Introdução à segurança do Azure
Descrição geral
Sabemos que a segurança é um trabalho na nuvem e como é importante que você encontre informações precisas e oportunas sobre a segurança do Azure. Uma das melhores razões para utilizar o Azure para as suas aplicações e serviços é tirar partido da sua vasta gama de ferramentas e capacidades de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados dos clientes, ao mesmo tempo que permite uma responsabilização transparente.
Este artigo fornece uma visão abrangente da segurança disponível com o Azure.
Plataforma Azure
O Azure é uma plataforma de serviço de nuvem pública que suporta uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Ele pode executar contêineres Linux com integração Docker; criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js; criar back-ends para dispositivos iOS, Android e Windows.
Os serviços de nuvem pública do Azure suportam as mesmas tecnologias nas quais milhões de programadores e profissionais de TI já confiam e confiam. Quando você cria ou migra ativos de TI para um provedor de serviços de nuvem pública, confia na capacidade dessa organização de proteger seus aplicativos e dados. Eles fornecem serviços e controles para gerenciar a segurança de seus ativos baseados em nuvem.
A infraestrutura do Azure é meticulosamente trabalhada desde o início, abrangendo tudo, desde instalações físicas a aplicativos, para hospedar com segurança milhões de clientes simultaneamente. Essa base robusta permite que as empresas atendam com confiança aos seus requisitos de segurança.
Além disso, o Azure fornece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las para que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações da sua organização. Este documento ajuda você a entender como os recursos de segurança do Azure podem ajudá-lo a atender a esses requisitos.
Nota
O foco principal deste documento são os controles voltados para o cliente que você pode usar para personalizar e aumentar a segurança de seus aplicativos e serviços.
Para obter informações sobre como a Microsoft protege a própria plataforma Azure, consulte Segurança da infraestrutura do Azure.
Resumo dos recursos de segurança do Azure
Dependendo do modelo de serviço em nuvem, há uma responsabilidade variável sobre quem é responsável por gerenciar a segurança do aplicativo ou serviço. Há recursos disponíveis na Plataforma Azure para ajudá-lo a cumprir essas responsabilidades por meio de recursos internos e por meio de soluções de parceiros que podem ser implantadas em uma assinatura do Azure.
Os recursos internos são organizados em seis áreas funcionais: Operações, Aplicativos, Armazenamento, Rede, Computação e Identidade. Mais detalhes sobre os recursos disponíveis na Plataforma Azure nessas seis áreas são fornecidos por meio de informações resumidas.
Operações
Esta seção fornece informações adicionais sobre os principais recursos em operações de segurança e informações resumidas sobre esses recursos.
Microsoft Sentinel
O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações de segurança e eventos (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. O Microsoft Sentinel fornece uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. O Microsoft Defender for Cloud fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure. O Microsoft Defender for Cloud ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Além disso, o Defender for Cloud ajuda nas operações de segurança, fornecendo um único painel que exibe alertas e recomendações que podem ser acionados imediatamente. Muitas vezes, você pode corrigir problemas com uma única seleção no console do Defender for Cloud.
Azure Resource Manager
O Azure Resource Manager permite que você trabalhe com os recursos em sua solução como um grupo. Pode implementar, atualizar ou eliminar todos os recursos da sua solução numa operação única e coordenada. Você usa um modelo do Azure Resource Manager para implantação e esse modelo pode funcionar para diferentes ambientes, como teste, preparo e produção. O Resource Manager fornece funcionalidades de segurança, auditoria e etiquetagem para o ajudar a gerir os recursos após a implementação.
As implantações baseadas em modelo do Azure Resource Manager ajudam a melhorar a segurança das soluções implantadas no Azure porque as configurações de controle de segurança padrão podem ser integradas em implantações padronizadas baseadas em modelos. Os modelos reduzem o risco de erros de configuração de segurança que podem ocorrer durante implantações manuais.
Application Insights
O Application Insights é um serviço flexível de Gerenciamento de Desempenho de Aplicativos (APM) projetado para desenvolvedores da Web. Ele permite que você monitore seus aplicativos da Web ao vivo e detete automaticamente problemas de desempenho. Com poderosas ferramentas de análise, pode diagnosticar problemas e obter informações sobre as interações dos utilizadores com as suas aplicações. O Application Insights monitora seu aplicativo continuamente, desde o desenvolvimento até os testes e a produção.
O Application Insights gera gráficos e tabelas perspicazes que revelam os tempos de pico de atividade do usuário, a capacidade de resposta do aplicativo e o desempenho de quaisquer serviços externos dos quais ele depende.
