chaves geridas pelo cliente para encriptação de disco: O Azure Managed Redis encripta dados de persistência e os discos do sistema operativo usando chaves geridas pela Microsoft (MMK) por defeito. Para controlo adicional, configure as chaves geridas pelo cliente (CMK) para envolver as chaves de encriptação usando o Azure Key Vault. O CMK requer uma identidade gerida atribuída pelo utilizador e uma instância Azure Key Vault com proteção contra purga e soft delete ativadas. Consulte Configurar encriptação de disco para instâncias Azure Managed Redis usando chaves geridas pelo cliente.
Permitir a persistência de dados para recuperação: Configurar a persistência RDB ou AOF para proteger contra perda de dados devido a falhas inesperadas. A persistência grava dados em discos gerenciados que são encriptados em repouso. A persistência de dados não é uma funcionalidade de backup ou recuperação pontual no tempo (PITR) — se dados corrompidos forem escritos no Redis, também são mantidos. Para backups verdadeiros, use a funcionalidade de exportação. Consulte Configurar persistência de dados para uma instância Azure Managed Redis.
Use a exportação para backups de dados: Crie backups periódicos dos seus dados Redis usando a funcionalidade Exportar para contas Azure Storage. A exportação fornece cópias de dados em momento específico que podem ser importadas para novas instâncias de cache para recuperação de desastres. Veja Importar e Exportar dados no Azure Managed Redis.
Segurança de rede
Isole a sua instância Azure Managed Redis da internet pública e controle o acesso à rede.
Utilizar os endpoints privados: Implemente a Azure Private Link para se conectar à instância da Azure Managed Redis através de um endereço IP privado na sua rede virtual. Os endpoints privados eliminam a exposição à internet pública e mantêm o tráfego na rede dorsal da Microsoft. Os endpoints privados são a solução recomendada para proteger o seu recurso Azure Managed Redis na camada de rede. Veja Azure Managed Redis com Azure Private Link.
Desative o acesso à rede pública: Ao usar endpoints privados, desative o acesso à rede pública usando a
publicNetworkAccesspropriedade para garantir que todo o tráfego flui através da sua rede virtual. Esta configuração impede o acesso não autorizado a partir da internet. DesabilitarpublicNetworkAccesse proteger a sua cache usando um VNet, juntamente com o Endpoint Privado e Links Privados, é a opção mais segura. Ver Permitir o acesso à rede pública.
Gestão de identidades e acessos
Configure corretamente a autenticação e a autorização para controlar o acesso à sua instância Azure Managed Redis.
Use a autenticação do Microsoft Entra ID: Configure o Microsoft Entra ID para autenticação sem senha em vez de chaves de acesso. A autenticação Microsoft Entra proporciona segurança reforçada, gestão centralizada de identidades e atualização automática dos tokens. O Azure Managed Redis ativa por defeito a identidade gerida quando criar uma nova cache. Os grupos Microsoft Entra não são suportados, por isso adicione utilizadores individuais ou principais de serviço à lista de utilizadores do Redis. Veja Usar o ID Microsoft Entra para autenticação em cache com Azure Managed Redis.
Desativar a autenticação da chave de acesso: Após configurar a autenticação do Microsoft Entra ID, desative a autenticação da chave de acesso para eliminar o risco de exposição da credencial. As chaves de acesso são credenciais estáticas que podem ser comprometidas se forem divulgadas. Quando alteras esta definição, todas as ligações existentes ao cliente são terminadas independentemente do método de autenticação, por isso implementa mecanismos adequados de retentativa para reconectar. Veja Desativar autenticação por chave de acesso na sua cache.
Adicione utilizadores autorizados ou principais de serviço: Configure quais os utilizadores Microsoft Entra ou principais de serviço que podem aceder à sua cache adicionando-os à lista de utilizadores do Redis no portal Azure. Siga o princípio do menor privilégio, concedendo acesso apenas a identidades que o exigam. Veja Adicionar utilizadores ou entidades de serviço à sua cache.
Aplique o acesso de privilégio mínimo com o RBAC: Use o controlo de acesso baseado em funções (RBAC) do Azure para gerir quem pode administrar os seus recursos do Azure Managed Redis no portal Azure e através de APIs. Atribui funções no âmbito apropriado para limitar as permissões apenas ao que é necessário. Ver controlo de acesso (IAM).
Use identidades geridas para acesso a recursos Azure: Quando a sua instância Azure Managed Redis precisar de aceder a outros recursos Azure, como o Azure Key Vault para chaves geridas pelo cliente, use identidades geridas. As identidades geridas eliminam a necessidade de gerir credenciais. Veja Configurar encriptação de disco.
Regenere chaves de acesso regularmente: Se tiver de usar chaves de acesso, regenere-as regularmente para limitar o impacto da exposição potencial das chaves. O Azure Managed Redis suporta duas chaves de acesso para que possa alternar as chaves sem interrupção. Consulte Autenticação.
Registo e monitorização
Implemente registos e monitorização abrangentes para detetar ameaças de segurança e resolver problemas.
Ativar registos de ligações: Configure as definições de diagnóstico do Azure para registar as ligações dos clientes à sua cache. Os registos de ligação registam quem está a ligar e o carimbo temporal dessas ligações, permitindo-lhe identificar o âmbito das violações de segurança e realizar auditorias de segurança. Consulte as definições de diagnóstico do Azure Monitor.
