Partilhar via


Segurança de ponta a ponta no Azure

Uma das melhores razões para utilizar o Azure para as suas aplicações e serviços é tirar partido da sua vasta gama de ferramentas e capacidades de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados dos clientes, ao mesmo tempo que permite uma responsabilização transparente.

O diagrama e a documentação a seguir apresentam os serviços de segurança no Azure. Estes serviços de segurança ajudam-no a satisfazer as necessidades de segurança da sua empresa e a proteger os seus utilizadores, dispositivos, recursos, dados e aplicações na nuvem.

Mapa dos serviços de segurança da Microsoft

O mapa de serviços de segurança organiza os serviços pelos recursos que protegem (coluna). O diagrama também agrupa serviços nas seguintes categorias (linha):

  • Proteger e proteger - Serviços que permitem implementar uma estratégia de defesa em camadas e aprofundada em identidade, hosts, redes e dados. Esta coleção de serviços e recursos de segurança fornece uma maneira de entender e melhorar sua postura de segurança em seu ambiente do Azure.
  • Detetar ameaças – Serviços que identificam atividades suspeitas e facilitam a mitigação da ameaça.
  • Investigar e responder – Serviços que extraem dados de registro para que você possa avaliar uma atividade suspeita e responder.

Diagrama mostrando serviços de segurança de ponta a ponta no Azure.

Controlos de segurança e bases de referência

O benchmark de segurança na nuvem da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que você pode usar para ajudar a proteger os serviços que você usa no Azure:

  • Controlos de segurança - Estas recomendações são geralmente aplicáveis ao seu inquilino do Azure e aos serviços do Azure. Cada recomendação identifica uma lista de detentores de interesse que normalmente estão envolvidos no planejamento, aprovação ou implementação do benchmark.
  • Linhas de base de serviço - Aplicam os controles a serviços individuais do Azure para fornecer recomendações sobre a configuração de segurança desse serviço.

Proteja e proteja

Serviço Description
Microsoft Defender para Cloud Um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem - estejam elas no Azure ou não - bem como no local.
Gerenciamento de identidade e acesso
Microsoft Entra ID Serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft.
O Acesso Condicional é a ferramenta usada pelo Microsoft Entra ID para reunir sinais de identidade, tomar decisões e aplicar políticas organizacionais.
Os Serviços de Domínio são a ferramenta usada pelo Microsoft Entra ID para fornecer serviços de domínio gerenciados, como ingresso no domínio, política de grupo, protocolo LDAP (lightweight directory access protocol) e autenticação Kerberos/NTLM.
O Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização.
A autenticação multifator é a ferramenta usada pelo Microsoft Entra ID para ajudar a proteger o acesso a dados e aplicativos, exigindo uma segunda forma de autenticação.
Proteção de ID do Microsoft Entra Uma ferramenta que permite às organizações automatizar a deteção e a correção de riscos baseados em identidade, investigar riscos usando dados no portal e exportar dados de deteção de risco para utilitários de terceiros para análise posterior.
Infraestrutura e Rede
Gateway de VPN Um gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública e para enviar tráfego criptografado entre redes virtuais do Azure pela rede da Microsoft.
Azure DDoS Protection Fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. É automaticamente otimizado para ajudar a proteger os seus recursos do Azure específicos numa rede virtual.
Azure Front Door Um ponto de entrada global e escalável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escaláveis.
Azure Firewall Um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Basic.
Azure Key Vault Um armazenamento seguro de segredos para tokens, senhas, certificados, chaves de API e outros segredos. O Cofre da Chave também pode ser usado para criar e controlar as chaves de criptografia usadas para criptografar seus dados.
HSM gerenciado pelo Key Vault Um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3.
Azure Private Link Permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços hospedados pelo Azure de propriedade do cliente/parceiro em um ponto de extremidade privado em sua rede virtual.
Gateway de Aplicação do Azure Um balanceador de carga de tráfego da Web avançado que permite gerenciar o tráfego para seus aplicativos da Web. O Application Gateway pode tomar decisões de roteamento com base em atributos adicionais de uma solicitação HTTP, por exemplo, caminho de URI ou cabeçalhos de host.
Azure Service Bus Um agente de mensagens empresariais totalmente gerenciado com filas de mensagens e tópicos de publicação-assinatura. O Service Bus é usado para separar aplicativos e serviços uns dos outros.
Firewall de aplicativos Web Fornece proteção centralizada de seus aplicativos da Web contra exploits e vulnerabilidades comuns. O WAF pode ser implantado com o Azure Application Gateway e o Azure Front Door.
Azure Policy Ajuda a aplicar padrões organizacionais e a avaliar a conformidade em escala. Através do dashboard de conformidade, proporciona uma visão agregada para avaliar o estado geral do ambiente, com a capacidade de desagregar a granularidade por recurso e por política. Também ajuda a fazer com que os recursos fiquem em conformidade através da remediação em massa dos recursos existentes e da reparação automática dos recursos novos.
Dados & Aplicação
Azure Backup Fornece soluções simples, seguras e econômicas para fazer backup de seus dados e recuperá-los da nuvem do Microsoft Azure.
Criptografia do Serviço de Armazenamento do Azure Encripta automaticamente os dados antes de serem armazenados e desencripta automaticamente os dados quando os recupera.
Azure Information Protection Uma solução baseada na nuvem que permite às organizações descobrir, classificar e proteger documentos e e-mails aplicando etiquetas ao conteúdo.
Gestão de API Uma maneira de criar gateways de API consistentes e modernos para serviços back-end existentes.
Computação confidencial do Azure Permite isolar os seus dados confidenciais enquanto estão a ser processados na nuvem.
Azure DevOps Seus projetos de desenvolvimento se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade quando armazenados no Azure DevOps.
Acesso ao Cliente
ID Externo do Microsoft Entra Com as capacidades do External Identities no Microsoft Entra ID, pode permitir que pessoas externas à sua organização acedam às aplicações e aos recursos e que iniciem sessão com a identidade que preferirem.
Pode partilhar as suas aplicações e recursos com utilizadores externos através da colaboração B2B do Microsoft Entra.
O Azure AD B2C permite-lhe suportar milhões de utilizadores e milhares de milhões de autenticações por dia, monitorizando e lidando automaticamente com ameaças como negação de serviço, pulverização de palavra-passe ou ataques de força bruta.