Se houver falhas, falhas ou problemas de desempenho, você pode pesquisar os dados em detalhes para diagnosticar a causa. E o serviço envia e-mails se houver alguma alteração na disponibilidade e no desempenho do seu aplicativo. O Application Insight torna-se, assim, uma ferramenta de segurança valiosa porque ajuda com a disponibilidade na tríade de segurança confidencialidade, integridade e disponibilidade.
Azure Monitor
O Azure Monitor oferece visualização, consulta, roteamento, alerta, dimensionamento automático e automação em dados da assinatura do Azure (Log de Atividades) e de cada recurso individual do Azure (Logs de Recursos). Você pode usar o Azure Monitor para alertá-lo sobre eventos relacionados à segurança gerados nos logs do Azure.
Registos do Azure Monitor
Logs do Azure Monitor – Fornece uma solução de gerenciamento de TI para infraestrutura local e não baseada em nuvem da Microsoft (como Amazon Web Services), além dos recursos do Azure. Os dados do Azure Monitor podem ser roteados diretamente para os logs do Azure Monitor para que você possa ver métricas e logs para todo o seu ambiente em um só lugar.
Os logs do Azure Monitor podem ser uma ferramenta útil em análises forenses e outras análises de segurança, pois a ferramenta permite pesquisar rapidamente grandes quantidades de entradas relacionadas à segurança com uma abordagem de consulta flexível. Além disso, o firewall local e os logs de proxy podem ser exportados para o Azure e disponibilizados para análise usando os logs do Azure Monitor.
Assistente do Azure
O Azure Advisor é um consultor de nuvem personalizado que ajuda você a otimizar suas implantações do Azure. Ele analisa seus dados de configuração e uso de recursos. Em seguida, recomenda soluções para ajudar a melhorar o desempenho, a segurança e a fiabilidade dos seus recursos enquanto procura oportunidades para reduzir os seus gastos gerais com o Azure. O Consultor do Azure fornece recomendações de segurança, que podem melhorar significativamente sua postura geral de segurança para soluções implantadas no Azure. Essas recomendações são extraídas da análise de segurança realizada pelo Microsoft Defender for Cloud.
Aplicações
A seção fornece informações adicionais sobre os principais recursos de segurança de aplicativos e informações resumidas sobre esses recursos.
Testes de Penetração
Não realizamos testes de penetração de seu aplicativo para você, mas entendemos que você deseja e precisa realizar testes em seus próprios aplicativos. A notificação da Microsoft sobre atividades de teste de caneta não é mais necessária, os clientes ainda devem estar em conformidade com as Regras de Engajamento do Microsoft Cloud Penetration Testing.
Firewall de aplicativos Web
O firewall de aplicativo Web (WAF) no Gateway de Aplicativo do Azure ajuda a proteger aplicativos Web contra ataques comuns baseados na Web, como injeção de SQL, ataques de script entre sites e sequestro de sessão. Ele vem pré-configurado com proteção contra ameaças identificadas pelo Open Web Application Security Project (OWASP) como as 10 principais vulnerabilidades comuns.
Autenticação e autorização no Serviço de Aplicações do Azure
A Autenticação/Autorização do Serviço de Aplicativo é um recurso que fornece uma maneira de seu aplicativo entrar em usuários para que você não precise alterar o código no back-end do aplicativo. Ele fornece uma maneira fácil de proteger seu aplicativo e trabalhar com dados por usuário.
Arquitetura de segurança em camadas
Como os Ambientes do Serviço de Aplicativo fornecem um ambiente de tempo de execução isolado implantado em uma Rede Virtual do Azure, os desenvolvedores podem criar uma arquitetura de segurança em camadas fornecendo diferentes níveis de acesso à rede para cada camada de aplicativo. É comum ocultar back-ends de API do acesso geral à Internet e permitir que apenas APIs sejam chamadas por aplicativos Web upstream. Os NSGs (grupos de Segurança de Rede) podem ser usados em sub-redes da Rede Virtual do Azure que contêm Ambientes do Serviço de Aplicativo para restringir o acesso público a aplicativos de API.
Os aplicativos Web do Serviço de Aplicativo oferecem recursos de diagnóstico robustos para capturar logs do servidor Web e do aplicativo Web. Esses diagnósticos são categorizados em diagnósticos de servidor Web e diagnósticos de aplicativos. O diagnóstico do servidor Web inclui avanços significativos para diagnosticar e solucionar problemas de sites e aplicativos.
O primeiro novo recurso são informações de estado em tempo real sobre pools de aplicativos, processos de trabalho, sites, domínios de aplicativos e solicitações em execução. As segundas novas vantagens são os eventos de rastreamento detalhados que rastreiam uma solicitação durante todo o processo completo de solicitação e resposta.
Para habilitar a coleta desses eventos de rastreamento, o IIS 7 pode ser configurado para capturar automaticamente logs de rastreamento abrangentes em formato XML para solicitações específicas. A coleção pode ser baseada em tempo decorrido ou códigos de resposta de erro.
