Partilhar via

Azure Security and Compliance Blueprint: Aplicativo Web PaaS para PCI DSS

Visão geral

Esta automação de Blueprint de Segurança e Conformidade da Azure fornece orientação para a implantação de um ambiente compatível com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS 3.2), enquanto plataforma como serviço (PaaS), adequado para a recolha, armazenamento e recuperação de dados dos titulares de cartões. Esta solução automatiza a implantação e a configuração de recursos do Azure para uma arquitetura de referência comum, demonstrando maneiras pelas quais os clientes podem atender a requisitos específicos de segurança e conformidade e serve como base para os clientes criarem e configurarem suas próprias soluções no Azure. A solução implementa um subconjunto de requisitos do PCI DSS 3.2. Para obter mais informações sobre os requisitos do PCI DSS 3.2 e esta solução, consulte a seção de documentação de conformidade .

Este Azure Security and Compliance Blueprint Automation implanta automaticamente uma arquitetura de referência de aplicativo Web PaaS com controles de segurança pré-configurados para ajudar os clientes a alcançar a conformidade com os requisitos do PCI DSS 3.2. A solução consiste em modelos do Azure Resource Manager e scripts do PowerShell que orientam a implantação e a configuração de recursos.

Esta arquitetura destina-se a servir como base para os clientes se ajustarem aos seus requisitos específicos e não deve ser usada as-is em um ambiente de produção. Implantar um aplicativo nesse ambiente sem modificações não é suficiente para atender completamente aos requisitos do PCI DSS 3.2. Tenha em atenção o seguinte:

  • Essa arquitetura fornece uma linha de base para ajudar os clientes a usar o Azure de maneira compatível com PCI DSS 3.2.
  • Os clientes são responsáveis por conduzir a avaliação adequada de segurança e conformidade de qualquer solução construída usando essa arquitetura, pois os requisitos podem variar com base nas especificidades da implementação de cada cliente.

Para alcançar a conformidade com PCI DSS, é necessário que um Assessor de Segurança Qualificado (QSA) credenciado certifique uma solução de produção para o cliente. Os clientes são responsáveis por conduzir avaliações apropriadas de segurança e conformidade de qualquer solução construída usando essa arquitetura, pois os requisitos podem variar com base nas especificidades da implementação de cada cliente.

Clique aqui para obter instruções de implantação.

Diagrama de arquitetura e componentes

Esta automatização do Azure Security and Compliance Blueprint implementa uma arquitetura de referência para uma aplicação web PaaS com um backend de Base de Dados SQL do Azure. O aplicativo Web é hospedado em um Ambiente de Serviço de Aplicativo do Azure isolado, que é um ambiente privado e dedicado em um datacenter do Azure. O ambiente equilibra a carga do tráfego para o aplicativo Web em máquinas virtuais gerenciadas pelo Azure. Essa arquitetura também inclui grupos de segurança de rede, um Gateway de Aplicativo, DNS do Azure e Balanceador de Carga.

Para análises e relatórios aprimorados, os bancos de dados SQL do Azure podem ser configurados com índices columnstore. Os bancos de dados SQL do Azure podem ser dimensionados para cima ou para baixo ou desligados completamente em resposta ao uso do cliente. Todo o tráfego SQL é criptografado com SSL através da inclusão de certificados autoassinados. Como prática recomendada, o Azure recomenda o uso de uma autoridade de certificação confiável para segurança aprimorada.

A solução usa contas de Armazenamento do Azure, que os clientes podem configurar para usar a Criptografia do Serviço de Armazenamento para manter a confidencialidade dos dados em repouso. O Azure armazena três cópias de dados no datacenter selecionado de um cliente para resiliência. O armazenamento redundante geográfico garante que os dados sejam replicados para um datacenter secundário a centenas de quilômetros de distância e armazenados novamente como três cópias dentro desse datacenter, evitando que um evento adverso no data center principal do cliente resulte em perda de dados.

Para maior segurança, todos os recursos nesta solução são geridos como um grupo de recursos através do Azure Resource Manager. O controle de acesso baseado em função do Azure Ative Directory é usado para controlar o acesso aos recursos implantados, incluindo suas chaves no Cofre de Chaves do Azure. A integridade do sistema é monitorada por meio do Azure Monitor. Os clientes configuram ambos os serviços de monitoramento para capturar logs e exibir a integridade do sistema em um único painel facilmente navegável.

