Descrição geral da segurança de rede do Azure

A segurança de rede pode ser definida como o processo de proteção de recursos contra acessos não autorizados ou ataques ao aplicar controlos ao tráfego de rede. O objetivo é garantir que apenas o tráfego legítimo é permitido. O Azure inclui uma infraestrutura de rede robusta para suportar os requisitos de conectividade da aplicação e do serviço. A conectividade de rede é possível entre os recursos localizados no Azure, entre os recursos alojados no local e o Azure, e de e para a Internet e o Azure.

Este artigo aborda algumas das opções que o Azure oferece na área da segurança de rede. Pode saber mais sobre:

• Rede do Azure
• Controlo de acesso à rede
• Azure Firewall
• Proteger o acesso remoto e a conectividade entre locais
• Disponibilidade
• Resolução de nomes
• Arquitetura de rede de perímetro (DMZ)
• Proteção contra DDoS do Azure
• Azure Front Door
• Gestor de tráfego
• Monitorização e deteção de ameaças

Nota

Para cargas de trabalho Web, recomendamos vivamente que utilize a proteção do DDoS do Azure e uma firewall de aplicações Web para proteger contra ataques DDoS emergentes. Outra opção é implementar o Azure Front Door juntamente com uma firewall de aplicações Web. O Azure Front Door oferece proteção ao nível da plataforma contra ataques DDoS ao nível da rede.

Rede do Azure

O Azure requer que as máquinas virtuais estejam ligadas a um Rede Virtual do Azure. Uma rede virtual é uma construção lógica criada sobre os recursos de infraestrutura de rede físicos do Azure. Cada rede virtual está isolada de todas as outras redes virtuais. Isto ajuda a garantir que o tráfego de rede nas suas implementações não está acessível a outros clientes do Azure.

Saiba mais:

• Descrição geral da rede virtual

Controlo de acesso à rede

O controlo de acesso à rede é o ato de limitar a conectividade a e a partir de dispositivos ou sub-redes específicos numa rede virtual. O objetivo do controlo de acesso à rede é limitar o acesso às suas máquinas virtuais e serviços a utilizadores e dispositivos aprovados. Os controlos de acesso baseiam-se em decisões para permitir ou negar ligações de e para a sua máquina virtual ou serviço.

O Azure suporta vários tipos de controlo de acesso à rede, tais como:

• Controlo de camada de rede
• Controlo de rotas e túnel forçado
• Aplicações de segurança de rede virtual

Controlo de camada de rede

Qualquer implementação segura requer alguma medida de controlo de acesso à rede. O objetivo do controlo de acesso à rede é restringir a comunicação de máquinas virtuais aos sistemas necessários. Outras tentativas de comunicação são bloqueadas.

Nota

As Firewalls de Armazenamento estão abrangidas no artigo descrição geral da segurança do armazenamento do Azure

Regras de segurança de rede (NSGs)

Se precisar de um controlo básico de acesso ao nível da rede (com base no endereço IP e nos protocolos TCP ou UDP), pode utilizar Grupos de Segurança de Rede (NSGs). Um NSG é uma firewall de filtragem de pacotes básica, com estado e permite-lhe controlar o acesso com base numa cadeia de 5 cadeias de identificação. Os NSGs incluem funcionalidades para simplificar a gestão e reduzir as hipóteses de erros de configuração:

• As regras de segurança aumentadas simplificam a definição de regras do NSG e permitem-lhe criar regras complexas em vez de ter de criar múltiplas regras simples para obter o mesmo resultado.
• As etiquetas de serviço são etiquetas criadas pela Microsoft que representam um grupo de endereços IP. Atualizam dinamicamente para incluir intervalos de IP que cumprem as condições que definem a inclusão na etiqueta. Por exemplo, se quiser criar uma regra que se aplique a todo o armazenamento do Azure na região leste, pode utilizar Storage.EastUS
• Os grupos de segurança de aplicações permitem-lhe implementar recursos em grupos de aplicações e controlar o acesso a esses recursos ao criar regras que utilizam esses grupos de aplicações. Por exemplo, se tiver webservers implementados no grupo de aplicações "Webservers", pode criar uma regra que aplica um NSG que permita o tráfego 443 da Internet a todos os sistemas no grupo de aplicações "Webservers".