Armazenamento
A seção fornece informações adicionais sobre os principais recursos da segurança de armazenamento do Azure e informações resumidas sobre esses recursos.
Controlo de acesso baseado em funções do Azure (RBAC do Azure)
Você pode proteger sua conta de armazenamento com o controle de acesso baseado em função do Azure (Azure RBAC). Restringir o acesso com base na necessidade de conhecer e privilégios mínimos dos princípios de segurança é imperativo para organizações que desejam aplicar políticas de segurança para acesso a dados. Esses direitos de acesso são concedidos atribuindo a função apropriada do Azure a grupos e aplicativos em um determinado escopo. Você pode usar funções internas do Azure, como Colaborador da Conta de Armazenamento, para atribuir privilégios aos usuários. O acesso às chaves de armazenamento de uma conta de armazenamento usando o modelo do Azure Resource Manager pode ser controlado por meio do Azure RBAC.
Assinatura de Acesso Partilhado
As assinaturas de acesso partilhado (SAS) disponibilizam acesso delegado a recursos na sua conta de armazenamento. A SAS significa que você pode conceder a um cliente permissões limitadas para objetos em sua conta de armazenamento por um período especificado e com um conjunto especificado de permissões. Pode conceder estas permissões limitadas sem ter de partilhar as chaves de acesso da sua conta.
Encriptação em Trânsito
A encriptação em trânsito é um mecanismo de proteção de dados quando estes são transmitidos através de redes. Com o Armazenamento do Azure, você pode proteger os dados usando:
Criptografia no nível de transporte, como HTTPS quando você transfere dados para dentro ou para fora do Armazenamento do Azure.
Criptografia de fio, como a criptografia SMB 3.0 para compartilhamentos de arquivos do Azure.
Criptografia do lado do cliente, para criptografar os dados antes de serem transferidos para o armazenamento e para descriptografar os dados depois de serem transferidos para fora do armazenamento.
Encriptação inativa
Para muitas organizações, a criptografia de dados em repouso é um passo obrigatório para a privacidade, conformidade e soberania de dados. Há três recursos de segurança de armazenamento do Azure que fornecem criptografia de dados em repouso:
A Criptografia do Serviço de Armazenamento permite que você solicite que o serviço de armazenamento criptografe automaticamente os dados ao gravá-los no Armazenamento do Azure.
A criptografia do lado do cliente também fornece o recurso de criptografia em repouso.
O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows permitem criptografar os discos do sistema operacional e os discos de dados usados por uma máquina virtual IaaS.
Análise de Armazenamento
O Azure Storage Analytics executa o registro em log e fornece dados de métricas para uma conta de armazenamento. Pode utilizar estes dados para rastrear pedidos, analisar tendências de utilização e diagnosticar problemas relacionados com a sua conta de armazenamento. A Análise de Armazenamento regista informações detalhadas sobre os pedidos com êxito e com falha feitos a um serviço de armazenamento. Estas informações podem ser utilizadas para monitorizar os pedidos individuais e diagnosticar problemas num serviço de armazenamento. As solicitações são registradas com base no melhor esforço. São registados os seguintes tipos de pedidos autenticados:
- Pedidos bem-sucedidos.
- Solicitações com falha, incluindo tempo limite, limitação, rede, autorização e outros erros.
- Solicitações usando uma Assinatura de Acesso Compartilhado (SAS), incluindo solicitações com falha e bem-sucedidas.
- Solicitações para dados analíticos.
Habilitando clientes baseados em navegador usando CORS
O Cross-Origin Resource Sharing (CORS) é um mecanismo que permite que os domínios dêem permissão uns aos outros para acessar os recursos uns dos outros. O User Agent envia cabeçalhos extras para garantir que o código JavaScript carregado de um determinado domínio tenha permissão para acessar recursos localizados em outro domínio. O último domínio então responde com cabeçalhos extras permitindo ou negando o acesso do domínio original aos seus recursos.
Os serviços de armazenamento do Azure agora oferecem suporte ao CORS para que, depois de definir as regras do CORS para o serviço, uma solicitação devidamente autenticada feita no serviço de um domínio diferente seja avaliada para determinar se ele é permitido de acordo com as regras especificadas.
Rede
A seção fornece informações adicionais sobre os principais recursos na segurança de rede do Azure e informações resumidas sobre esses recursos.
Controles de camada de rede
O controle de acesso à rede é o ato de limitar a conectividade de e para dispositivos ou sub-redes específicos e representa o núcleo da segurança da rede. O objetivo do controle de acesso à rede é garantir que suas máquinas virtuais e serviços sejam acessíveis apenas a usuários e dispositivos aos quais você deseja que eles sejam acessíveis.