O Banco de Dados SQL do Azure é normalmente gerenciado por meio do SQL Server Management Studio, que é executado a partir de uma máquina local configurada para acessar o Banco de Dados SQL do Azure por meio de uma conexão VPN segura ou de Rota Expressa.

Além disso, o Application Insights fornece gerenciamento e análise de desempenho de aplicativos em tempo real por meio de logs do Azure Monitor. A Microsoft recomenda configurar uma conexão VPN ou ExpressRoute para gerenciamento e importação de dados para a sub-rede da arquitetura de referência.

Aplicação Web PaaS para diagrama de arquitetura de referência PCI DSS

Esta solução utiliza os seguintes serviços do Azure. Os detalhes da arquitetura de implantação estão na seção Arquitetura de implantação .

  • Ambiente do Serviço de Aplicações v2
  • Gateway de aplicativo
    • (1) Firewall de aplicações Web
      • Modo firewall: prevenção
      • Conjunto de regras: OWASP 3.0
      • Porta do ouvinte: 443
  • Informações sobre aplicativos
  • Azure Active Directory
  • Automação do Azure
  • Azure DNS
  • Azure Key Vault
  • Azure Load Balancer - equilibrador de carga
  • Azure Monitor
  • Azure Resource Manager
  • Central de Segurança do Azure
  • Base de Dados SQL do Azure
  • Armazenamento do Azure
  • Rede Virtual do Azure
    • (1) /16 Rede
    • (4) /24 Redes
    • (4) Grupos de segurança de rede
  • Aplicação Web do Azure

Arquitetura de implantação

A seção a seguir detalha os elementos de implantação e implementação.

Azure Resource Manager: o Azure Resource Manager permite que os clientes trabalhem com os recursos na solução como um grupo. Os clientes podem implantar, atualizar ou excluir todos os recursos da solução em uma única operação coordenada. Os clientes usam um modelo para implantação e esse modelo pode funcionar para diferentes ambientes, como teste, preparo e produção. O Resource Manager fornece recursos de segurança, auditoria e marcação para ajudar os clientes a gerenciar seus recursos após a implantação.

Bastion host: O bastion host é o único ponto de entrada que permite aos usuários acessar os recursos implantados neste ambiente. O host bastion fornece uma conexão segura com recursos implantados, permitindo apenas o tráfego remoto de endereços IP públicos em uma lista segura. Para permitir o tráfego de área de trabalho remota (RDP), a origem do tráfego precisa ser definida no grupo de segurança de rede.

Esta solução cria uma máquina virtual como um host bastion associado ao domínio com as seguintes configurações:

Ambiente do Serviço de Aplicativo v2: O Ambiente do Serviço de Aplicativo do Azure é um recurso do Serviço de Aplicativo que fornece um ambiente totalmente isolado e dedicado para executar com segurança aplicativos do Serviço de Aplicativo em alta escala. Esse recurso de isolamento é necessário para atender aos requisitos de conformidade PCI.

Os Ambientes do Serviço de Aplicativo são isolados para executar apenas os aplicativos de um único cliente e são sempre implantados em uma rede virtual. Este recurso de isolamento possibilita à arquitetura de referência ter isolamento completo dos arrendatários, removendo-a do ambiente de multi-arrendatários do Azure, impedindo os arrendatários de enumerarem os recursos implantados do Ambiente do Serviço de Apps. Os clientes têm um controle refinado sobre o tráfego de rede de aplicativos de entrada e saída, e os aplicativos podem estabelecer conexões seguras de alta velocidade em redes virtuais para recursos corporativos locais. Os clientes podem "dimensionar automaticamente" com o Ambiente do Serviço de Aplicativo com base em métricas de carga, orçamento disponível ou uma programação definida.

Utilize os Ambientes do Serviço de Aplicativo para os seguintes controles/configurações:

Azure Web App: o Serviço de Aplicativo do Azure permite que os clientes criem e hospedem aplicativos Web na linguagem de programação de sua escolha sem gerenciar a infraestrutura. Ele oferece dimensionamento automático e alta disponibilidade, suporta Windows e Linux e permite implantações automatizadas do GitHub, Azure DevOps ou qualquer repositório Git.

Rede Virtual

A arquitetura define uma rede virtual privada com um espaço de endereço de 10.200.0.0/16.