Os NSGs não fornecem controlos de acesso autenticados ou inspeção de camada de aplicação.

Saiba mais:

• Grupos de Segurança de Rede

Acesso à VM just-in-time do Defender para a Cloud

Microsoft Defender para a Cloud pode gerir os NSGs em VMs e bloquear o acesso à VM até que um utilizador com o controlo de acesso baseado em funções do Azure adequado peça acesso às permissões RBAC do Azure. Quando o utilizador é autorizado com êxito, o Defender para a Cloud faz modificações aos NSGs para permitir o acesso às portas selecionadas durante o tempo especificado. Quando o tempo expirar, os NSGs são restaurados para o estado protegido anterior.

Saiba mais:

• Microsoft Defender para o Acesso Just in Time à Cloud

Pontos finais de serviço

Os pontos finais de serviço são outra forma de aplicar controlo sobre o tráfego. Pode limitar a comunicação com os serviços suportados apenas às suas VNets através de uma ligação direta. O tráfego da VNet para o serviço do Azure especificado permanece na rede principal do Microsoft Azure.

Saiba mais:

• Pontos finais de serviço

Controlo de rotas e túnel forçado

A capacidade de controlar o comportamento de encaminhamento nas suas redes virtuais é fundamental. Se o encaminhamento estiver configurado incorretamente, as aplicações e os serviços alojados na máquina virtual poderão ligar-se a dispositivos não autorizados, incluindo sistemas pertencentes e operados por potenciais atacantes.

A rede do Azure suporta a capacidade de personalizar o comportamento de encaminhamento do tráfego de rede nas suas redes virtuais. Isto permite-lhe alterar as entradas de tabela de encaminhamento predefinidas na sua rede virtual. O controlo do comportamento de encaminhamento ajuda-o a garantir que todo o tráfego de um determinado dispositivo ou grupo de dispositivos entra ou sai da rede virtual através de uma localização específica.

Por exemplo, poderá ter uma aplicação de segurança de rede virtual na sua rede virtual. Quer certificar-se de que todo o tráfego de e para a sua rede virtual passa por essa aplicação de segurança virtual. Pode fazê-lo ao configurar Rotas Definidas pelo Utilizador (UDRs) no Azure.

O túnel forçado é um mecanismo que pode utilizar para garantir que os seus serviços não têm permissão para iniciar uma ligação a dispositivos na Internet. Tenha em atenção que isto é diferente de aceitar ligações recebidas e, em seguida, responder às mesmas. Os servidores Web front-end têm de responder a pedidos de anfitriões da Internet e, por isso, o tráfego de origem na Internet tem permissão para entrar nestes servidores Web e os servidores Web têm permissão para responder.

O que não quer permitir é um servidor Web de front-end para iniciar um pedido de saída. Estes pedidos podem representar um risco de segurança porque estas ligações podem ser utilizadas para transferir software maligno. Mesmo que pretenda que estes servidores front-end iniciem pedidos de saída para a Internet, poderá querer forçá-los a percorrer os proxies Web no local. Isto permite-lhe tirar partido da filtragem e registo de URLs.

Em vez disso, gostaria de utilizar túneis forçados para evitar esta situação. Quando ativa o túnel forçado, todas as ligações à Internet são forçadas através do gateway no local. Pode configurar o túnel forçado ao tirar partido dos UDRs.

Saiba mais:

• O que são Rotas Definidas pelo Utilizador e Reencaminhamento IP

Aplicações de segurança de rede virtual

Embora os NSGs, os UDRs e o túnel forçado lhe forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, também poderá querer ativar a segurança em níveis superiores à rede.

Por exemplo, os seus requisitos de segurança podem incluir:

• Autenticação e autorização antes de permitir o acesso à sua aplicação
• Deteção de intrusões e resposta a intrusões
• Inspeção de camada de aplicação para protocolos de alto nível
• Filtragem de URL
• Antivírus e Antimalware ao nível da rede
• Proteção anti-bot
• Controlo de acesso à aplicação
• Proteção de DDoS adicional (acima da proteção de DDoS fornecida pelos próprios recursos de infraestrutura do Azure)

Pode aceder a estas funcionalidades de segurança de rede melhoradas com uma solução de parceiro do Azure. Pode encontrar as soluções de segurança de rede de parceiros do Azure mais recentes ao visitar o Azure Marketplace e procurar "segurança" e "segurança de rede".

