Partilhar via


Práticas recomendadas de Segurança Operacional do Azure

Este artigo fornece um conjunto de práticas recomendadas operacionais para proteger seus dados, aplicativos e outros ativos no Azure.

As práticas recomendadas são baseadas em um consenso de opinião e funcionam com os recursos e conjuntos de recursos atuais da plataforma Azure. As opiniões e tecnologias mudam ao longo do tempo e este artigo é atualizado regularmente para refletir essas mudanças.

Definir e implantar práticas de segurança operacional sólidas

A segurança operacional do Azure refere-se aos serviços, controlos e funcionalidades disponíveis para os utilizadores protegerem os seus dados, aplicações e outros ativos no Azure. A segurança operacional do Azure baseia-se numa estrutura que incorpora o conhecimento adquirido através de capacidades exclusivas da Microsoft, incluindo o Security Development Lifecycle (SDL), o programa Microsoft Security Response Center e uma profunda consciência do cenário de ameaças de cibersegurança.

Impor a verificação multifator para os usuários

Recomendamos que você exija uma verificação em duas etapas para todos os seus usuários. Isso inclui administradores e outras pessoas em sua organização que podem ter um impacto significativo se sua conta for comprometida (por exemplo, diretores financeiros).

Há várias opções para exigir a verificação em duas etapas. A melhor opção para si depende dos seus objetivos, da edição Microsoft Entra que está a executar e do seu programa de licenciamento. Consulte Como exigir a verificação em duas etapas para um usuário determinar a melhor opção para você. Consulte as páginas de preços Microsoft Entra ID e Microsoft Entra multifactor Authentication para obter mais informações sobre licenças e preços.

A seguir estão as opções e os benefícios para habilitar a verificação em duas etapas:

Opção 1: Habilite a MFA para todos os usuários e métodos de login com o Microsoft Entra Security Defaults Benefício: Esta opção permite que você aplique a MFA de forma fácil e rápida para todos os usuários em seu ambiente com uma política rigorosa para:

  • Contestar contas administrativas e mecanismos de logon administrativo
  • Exigir desafio de MFA via Microsoft Authenticator para todos os usuários
  • Restrinja protocolos de autenticação herdados.

Esse método está disponível para todas as camadas de licenciamento, mas não pode ser misturado com as políticas de Acesso Condicional existentes. Você pode encontrar mais informações em Padrões de Segurança do Microsoft Entra

Opção 2: Habilite a autenticação multifator alterando o estado do usuário.
Benefício: Este é o método tradicional para exigir a verificação em duas etapas. Ele funciona com a autenticação multifator Microsoft Entra na nuvem e o Servidor Azure Multi-Factor Authentication. O uso desse método exige que os usuários executem a verificação em duas etapas sempre que entrarem e substitui as políticas de Acesso Condicional.

Para determinar onde a autenticação multifator precisa ser habilitada, consulte Qual versão da autenticação multifator do Microsoft Entra é adequada para minha organização?.

Opção 3: Habilite a autenticação multifator com a política de Acesso Condicional. Benefício: Esta opção permite que você solicite a verificação em duas etapas sob condições específicas usando o Acesso Condicional. As condições específicas podem ser o início de sessão do utilizador a partir de diferentes locais, dispositivos não fidedignos ou aplicações que considere arriscadas. Definir condições específicas em que você precisa de verificação em duas etapas permite que você evite solicitações constantes para seus usuários, o que pode ser uma experiência de usuário desagradável.

Esta é a maneira mais flexível de habilitar a verificação em duas etapas para seus usuários. Habilitar uma política de Acesso Condicional funciona apenas para a autenticação multifator do Microsoft Entra na nuvem e é um recurso premium do Microsoft Entra ID. Você pode encontrar mais informações sobre esse método em Implantar autenticação multifator do Microsoft Entra baseada em nuvem.

Opção 4: Habilite a autenticação multifator com políticas de Acesso Condicional avaliando as políticas de Acesso Condicional baseadas em Risco.
Benefício: Esta opção permite-lhe:

  • Detete possíveis vulnerabilidades que afetam as identidades da sua organização.
  • Configure respostas automatizadas para ações suspeitas detetadas relacionadas às identidades da sua organização.
  • Investigue incidentes suspeitos e tome as medidas apropriadas para resolvê-los.