Grupos de segurança de rede: Os grupos de segurança de rede contêm Listas de Controle de Acesso (ACLs) que permitem ou negam tráfego em uma Rede Virtual. Os grupos de segurança de rede podem ser usados para proteger o tráfego em um nível de sub-rede ou VM individual. Existem os seguintes grupos de segurança de rede:

  • 1 Grupo de segurança de rede para o Application Gateway
  • 1 Grupo de segurança de rede para o Ambiente do Serviço de Aplicativo
  • 1 Grupo de segurança de rede para o Banco de Dados SQL do Azure
  • 1 grupo de segurança de rede para host bastion

Cada um dos grupos de segurança de rede tem portas e protocolos específicos abertos para que a solução possa funcionar de forma segura e correta. Além disso, as seguintes configurações estão habilitadas para cada grupo de segurança de rede:

Sub-redes: Cada sub-rede está associada ao seu grupo de segurança de rede correspondente.

DNS do Azure: O Sistema de Nomes de Domínio, ou DNS, é responsável por traduzir (ou resolver) um nome de site ou serviço para seu endereço IP. O DNS do Azure é um serviço de hospedagem para domínios DNS que fornece resolução de nomes usando a infraestrutura do Azure. Ao hospedar domínios no Azure, os usuários podem gerenciar registros DNS usando as mesmas credenciais, APIs, ferramentas e cobrança que outros serviços do Azure. O DNS do Azure também dá suporte a domínios DNS privados.

Azure Load Balancer: o Azure Load Balancer permite que os clientes dimensionem seus aplicativos e criem alta disponibilidade para serviços. O Balanceador de Carga suporta cenários de entrada e de saída e fornece baixa latência, alta capacidade de processamento e escala para milhões de fluxos para todos os aplicativos TCP e UDP.

Dados em trânsito

O Azure criptografa todas as comunicações de e para datacenters do Azure por padrão. Todas as transações para o Armazenamento do Azure por meio do portal do Azure ocorrem via HTTPS.

Dados em repouso

A arquitetura protege os dados em repouso por meio de criptografia, auditoria de banco de dados e outras medidas.

Armazenamento do Azure: para atender aos requisitos de dados criptografados em repouso, todo o Armazenamento do Azure usa a Criptografia do Serviço de Armazenamento. Isso ajuda a proteger e salvaguardar os dados do titular do cartão em apoio aos compromissos de segurança organizacionais e aos requisitos de conformidade definidos pelo PCI DSS 3.2.

Azure Disk Encryption: O Azure Disk Encryption aproveita o recurso BitLocker do Windows para fornecer criptografia de volume para discos de dados. A solução integra-se com o Azure Key Vault para ajudar a controlar e gerir as chaves de encriptação de disco.

Banco de Dados SQL do Azure: A instância do Banco de Dados SQL do Azure usa as seguintes medidas de segurança de banco de dados:

  • A autenticação e autorização do Ative Directory permite o gerenciamento de identidades de usuários de banco de dados e outros serviços da Microsoft em um local central.
  • A auditoria do banco de dados SQL rastreia eventos do banco de dados e os grava num log de auditoria numa conta de armazenamento do Azure.
  • O Banco de Dados SQL do Azure é configurado para usar criptografia de dados transparente, que executa criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações para proteger as informações em repouso. A criptografia de dados transparente fornece garantia de que os dados armazenados não foram sujeitos a acesso não autorizado.
  • regras de firewall impedem todo o acesso aos servidores de banco de dados até que as permissões adequadas sejam concedidas. A firewall concede acesso a bases de dados com base no endereço IP de origem de cada pedido.
  • Deteção de Ameaças SQL permite a deteção e a resposta a ameaças potenciais em tempo real, fornecendo alertas de segurança para atividades suspeitas de bases de dados, vulnerabilidades potenciais, ataques de injeção de SQL e padrões anómalos de acesso à base de dados.
  • As Colunas Criptografadas garantem que os dados confidenciais nunca apareçam como texto sem formatação dentro do sistema de banco de dados. Depois de habilitar a criptografia de dados, somente aplicativos cliente ou servidores de aplicativos com acesso às chaves podem acessar dados de texto sem formatação.
  • O mascaramento de dados dinâmicos do Banco de Dados SQL limita a exposição de dados confidenciais mascarando os dados para usuários ou aplicativos sem privilégios. O mascaramento dinâmico de dados pode descobrir automaticamente dados potencialmente confidenciais e sugerir as máscaras apropriadas a serem aplicadas. Isso ajuda a identificar e reduzir o acesso aos dados para que eles não saiam do banco de dados por meio de acesso não autorizado. Os clientes são responsáveis por ajustar as configurações de mascaramento de dados dinâmicos para aderir ao esquema do banco de dados.