Azure Firewall

Azure Firewall é um serviço de segurança de firewall de rede inteligente e nativo da cloud que fornece proteção contra ameaças para as cargas de trabalho na cloud em execução no Azure. É uma firewall como um serviço com monitorização de estado com alta disponibilidade integrada e escalabilidade da cloud irrestrita. Fornece inspeção de tráfego leste-oeste e norte-sul.

Azure Firewall é oferecido em três SKUs: Standard, Premium e Basic. Azure Firewall Standard fornece feeds de informações sobre ameaças e filtragem L3-L7 diretamente da Microsoft Cyber Security. Azure Firewall Premium fornece capacidades avançadas incluem IDPS baseado em assinaturas para permitir a deteção rápida de ataques ao procurar padrões específicos. Azure Firewall Básico é um SKU simplificado que fornece o mesmo nível de segurança que o SKU Standard, mas sem as capacidades avançadas.

Saiba mais:

• O que é Azure Firewall

Proteger o acesso remoto e a conectividade entre locais

A configuração, a configuração e a gestão dos seus recursos do Azure têm de ser feitas remotamente. Além disso, poderá querer implementar soluções de TI híbridas que tenham componentes no local e na cloud pública do Azure. Estes cenários requerem acesso remoto seguro.

A rede do Azure suporta os seguintes cenários de acesso remoto seguro:

• Ligar estações de trabalho individuais a uma rede virtual
• Ligar a rede no local a uma rede virtual com uma VPN
• Ligar a rede no local a uma rede virtual com uma ligação WAN dedicada
• Ligar redes virtuais entre si

Ligar estações de trabalho individuais a uma rede virtual

Poderá querer ativar programadores individuais ou pessoal de operações para gerir máquinas virtuais e serviços no Azure. Por exemplo, digamos que precisa de acesso a uma máquina virtual numa rede virtual. Mas a política de segurança não permite o acesso remoto RDP ou SSH a máquinas virtuais individuais. Neste caso, pode utilizar uma ligação VPN ponto a site .

A ligação VPN ponto a site permite-lhe configurar uma ligação privada e segura entre o utilizador e a rede virtual. Quando a ligação VPN é estabelecida, o utilizador pode RDP ou SSH através da ligação VPN para qualquer máquina virtual na rede virtual. (Isto pressupõe que o utilizador pode autenticar-se e está autorizado.) A VPN ponto a site suporta:

• Secure Socket Tunneling Protocol (SSTP), um protocolo VPN baseado em SSL proprietário. Uma solução de VPN SSL pode penetrar nas firewalls, uma vez que a maioria das firewalls abre a porta TCP 443, que o TLS/SSL utiliza. O SSTP só é suportado em dispositivos Windows. O Azure suporta todas as versões do Windows que têm SSTP (Windows 7 e posterior).

• VPN IKEv2, uma solução de VPN IPsec baseada em normas. A VPN IKEv2 pode ser utilizada para ligar a partir de dispositivos Mac (versões de OSX 10.11 e superiores).

• OpenVPN

Saiba mais:

• Configurar uma ligação ponto a site a uma rede virtual com o PowerShell

Ligar a rede no local a uma rede virtual com uma VPN

Poderá querer ligar toda a sua rede empresarial, ou partes da mesma, a uma rede virtual. Isto é comum em cenários de TI híbridos, em que as organizações expandem o datacenter no local para o Azure. Em muitos casos, as organizações alojam partes de um serviço no Azure e partes no local. Por exemplo, podem fazê-lo quando uma solução inclui servidores Web front-end no Azure e bases de dados de back-end no local. Estes tipos de ligações "em vários locais" também tornam a gestão dos recursos localizados do Azure mais segura e permite cenários como expandir controladores de domínio do Active Directory para o Azure.

Uma forma de o fazer é utilizar uma VPN site a site. A diferença entre uma VPN site a site e uma VPN ponto a site é que este último liga um único dispositivo a uma rede virtual. Uma VPN site a site liga uma rede inteira (como a rede no local) a uma rede virtual. As VPNs site a site para uma rede virtual utilizam o protocolo VPN de modo de túnel IPsec altamente seguro.