Grupos de Segurança de Rede
Um NSG (Network Security Group) é um firewall básico de filtragem de pacotes com monitoração de estado e permite controlar o acesso com base em cinco tuplas. Os NSGs não fornecem inspeção da camada de aplicativo ou controles de acesso autenticados. Eles podem ser usados para controlar o tráfego que se move entre sub-redes dentro de uma Rede Virtual do Azure e o tráfego entre uma Rede Virtual do Azure e a Internet.
Azure Firewall
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.
O Firewall do Azure é oferecido em duas SKUs: Standard e Premium. O Azure Firewall Standard fornece filtragem L3-L7 e feeds de inteligência de ameaças diretamente do Microsoft Cyber Security. O Firewall Premium do Azure fornece recursos avançados, incluindo IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos.
Controlo de Rotas e Tunelamento Forçado
A capacidade de controlar o comportamento de roteamento em suas Redes Virtuais do Azure é um recurso crítico de segurança de rede e controle de acesso. Por exemplo, se você quiser garantir que todo o tráfego de e para sua Rede Virtual do Azure passe por esse dispositivo de segurança virtual, você precisa ser capaz de controlar e personalizar o comportamento de roteamento. Você pode fazer isso configurando Rotas Definidas pelo Usuário no Azure.
As Rotas Definidas pelo Usuário permitem personalizar os caminhos de entrada e saída para o tráfego que entra e sai de máquinas virtuais ou sub-redes individuais para garantir a rota mais segura possível. O túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet.
Isso é diferente de ser capaz de aceitar conexões de entrada e, em seguida, responder a elas. Os servidores Web front-end precisam responder a solicitações de hosts da Internet e, portanto, o tráfego originado da Internet é permitido entrar nesses servidores Web e os servidores Web podem responder.
O túnel forçado é comumente usado para forçar o tráfego de saída para a Internet a passar por proxies de segurança e firewalls locais.
Dispositivos de segurança de rede virtual
Embora os Grupos de Segurança de Rede, as Rotas Definidas pelo Usuário e o túnel forçado forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, pode haver momentos em que você queira habilitar a segurança em níveis mais altos da pilha. Você pode acessar esses recursos avançados de segurança de rede usando uma solução de dispositivo de segurança de rede de parceiro do Azure. Pode encontrar as soluções de segurança de rede de parceiros do Azure mais recentes visitando o Azure Marketplace e procurando segurança e segurança de rede.
Rede Virtual do Azure
Uma rede virtual do Azure (VNet) é uma representação da sua própria rede na nuvem. É um isolamento lógico da malha de rede do Azure dedicada à sua assinatura. Pode controlar totalmente os blocos de endereços IP, as definições de DNS, as políticas de segurança e as tabelas de rotas dentro desta rede. Você pode segmentar sua VNet em sub-redes e colocar máquinas virtuais (VMs) IaaS do Azure e/ou serviços de nuvem (instâncias de função PaaS) em Redes Virtuais do Azure.
Além disso, pode ligar a rede virtual à sua rede no local através de uma das opções de conectividade disponíveis no Azure. Essencialmente, pode expandir a sua rede para o Azure, com controlo total sobre blocos de endereços IP com a vantagem da escala empresarial que o Azure oferece.
A rede do Azure dá suporte a vários cenários de acesso remoto seguro. Algumas delas incluem:
Conectar estações de trabalho individuais a uma Rede Virtual do Azure
Conectar a rede local a uma Rede Virtual do Azure com uma VPN
Conectar a rede local a uma Rede Virtual do Azure com um link WAN dedicado
Azure Virtual Network Manager
O Azure Virtual Network Manager fornece uma solução centralizada para proteger as suas redes virtuais em escala. Ele usa regras de administração de segurança para definir e aplicar centralmente políticas de segurança para suas redes virtuais em toda a organização. As regras de administração de segurança têm precedência sobre as regras de grupo de segurança de rede (NSGs) e são aplicadas na rede virtual. Isso permite que as organizações apliquem políticas principais com regras de administração de segurança, ao mesmo tempo em que permite que as equipes downstream adaptem os NSGs de acordo com suas necessidades específicas nos níveis de sub-rede e NIC. Dependendo das necessidades da sua organização, você pode usar as ações de regra Permitir, Negar ou Sempre Permitir para impor políticas de segurança.