Gestão de identidades

As tecnologias a seguir fornecem recursos para gerenciar o acesso aos dados do titular do cartão no ambiente do Azure:

  • O Azure Ative Directory é o serviço de gerenciamento de identidades e diretório multilocatário baseado em nuvem da Microsoft. Todos os utilizadores desta solução são criados no Azure Ative Directory, incluindo os utilizadores que acedem à Base de Dados SQL do Azure.
  • A autenticação no aplicativo é executada usando o Azure Ative Directory. Para obter mais informações, consulte Integrando aplicativos com o Azure Ative Directory. Além disso, a criptografia de coluna de banco de dados usa o Azure Ative Directory para autenticar o aplicativo no Banco de Dados SQL do Azure. Para obter mais informações, consulte como proteger dados confidenciais no Banco de Dados SQL do Azure.
  • O controle de acesso baseado em função do Azure permite que os administradores definam permissões de acesso refinadas para conceder apenas a quantidade de acesso de que os usuários precisam para executar seus trabalhos. Em vez de dar a todos os usuários permissão irrestrita para recursos do Azure, os administradores podem permitir apenas determinadas ações para acessar os dados do titular do cartão. O acesso à subscrição é limitado ao administrador da subscrição.
  • O Azure Ative Directory Privileged Identity Management permite que os clientes minimizem o número de usuários que têm acesso a determinadas informações, como dados de titulares de cartão. Os administradores podem usar o Azure Ative Directory Privileged Identity Management para descobrir, restringir e monitorar identidades privilegiadas e seu acesso a recursos. Esta funcionalidade também pode ser usada para impor acesso administrativo sob demanda e justo-a-tempo quando necessário.
  • A Proteção de Identidade do Azure Ative Directory deteta potenciais vulnerabilidades que afetam as identidades de uma organização, configura respostas automatizadas a ações suspeitas detetadas relacionadas com as identidades de uma organização e investiga incidentes suspeitos para tomar as medidas adequadas para os resolver.

Segurança

Gestão de segredos: a solução usa o Azure Key Vault para o gerenciamento de chaves e segredos. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. Os seguintes recursos do Azure Key Vault ajudam os clientes a proteger e acessar esses dados:

  • As políticas de acesso avançadas são configuradas com base na necessidade.
  • As políticas de acesso ao Cofre da Chave são definidas com as permissões mínimas necessárias para chaves e segredos.
  • Todas as chaves e segredos no Cofre de Chaves têm datas de validade.
  • Todas as chaves no Key Vault são protegidas por módulos de segurança de hardware especializados. O tipo de chave é uma chave RSA de 2048 bits protegida por HSM.
  • Todos os usuários e identidades recebem permissões mínimas necessárias usando o controle de acesso baseado em função.
  • Os registos de diagnóstico do Cofre de Chaves estão ativados com um período de retenção de pelo menos 365 dias.
  • As operações criptográficas permitidas para chaves são restritas às necessárias.

Central de Segurança do Azure: com a Central de Segurança do Azure, os clientes podem aplicar e gerenciar centralmente políticas de segurança em cargas de trabalho, limitar a exposição a ameaças e detetar e responder a ataques. Além disso, a Central de Segurança do Azure acessa as configurações existentes dos serviços do Azure para fornecer recomendações de configuração e serviço para ajudar a melhorar a postura de segurança e proteger os dados.

A Central de Segurança do Azure usa uma variedade de recursos de deteção para alertar os clientes sobre possíveis ataques direcionados a seus ambientes. Esses alertas contêm informações valiosas sobre o que desencadeou o alerta, os recursos visados e a origem do ataque. A Central de Segurança do Azure tem um conjunto de alertas de segurança predefinidos, que são acionados quando ocorre uma ameaça ou atividade suspeita. As regras de alerta personalizadas na Central de Segurança do Azure permitem que os clientes definam novos alertas de segurança com base nos dados já coletados de seu ambiente.