Monitorize o registo de atividades: Revise o registo de atividades do Azure para acompanhar as operações de gestão realizadas nos seus recursos do Azure Managed Redis. Os registos de atividade ajudam a determinar que operações foram realizadas, quem as iniciou e quando ocorreram para efeitos de auditoria de segurança. Ver registo de atividades.
Crie alertas de segurança: Configure alertas no Azure Monitor para o notificar sobre padrões de utilização anormais, anomalias de ligação ou potenciais falhas de segurança que afetem a sua cache. Configure alertas com base em picos de contagem de ligações, falhas de autenticação ou padrões invulgares de transferência de dados. Ver Alertas.
Integre com o Azure Monitor: Configure o Azure Monitor para recolher e analisar logs e métricas da sua instância Azure Managed Redis. Utilize os espaços de trabalho do Log Analytics para realizar consultas nos registos de ligação e identificar padrões de segurança. Ver Monitorização.
Conformidade e governança
Implemente controlos de governação para garantir que as suas implementações Azure Managed Redis cumprem os requisitos organizacionais e regulatórios.
Use a Política Azure para conformidade: Implemente a Política Azure para impor normas organizacionais e avaliar a conformidade em larga escala. Use definições de políticas incorporadas para auditar e aplicar configurações de segurança.
Ativar bloqueios de recursos: Aplicar bloqueios de recursos para evitar a eliminação ou modificação acidental de recursos críticos do Azure Managed Redis. Use bloqueios CanNotDelete para evitar eliminações permitindo modificações, ou bloqueios ReadOnly para proteção completa. Ver bloqueios.
Use etiquetas para organização de recursos: Aplique etiquetas aos seus recursos Azure Managed Redis para apoiar a governação de segurança, o acompanhamento de custos e a elaboração de relatórios de conformidade. As etiquetas ajudam-no a organizar os recursos por classificação de segurança, ambiente ou requisitos de conformidade. Ver Etiquetas.
Backup e recuperação
Implementar mecanismos de backup e recuperação para garantir a continuidade do negócio e a proteção dos dados.
Configurar persistência de dados: Ative a persistência RDB ou AOF para recuperar automaticamente dados após falhas inesperadas. A persistência do RDB guarda instantâneos periódicos com impacto mínimo no desempenho e é adequada para a maioria dos cenários. A persistência AOF regista cada operação de escrita para minimizar a perda de dados, mas pode afetar o desempenho. Consulte Configurar persistência de dados para uma instância Azure Managed Redis.
Use a geo-replicação ativa para recuperação de desastres: Para cargas de trabalho críticas, ative a geo-replicação ativa para replicar dados em várias regiões Azure. A geo-replicação garante continuidade do negócio se uma região inteira ficar indisponível. A geo-replicação ativa não é compatível com persistência de dados, por isso escolha a geo-replicação para resiliência entre regiões ou persistência para durabilidade numa única região. Ver Configurar geo-replicação ativa.
Implemente uma estratégia de backup baseada em exportação: Crie scripts automatizados usando PowerShell ou Azure CLI para exportar periodicamente dados para fins de backup. Os dados exportados podem ser importados para uma nova instância de cache para recuperação de desastres. Veja Importar e Exportar dados no Azure Managed Redis.
Segurança específica do serviço
O Azure Managed Redis tem considerações de segurança únicas baseadas na sua arquitetura em memória.
Arquitetura do Azure Managed Redis
- Selecione o nível apropriado para os requisitos de segurança: Diferentes níveis do Azure Managed Redis oferecem diferentes capacidades. Todos os níveis suportam endpoints privados, encriptação TLS e autenticação Microsoft Entra. O nível Otimizado para Flash armazena alguns dados em discos NVMe encriptados com chaves geridas pela Microsoft. O Azure Managed Redis oferece alta disponibilidade incorporada com shards primários e réplicas em dois nós; Em regiões com múltiplas zonas de disponibilidade, o serviço é redundante por zona. Ver Comparação de funcionalidades.
Uso apropriado do Azure Managed Redis
Não armazene dados sensíveis sem encriptação adequada: Embora o Azure Managed Redis encripte os dados em repouso em discos de persistência, os dados na memória não são encriptados pelo serviço. Implemente encriptação ao nível da aplicação para dados altamente sensíveis antes de os gravar na cache, ou use o serviço apenas para dados em cache não sensíveis. Ver Proteção de dados.
Não exponha chaves de acesso no código da aplicação: Armazene as chaves de acesso no Azure Key Vault ou use autenticação Microsoft Entra em vez de incorporar chaves de acesso no código da aplicação ou nos ficheiros de configuração. Chaves de acesso expostas podem levar a acesso não autorizado à cache. Veja Usar o ID Microsoft Entra para autenticação de cache.
Não utilize o Azure Managed Redis como repositório de dados primário: O Azure Managed Redis foi concebido como uma cache e armazenamento temporário de dados, não como uma base de dados primária persistente. Mantenha sempre dados autoritativos num armazenamento de dados persistente como Azure SQL Database ou Azure Cosmos DB. Ver cenários-chave.