Ação da regra | Description |
---|---|
Permitir | Permite o tráfego especificado por padrão. Os NSGs a jusante ainda recebem esse tráfego e podem negá-lo. |
Permitir sempre | Sempre permita o tráfego especificado, independentemente de outras regras com prioridade mais baixa ou NSGs. Isso pode ser usado para garantir que o agente de monitoramento, o controlador de domínio ou o tráfego de gerenciamento não seja bloqueado. |
Deny | Bloqueie o tráfego especificado. Os NSGs downstream não avaliarão esse tráfego depois de serem negados por uma regra de administração de segurança, garantindo que suas portas de alto risco para redes virtuais novas e existentes estejam protegidas por padrão. |
No Gerenciador de Rede Virtual do Azure, os grupos de rede permitem agrupar redes virtuais para gerenciamento centralizado e imposição de políticas de segurança. Os grupos de rede são um agrupamento lógico de redes virtuais com base nas suas necessidades do ponto de vista da topologia e da segurança. Você pode atualizar manualmente a associação de rede virtual de seus grupos de rede ou pode definir instruções condicionais com a Política do Azure para atualizar dinamicamente os grupos de rede para atualizar automaticamente sua associação de grupo de rede.
Azure Private Link
O Azure Private Link permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços de parceiros/de propriedade do cliente hospedados pelo Azure de forma privada em sua rede virtual por meio de um ponto de extremidade privado. A configuração e o consumo através do Azure Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros partilhados. O tráfego da sua rede virtual para o serviço do Azure permanece sempre na rede de backbone do Microsoft Azure.
Os Pontos de Extremidade Privados permitem que você proteja seus recursos críticos de serviço do Azure apenas para suas redes virtuais. O Ponto de Extremidade Privado do Azure usa um endereço IP privado de sua rede virtual para conectá-lo de forma privada e segura a um serviço alimentado pelo Azure Private Link, trazendo efetivamente o serviço para sua rede virtual. Expor sua rede virtual à Internet pública não é mais necessário para consumir serviços no Azure.
Você também pode criar seu próprio serviço de link privado em sua rede virtual. O serviço Azure Private Link é a referência ao seu próprio serviço que é alimentado pelo Azure Private Link. Seu serviço que está sendo executado por trás do Azure Standard Load Balancer pode ser habilitado para acesso de Link Privado para que os consumidores ao seu serviço possam acessá-lo de forma privada de suas próprias redes virtuais. Seus clientes podem criar um ponto de extremidade privado dentro de sua rede virtual e mapeá-lo para este serviço. Expor seu serviço à Internet pública não é mais necessário para renderizar serviços no Azure.
Gateway de VPN
Para enviar tráfego de rede entre sua Rede Virtual do Azure e seu site local, você deve criar um gateway VPN para sua Rede Virtual do Azure. Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego criptografado através de uma conexão pública. Também pode utilizar gateways VPN para enviar tráfego entre as Redes Virtuais do Azure através da malha de rede do Azure.
ExpressRoute
O Microsoft Azure ExpressRoute é um link WAN dedicado que permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada dedicada facilitada por um provedor de conectividade.
Com a Rota Expressa, você pode estabelecer conexões com serviços de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e CRM Online. A conectividade pode ser a partir de uma rede any-to-any (VPN IP), uma rede Ethernet ponto a ponto ou uma ligação cruzada virtual através de um fornecedor de conectividade numa instalação de colocalização.
As conexões ExpressRoute não passam pela Internet pública e, portanto, podem ser consideradas mais seguras do que as soluções baseadas em VPN. Tal permite que as ligações do ExpressRoute ofereçam mais fiabilidade, velocidades superiores, latências inferiores e uma maior segurança do que as ligações típicas através da Internet.
Gateway de Aplicação
O Gateway de Aplicativo do Microsoft Azure fornece um Application Delivery Controller (ADC) como um serviço, oferecendo vários recursos de balanceamento de carga de camada 7 para seu aplicativo.
Ele permite otimizar a produtividade da web farm descarregando a terminação TLS intensiva da CPU para o Application Gateway (também conhecido como descarregamento TLS ou ponte TLS). Ele também fornece outros recursos de roteamento de Camada 7, incluindo distribuição round-robin de tráfego de entrada, afinidade de sessão baseada em cookie, roteamento baseado em caminho de URL e a capacidade de hospedar vários sites atrás de um único Application Gateway. O Application Gateway do Azure é um balanceador de carga de 7 camadas.
Fornece ativação pós-falha, pedidos HTTP de encaminhamento de desempenho entre diversos servidores, quer estejam na nuvem ou no local.
O aplicativo fornece muitos recursos do Application Delivery Controller (ADC), incluindo balanceamento de carga HTTP, afinidade de sessão baseada em cookie, descarregamento TLS, testes de integridade personalizados, suporte para vários locais e muitos outros.
Firewall de Aplicações Web
O Firewall de Aplicativo Web é um recurso do Gateway de Aplicativo do Azure que fornece proteção a aplicativos Web que usam o gateway de aplicativo para funções padrão de Controle de Entrega de Aplicativo (ADC). A Firewall de aplicações Web fá-lo ao protegê-las contra a maioria das 10 principais vulnerabilidades Web da OWASP.