A Central de Segurança do Azure fornece alertas e incidentes de segurança priorizados, tornando mais simples para os clientes descobrirem e resolverem possíveis problemas de segurança. Um relatório de inteligência de ameaças é gerado para cada ameaça detetada para ajudar as equipes de resposta a incidentes na investigação e correção de ameaças.

Gateway de Aplicativo do Azure: a arquitetura reduz o risco de vulnerabilidades de segurança usando um Gateway de Aplicativo do Azure com um firewall de aplicativo Web configurado e o conjunto de regras OWASP habilitado. Os recursos adicionais incluem:

Registo e auditoria

Os serviços do Azure registram extensivamente a atividade do sistema e do usuário, bem como a integridade do sistema:

  • Logs de atividades: os logs de atividades fornecem informações sobre as operações executadas em recursos em uma assinatura. Os logs de atividades podem ajudar a determinar o iniciador de uma operação, a hora de ocorrência e o status.
  • Logs de diagnóstico: os logs de diagnóstico incluem todos os logs emitidos por cada recurso. Esses logs incluem logs do sistema de eventos do Windows, logs de Armazenamento do Azure, os logs de auditoria do Cofre de Chaves e logs de acesso e firewall do Gateway de Aplicações. Todos os logs de diagnóstico gravam em uma conta de armazenamento do Azure centralizada e criptografada para arquivamento. A retenção é configurável pelo usuário, até 730 dias, para atender aos requisitos de retenção específicos da organização.

Logs do Azure Monitor: esses logs são consolidados nos logs do Azure Monitor para processamento, armazenamento e relatórios de painel. Uma vez coletados, os dados são organizados em tabelas separadas para cada tipo de dados nos espaços de trabalho do Log Analytics, o que permite que todos os dados sejam analisados juntos, independentemente de sua fonte original. Além disso, a Central de Segurança do Azure se integra aos logs do Azure Monitor, permitindo que os clientes usem consultas Kusto para acessar seus dados de eventos de segurança e combiná-los com dados de outros serviços.

As seguintes soluções de monitoramento do Azure estão incluídas como parte dessa arquitetura:

  • Avaliação do Ative Directory: a solução de verificação de integridade do Ative Directory avalia o risco e a integridade dos ambientes de servidor em um intervalo regular e fornece uma lista priorizada de recomendações específicas para a infraestrutura de servidor implantada.
  • Avaliação SQL: A solução SQL Health Check avalia o risco e a integridade dos ambientes de servidor a intervalos regulares e fornece aos utilizadores uma lista priorizada de recomendações específicas para a infraestrutura de servidor implementada.
  • Agent Health: A solução Agent Health relata quantos agentes estão implantados e sua distribuição geográfica, bem como quantos agentes não respondem e o número de agentes que estão enviando dados operacionais.
  • Análise de Log de Atividades: a solução de Análise de Log de Atividades auxilia na análise dos logs de atividade do Azure em todas as assinaturas do Azure para um cliente específico.

Automação do Azure: a Automação do Azure armazena, executa e gerencia runbooks. Nesta solução, os runbooks ajudam a coletar logs do Banco de Dados SQL do Azure. A solução Automation Change Tracking permite que os clientes identifiquem facilmente alterações no ambiente.

Azure Monitor: o Azure Monitor ajuda os usuários a acompanhar o desempenho, manter a segurança e identificar tendências, permitindo que as organizações auditem, criem alertas e arquivem dados, incluindo o rastreamento de chamadas de API em seus recursos do Azure.

Application Insights: O Application Insights é um serviço extensível de gerenciamento de desempenho de aplicativos para desenvolvedores da Web em várias plataformas. O Application Insights deteta anomalias de desempenho e os clientes podem usá-lo para monitorar o aplicativo Web ao vivo. Ele inclui poderosas ferramentas de análise para ajudar os clientes a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Ele foi projetado para ajudar os clientes a melhorar continuamente o desempenho e a usabilidade.

Modelo de ameaça

O diagrama de fluxo de dados para esta arquitetura de referência está disponível para download ou pode ser encontrado abaixo. Esse modelo pode ajudar os clientes a entender os pontos de risco potencial na infraestrutura do sistema ao fazer modificações.

Aplicação Web PaaS para modelo de ameaça PCI DSS

Documentação de conformidade

O Azure Security and Compliance Blueprint – PCI DSS Customer Responsibility Matrix lista as responsabilidades do controlador e do processador para todos os requisitos do PCI DSS 3.2.