Saiba mais:

• Criar uma VNet Resource Manager com uma ligação VPN site a site com o portal do Azure
• Acerca do VPN Gateway

Ligar a rede no local a uma rede virtual com uma ligação WAN dedicada

As ligações VPN ponto a site e site a site são eficazes para ativar a conectividade entre locais. No entanto, algumas organizações consideram que têm as seguintes desvantagens:

• As ligações VPN movem dados através da Internet. Isto expõe estas ligações a potenciais problemas de segurança envolvidos na movimentação de dados através de uma rede pública. Além disso, não é possível garantir a fiabilidade e a disponibilidade das ligações à Internet.
• As ligações VPN a redes virtuais podem não ter a largura de banda para algumas aplicações e fins, uma vez que excedem o limite máximo de cerca de 200 Mbps.

As organizações que precisam do nível mais elevado de segurança e disponibilidade para as respetivas ligações entre locais utilizam normalmente ligações WAN dedicadas para ligar a sites remotos. O Azure permite-lhe utilizar uma ligação WAN dedicada que pode utilizar para ligar a sua rede no local a uma rede virtual. O Azure ExpressRoute, o express route direct e o alcance global da rota Express permitem-no.

Saiba mais:

• Descrição geral técnica do ExpressRoute
• ExpressRoute direto
• Alcance global de rotas rápidas

Ligar redes virtuais entre si

É possível utilizar muitas redes virtuais para as suas implementações. Existem várias razões pelas quais pode fazê-lo. Poderá querer simplificar a gestão ou pode querer aumentar a segurança. Independentemente da motivação para colocar recursos em diferentes redes virtuais, pode haver alturas em que pretende que os recursos em cada uma das redes se liguem entre si.

Uma opção é que os serviços numa rede virtual se liguem a serviços noutra rede virtual, ao "voltar atrás" através da Internet. A ligação começa numa rede virtual, passa pela Internet e, em seguida, regressa à rede virtual de destino. Esta opção expõe a ligação aos problemas de segurança inerentes a qualquer comunicação baseada na Internet.

Uma opção melhor pode ser criar uma VPN site a site que se ligue entre duas redes virtuais. Este método utiliza o mesmo protocolo do modo de túnel IPSec que a ligação VPN site a site em vários locais mencionada acima.

A vantagem desta abordagem é que a ligação VPN é estabelecida através dos recursos de infraestrutura de rede do Azure, em vez de se ligar através da Internet. Isto fornece-lhe uma camada adicional de segurança, em comparação com as VPNs site a site que se ligam através da Internet.

Saiba mais:

• Configurar uma Ligação VNet a VNet com o Azure Resource Manager e o PowerShell

Outra forma de ligar as suas redes virtuais é o peering de VNET. Esta funcionalidade permite-lhe ligar duas redes do Azure para que a comunicação entre elas aconteça através da infraestrutura principal da Microsoft sem nunca passar pela Internet. O peering de VNET pode ligar duas VNETs na mesma região ou duas VNETs em regiões do Azure. Os NSGs podem ser utilizados para limitar a conectividade entre diferentes sub-redes ou sistemas.

Disponibilidade

A disponibilidade é um componente chave de qualquer programa de segurança. Se os seus utilizadores e sistemas não conseguirem aceder ao que precisam para aceder através da rede, o serviço pode ser considerado comprometido. O Azure tem tecnologias de rede que suportam os seguintes mecanismos de elevada disponibilidade:

• Balanceamento de carga baseado em HTTP
• Balanceamento de carga ao nível da rede
• Balanceamento de carga global

O balanceamento de carga é um mecanismo concebido para distribuir igualmente ligações entre vários dispositivos. Os objetivos do balanceamento de carga são:

• Para aumentar a disponibilidade. Quando faz o balanceamento de carga de ligações em vários dispositivos, um ou mais dispositivos podem ficar indisponíveis sem comprometer o serviço. Os serviços em execução nos restantes dispositivos online podem continuar a servir o conteúdo do serviço.
• Para aumentar o desempenho. Quando faz o balanceamento de carga de ligações em vários dispositivos, um único dispositivo não tem de processar todo o processamento. Em vez disso, o processamento e as exigências de memória para servir o conteúdo são distribuídos por vários dispositivos.