Proteção contra injeção de SQL
Proteção contra Ataques Web comuns, como, por exemplo, injeção de comandos, contrabando de pedidos HTTP, divisão de respostas HTTP e ataques remotos de inclusão de ficheiros
Proteção contra violações de protocolo HTTP
Proteção contra anomalias de protocolo HTTP, como agente de utilizador de anfitrião e cabeçalhos de aceitação em falta
Prevenção de contra bots, crawlers e scanners
Deteção de configurações incorretas comuns de aplicativos (ou seja, Apache, IIS, etc.)
Um firewall centralizado de aplicativos da Web para proteção contra ataques da Web simplifica o gerenciamento de segurança e oferece melhor garantia ao aplicativo contra as ameaças de invasões. Uma solução WAF também pode reagir mais rapidamente a uma ameaça de segurança ao corrigir uma vulnerabilidade conhecida numa localização central, em vez de proteger cada uma das aplicações Web individualmente. Os gateways de aplicação existentes podem ser convertidos num gateway de aplicação com a firewall de aplicações Web facilmente.
Gestor de Tráfego
O Gerenciador de Tráfego do Microsoft Azure permite controlar a distribuição do tráfego de usuários para pontos de extremidade de serviço em diferentes data centers. Os pontos de extremidade de serviço suportados pelo Gerenciador de Tráfego incluem VMs do Azure, Aplicativos Web e serviços de nuvem. Também pode utilizar o Gestor de Tráfego com pontos finais externos, não pertencentes ao Azure. O Gerenciador de Tráfego usa o DNS (Sistema de Nomes de Domínio) para direcionar as solicitações do cliente para o ponto de extremidade mais apropriado com base em um método de roteamento de tráfego e na integridade dos pontos de extremidade.
O Gerenciador de Tráfego fornece uma variedade de métodos de roteamento de tráfego para atender a diferentes necessidades de aplicativos, monitoramento da integridade do endpoint e failover automático. O Gestor de Tráfego é resiliente a falhas, incluindo a falhas numa região do Azure inteira.
Balanceador de Carga do Azure
O Balanceador de Carga do Azure oferece elevada disponibilidade e elevado desempenho de rede às suas aplicações. É um balanceador de carga de Camada 4 (TCP, UDP) que distribui o tráfego de entrada entre instâncias íntegras de serviços definidos em um conjunto com balanceamento de carga. O Azure Load Balancer pode ser configurado para:
Balanceie a carga do tráfego de entrada da Internet para máquinas virtuais. Essa configuração é conhecida como balanceamento de carga pública.
Balanceie a carga do tráfego entre máquinas virtuais em uma rede virtual, entre máquinas virtuais em serviços de nuvem ou entre computadores locais e máquinas virtuais em uma rede virtual entre locais. Essa configuração é conhecida como balanceamento de carga interno.
Encaminhar tráfego externo para uma máquina virtual específica
DNS interno
Você pode gerenciar a lista de servidores DNS usados em uma rede virtual no Portal de Gerenciamento ou no arquivo de configuração de rede. O cliente pode adicionar até 12 servidores DNS para cada rede virtual. Ao especificar servidores DNS, é importante verificar se você lista os servidores DNS do cliente na ordem correta para o ambiente do cliente. As listas de servidores DNS não funcionam round-robin. Eles são usados na ordem em que são especificados. Se o primeiro servidor DNS da lista puder ser alcançado, o cliente usará esse servidor DNS independentemente de o servidor DNS estar funcionando corretamente ou não. Para alterar a ordem do servidor DNS para a rede virtual do cliente, remova os servidores DNS da lista e adicione-os novamente na ordem desejada pelo cliente. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
Azure DNS
O Sistema de Nomes de Domínio, ou DNS, é responsável por traduzir (ou resolver) um nome de site ou serviço para o seu endereço IP. O DNS do Azure é um serviço de alojamento dos domínios DNS que fornece resolução de nomes através da infraestrutura do Microsoft Azure. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
Azure Monitor registra NSGs
Você pode habilitar as seguintes categorias de log de diagnóstico para NSGs:
Evento: contém entradas para as quais as regras NSG são aplicadas a VMs e funções de instância com base no endereço MAC. O status dessas regras é coletado a cada 60 segundos.
Contador de regras: contém entradas para quantas vezes cada regra NSG é aplicada para negar ou permitir tráfego.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud analisa continuamente o estado de segurança dos seus recursos do Azure para obter as melhores práticas de segurança de rede. Quando o Defender for Cloud identifica potenciais vulnerabilidades de segurança, cria recomendações que o guiam através do processo de configuração dos controlos necessários para proteger os seus recursos.