Esse método usa a avaliação de risco do Microsoft Entra ID Protection para determinar se a verificação em duas etapas é necessária com base no risco do usuário e de entrada para todos os aplicativos em nuvem. Este método requer o licenciamento do Microsoft Entra ID P2. Você pode encontrar mais informações sobre esse método em Microsoft Entra ID Protection.

Nota

A opção 2, que habilita a autenticação multifator alterando o estado do usuário, substitui as políticas de Acesso Condicional. Como as opções 3 e 4 usam políticas de Acesso Condicional, não é possível usar a opção 2 com elas.

As organizações que não adicionam camadas extras de proteção de identidade, como a verificação em duas etapas, são mais suscetíveis a ataques de roubo de credenciais. Um ataque de roubo de credenciais pode levar ao comprometimento de dados.

Gerenciar e monitorar senhas de usuários

A tabela a seguir lista algumas práticas recomendadas relacionadas ao gerenciamento de senhas de usuário:

Práticas recomendadas: certifique-se de ter o nível adequado de proteção por senha na nuvem.
Detalhe: Siga as orientações no Diretrizes de Senha da Microsoft, que tem como escopo os usuários das plataformas de identidade da Microsoft (ID do Microsoft Entra, Ative Directory e conta da Microsoft).

Práticas recomendadas: monitore ações suspeitas relacionadas às suas contas de usuário.
Detalhe: Monitore usuários em risco e entradas arriscadas usando relatórios de segurança do Microsoft Entra.

Práticas recomendadas: detete e corrija automaticamente senhas de alto risco.
Detalhe: o Microsoft Entra ID Protection é um recurso da edição P2 do Microsoft Entra ID que permite:

  • Detetar potenciais vulnerabilidades que afetam as identidades da sua organização
  • Configurar respostas automatizadas para ações suspeitas detetadas relacionadas às identidades da sua organização
  • Investigue incidentes suspeitos e tome as medidas apropriadas para resolvê-los

Receber notificações de incidentes da Microsoft

Certifique-se de que sua equipe de operações de segurança receba notificações de incidentes do Azure da Microsoft. Uma notificação de incidente permite que sua equipe de segurança saiba que você comprometeu os recursos do Azure para que eles possam responder rapidamente e corrigir possíveis riscos de segurança.

No portal de inscrição do Azure, você pode garantir que as informações de contato do administrador incluam detalhes que notificam as operações de segurança. As informações de contato são um endereço de e-mail e número de telefone.

Organizar assinaturas do Azure em grupos de gerenciamento

Se a sua organização tiver muitas subscrições, poderá precisar de uma forma de gerir o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Estes permitem-lhe organizar as subscrições em contentores chamados "grupos de gestão" e aplicar as suas condições de governação aos grupos de gestão. Todas as subscrições num grupo de gestão herdam automaticamente as condições aplicadas ao grupo de gestão.

Você pode criar uma estrutura flexível de grupos de gerenciamento e assinaturas em um diretório. Cada diretório recebe um único grupo de gerenciamento de nível superior chamado grupo de gerenciamento raiz. Este grupo de gestão de raiz está incorporado na hierarquia para ter todos os grupos de gestão e subscrições associados ao mesmo. O grupo de gerenciamento raiz permite que políticas globais e atribuições de função do Azure sejam aplicadas no nível de diretório.

Aqui estão algumas práticas recomendadas para usar grupos de gerenciamento:

Práticas recomendadas: certifique-se de que as novas assinaturas apliquem elementos de governança, como políticas e permissões, à medida que são adicionadas.
Detalhe: use o grupo de gerenciamento raiz para atribuir elementos de segurança em toda a empresa que se aplicam a todos os ativos do Azure. Políticas e permissões são exemplos de elementos.

Melhores práticas: Alinhar os níveis superiores dos grupos de gestão com a estratégia de segmentação para fornecer um ponto de controle e consistência de política dentro de cada segmento.
Detalhe: crie um único grupo de gerenciamento para cada segmento no grupo de gerenciamento raiz. Não crie nenhum outro grupo de gerenciamento sob a raiz.

Práticas recomendadas: limite a profundidade do grupo de gerenciamento para evitar confusões que prejudicam as operações e a segurança.
Detalhe: limite sua hierarquia a três níveis, incluindo a raiz.

Práticas recomendadas: selecione cuidadosamente quais itens aplicar a toda a empresa com o grupo de gerenciamento raiz.
Detalhe: Certifique-se de que os elementos do grupo de gerenciamento raiz tenham uma clara necessidade de serem aplicados em todos os recursos e que sejam de baixo impacto.

Os bons candidatos incluem:

  • Requisitos regulamentares com um claro impacto nos negócios (por exemplo, restrições relacionadas com a soberania de dados)
  • Requisitos com efeito negativo potencial quase nulo nas operações, como política com efeito de auditoria ou atribuições de permissão do RBAC do Azure que foram cuidadosamente revisadas

Práticas recomendadas: planeje e teste cuidadosamente todas as alterações em toda a empresa no grupo de gerenciamento raiz antes de aplicá-las (política, modelo RBAC do Azure e assim por diante).
Detalhe: as alterações no grupo de gerenciamento raiz podem afetar todos os recursos no Azure. Embora forneçam uma maneira poderosa de garantir a consistência em toda a empresa, erros ou uso incorreto podem afetar negativamente as operações de produção. Teste todas as alterações no grupo de gerenciamento raiz em um laboratório de teste ou piloto de produção.

Simplifique a criação de ambientes com plantas

O serviço Azure Blueprints permite que arquitetos de nuvem e grupos centrais de tecnologia da informação definam um conjunto repetível de recursos do Azure que implementa e adere aos padrões, padrões e requisitos de uma organização. O Azure Blueprints possibilita que as equipes de desenvolvimento criem e levantem rapidamente novos ambientes com um conjunto de componentes internos e a confiança de que estão criando esses ambientes dentro da conformidade organizacional.

Monitorar os serviços de armazenamento em busca de alterações inesperadas no comportamento

Diagnosticar e solucionar problemas em um aplicativo distribuído hospedado em um ambiente de nuvem pode ser mais complexo do que em ambientes tradicionais. Os aplicativos podem ser implantados em uma infraestrutura PaaS ou IaaS, no local, em um dispositivo móvel ou em alguma combinação desses ambientes. O tráfego de rede do seu aplicativo pode atravessar redes públicas e privadas, e seu aplicativo pode usar várias tecnologias de armazenamento.

Você deve monitorar continuamente os serviços de armazenamento que seu aplicativo usa para quaisquer alterações inesperadas no comportamento (como tempos de resposta mais lentos). Use o registro em log para coletar dados mais detalhados e analisar um problema em profundidade. As informações de diagnóstico obtidas do monitoramento e do registro em log ajudam a determinar a causa raiz do problema encontrado pelo aplicativo. Em seguida, você pode solucionar o problema e determinar as etapas apropriadas para corrigi-lo.

O Azure Storage Analytics executa o registo e fornece dados de métricas para uma conta de armazenamento do Azure. Recomendamos que você use esses dados para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento.

Prevenir, detetar e responder a ameaças

O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças, proporcionando maior visibilidade (e controlo sobre) a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com várias soluções de segurança.

O nível gratuito do Defender for Cloud oferece segurança limitada para seus recursos no Azure, bem como recursos habilitados para Arc fora do Azure. Os Recursos de Segurança Aprimorados estendem esses recursos para incluir o gerenciamento de ameaças e vulnerabilidades, bem como relatórios de conformidade regulamentar. Os planos do Defender for Cloud ajudam-no a encontrar e corrigir vulnerabilidades de segurança, a aplicar controlos de acesso e aplicações para bloquear atividades maliciosas, detetar ameaças utilizando análises e inteligência e responder rapidamente quando está sob ataque. Você pode experimentar o Defender for Cloud Standard gratuitamente nos primeiros 30 dias. Recomendamos que você habilite os recursos de segurança aprimorados em suas assinaturas do Azure no Defender for Cloud.

Use o Defender for Cloud para obter uma visão central do estado de segurança de todos os seus recursos em seus próprios data centers, Azure e outras nuvens. Rapidamente, verifique se os controles de segurança apropriados estão instalados e configurados corretamente e identifique rapidamente todos os recursos que precisam de atenção.

O Defender for Cloud também se integra ao Microsoft Defender for Endpoint, que fornece recursos abrangentes de EDR (Endpoint Detection and Response). Com a integração do Microsoft Defender for Endpoint, você pode detetar anormalidades e detetar vulnerabilidades. Você também pode detetar e responder a ataques avançados em endpoints de servidor monitorados pelo Defender for Cloud.

Quase todas as organizações empresariais têm um sistema de gerenciamento de eventos e informações de segurança (SIEM) para ajudar a identificar ameaças emergentes, consolidando informações de log de diversos dispositivos de coleta de sinal. Os logs são então analisados por um sistema de análise de dados para ajudar a identificar o que é "interessante" do ruído que é inevitável em todas as soluções de coleta e análise de logs.

O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel fornece análises de segurança inteligentes e inteligência de ameaças por meio de deteção de alertas, visibilidade de ameaças, caça proativa e resposta automatizada a ameaças.

Aqui estão algumas práticas recomendadas para prevenir, detetar e responder a ameaças:

Práticas recomendadas: aumente a velocidade e a escalabilidade de sua solução SIEM usando um SIEM baseado em nuvem.
Detalhe: investigue os recursos do Microsoft Sentinel e compare-os com os recursos do que você está usando no local. Considere adotar o Microsoft Sentinel se ele atender aos requisitos de SIEM da sua organização.

Práticas recomendadas: encontre as vulnerabilidades de segurança mais graves para que você possa priorizar a investigação.
Detalhe: reveja a sua pontuação segura do Azure para ver as recomendações resultantes das políticas e iniciativas do Azure incorporadas no Microsoft Defender for Cloud. Essas recomendações ajudam a lidar com os principais riscos, como atualizações de segurança, proteção de endpoint, criptografia, configurações de segurança, WAF ausente, VMs conectadas à Internet e muito mais.

A pontuação segura, que se baseia nos controlos do Center for Internet Security (CIS), permite-lhe comparar a segurança do Azure da sua organização com fontes externas. A validação externa ajuda a validar e enriquecer a estratégia de segurança da sua equipa.

Práticas recomendadas: monitore a postura de segurança de máquinas, redes, serviços de armazenamento e dados e aplicativos para descobrir e priorizar possíveis problemas de segurança.
Detalhe: siga as recomendações de segurança no início do Defender for Cloud, com os itens de maior prioridade.

Práticas recomendadas: integre alertas do Defender for Cloud em sua solução de gerenciamento de eventos e informações de segurança (SIEM).
Detalhe: a maioria das organizações com um SIEM o usa como uma câmara de compensação central para alertas de segurança que exigem uma resposta do analista. Os eventos processados produzidos pelo Defender for Cloud são publicados no Log de Atividades do Azure, um dos logs disponíveis por meio do Azure Monitor. O Azure Monitor oferece um pipeline consolidado para rotear qualquer um dos seus dados de monitoramento para uma ferramenta SIEM. Consulte Transmitir alertas para uma solução SIEM, SOAR ou IT Service Management para obter instruções. Se estiver a utilizar o Microsoft Sentinel, consulte Ligar o Microsoft Defender para Cloud.

Prática recomendada: integre os logs do Azure ao seu SIEM.
Detalhe: use o Azure Monitor para coletar e exportar dados. Essa prática é fundamental para permitir a investigação de incidentes de segurança e a retenção de logs on-line é limitada. Se estiver a utilizar o Microsoft Sentinel, consulte Ligar origens de dados.

Práticas recomendadas: acelere seus processos de investigação e busca e reduza os falsos positivos integrando os recursos de Deteção e Resposta de Pontos Finais (EDR) em sua investigação de ataque.
Detalhe: habilite a integração do Microsoft Defender for Endpoint por meio de sua política de segurança do Defender for Cloud. Considere o uso do Microsoft Sentinel para caça a ameaças e resposta a incidentes.

Monitore o monitoramento de rede de ponta a ponta baseado em cenários

Os clientes criam uma rede de ponta a ponta no Azure combinando recursos de rede como uma rede virtual, Rota Expressa, Gateway de Aplicativo e balanceadores de carga. O monitoramento está disponível em cada um dos recursos da rede.

O Azure Network Watcher é um serviço regional. Use suas ferramentas de diagnóstico e visualização para monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure.

A seguir estão as práticas recomendadas para monitoramento de rede e ferramentas disponíveis.

Práticas recomendadas: automatize o monitoramento remoto de rede com a captura de pacotes.
Detalhe: monitore e diagnostique problemas de rede sem fazer login em suas VMs usando o Inspetor de Rede. Acione a captura de pacotes definindo alertas e obtenha acesso a informações de desempenho em tempo real no nível do pacote. Quando se deparar com um problema, pode investigar em pormenor para obter melhores diagnósticos.

Práticas recomendadas: obtenha informações sobre o tráfego de rede usando logs de fluxo.
Detalhe: crie uma compreensão mais profunda dos padrões de tráfego de rede usando logs de fluxo do grupo de segurança de rede. As informações nos logs de fluxo ajudam a coletar dados para conformidade, auditoria e monitoramento do perfil de segurança da rede.

Práticas recomendadas: diagnosticar problemas de conectividade VPN.
Detalhe: use o Network Watcher para diagnosticar seus problemas mais comuns de conexão e gateway VPN. Você pode não apenas identificar o problema, mas também usar logs detalhados para investigar melhor.

Implantação segura usando ferramentas comprovadas de DevOps

Use as seguintes práticas recomendadas de DevOps para garantir que sua empresa e suas equipes sejam produtivas e eficientes.

Práticas recomendadas: automatize a criação e a implantação de serviços.
Detalhe: a infraestrutura como código é um conjunto de técnicas e práticas que ajudam os profissionais de TI a remover o fardo da construção e do gerenciamento diários da infraestrutura modular. Ele permite que os profissionais de TI criem e mantenham seu ambiente de servidor moderno de uma forma semelhante à forma como os desenvolvedores de software criam e mantêm o código do aplicativo.

Você pode usar o Azure Resource Manager para provisionar seus aplicativos usando um modelo declarativo. Num único modelo, pode implementar vários serviços, bem como as respetivas dependências. Você usa o mesmo modelo para implantar repetidamente seu aplicativo em cada estágio do ciclo de vida do aplicativo.

Práticas recomendadas: crie e implante automaticamente em aplicativos Web ou serviços de nuvem do Azure.
Detalhe: você pode configurar seus Projetos de DevOps do Azure para criar e implantar automaticamente em aplicativos Web ou serviços de nuvem do Azure. O Azure DevOps implanta automaticamente os binários depois de fazer uma compilação no Azure após cada check-in de código. O processo de compilação do pacote é equivalente ao comando Package no Visual Studio, e as etapas de publicação são equivalentes ao comando Publish no Visual Studio.

Práticas recomendadas: automatize o gerenciamento de versões.
Detalhe: o Azure Pipelines é uma solução para automatizar a implantação de vários estágios e gerenciar o processo de lançamento. Crie pipelines de implantação contínua gerenciados para liberar com rapidez, facilidade e frequência. Com o Azure Pipelines, você pode automatizar seu processo de liberação e ter fluxos de trabalho de aprovação predefinidos. Implante no local e na nuvem, estenda e personalize conforme necessário.

Práticas recomendadas: verifique o desempenho do aplicativo antes de iniciá-lo ou implantar atualizações na produção.
Detalhe: execute testes de carga baseados na nuvem para:

  • Encontre problemas de desempenho em seu aplicativo.
  • Melhore a qualidade da implantação.
  • Certifique-se de que a sua aplicação está sempre disponível.
  • Certifique-se de que seu aplicativo pode lidar com o tráfego para seu próximo lançamento ou campanha de marketing.

Apache JMeter é uma ferramenta de código aberto gratuita e popular com um forte apoio da comunidade.

Práticas recomendadas: monitore o desempenho do aplicativo.
Detalhe: o Azure Application Insights é um serviço de gerenciamento de desempenho de aplicativo (APM) extensível para desenvolvedores Web em várias plataformas. Use o Application Insights para monitorar seu aplicativo Web ao vivo. Deteta automaticamente anomalias de desempenho. Ele inclui ferramentas de análise para ajudá-lo a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Foi concebido para o ajudar a melhorar continuamente o desempenho e a usabilidade.

Mitigar e proteger contra DDoS

A negação de serviço distribuída (DDoS) é um tipo de ataque que tenta esgotar os recursos do aplicativo. O objetivo é afetar a disponibilidade do aplicativo e sua capacidade de lidar com solicitações legítimas. Estes ataques estão a tornar-se mais sofisticados e maiores em tamanho e impacto. Podem ser direcionados para qualquer ponto final que seja publicamente acessível através da Internet.

Projetar e construir para resiliência DDoS requer planejamento e projeto para uma variedade de modos de falha. A seguir estão as práticas recomendadas para criar serviços resilientes a DDoS no Azure.

Práticas recomendadas: garanta que a segurança seja uma prioridade durante todo o ciclo de vida de um aplicativo, desde o projeto e a implementação até a implantação e as operações. Os aplicativos podem ter bugs que permitem que um volume relativamente baixo de solicitações use muitos recursos, resultando em uma interrupção do serviço.
Detalhe: para ajudar a proteger um serviço em execução no Microsoft Azure, você deve ter um bom entendimento da arquitetura do seu aplicativo e se concentrar nos cinco pilares da qualidade do software. Você deve conhecer os volumes de tráfego típicos, o modelo de conectividade entre o aplicativo e outros aplicativos e os pontos de extremidade de serviço expostos à Internet pública.

Garantir que um aplicativo seja resiliente o suficiente para lidar com uma negação de serviço direcionada ao próprio aplicativo é o mais importante. A segurança e a privacidade são incorporadas na plataforma Azure, começando com o Ciclo de Vida de Desenvolvimento de Segurança (SDL). O SDL aborda a segurança em todas as fases de desenvolvimento e garante que o Azure seja atualizado continuamente para torná-lo ainda mais seguro.

Práticas recomendadas: projete seus aplicativos para serem dimensionados horizontalmente para atender à demanda de uma carga amplificada, especificamente no caso de um ataque DDoS. Se seu aplicativo depende de uma única instância de um serviço, ele cria um único ponto de falha. O provisionamento de várias instâncias torna seu sistema mais resiliente e escalável.
Detalhe: Para o Serviço de Aplicativo do Azure, selecione um plano do Serviço de Aplicativo que ofereça várias instâncias.

Para os Serviços de Nuvem do Azure, configure cada uma de suas funções para usar várias instâncias.

Para Máquinas Virtuais do Azure, verifique se sua arquitetura de VM inclui mais de uma VM e se cada VM está incluída em um conjunto de disponibilidade. Recomendamos o uso de Conjuntos de Dimensionamento de Máquina Virtual para recursos de dimensionamento automático.

Práticas recomendadas: colocar as defesas de segurança em camadas em um aplicativo reduz a chance de um ataque bem-sucedido. Implemente designs seguros para seus aplicativos usando os recursos internos da plataforma Azure.
Detalhe: O risco de ataque aumenta com o tamanho (área de superfície) da aplicação. Você pode reduzir a área de superfície usando uma lista de aprovação para fechar o espaço de endereço IP exposto e as portas de escuta que não são necessárias nos balanceadores de carga (Azure Load Balancer e Azure Application Gateway).

Os grupos de segurança de rede são outra forma de reduzir a superfície de ataque. Você pode usar tags de serviço e grupos de segurança de aplicativos para minimizar a complexidade para criar regras de segurança e configurar a segurança de rede, como uma extensão natural da estrutura de um aplicativo.

Você deve implantar os serviços do Azure em uma rede virtual sempre que possível. Essa prática permite que os recursos de serviço se comuniquem por meio de endereços IP privados. O tráfego de serviço do Azure de uma rede virtual usa endereços IP públicos como endereços IP de origem por padrão.

O uso de pontos de extremidade de serviço alterna o tráfego de serviço para usar endereços privados de rede virtual como os endereços IP de origem quando eles estão acessando o serviço do Azure de uma rede virtual.

Muitas vezes, vemos os recursos locais dos clientes sendo atacados junto com seus recursos no Azure. Se você estiver conectando um ambiente local ao Azure, minimize a exposição de recursos locais à Internet pública.

O Azure tem duas ofertas de serviço DDoS que fornecem proteção contra ataques de rede:

  • A proteção básica é integrada ao Azure por padrão, sem custo adicional. O dimensionamento e a capacidade da rede do Azure implementada globalmente proporciona defesa contra ataques comuns de camadas de rede através de monitorização de tráfego sempre ativa e mitigação em tempo real. O Basic não requer nenhuma configuração de usuário ou alterações de aplicativo e ajuda a proteger todos os serviços do Azure, incluindo serviços PaaS como o DNS do Azure.
  • A proteção padrão fornece recursos avançados de mitigação de DDoS contra ataques de rede. Ele é ajustado automaticamente para proteger seus recursos específicos do Azure. A proteção é simples de ativar durante a criação de redes virtuais. Também pode ser feito após a criação e não requer alterações de aplicativos ou recursos.

Habilitar a Política do Azure

O Azure Policy é um serviço no Azure que você usa para criar, atribuir e gerenciar políticas. Essas políticas impõem regras e efeitos sobre seus recursos, para que esses recursos permaneçam em conformidade com seus padrões corporativos e contratos de nível de serviço. O Azure Policy responde a esta necessidade ao avaliar os seus recursos para detetar os que não estão em conformidade com as políticas atribuídas.

Habilite a Política do Azure para monitorar e aplicar a política escrita da sua organização. Isso garantirá a conformidade com os requisitos de segurança da sua empresa ou regulamentares, gerenciando centralmente as políticas de segurança em todas as cargas de trabalho de nuvem híbrida. Saiba como criar e gerenciar políticas para impor a conformidade. Consulte Estrutura de definição da Política do Azure para obter uma visão geral dos elementos de uma política.

Eis algumas práticas recomendadas de segurança a seguir depois de adotar a Política do Azure:

Melhores práticas: a política suporta vários tipos de efeitos. Você pode ler sobre eles na estrutura de definição da Política do Azure. As operações de negócios podem ser afetadas negativamente pelo efeito de negação e pelo efeito de remediação, portanto, comece com o efeito de auditoria para limitar o risco de impacto negativo da política.
Detalhe: inicie implantações de políticas no modo de auditoria e, posteriormente, progrida para negar ou corrigir. Teste e analise os resultados do efeito de auditoria antes de passar a negar ou corrigir.

Para obter mais informações, consulte Criar e gerenciar políticas para impor a conformidade.

Práticas recomendadas: identifique as funções responsáveis por monitorar violações de políticas e garantir que a ação correta de correção seja tomada rapidamente.
Detalhe: faça com que a função atribuída monitore a conformidade por meio do portal do Azure ou da linha de comando.

Práticas recomendadas: a Política do Azure é uma representação técnica das políticas escritas de uma organização. Mapeie todas as definições de Política do Azure para políticas organizacionais para reduzir a confusão e aumentar a consistência.
Detalhe: Mapeamento de documentos na documentação da sua organização ou na própria definição de Política do Azure, adicionando uma referência à política organizacional na definição de política ou na descrição da definição de iniciativa.

Monitorar relatórios de risco do Microsoft Entra

A grande maioria das violações de segurança ocorre quando os atacantes obtêm acesso a um ambiente roubando a identidade de um usuário. Descobrir identidades comprometidas não é tarefa fácil. O Microsoft Entra ID usa algoritmos adaptáveis de aprendizado de máquina e heurística para detetar ações suspeitas relacionadas às suas contas de usuário. Cada ação suspeita detetada é armazenada em um registro chamado deteção de risco. As deteções de risco são registradas nos relatórios de segurança do Microsoft Entra. Para obter mais informações, leia sobre o relatório de segurança de usuários em risco e o relatório de segurança de entradas arriscadas.

Próximos passos

Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.

Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre a segurança do Azure e os serviços relacionados da Microsoft:

  • Blog da Equipe de Segurança do Azure - para obter informações atualizadas sobre as últimas novidades da Segurança do Azure
  • Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com