Melhores práticas de segurança de rede do Azure

  • Artigo

Este artigo discute uma coleção de práticas recomendadas do Azure para aprimorar a segurança da rede. Essas práticas recomendadas são derivadas de nossa experiência com a rede do Azure e das experiências de clientes como você.

Para cada prática recomendada, este artigo explica:

  • Qual é a melhor prática
  • Por que você deseja habilitar essa prática recomendada
  • Qual pode ser o resultado se você não habilitar as melhores práticas
  • Alternativas possíveis às melhores práticas
  • Como você pode aprender a habilitar as melhores práticas

Essas práticas recomendadas são baseadas em uma opinião de consenso e nos recursos e conjuntos de recursos da plataforma Azure, como existem no momento em que este artigo foi escrito. As opiniões e tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas mudanças.

Use controles de rede fortes

Você pode conectar máquinas virtuais (VMs) e dispositivos do Azure a outros dispositivos em rede colocando-os em redes virtuais do Azure. Ou seja, você pode conectar placas de interface de rede virtual a uma rede virtual para permitir comunicações baseadas em TCP/IP entre dispositivos habilitados para rede. As máquinas virtuais conectadas a uma rede virtual do Azure podem se conectar a dispositivos na mesma rede virtual, redes virtuais diferentes, na Internet ou em suas próprias redes locais.

Ao planear a sua rede e a segurança da sua rede, recomendamos que centralize:

  • Gerenciamento de funções de rede principal, como Rota Expressa, provisionamento de rede virtual e sub-rede e endereçamento IP.
  • Governança de elementos de segurança de rede, como funções de dispositivo virtual de rede como Rota Expressa, provisionamento de rede virtual e sub-rede e endereçamento IP.

Se utilizar um conjunto comum de ferramentas de gestão para monitorizar a sua rede e a segurança da sua rede, obterá uma visibilidade clara de ambas. Uma estratégia de segurança simples e unificada reduz os erros porque aumenta a compreensão humana e a confiabilidade da automação.

Segmentar sub-redes logicamente

As redes virtuais do Azure são semelhantes às LANs na sua rede local. A ideia por trás de uma rede virtual do Azure é que você crie uma rede, com base em um único espaço de endereço IP privado, na qual você pode colocar todas as suas máquinas virtuais do Azure. Os espaços de endereços IP privados disponíveis estão nos intervalos Classe A (10.0.0.0/8), Classe B (172.16.0.0/12) e Classe C (192.168.0.0/16).

As práticas recomendadas para segmentar sub-redes logicamente incluem:

Práticas recomendadas: não atribua regras de permissão com intervalos amplos (por exemplo, permita de 0.0.0.0 a 255.255.255.255).
Detalhe: garantir que os procedimentos de solução de problemas desencorajem ou proíbam a configuração desses tipos de regras. Estas regras permitem que conduzam a uma falsa sensação de segurança e são frequentemente encontradas e exploradas por equipas vermelhas.

Práticas recomendadas: segmente o espaço de endereçamento maior em sub-redes.
Detalhe: use princípios de sub-rede baseados em CIDR para criar suas sub-redes.

Prática recomendada: crie controles de acesso à rede entre sub-redes. O roteamento entre sub-redes acontece automaticamente e você não precisa configurar manualmente as tabelas de roteamento. Por padrão, não há controles de acesso à rede entre as sub-redes que você cria em uma rede virtual do Azure.
Detalhe: use um grupo de segurança de rede para proteger contra tráfego não solicitado em sub-redes do Azure. Os grupos de segurança de rede (NSGs) são dispositivos de inspeção de pacotes simples e com monitoração de estado. Os NSGs usam a abordagem de 5 tuplas (IP de origem, porta de origem, IP de destino, porta de destino e protocolo de camada 4) para criar regras de permissão/negação para o tráfego de rede. Você permite ou nega tráfego de e para um único endereço IP, de e para vários endereços IP ou de e para sub-redes inteiras.