Serviços avançados de rede de contêiner (ACNS)
O ACNS (Advanced Container Networking Services) é um pacote abrangente projetado para elevar a eficiência operacional de seus clusters do Serviço Kubernetes do Azure (AKS). Ele fornece recursos avançados de segurança e observabilidade, abordando as complexidades do gerenciamento de infraestrutura de microsserviços em escala.
Estas características dividem-se em dois pilares principais:
Segurança: Para clusters que usam o Azure CNI Powered by Cilium, as políticas de rede incluem filtragem FQDN (nome de domínio totalmente qualificado) para resolver as complexidades da manutenção da configuração.
Observabilidade: Este recurso do pacote Advanced Container Networking Services traz o poder do plano de controle do Hubble para os planos de dados Cilium e não-Cilium Linux, fornecendo visibilidade aprimorada sobre a rede e o desempenho.
Computação
A seção fornece informações adicionais sobre os principais recursos nesta área e informações resumidas sobre esses recursos.
Computação confidencial do Azure
A computação confidencial do Azure fornece a peça final, que falta, do quebra-cabeça de proteção de dados. Ele permite que você mantenha seus dados criptografados sempre. Enquanto em repouso, quando em movimento através da rede, e agora, mesmo enquanto carregado na memória e em uso. Além disso, ao possibilitar o Atestado Remoto, ele permite que você verifique criptograficamente se a VM implantada foi inicializada com segurança e está configurada corretamente, antes de desbloquear seus dados.
O espectro de opções vai desde a habilitação de cenários de "elevação e deslocamento" de aplicativos existentes, até um controle total dos recursos de segurança. Para IaaS (infraestrutura como serviço), você pode usar máquinas virtuais confidenciais alimentadas por AMD SEV-SNP ou enclaves de aplicativos confidenciais para máquinas virtuais que executam o Intel Software Guard Extensions (SGX). Para a Plataforma como Serviço, temos várias opções baseadas em contêiner, incluindo integrações com o Serviço Kubernetes do Azure (AKS).
Antimalware & Antivírus
Com a IaaS do Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro, McAfee e Kaspersky para proteger suas máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças. O Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais é um recurso de proteção que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware fornece alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure. O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender for Cloud
Módulo de Segurança de Hardware
A criptografia e a autenticação não melhoram a segurança, a menos que as próprias chaves estejam protegidas. Você pode simplificar o gerenciamento e a segurança de seus segredos e chaves críticos armazenando-os no Cofre de Chaves do Azure. O Key Vault oferece a opção de armazenar suas chaves em módulos de segurança de hardware (HSMs) certificados de acordo com os padrões validados pelo FIPS 140. Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados por meio do Microsoft Entra ID.
Cópia de segurança da máquina virtual
O Backup do Azure é uma solução que protege os dados do seu aplicativo com investimento de capital zero e custos operacionais mínimos. Erros de aplicativos podem corromper seus dados, e erros humanos podem introduzir bugs em seus aplicativos que podem levar a problemas de segurança. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.
Azure Site Recovery
Uma parte importante da estratégia de continuidade de negócios/recuperação de desastres (BCDR) da sua organização é descobrir como manter as cargas de trabalho e os aplicativos corporativos em funcionamento quando ocorrem interrupções planejadas e não planejadas. O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal ficar inativo.
SQL VM TDE
A criptografia de dados transparente (TDE) e a criptografia no nível da coluna (CLE) são recursos de criptografia do SQL Server. Essa forma de criptografia exige que os clientes gerenciem e armazenem as chaves criptográficas que você usa para criptografia.
O serviço Azure Key Vault (AKV) foi projetado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server use essas chaves do Cofre de Chaves do Azure.
Se você estiver executando o SQL Server com máquinas locais, há etapas que você pode seguir para acessar o Cofre de Chaves do Azure a partir de sua instância local do SQL Server. Mas para o SQL Server em VMs do Azure, você pode economizar tempo usando o recurso de Integração do Cofre da Chave do Azure. Com alguns cmdlets do Azure PowerShell para habilitar esse recurso, você pode automatizar a configuração necessária para que uma VM SQL acesse seu cofre de chaves.
Criptografia de disco VM
O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows ajudam você a criptografar seus discos de máquina virtual IaaS. Ele aplica o recurso BitLocker padrão do setor do Windows e o recurso DM-Crypt do Linux para fornecer criptografia de volume para o sistema operacional e os discos de dados. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco em sua assinatura do Cofre de Chaves. A solução também garante que todos os dados nos discos de máquina virtual sejam criptografados em repouso em seu armazenamento do Azure.