Balanceamento de carga baseado em HTTP

Muitas vezes, as organizações que executam serviços baseados na Web querem ter um balanceador de carga baseado em HTTP à frente desses serviços Web. Isto ajuda a garantir níveis adequados de desempenho e elevada disponibilidade. Os balanceadores de carga tradicionais baseados na rede dependem de protocolos de camada de rede e transporte. Por outro lado, os balanceadores de carga baseados em HTTP tomam decisões com base nas características do protocolo HTTP.

Gateway de Aplicação do Azure fornece balanceamento de carga baseado em HTTP para os seus serviços baseados na Web. Gateway de Aplicação suporta:

• Afinidade de sessão baseada em cookies. Esta capacidade garante que as ligações estabelecidas a um dos servidores por trás desse balanceador de carga permanecem intactas entre o cliente e o servidor. Isto garante a estabilidade das transações.
• Descarga de TLS. Quando um cliente se liga ao balanceador de carga, essa sessão é encriptada através do protocolo HTTPS (TLS). No entanto, para aumentar o desempenho, pode utilizar o protocolo HTTP (não encriptado) para ligar entre o balanceador de carga e o servidor Web por trás do balanceador de carga. Isto é referido como "descarga de TLS", porque os servidores Web por trás do balanceador de carga não têm a sobrecarga do processador envolvida na encriptação. Por conseguinte, os servidores Web podem atender os pedidos mais rapidamente.
• Encaminhamento de conteúdo baseado em URL. Esta funcionalidade permite que o balanceador de carga tome decisões sobre onde reencaminhar ligações com base no URL de destino. Isto proporciona muito mais flexibilidade do que soluções que tomam decisões de balanceamento de carga com base em endereços IP.

Saiba mais:

• Descrição geral do Gateway de Aplicação

Balanceamento de carga ao nível da rede

Ao contrário do balanceamento de carga baseado em HTTP, o balanceamento de carga ao nível da rede toma decisões com base nos números de endereço IP e porta (TCP ou UDP). Pode obter as vantagens do balanceamento de carga ao nível da rede no Azure com Balanceador de Carga do Azure. Algumas das principais características do Balanceador de Carga incluem:

• Balanceamento de carga ao nível da rede com base no endereço IP e nos números de porta.
• Suporte para qualquer protocolo de camada de aplicação.
• Balanceamentos de carga para máquinas virtuais do Azure e instâncias de função de serviços cloud.
• Pode ser utilizado para aplicações com acesso à Internet (balanceamento de carga externo) e para aplicações com acesso à Internet (balanceamento de carga interno) e máquinas virtuais.
• Monitorização de pontos finais, que é utilizada para determinar se algum dos serviços por trás do balanceador de carga ficou indisponível.

Saiba mais:

• Descrição geral do balanceador de carga interno

Balanceamento de carga global

Algumas organizações querem o nível mais elevado de disponibilidade possível. Uma forma de alcançar este objetivo é alojar aplicações em datacenters distribuídos globalmente. Quando uma aplicação é alojada em datacenters localizados em todo o mundo, é possível que toda uma região geopolítica fique indisponível e ainda tenha a aplicação em funcionamento.

Esta estratégia de balanceamento de carga também pode gerar benefícios de desempenho. Pode direcionar os pedidos do serviço para o datacenter mais próximo do dispositivo que está a fazer o pedido.

No Azure, pode obter as vantagens do balanceamento de carga global com o Gestor de Tráfego do Azure.

Saiba mais:

• O que é o Gestor de Tráfego?

Resolução de nomes

A resolução de nomes é uma função crítica para todos os serviços que aloja no Azure. Do ponto de vista da segurança, o comprometimento da função de resolução de nomes pode levar a que um atacante redirecione os pedidos dos seus sites para o site de um atacante. A resolução de nomes segura é um requisito para todos os seus serviços alojados na cloud.

Existem dois tipos de resolução de nomes que tem de resolver:

• Resolução de nomes interna. Isto é utilizado pelos serviços nas suas redes virtuais, nas suas redes no local ou em ambos. Os nomes utilizados para a resolução de nomes internos não estão acessíveis através da Internet. Para uma segurança ideal, é importante que o seu esquema de resolução de nomes interno não esteja acessível a utilizadores externos.
• Resolução de nomes externos. Isto é utilizado por pessoas e dispositivos fora das suas redes virtuais e redes no local. Estes são os nomes que são visíveis para a Internet e são utilizados para direcionar a ligação aos seus serviços baseados na cloud.

Para resolução de nomes internos, tem duas opções:

• Um servidor DNS de rede virtual. Quando cria uma nova rede virtual, é criado um servidor DNS para si. Este servidor DNS pode resolver os nomes dos computadores localizados nessa rede virtual. Este servidor DNS não é configurável, é gerido pelo gestor de recursos de infraestrutura do Azure e, por conseguinte, pode ajudá-lo a proteger a sua solução de resolução de nomes.
• Traga o seu próprio servidor DNS. Tem a opção de colocar um servidor DNS à sua escolha na sua rede virtual. Este servidor DNS pode ser um servidor DNS integrado do Active Directory ou uma solução de servidor DNS dedicada fornecida por um parceiro do Azure, que pode obter a partir do Azure Marketplace.

Saiba mais:

• Descrição geral da rede virtual
• Gerir Servidores DNS utilizados por uma rede virtual

Para resolução de nomes externos, tem duas opções:

• Alojar o seu próprio servidor DNS externo no local.
• Aloje o seu próprio servidor DNS externo com um fornecedor de serviços.

Muitas organizações de grandes dimensões alojam os seus próprios servidores DNS no local. Podem fazê-lo porque têm a experiência em rede e a presença global para o fazer.

Na maioria dos casos, é melhor alojar os seus serviços de resolução de nomes DNS com um fornecedor de serviços. Estes fornecedores de serviços têm os conhecimentos de rede e a presença global para garantir uma elevada disponibilidade para os seus serviços de resolução de nomes. A disponibilidade é essencial para os serviços DNS, porque se os serviços de resolução de nomes falharem, ninguém conseguirá aceder aos seus serviços com acesso à Internet.

O Azure fornece-lhe uma solução de DNS externo de elevado desempenho e de elevada disponibilidade sob a forma de DNS do Azure. Esta solução de resolução de nomes externos tira partido da infraestrutura DNS do Azure a nível mundial. Permite-lhe alojar o seu domínio no Azure com as mesmas credenciais, APIs, ferramentas e faturação que os outros serviços do Azure. Como parte do Azure, também herda os fortes controlos de segurança incorporados na plataforma.

Saiba mais:

• Descrição geral do DNS do Azure
• As zonas privadas do DNS do Azure permitem-lhe configurar nomes DNS privados para recursos do Azure em vez dos nomes atribuídos automaticamente sem a necessidade de adicionar uma solução DNS personalizada.

Arquitetura de rede de perímetro

Muitas organizações de grandes dimensões utilizam redes de perímetro para segmentar as redes e criar uma zona intermédia entre a Internet e os respetivos serviços. A parte de perímetro da rede é considerada uma zona de baixa segurança e não são colocados ativos de alto valor nesse segmento de rede. Normalmente, verá dispositivos de segurança de rede com uma interface de rede no segmento de rede de perímetro. Outra interface de rede está ligada a uma rede que tem máquinas virtuais e serviços que aceitam ligações de entrada a partir da Internet.

Pode estruturar redes de perímetro de várias formas diferentes. A decisão de implementar uma rede de perímetro e, em seguida, que tipo de rede de perímetro utilizar se decidir utilizar uma, depende dos requisitos de segurança de rede.

Saiba mais:

• Redes de perímetro para zonas de segurança

Proteção contra DDoS do Azure

Os ataques de Denial of Service distribuído (DDoS) são algumas das maiores preocupações de disponibilidade e segurança relativamente aos clientes que estão a mover as suas aplicações para a cloud. Um ataque DDoS tenta esgotar os recursos de uma aplicação, tornando a aplicação indisponível para utilizadores legítimos. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.