Ao usar grupos de segurança de rede para controle de acesso à rede entre sub-redes, você pode colocar recursos que pertencem à mesma zona de segurança ou função em suas próprias sub-redes.

Melhores práticas: Evite pequenas redes virtuais e sub-redes para garantir simplicidade e flexibilidade. Detalhe: a maioria das organizações adiciona mais recursos do que o planejado inicialmente, e a realocação de endereços exige muito trabalho. O uso de sub-redes pequenas adiciona valor de segurança limitado, e o mapeamento de um grupo de segurança de rede para cada sub-rede adiciona sobrecarga. Defina sub-redes de forma ampla para garantir que você tenha flexibilidade para crescimento.

Práticas recomendadas: simplifique o gerenciamento de regras de grupo de segurança de rede definindo grupos de segurança de aplicativos.
Detalhe: defina um Grupo de Segurança de Aplicativo para listas de endereços IP que você acha que podem mudar no futuro ou ser usados em muitos grupos de segurança de rede. Certifique-se de nomear Grupos de Segurança de Aplicativos claramente para que outras pessoas possam entender seu conteúdo e finalidade.

Adote uma abordagem Zero Trust

As redes baseadas em perímetro operam com base no pressuposto de que todos os sistemas dentro de uma rede podem ser confiáveis. Mas os funcionários de hoje acessam os recursos de sua organização de qualquer lugar em vários dispositivos e aplicativos, o que torna os controles de segurança de perímetro irrelevantes. As políticas de controle de acesso que se concentram apenas em quem pode acessar um recurso não são suficientes. Para dominar o equilíbrio entre segurança e produtividade, os administradores de segurança também precisam considerar como um recurso está sendo acessado.

As redes precisam evoluir das defesas tradicionais porque as redes podem ser vulneráveis a violações: um invasor pode comprometer um único ponto de extremidade dentro do limite confiável e, em seguida, expandir rapidamente uma base em toda a rede. As redes Zero Trust eliminam o conceito de confiança com base na localização da rede dentro de um perímetro. Em vez disso, as arquiteturas Zero Trust usam declarações de confiança de dispositivo e usuário para bloquear o acesso a dados e recursos organizacionais. Para novas iniciativas, adote abordagens Zero Trust que validem a confiança no momento do acesso.

As melhores práticas são:

Práticas recomendadas: Dê acesso condicional a recursos com base no dispositivo, identidade, garantia, localização da rede e muito mais.
Detalhe: o Microsoft Entra Conditional Access permite aplicar os controles de acesso corretos implementando decisões automatizadas de controle de acesso com base nas condições necessárias. Para obter mais informações, consulte Gerenciar o acesso ao gerenciamento do Azure com Acesso Condicional.

Práticas recomendadas: habilite o acesso à porta somente após a aprovação do fluxo de trabalho.
Detalhe: você pode usar o acesso just-in-time de VM no Microsoft Defender for Cloud para bloquear o tráfego de entrada para suas VMs do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário.

Práticas recomendadas: conceda permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso depois que as permissões expirarem. O acesso é concedido somente quando os usuários precisam dele.
Detalhe: use o acesso just-in-time no Microsoft Entra Privileged Identity Management ou em uma solução de terceiros para conceder permissões para executar tarefas privilegiadas.

Zero Trust é a próxima evolução na segurança de rede. O estado dos ataques cibernéticos leva as organizações a adotarem a mentalidade de "assumir violação", mas essa abordagem não deve ser limitante. As redes Zero Trust protegem os dados e recursos corporativos enquanto garantem que as organizações possam construir um local de trabalho moderno usando tecnologias que capacitam os funcionários a serem produtivos a qualquer hora, em qualquer lugar e de qualquer forma.

Controlar o comportamento de roteamento

Quando você coloca uma máquina virtual em uma rede virtual do Azure, a VM pode se conectar a qualquer outra VM na mesma rede virtual, mesmo que as outras VMs estejam em sub-redes diferentes. Isso é possível porque uma coleção de rotas do sistema habilitadas por padrão permite esse tipo de comunicação. Essas rotas padrão permitem que VMs na mesma rede virtual iniciem conexões entre si e com a Internet (apenas para comunicações de saída para a Internet).

Embora as rotas padrão do sistema sejam úteis para muitos cenários de implantação, há momentos em que você deseja personalizar a configuração de roteamento para suas implantações. Você pode configurar o endereço do próximo salto para alcançar destinos específicos.

Recomendamos que você configure rotas definidas pelo usuário ao implantar um dispositivo de segurança para uma rede virtual. Falamos sobre essa recomendação em uma seção posterior intitulada Proteger seus recursos críticos de serviço do Azure apenas para suas redes virtuais.

Nota

As rotas definidas pelo usuário não são necessárias, e as rotas padrão do sistema geralmente funcionam.

Usar dispositivos de rede virtual

Os grupos de segurança de rede e o roteamento definido pelo usuário podem fornecer uma certa medida de segurança de rede nas camadas de rede e transporte do modelo OSI. Mas em algumas situações, você quer ou precisa habilitar a segurança em altos níveis da pilha. Nessas situações, recomendamos que você implante dispositivos de segurança de rede virtual fornecidos por parceiros do Azure.

Os dispositivos de segurança de rede do Azure podem oferecer uma segurança melhor do que a fornecida pelos controles no nível da rede. Os recursos de segurança de rede dos dispositivos de segurança de rede virtual incluem:

  • Firewall
  • Deteção de intrusão/prevenção de intrusão
  • Gestão de vulnerabilidades
  • Controlo de aplicações
  • Deteção de anomalias baseada em rede
  • Filtragem Web
  • Antivírus
  • Proteção contra botnet

Para encontrar os dispositivos de segurança de rede virtual do Azure disponíveis, vá para o Azure Marketplace e procure por "segurança" e "segurança de rede".

Implantar redes de perímetro para zonas de segurança

Uma rede de perímetro (também conhecida como DMZ) é um segmento de rede física ou lógica que fornece uma camada extra de segurança entre seus ativos e a Internet. Dispositivos especializados de controle de acesso à rede na borda de uma rede de perímetro permitem apenas o tráfego desejado em sua rede virtual.

As redes de perímetro são úteis porque você pode concentrar o gerenciamento, o monitoramento, o registro em log e a geração de relatórios do controle de acesso à rede nos dispositivos na borda da rede virtual do Azure. Uma rede de perímetro é onde você normalmente habilita a proteção distribuída contra negação de serviço (DDoS), sistemas de deteção de intrusão/prevenção de invasões (IDS/IPS), regras e políticas de firewall, filtragem da Web, antimalware de rede e muito mais. Os dispositivos de segurança de rede ficam entre a Internet e sua rede virtual do Azure e têm uma interface em ambas as redes.

Embora este seja o projeto básico de uma rede de perímetro, existem muitos projetos diferentes, como back-to-back, tri-homed e multi-homed.

Com base no conceito de Zero Trust mencionado anteriormente, recomendamos que você considere o uso de uma rede de perímetro para todas as implantações de alta segurança para aprimorar o nível de segurança de rede e controle de acesso para seus recursos do Azure. Você pode usar o Azure ou uma solução de terceiros para fornecer uma camada extra de segurança entre seus ativos e a Internet:

  • Controles nativos do Azure. O Firewall do Azure e o Firewall de Aplicativo Web do Azure oferecem vantagens básicas de segurança. As vantagens são um firewall como serviço totalmente stateful, alta disponibilidade integrada, escalabilidade irrestrita na nuvem, filtragem FQDN, suporte para conjuntos de regras principais OWASP e instalação e configuração simples.
  • Ofertas de terceiros. Pesquise no Azure Marketplace por firewall de próxima geração (NGFW) e outras ofertas de terceiros que fornecem ferramentas de segurança familiares e níveis aprimorados de segurança de rede. A configuração pode ser mais complexa, mas uma oferta de terceiros pode permitir que você use os recursos e conjuntos de habilidades existentes.

Muitas organizações escolheram a rota de TI híbrida. Com a TI híbrida, alguns dos ativos de informações da empresa estão no Azure e outros permanecem no local. Em muitos casos, alguns componentes de um serviço estão em execução no Azure, enquanto outros componentes permanecem no local.

Em um cenário de TI híbrido, geralmente há algum tipo de conectividade entre locais. A conectividade entre locais permite que a empresa conecte suas redes locais às redes virtuais do Azure. Duas soluções de conectividade entre locais estão disponíveis:

  • VPN site a site. É uma tecnologia confiável, confiável e estabelecida, mas a conexão ocorre pela internet. A largura de banda é limitada a um máximo de cerca de 1,25 Gbps. A VPN site a site é uma opção desejável em alguns cenários.
  • Azure ExpressRoute. Recomendamos que você use a Rota Expressa para sua conectividade entre locais. O ExpressRoute permite-lhe expandir as redes no local para a Microsoft Cloud através de uma ligação privada facilitada por um fornecedor de conectividade. Com a Rota Expressa, você pode estabelecer conexões com serviços de nuvem da Microsoft, como Azure, Microsoft 365 e Dynamics 365. O ExpressRoute é um link WAN dedicado entre seu local local ou um provedor de hospedagem do Microsoft Exchange. Uma vez que se trata de uma ligação de telecomunicações, os seus dados não viajam através da Internet, pelo que não estão expostos aos potenciais riscos das comunicações via Internet.

O local da conexão da Rota Expressa pode afetar a capacidade do firewall, a escalabilidade, a confiabilidade e a visibilidade do tráfego de rede. Você precisará identificar onde encerrar a Rota Expressa em redes existentes (locais). Pode:

  • Terminar fora do firewall (o paradigma da rede de perímetro). Use esta recomendação se precisar de visibilidade do tráfego, se precisar continuar uma prática existente de isolamento de datacenters ou se estiver apenas colocando recursos de extranet no Azure.
  • Termine dentro do firewall (o paradigma de extensão de rede). Esta é a recomendação padrão. Em todos os outros casos, recomendamos tratar o Azure como outro datacenter.

Otimize o tempo de atividade e o desempenho

Se um serviço estiver inativo, as informações não poderão ser acessadas. Se o desempenho for tão fraco que os dados não possam ser utilizados, você poderá considerá-los inacessíveis. Do ponto de vista da segurança, você precisa fazer tudo o que puder para garantir que seus serviços tenham o tempo de atividade e o desempenho ideais.

Um método popular e eficaz para melhorar a disponibilidade e o desempenho é o balanceamento de carga. O balanceamento de carga é um método de distribuição de tráfego de rede entre servidores que fazem parte de um serviço. Por exemplo, se você tiver servidores Web front-end como parte do serviço, poderá usar o balanceamento de carga para distribuir o tráfego entre vários servidores Web front-end.

Essa distribuição de tráfego aumenta a disponibilidade porque, se um dos servidores Web ficar indisponível, o balanceador de carga para de enviar tráfego para esse servidor e o redireciona para os servidores que ainda estão online. O balanceamento de carga também ajuda no desempenho, porque a sobrecarga do processador, da rede e da memória para atender solicitações é distribuída em todos os servidores com balanceamento de carga.

Recomendamos que você empregue o balanceamento de carga sempre que puder e conforme apropriado para seus serviços. A seguir estão os cenários no nível de rede virtual do Azure e no nível global, juntamente com opções de balanceamento de carga para cada um.

Cenário: Você tem um aplicativo que:

  • Requer solicitações da mesma sessão de usuário/cliente para alcançar a mesma máquina virtual back-end. Exemplos disso são aplicativos de carrinho de compras e servidores de web mail.
  • Aceita apenas uma conexão segura, portanto, a comunicação não criptografada com o servidor não é uma opção aceitável.
  • Requer que várias solicitações HTTP na mesma conexão TCP de longa duração sejam roteadas ou balanceadas de carga para diferentes servidores back-end.

Opção de balanceamento de carga: use o Gateway de Aplicativo do Azure, um balanceador de carga de tráfego da Web HTTP. O Application Gateway suporta criptografia TLS de ponta a ponta e terminação TLS no gateway. Os servidores Web podem então ser aliviados da sobrecarga de criptografia e descriptografia e do tráfego fluindo sem criptografia para os servidores back-end.

Cenário: Você precisa balancear a carga de conexões de entrada da Internet entre seus servidores localizados em uma rede virtual do Azure. Os cenários são quando você:

  • Ter aplicativos sem estado que aceitam solicitações de entrada da Internet.
  • Não exija sessões adesivas ou descarregamento de TLS. Sticky sessions é um método usado com o Application Load Balancing, para alcançar a afinidade com o servidor.

Opção de balanceamento de carga: use o portal do Azure para criar um balanceador de carga externo que distribui solicitações de entrada em várias VMs para fornecer um nível mais alto de disponibilidade.

Cenário: Você precisa balancear a carga de conexões de VMs que não estão na Internet. Na maioria dos casos, as conexões aceitas para balanceamento de carga são iniciadas por dispositivos em uma rede virtual do Azure, como instâncias do SQL Server ou servidores Web internos.
Opção de balanceamento de carga: use o portal do Azure para criar um balanceador de carga interno que distribui solicitações de entrada em várias VMs para fornecer um nível mais alto de disponibilidade.

Cenário: Você precisa de balanceamento de carga global porque:

  • Tenha uma solução de nuvem amplamente distribuída em várias regiões e que exija o mais alto nível de tempo de atividade (disponibilidade) possível.
  • Precisa do mais alto nível de tempo de atividade possível para garantir que seu serviço esteja disponível mesmo se um datacenter inteiro ficar indisponível.

Opção de balanceamento de carga: use o Gerenciador de Tráfego do Azure. O Traffic Manager possibilita o balanceamento de carga das conexões com seus serviços com base na localização do usuário.

Por exemplo, se o utilizador fizer um pedido ao seu serviço a partir da UE, a ligação é direcionada para os seus serviços localizados num centro de dados da UE. Essa parte do balanceamento de carga global do Gerenciador de Tráfego ajuda a melhorar o desempenho porque a conexão com o datacenter mais próximo é mais rápida do que a conexão com datacenters distantes.

Desabilitar o acesso RDP/SSH a máquinas virtuais

É possível aceder às máquinas virtuais do Azure com o protocolo RDP (Remote Desktop Protocol) e com o protocolo SSH (Secure Shell). Estes protocolos ativam as VMs de gestão a partir de localizações remotas e são o padrão na computação de datacenters.

O potencial problema de segurança com o uso desses protocolos pela Internet é que os invasores podem usar técnicas de força bruta para obter acesso às máquinas virtuais do Azure. Após os atacantes obterem acesso, podem utilizar a VM como um ponto de partida para comprometer outros computadores na rede virtual ou até mesmo atacar dispositivos em redes fora do Azure.

Recomendamos que você desabilite o acesso direto RDP e SSH às suas máquinas virtuais do Azure a partir da Internet. Depois que o acesso direto RDP e SSH da Internet estiver desabilitado, você terá outras opções que poderá usar para acessar essas VMs para gerenciamento remoto.

Cenário: permita que um único usuário se conecte a uma rede virtual do Azure pela Internet.
Opção: VPN ponto a site é outro termo para uma conexão cliente/servidor VPN de acesso remoto. Depois que a conexão ponto a site é estabelecida, o usuário pode usar RDP ou SSH para se conectar a qualquer VM localizada na rede virtual do Azure à qual o usuário se conectou por meio de VPN ponto a site. Isso pressupõe que o usuário esteja autorizado a acessar essas VMs.