Redes virtuais
As máquinas virtuais precisam de conectividade de rede. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais estejam conectadas a uma Rede Virtual do Azure. Uma Rede Virtual do Azure é uma construção lógica criada sobre a malha de rede física do Azure. Cada Rede Virtual do Azure lógica é isolada de todas as outras Redes Virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Atualizações de patches
As atualizações de patch fornecem a base para encontrar e corrigir possíveis problemas e simplificam o processo de gerenciamento de atualizações de software, reduzindo o número de atualizações de software que você deve implantar em sua empresa e aumentando sua capacidade de monitorar a conformidade.
Gerenciamento e relatórios de políticas de segurança
O Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças e proporciona-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Gestão de identidades e acessos
A proteção de sistemas, aplicativos e dados começa com controles de acesso baseados em identidade. Os recursos de gerenciamento de identidade e acesso incorporados aos produtos e serviços empresariais da Microsoft ajudam a proteger suas informações organizacionais e pessoais contra acesso não autorizado, ao mesmo tempo em que as disponibilizam para usuários legítimos quando e onde eles precisarem.
Identidade segura
A Microsoft usa várias práticas e tecnologias de segurança em seus produtos e serviços para gerenciar identidade e acesso.
A autenticação multifator exige que os usuários usem vários métodos de acesso, no local e na nuvem. Ele fornece autenticação forte com uma variedade de opções de verificação fáceis, enquanto acomoda os usuários com um processo de login simples.
O Microsoft Authenticator fornece uma experiência de autenticação multifator amigável que funciona com o Microsoft Entra ID e contas da Microsoft e inclui suporte para wearables e aprovações baseadas em impressão digital.
A aplicação da política de senha aumenta a segurança das senhas tradicionais, impondo requisitos de comprimento e complexidade, rotação periódica forçada e bloqueio de conta após tentativas de autenticação falhadas.
A autenticação baseada em tokens permite a autenticação por meio do Microsoft Entra ID.
O controle de acesso baseado em função do Azure (Azure RBAC) permite que você conceda acesso com base na função atribuída ao usuário, facilitando dar aos usuários apenas a quantidade de acesso necessária para executar suas tarefas de trabalho. Você pode personalizar o RBAC do Azure de acordo com o modelo de negócios e a tolerância ao risco da sua organização.
O gerenciamento integrado de identidades (identidade híbrida) permite manter o controle do acesso dos usuários em datacenters internos e plataformas de nuvem, criando uma única identidade de usuário para autenticação e autorização para todos os recursos.
Aplicações e dados seguros
O Microsoft Entra ID, uma solução abrangente de nuvem de gerenciamento de identidade e acesso, ajuda a proteger o acesso a dados em aplicativos no local e na nuvem e simplifica o gerenciamento de usuários e grupos. Ele combina serviços de diretório principais, governança de identidade avançada, segurança e gerenciamento de acesso a aplicativos, e torna mais fácil para os desenvolvedores criar gerenciamento de identidade baseado em políticas em seus aplicativos. Para melhorar sua ID do Microsoft Entra, você pode adicionar recursos pagos usando as edições Microsoft Entra Basic, Premium P1 e Premium P2.
O Cloud App Discovery é um recurso premium do Microsoft Entra ID que permite identificar aplicativos em nuvem que são usados pelos funcionários em sua organização.
O Microsoft Entra ID Protection é um serviço de segurança que usa os recursos de deteção de anomalias do Microsoft Entra para fornecer uma visão consolidada das deteções de risco e vulnerabilidades potenciais que podem afetar as identidades da sua organização.
Os Serviços de Domínio do Microsoft Entra permitem que você associe VMs do Azure a um domínio sem a necessidade de implantar controladores de domínio. Os usuários entram nessas VMs usando suas credenciais corporativas do Ative Directory e podem acessar recursos sem problemas.
O Microsoft Entra B2C é um serviço de gerenciamento de identidade global altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades e integrado em plataformas móveis e da Web. Os seus clientes podem iniciar sessão em todas as suas aplicações através de experiências personalizáveis que utilizam contas de redes sociais existentes ou pode criar novas credenciais autónomas.
O Microsoft Entra B2B Collaboration é uma solução segura de integração de parceiros que suporta seus relacionamentos entre empresas, permitindo que os parceiros acessem seus aplicativos e dados corporativos seletivamente usando suas identidades autogerenciadas.
O Microsoft Entra ingressou permite que você estenda os recursos de nuvem para dispositivos Windows 10 para gerenciamento centralizado. Ele possibilita que os usuários se conectem à nuvem corporativa ou organizacional por meio do Microsoft Entra ID e simplifica o acesso a aplicativos e recursos.
O proxy de aplicativo Microsoft Entra fornece SSO e acesso remoto seguro para aplicativos Web hospedados localmente.
Passos Seguintes
Compreenda a sua responsabilidade partilhada na nuvem.
Saiba como o Microsoft Defender for Cloud pode ajudá-lo a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure.