Melhores práticas de segurança para cargas de trabalho IaaS no Azure
Este artigo descreve as práticas recomendadas de segurança para VMs e sistemas operacionais.
As práticas recomendadas são baseadas em um consenso de opinião e funcionam com os recursos e conjuntos de recursos atuais da plataforma Azure. Como as opiniões e tecnologias podem mudar ao longo do tempo, este artigo será atualizado para refletir essas mudanças.
Na maioria dos cenários de infraestrutura como serviço (IaaS), as máquinas virtuais (VMs) do Azure são a principal carga de trabalho para organizações que usam computação em nuvem. Esse fato é evidente em cenários híbridos em que as organizações desejam migrar lentamente cargas de trabalho para a nuvem. Nesses cenários, siga as considerações gerais de segurança para IaaS e aplique as práticas recomendadas de segurança a todas as suas VMs.
Proteja VMs usando autenticação e controle de acesso
A primeira etapa para proteger suas VMs é garantir que apenas usuários autorizados possam configurar novas VMs e acessar VMs.
Nota
Para melhorar a segurança das VMs Linux no Azure, você pode integrar com a autenticação do Microsoft Entra. Ao usar a autenticação do Microsoft Entra para VMs Linux, você controla e impõe centralmente políticas que permitem ou negam acesso às VMs.
Prática recomendada: controle o acesso à VM. Detalhe: use as políticas do Azure para estabelecer convenções para recursos em sua organização e criar políticas personalizadas. Aplique essas políticas a recursos, como grupos de recursos. As VMs que pertencem a um grupo de recursos herdam suas políticas.
Se a sua organização tiver muitas subscrições, poderá precisar de uma forma de gerir o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza assinaturas em grupos de gerenciamento (contêineres) e aplica suas condições de governança a esses grupos. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo. Os grupos de gestão dão-lhe capacidades de gestão de nível empresarial em grande escala, independentemente do seu tipo de subscrição.
Práticas recomendadas: reduza a variabilidade na configuração e implantação de VMs. Detalhe: use modelos do Azure Resource Manager para fortalecer suas opções de implantação e facilitar a compreensão e o inventário das VMs em seu ambiente.
Práticas recomendadas: Proteja o acesso privilegiado. Detalhe: use uma abordagem de privilégios mínimos e funções internas do Azure para permitir que os usuários acessem e configurem VMs:
- Colaborador de Máquina Virtual: pode gerenciar VMs, mas não a rede virtual ou a conta de armazenamento à qual elas estão conectadas.
- Colaborador de Máquina Virtual Clássica: pode gerenciar VMs criadas usando o modelo de implantação clássico, mas não a rede virtual ou a conta de armazenamento à qual as VMs estão conectadas.
- Administrador de segurança: Somente no Defender for Cloud: pode visualizar políticas de segurança, exibir estados de segurança, editar políticas de segurança, exibir alertas e recomendações, descartar alertas e recomendações.
- Usuário do DevTest Labs: pode visualizar tudo e conectar, iniciar, reiniciar e desligar VMs.
Seus administradores e coadministradores de assinatura podem alterar essa configuração, tornando-os administradores de todas as VMs em uma assinatura. Certifique-se de que confia em todos os seus administradores e coadministradores de subscrição para iniciar sessão em qualquer uma das suas máquinas.
Nota
Recomendamos que você consolide VMs com o mesmo ciclo de vida no mesmo grupo de recursos. Usando grupos de recursos, você pode implantar, monitorar e acumular custos de faturamento para seus recursos.
As organizações que controlam o acesso e a configuração da VM melhoram a segurança geral da VM.
Use várias VMs para melhor disponibilidade
Se sua VM executa aplicativos críticos que precisam ter alta disponibilidade, é altamente recomendável que você use várias VMs. Para melhor disponibilidade, use um conjunto de disponibilidade ou zonas de disponibilidade.
Um conjunto de disponibilidade é um agrupamento lógico que você pode usar no Azure para garantir que os recursos de VM que você coloca nele sejam isolados uns dos outros quando são implantados em um datacenter do Azure. O Azure garante que as VMs que você coloca em um conjunto de disponibilidade sejam executadas em vários servidores físicos, racks de computação, unidades de armazenamento e comutadores de rede. Se ocorrer uma falha de hardware ou software do Azure, apenas um subconjunto de suas VMs será afetado e seu aplicativo geral continuará disponível para seus clientes. Os conjuntos de disponibilidade são um recurso essencial quando você deseja criar soluções de nuvem confiáveis.