As funcionalidades do DDoS Protection incluem:

• Integração de plataforma nativa: Integrado nativamente no Azure. Inclui a configuração através do portal do Azure. O DDoS Protection compreende os recursos e a configuração de recursos.
• Proteção por tecla de atalho: A configuração simplificada protege imediatamente todos os recursos numa rede virtual assim que o DDoS Protection é ativado. Não é necessária qualquer intervenção ou definição de utilizador. O DDoS Protection mitiga instantaneamente e automaticamente o ataque assim que for detetado.
• Monitorização de tráfego sempre ativada: Os padrões de tráfego da aplicação são monitorizados 24 horas por dia, 7 dias por semana, à procura de indicadores de ataques DDoS. A mitigação é efetuada quando as políticas de proteção são excedidas.
• Relatórios de Mitigação de Ataques Os Relatórios de Mitigação de Ataques utilizam dados de fluxo de rede agregados para fornecer informações detalhadas sobre ataques direcionados para os seus recursos.
• Registos do Fluxo de Mitigação de Ataques Os Registos do Fluxo de Mitigação de Ataques permitem-lhe rever o tráfego removido, o tráfego reencaminhado e outros dados de ataque quase em tempo real durante um ataque DDoS ativo.
• Otimização adaptável: A criação inteligente de perfis de tráfego aprende o tráfego da sua aplicação ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil ajusta-se à medida que o tráfego muda ao longo do tempo. Proteção da camada 3 para a camada 7: fornece proteção de DDoS de pilha completa, quando utilizada com uma firewall de aplicações Web.
• Escala de mitigação extensiva: Mais de 60 tipos de ataque diferentes podem ser mitigados, com capacidade global, para proteger contra os maiores ataques DDoS conhecidos.
• Métricas de ataque: As métricas resumidas de cada ataque são acessíveis através do Azure Monitor.
• Alertas de ataque: Os alertas podem ser configurados no início e na paragem de um ataque e durante a duração do ataque, utilizando métricas de ataque incorporadas. Os alertas integram-se no software operacional, como registos do Microsoft Azure Monitor, Splunk, Armazenamento do Azure, Email e portal do Azure.
• Garantia de custos: Transferência de dados e créditos de serviço de escalamento horizontal de aplicações para ataques DDoS documentados.
• Resposta rápida do DDoS Os clientes do DDoS Protection têm agora acesso à equipa de Resposta Rápida durante um ataque ativo. A DRR pode ajudar na investigação de ataques, mitigações personalizadas durante um ataque e análise pós-ataque.

Saiba mais:

• Descrição geral da proteção do DDOS

Azure Front Door

O Azure Front Door Service permite-lhe definir, gerir e monitorizar o encaminhamento global do seu tráfego Web. Otimiza o encaminhamento do tráfego para um melhor desempenho e elevada disponibilidade. O Azure Front Door permite criar regras de firewall de aplicações Web (WAF) personalizadas para o controlo de acesso de forma a proteger a carga de trabalho HTTP/HTTPS da exploração com base em endereços IP de cliente, no indicativo e em parâmetros http. Além disso, o Front Door também lhe permite criar regras de limitação de taxas para combater o tráfego de bot malicioso, incluindo a descarga de TLS e o processamento por pedido HTTP/HTTPS, camada de aplicação.

A própria plataforma do Front Door está protegida por uma proteção DDoS ao nível da infraestrutura do Azure. Para mais proteção, a Proteção de Rede do DDoS do Azure pode ser ativada nas VNETs e proteger os recursos de ataques de camada de rede (TCP/UDP) através da otimização e mitigação automáticas. O Front Door é um proxy inverso de camada 7, só permite que o tráfego Web passe para servidores de back-end e bloqueie outros tipos de tráfego por predefinição.

Nota

Para cargas de trabalho Web, recomendamos vivamente que utilize a proteção do DDoS do Azure e uma firewall de aplicações Web para proteger contra ataques DDoS emergentes. Outra opção é implementar o Azure Front Door juntamente com uma firewall de aplicações Web. O Azure Front Door oferece proteção ao nível da plataforma contra ataques DDoS ao nível da rede.

Saiba mais:

• Para obter mais informações sobre todo o conjunto de capacidades do Azure Front Door, pode rever a descrição geral do Azure Front Door

Gestor de Tráfego do Azure

O Gestor de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que lhe permite distribuir o tráfego de forma otimizada para serviços nas regiões globais do Azure, proporcionando, ao mesmo tempo, elevada disponibilidade e capacidade de resposta. O Gestor de Tráfego utiliza o DNS para direcionar os pedidos do cliente para o ponto final de serviço mais adequado com base num método de encaminhamento de tráfego e no estado de funcionamento dos pontos finais. Os pontos finais são serviços com acesso à Internet alojados dentro ou fora do Azure. O gestor de tráfego monitoriza os pontos finais e não direciona o tráfego para quaisquer pontos finais indisponíveis.

Saiba mais:

• Descrição geral do Gestor de Tráfego do Azure

Monitorização e deteção de ameaças

O Azure fornece capacidades para o ajudar nesta área-chave com deteção, monitorização e recolha e revisão precoce do tráfego de rede.

Observador de Rede do Azure

O Azure Observador de Rede pode ajudá-lo a resolver problemas e fornece um novo conjunto de ferramentas para ajudar na identificação de problemas de segurança.

A Vista de Grupo de Segurança ajuda na auditoria e conformidade de segurança de Máquinas Virtuais. Utilize esta funcionalidade para realizar auditorias programáticas, comparando as políticas de linha de base definidas pela sua organização com regras efetivas para cada uma das suas VMs. Isto pode ajudá-lo a identificar qualquer desfasamento de configuração.

A captura de pacotes permite-lhe capturar tráfego de rede de e para a máquina virtual. Pode recolher estatísticas de rede e resolver problemas de aplicações, o que pode ser inestimável na investigação de intrusões de rede. Também pode utilizar esta funcionalidade juntamente com Funções do Azure para iniciar capturas de rede em resposta a alertas específicos do Azure.

Para obter mais informações sobre Observador de Rede e como começar a testar algumas das funcionalidades nos seus laboratórios, veja Descrição geral da monitorização do observador de rede do Azure.

Nota

Para obter as notificações mais atualizadas sobre a disponibilidade e o estado deste serviço, consulte a página atualizações do Azure.

Microsoft Defender para a Cloud

Microsoft Defender para a Cloud ajuda-o a prevenir, detetar e responder a ameaças e fornece-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Fornece monitorização de segurança integrada e gestão de políticas nas suas subscrições do Azure, ajuda a detetar ameaças que, de outra forma, podem passar despercebidas e funciona com um grande conjunto de soluções de segurança.

O Defender para Cloud ajuda-o a otimizar e monitorizar a segurança de rede ao:

• Fornecer recomendações de segurança de rede.
• Monitorizar o estado da configuração de segurança de rede.
• Alertando-o para ameaças baseadas na rede, tanto ao nível do ponto final como da rede.

Saiba mais:

• Introdução ao Microsoft Defender para a Cloud

Rede Virtual TOQUE

A rede virtual do Azure TAP (Ponto de Acesso ao Terminal) permite-lhe transmitir continuamente o tráfego de rede da máquina virtual para um recoletor de pacotes de rede ou ferramenta de análise. A ferramenta de recoletor ou análise é fornecida por um parceiro de aplicação virtual de rede. Pode utilizar o mesmo recurso tap de rede virtual para agregar o tráfego de várias interfaces de rede nas mesmas subscrições ou subscrições diferentes.

Saiba mais:

• TAP de rede virtual

Registo

O registo ao nível da rede é uma função chave para qualquer cenário de segurança de rede. No Azure, pode registar informações obtidas para NSGs para obter informações de registo ao nível da rede. Com o registo NSG, obtém informações de:

• Registos de atividades. Utilize estes registos para ver todas as operações submetidas às suas subscrições do Azure. Estes registos estão ativados por predefinição e podem ser utilizados no portal do Azure. Eram anteriormente conhecidos como registos operacionais ou de auditoria.
• Registos de eventos. Estes registos fornecem informações sobre as regras do NSG aplicadas.
• Registos de contadores. Estes registos permitem-lhe saber quantas vezes cada regra do NSG foi aplicada para negar ou permitir o tráfego.

Também pode utilizar o Microsoft Power BI, uma ferramenta de visualização de dados avançada, para ver e analisar estes registos. Saiba mais:

• Registos do Azure Monitor para Grupos de Segurança de Rede (NSGs)