A VPN ponto a site é mais segura do que conexões RDP ou SSH diretas porque o usuário precisa se autenticar duas vezes antes de se conectar a uma VM. Primeiro, o usuário precisa se autenticar (e ser autorizado) para estabelecer a conexão VPN ponto a site. Em segundo lugar, o usuário precisa autenticar (e ser autorizado) para estabelecer a sessão RDP ou SSH.

Cenário: permita que os usuários em sua rede local se conectem a VMs em sua rede virtual do Azure.
Opção: Uma VPN site a site conecta uma rede inteira a outra rede pela Internet. Você pode usar uma VPN site a site para conectar sua rede local a uma rede virtual do Azure. Os usuários em sua rede local se conectam usando o protocolo RDP ou SSH pela conexão VPN site a site. Você não precisa permitir acesso direto RDP ou SSH pela internet.

Cenário: use um link WAN dedicado para fornecer funcionalidade semelhante à VPN site a site.
Opção: Use a Rota Expressa. Ele fornece funcionalidade semelhante à VPN site a site. As principais diferenças são:

  • O link WAN dedicado não atravessa a internet.
  • Os links WAN dedicados são normalmente mais estáveis e têm um melhor desempenho.

Proteja os seus recursos críticos de serviço do Azure apenas para as suas redes virtuais

Use o Azure Private Link para acessar os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) em um ponto de extremidade privado em sua rede virtual. Os Pontos de Extremidade Privados permitem que você proteja seus recursos críticos de serviço do Azure apenas para suas redes virtuais. O tráfego da sua rede virtual para o serviço do Azure permanece sempre na rede de backbone do Microsoft Azure. Expor sua rede virtual à Internet pública não é mais necessário para consumir os Serviços PaaS do Azure.

O Azure Private Link fornece os seguintes benefícios:

  • Segurança melhorada para os recursos de serviço do Azure: com o Azure Private Link, os recursos de serviço do Azure podem ser protegidos na sua rede virtual utilizando o ponto de extremidade privado. Proteger recursos de serviço para um ponto de extremidade privado na rede virtual fornece segurança aprimorada removendo totalmente o acesso público à Internet aos recursos e permitindo o tráfego apenas de ponto de extremidade privado em sua rede virtual.
  • Aceder de forma privada aos recursos de serviço do Azure na plataforma Azure: ligue a sua rede virtual a serviços no Azure utilizando pontos de extremidade privados. Não há necessidade de um endereço IP público. A plataforma Private Link tratará da conectividade entre o consumidor e os serviços através da rede de backbone do Azure.
  • Acesso a partir de redes locais e emparelhadas: aceda a serviços em execução no Azure a partir do local através de emparelhamento privado da Rota Expressa, túneis VPN e redes virtuais emparelhadas utilizando pontos de extremidade privados. Não há necessidade de configurar o emparelhamento Microsoft ExpressRoute ou atravessar a Internet para chegar ao serviço. O Private Link fornece uma maneira segura de migrar cargas de trabalho para o Azure.
  • Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço está bloqueado. Este mecanismo fornece proteção contra riscos de fuga de dados.
  • Alcance global: conecte-se de forma privada a serviços executados em outras regiões. A rede virtual do consumidor pode estar na região A e pode se conectar a serviços na região B.
  • Simples de configurar e gerenciar: você não precisa mais de endereços IP públicos reservados em suas redes virtuais para proteger os recursos do Azure por meio de um firewall IP. Não são necessários dispositivos NAT ou gateway para configurar os pontos de extremidade privados. Os pontos de extremidade privados são configurados por meio de um fluxo de trabalho simples. No lado do serviço, você também pode gerenciar as solicitações de conexão em seu recurso de serviço do Azure com facilidade. O Azure Private Link também funciona para consumidores e serviços pertencentes a diferentes locatários do Microsoft Entra.

Para saber mais sobre pontos de extremidade privados e os serviços e regiões do Azure para os quais os pontos de extremidade privados estão disponíveis, consulte Link privado do Azure.

Próximos passos

Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.