Proteção contra software maligno
Você deve instalar a proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados. Você pode instalar o Microsoft Antimalware ou a solução de proteção de ponto final de um parceiro da Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender e System Center Endpoint Protection).
O Microsoft Antimalware inclui recursos como proteção em tempo real, verificação agendada, correção de malware, atualizações de assinatura, atualizações de mecanismo, relatórios de amostras e coleta de eventos de exclusão. Para ambientes hospedados separadamente do ambiente de produção, você pode usar uma extensão antimalware para ajudar a proteger suas VMs e serviços de nuvem.
Você pode integrar o Microsoft Antimalware e soluções de parceiros com o Microsoft Defender for Cloud para facilitar a implantação e deteções internas (alertas e incidentes).
Melhores práticas: instale uma solução antimalware para proteger contra malware.
Detalhe: Instale uma solução de parceiro da Microsoft ou o Microsoft Antimalware
Práticas recomendadas: integre sua solução antimalware com o Defender for Cloud para monitorar o status de sua proteção.
Detalhe: gerencie problemas de proteção de endpoint com o Defender for Cloud
Gerenciar suas atualizações de VM
As VMs do Azure, como todas as VMs locais, devem ser gerenciadas pelo usuário. O Azure não emite atualizações do Windows para as VMs. Você precisa gerenciar suas atualizações de VM.
Práticas recomendadas: mantenha suas VMs atualizadas.
Detalhe: use a solução de Gerenciamento de Atualizações na Automação do Azure para gerenciar atualizações do sistema operacional para seus computadores Windows e Linux implantados no Azure, em ambientes locais ou em outros provedores de nuvem. Pode rapidamente avaliar o estado das atualizações disponíveis em todos os computadores agente e gerir o processo de instalação de atualizações necessárias para os servidores.
Os computadores que são geridos pela Gestão de Atualizações utilizam as seguintes configurações para realizar a avaliação e as implementações de atualização:
- Agente de Monitorização da Microsoft (MMA) para Windows ou Linux
- Configuração de Estado Pretendido do PowerShell (DSC) para Linux
- Função de Trabalho de Runbook Híbrida da Automatização
- Microsoft Update ou Windows Server Update Services (WSUS) para computadores Windows
Se utilizar o Windows Update, deixe a definição automática do Windows Update ativada.
Práticas recomendadas: certifique-se na implantação de que as imagens criadas incluam a rodada mais recente de atualizações do Windows.
Detalhe: verifique e instale todas as atualizações do Windows como uma primeira etapa de cada implantação. Essa medida é especialmente importante para ser aplicada quando você implanta imagens que vêm de você ou de sua própria biblioteca. Embora as imagens do Azure Marketplace sejam atualizadas automaticamente por padrão, pode haver um tempo de atraso (até algumas semanas) após um lançamento público.
Práticas recomendadas: reimplante periodicamente suas VMs para forçar uma nova versão do sistema operacional.
Detalhe: defina sua VM com um modelo do Azure Resource Manager para que você possa reimplantá-la facilmente. O uso de um modelo oferece uma VM segura e corrigida quando você precisar dela.
Práticas recomendadas: aplique rapidamente atualizações de segurança a VMs.
Detalhe: habilite o Microsoft Defender for Cloud (camada gratuita ou camada Standard) para identificar atualizações de segurança ausentes e aplicá-las.
Práticas recomendadas: instale as atualizações de segurança mais recentes.
Detalhe: algumas das primeiras cargas de trabalho que os clientes movem para o Azure são laboratórios e sistemas externos. Se suas VMs do Azure hospedam aplicativos ou serviços que precisam estar acessíveis à Internet, esteja atento à aplicação de patches. Patch além do sistema operacional. Vulnerabilidades não corrigidas em aplicativos parceiros também podem levar a problemas que podem ser evitados se um bom gerenciamento de patches estiver em vigor.
Práticas recomendadas: implante e teste uma solução de backup.
Detalhe: um backup precisa ser tratado da mesma forma que você lida com qualquer outra operação. Isso é verdade para sistemas que fazem parte do seu ambiente de produção e se estendem para a nuvem.
Os sistemas de teste e desenvolvimento devem seguir estratégias de backup que forneçam recursos de restauração semelhantes aos que os usuários se acostumaram, com base em sua experiência com ambientes locais. As cargas de trabalho de produção movidas para o Azure devem ser integradas às soluções de backup existentes quando possível. Ou, você pode usar o Backup do Azure para ajudar a atender aos seus requisitos de backup.
As organizações que não aplicam políticas de atualização de software estão mais expostas a ameaças que exploram vulnerabilidades conhecidas e previamente corrigidas. Para cumprir as regulamentações do setor, as empresas devem provar que são diligentes e usam controles de segurança corretos para ajudar a garantir a segurança de suas cargas de trabalho localizadas na nuvem.
As práticas recomendadas de atualização de software para um datacenter tradicional e a IaaS do Azure têm muitas semelhanças. Recomendamos que você avalie suas políticas atuais de atualização de software para incluir VMs localizadas no Azure.
Gerencie sua postura de segurança de VM
As ciberameaças estão a evoluir. Proteger suas VMs requer um recurso de monitoramento que possa detetar ameaças rapidamente, impedir o acesso não autorizado aos seus recursos, disparar alertas e reduzir falsos positivos.
Para monitorar a postura de segurança de suas VMs Windows e Linux, use o Microsoft Defender for Cloud. No Defender for Cloud, proteja suas VMs aproveitando os seguintes recursos:
- Aplique as definições de segurança do SO com as regras de configuração recomendadas.
- Identifique e transfira a segurança do sistema e as atualizações críticas que possam estar em falta.
- Implante recomendações para proteção antimalware de endpoint.
- Valide a criptografia de disco.
- Avaliar e corrigir vulnerabilidades.
- Detete ameaças.
O Defender for Cloud pode monitorar ativamente ameaças e ameaças potenciais são expostas em alertas de segurança. As ameaças correlacionadas são agregadas em uma única exibição chamada incidente de segurança.
O Defender for Cloud armazena dados nos logs do Azure Monitor. Os logs do Azure Monitor fornecem uma linguagem de consulta e um mecanismo de análise que fornece informações sobre a operação de seus aplicativos e recursos. Os dados também são coletados do Azure Monitor, soluções de gerenciamento e agentes instalados em máquinas virtuais na nuvem ou no local. Esta funcionalidade partilhada ajuda-o a formar uma visão geral do seu ambiente.
As organizações que não impõem segurança forte para suas VMs permanecem inconscientes de possíveis tentativas de usuários não autorizados de contornar os controles de segurança.
Monitorar o desempenho da VM
O abuso de recursos pode ser um problema quando os processos de VM consomem mais recursos do que deveriam. Problemas de desempenho com uma VM podem levar à interrupção do serviço, o que viola o princípio de segurança da disponibilidade. Isso é particularmente importante para VMs que hospedam o IIS ou outros servidores Web, porque o alto uso de CPU ou memória pode indicar um ataque de negação de serviço (DoS). É imperativo monitorar o acesso à VM não apenas reativamente enquanto um problema está ocorrendo, mas também proativamente em relação ao desempenho da linha de base, medido durante a operação normal.
Recomendamos que você use o Azure Monitor para obter visibilidade sobre a integridade do seu recurso. Recursos do Azure Monitor:
- Arquivos de log de diagnóstico de recursos: monitora os recursos da VM e identifica possíveis problemas que podem comprometer o desempenho e a disponibilidade.
- Extensão de Diagnóstico do Azure: fornece recursos de monitoramento e diagnóstico em VMs do Windows. Você pode habilitar esses recursos incluindo a extensão como parte do modelo do Azure Resource Manager.
As organizações que não monitoram o desempenho da VM não podem determinar se determinadas alterações nos padrões de desempenho são normais ou anormais. Uma VM que está consumindo mais recursos do que o normal pode indicar um ataque de um recurso externo ou um processo comprometido em execução na VM.
Criptografar seus arquivos de disco rígido virtual
Recomendamos que você criptografe seus discos rígidos virtuais (VHDs) para ajudar a proteger o volume de inicialização e os volumes de dados em repouso no armazenamento, juntamente com suas chaves de criptografia e segredos.
O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows ajudam você a criptografar seus discos de máquina virtual IaaS Linux e Windows. A Criptografia de Disco do Azure usa o recurso DM-Crypt padrão do setor do Linux e o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco em sua assinatura do cofre de chaves. A solução também garante que todos os dados nos discos de máquina virtual sejam criptografados em repouso no Armazenamento do Azure.