O Azure Security and Compliance Blueprint – PCI DSS PaaS Web Application Implementation Matrix fornece informações sobre quais requisitos do PCI DSS 3.2 são abordados pela arquitetura do aplicativo Web PaaS, incluindo descrições detalhadas de como a implementação atende aos requisitos de cada artigo abordado.

Implante esta solução

Esta Automação do Blueprint de Segurança e Conformidade do Azure é composta por arquivos de configuração JSON e scripts do PowerShell que são manipulados pelo serviço de API do Azure Resource Manager para implantar recursos no Azure. Instruções detalhadas de implantação estão disponíveis aqui.

Início rápido

  1. Clone ou faça o download deste repositório GitHub para a sua estação de trabalho local.

  2. Revise 0-Setup-AdministrativeAccountAndPermission.md e execute os comandos fornecidos.

  3. Implante uma solução de teste com dados de exemplo da Contoso ou pilote um ambiente de produção inicial.

    • 1A-ContosoWebStoreDemoAzureResources.ps1
      • Esse script implanta recursos do Azure para uma demonstração de uma loja virtual usando dados de exemplo da Contoso.
    • 1-DeployAndConfigureAzureResources.ps1
      • Esse script implanta os recursos do Azure necessários para dar suporte a um ambiente de produção para um aplicativo Web de propriedade do cliente. Este ambiente deve ser ainda mais personalizado pelo cliente com base nos requisitos organizacionais.

Orientações e recomendações

VPN e ExpressRoute

Um túnel VPN seguro ou Rota Expressa precisa ser configurado para estabelecer com segurança uma conexão com os recursos implantados como parte dessa arquitetura de referência de aplicativo Web PaaS. Ao configurar adequadamente uma VPN ou Rota Expressa, os clientes podem adicionar uma camada de proteção para os dados em trânsito.

Ao implementar um túnel VPN seguro com o Azure, uma conexão virtual privada entre uma rede local e uma Rede Virtual do Azure pode ser criada. Essa conexão ocorre pela Internet e permite que os clientes "tunelem" informações com segurança dentro de um link criptografado entre a rede do cliente e o Azure. A VPN Site a Site é uma tecnologia segura e madura que tem sido implantada por empresas de todos os tamanhos há décadas. O modo de túnel IPsec é usado nesta opção como um mecanismo de criptografia.

Como o tráfego dentro do túnel VPN atravessa a Internet numa VPN de site a site, a Microsoft oferece uma opção de ligação ainda mais segura. O Azure ExpressRoute é um link WAN dedicado entre o Azure e um local local ou um provedor de hospedagem do Exchange. Como as conexões de Rota Expressa não passam pela Internet, essas conexões oferecem mais confiabilidade, velocidades mais rápidas, latências mais baixas e maior segurança do que as conexões típicas pela Internet. Além disso, uma vez que se trata de uma ligação direta do fornecedor de telecomunicações do cliente, os dados não circulam através da Internet e, por conseguinte, não estão expostos aos mesmos.

As práticas recomendadas para implementar uma rede híbrida segura que estende uma rede local para o Azure estão disponíveis.

Declaração de exoneração de responsabilidade

  • Este documento é apenas para fins informativos. A MICROSOFT NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, EM RELAÇÃO ÀS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO. Este documento é fornecido "as-is". As informações e opiniões expressas neste documento, incluindo URL e outras referências a sites da Internet, podem ser alteradas sem aviso prévio. Os clientes que lerem este documento correm o risco de o utilizar.
  • Este documento não fornece aos clientes quaisquer direitos legais sobre qualquer propriedade intelectual em qualquer produto ou solução da Microsoft.
  • Os clientes podem copiar e usar este documento para fins de referência interna.
  • Determinadas recomendações neste documento podem resultar no aumento do uso de dados, rede ou recursos de computação no Azure e podem aumentar os custos de licença ou assinatura do Azure de um cliente.
  • Esta arquitetura destina-se a servir como base para os clientes se ajustarem aos seus requisitos específicos e não deve ser usada as-is em um ambiente de produção.
  • Este documento é desenvolvido como uma referência e não deve ser usado para definir todos os meios pelos quais um cliente pode atender a requisitos e regulamentos específicos de conformidade. Os clientes devem procurar apoio jurídico de sua organização em implementações aprovadas pelo cliente.