Detetar ameaças

Serviço Description
Microsoft Defender para Cloud Oferece proteção avançada e inteligente de seus recursos e cargas de trabalho do Azure e híbridos. O painel de proteção de carga de trabalho no Defender for Cloud fornece visibilidade e controle dos recursos de proteção de carga de trabalho na nuvem para seu ambiente.
Microsoft Sentinel Uma solução escalável, nativa da nuvem, de gerenciamento de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). O Sentinel oferece análises de segurança inteligentes e inteligência de ameaças em toda a empresa, fornecendo uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças.
Gerenciamento de identidade e acesso
Microsoft Defender XDR Um pacote unificado de defesa empresarial pré e pós-violação que coordena nativamente a deteção, prevenção, investigação e resposta entre endpoints, identidades, e-mail e aplicativos para fornecer proteção integrada contra ataques sofisticados.
O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas.
O Microsoft Defender for Identity é uma solução de segurança baseada em nuvem que aproveita seus sinais do Ative Directory local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas à sua organização.
Proteção de ID do Microsoft Entra Envia dois tipos de e-mails de notificação automatizados para ajudá-lo a gerenciar o risco do usuário e as deteções de risco: e-mail detetado por usuários em risco e e-mail resumido semanalmente.
Infraestrutura e Rede
Azure Firewall O Firewall Premium do Azure fornece um sistema de deteção e prevenção de intrusões baseado em assinatura (IDPS) para permitir a deteção rápida de ataques procurando padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas usadas por malware.
Microsoft Defender para IoT Uma solução de segurança unificada para identificar dispositivos IoT/OT, vulnerabilidades e ameaças. Ele permite que você proteja todo o seu ambiente de IoT/OT, quer você precise proteger dispositivos IoT/OT existentes ou criar segurança em novas inovações de IoT.
Observador de Rede do Azure Fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos em uma rede virtual do Azure. O Inspetor de Rede foi projetado para monitorar e reparar a integridade da rede de produtos IaaS, que incluem máquinas virtuais, redes virtuais, gateways de aplicativos e balanceadores de carga.
Azure Policy Ajuda a aplicar padrões organizacionais e a avaliar a conformidade em escala. A Política do Azure usa logs de atividades, que são habilitados automaticamente para incluir a origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Dados & Aplicação
Microsoft Defender para contêineres Uma solução nativa da nuvem que é usada para proteger seus contêineres para que você possa melhorar, monitorar e manter a segurança de seus clusters, contêineres e seus aplicativos.
Aplicativos do Microsoft Defender para Nuvem Um agente de segurança de acesso à nuvem (CASB) que opera em várias nuvens. Ele fornece visibilidade avançada, controle sobre viagens de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem.

Investigar e responder

Serviço Description
Microsoft Sentinel Poderosas ferramentas de pesquisa e consulta para procurar ameaças à segurança nas fontes de dados da sua organização.
Logs e métricas do Azure Monitor Oferece uma solução abrangente para coletar, analisar e agir em telemetria de seus ambientes locais e na nuvem. O Azure Monitor recolhe e agrega dados de várias fontes numa plataforma de dados comum, onde podem ser utilizados para análise, visualização e alertas.
Gerenciamento de identidade e acesso
Relatórios e monitoramento do Azure AD Os relatórios do Microsoft Entra fornecem uma visão abrangente da atividade em seu ambiente.
O monitoramento do Microsoft Entra permite rotear seus logs de atividades do Microsoft Entra para diferentes pontos de extremidade.
Histórico de auditoria do Microsoft Entra PIM Mostra todas as atribuições e ativações de função nos últimos 30 dias para todas as funções privilegiadas.
Dados & Aplicação
Aplicativos do Microsoft Defender para Nuvem Fornece ferramentas para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem.

Próximos passos