A seguir estão as práticas recomendadas para usar o Azure Disk Encryption:
Prática recomendada: habilite a criptografia em VMs.
Detalhe: o Azure Disk Encryption gera e grava as chaves de criptografia no cofre de chaves. A gestão de chaves de encriptação no cofre de chaves requer autenticação do Microsoft Entra. Crie um aplicativo Microsoft Entra para essa finalidade. Para fins de autenticação, você pode usar a autenticação baseada em segredo do cliente ou a autenticação do Microsoft Entra baseada em certificado de cliente.
Prática recomendada: use uma chave de criptografia de chave (KEK) para uma camada adicional de segurança para chaves de criptografia. Adicione um KEK ao seu cofre de chaves.
Detalhe: use o cmdlet Add-AzKeyVaultKey para criar uma chave de criptografia de chave no cofre de chaves. Você também pode importar um KEK do seu módulo de segurança de hardware (HSM) local para gerenciamento de chaves. Para obter mais informações, consulte a documentação do Key Vault. Quando uma chave de criptografia de chave é especificada, o Azure Disk Encryption usa essa chave para encapsular os segredos de criptografia antes de gravar no Cofre da Chave. Manter uma cópia depositária dessa chave em um HSM de gerenciamento de chaves local oferece proteção adicional contra exclusão acidental de chaves.
Práticas recomendadas: faça um snapshot e/ou backup antes que os discos sejam criptografados. Os backups fornecem uma opção de recuperação se ocorrer uma falha inesperada durante a criptografia.
Detalhe: VMs com discos gerenciados exigem um backup antes que a criptografia ocorra. Depois que um backup é feito, você pode usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados especificando o parâmetro -skipVmBackup . Para obter mais informações sobre como criar uma cópia de segurança e restaurar VMs encriptadas, veja o artigo Azure Backup.
Práticas recomendadas: para garantir que os segredos de criptografia não ultrapassem os limites regionais, o Azure Disk Encryption precisa que o cofre de chaves e as VMs estejam localizados na mesma região.
Detalhe: crie e use um cofre de chaves que esteja na mesma região da VM a ser criptografada.
Ao aplicar a Criptografia de Disco do Azure, você pode satisfazer as seguintes necessidades comerciais:
- As VMs IaaS são protegidas em inatividade através de tecnologias de encriptação padrão no setor para dar resposta a requisitos de conformidade e segurança organizacionais.
- As VMs IaaS começam sob chaves e políticas controladas pelo cliente, e você pode auditar seu uso no cofre de chaves.
Restringir a conectividade direta com a Internet
Monitore e restrinja a conectividade direta da VM com a Internet. Os atacantes verificam constantemente os intervalos de IP da nuvem pública em busca de portas de gerenciamento abertas e tentam ataques "fáceis", como senhas comuns e vulnerabilidades conhecidas não corrigidas. A tabela a seguir lista as práticas recomendadas para ajudar a proteger contra esses ataques:
Práticas recomendadas: Evite a exposição inadvertida ao roteamento e à segurança da rede.
Detalhe: use o RBAC do Azure para garantir que apenas o grupo de rede central tenha permissão para recursos de rede.
Práticas recomendadas: identifique e corrija VMs expostas que permitam o acesso de "qualquer" endereço IP de origem.
Detalhe: use o Microsoft Defender for Cloud. O Defender for Cloud recomendará que você restrinja o acesso por meio de pontos de extremidade voltados para a Internet se qualquer um dos seus grupos de segurança de rede tiver uma ou mais regras de entrada que permitam o acesso de "qualquer" endereço IP de origem. O Defender for Cloud recomendará que você edite essas regras de entrada para restringir o acesso aos endereços IP de origem que realmente precisam de acesso.
Melhores práticas: Restringir portas de gerenciamento (RDP, SSH).
Detalhe: o acesso à VM just-in-time (JIT) pode ser usado para bloquear o tráfego de entrada para suas VMs do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. Quando o JIT está habilitado, o Defender for Cloud bloqueia o tráfego de entrada para suas VMs do Azure criando uma regra de grupo de segurança de rede. Selecione as portas na VM para as quais o tráfego de entrada será bloqueado. Essas portas são controladas pela solução JIT.
Próximos passos
Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.
Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre a segurança do Azure e os serviços relacionados da Microsoft:
- Blog da Equipe de Segurança do Azure - para obter informações atualizadas sobre as últimas novidades da Segurança do Azure
- Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com