Proteger e utilizar políticas em máquinas virtuais no Azure
Aplica-se a: ✔️ VMs ✔️ Linux VMs ✔️ do Windows Conjuntos ✔️ de escala flexíveis Conjuntos de balanças uniformes
É importante manter sua máquina virtual (VM) segura para os aplicativos que você executa. Proteger suas VMs pode incluir um ou mais serviços e recursos do Azure que abrangem o acesso seguro às suas VMs e o armazenamento seguro de seus dados. Este artigo fornece informações que permitem manter sua VM e aplicativos seguros.
Antimalware
O cenário moderno de ameaças para ambientes de nuvem é dinâmico, aumentando a pressão para manter uma proteção eficaz a fim de atender aos requisitos de conformidade e segurança. O Microsoft Antimalware para Azure é um recurso gratuito de proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Os alertas podem ser configurados para notificá-lo quando softwares mal-intencionados ou indesejados conhecidos tentarem se instalar ou executar em sua VM. Ele não é suportado em VMs que executam Linux ou Windows Server 2008.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda você a prevenir, detetar e responder a ameaças às suas VMs. O Defender for Cloud fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e trabalha com um amplo ecossistema de soluções de segurança.
O acesso just-in-time do Defender for Cloud pode ser aplicado em toda a sua implantação de VM para bloquear o tráfego de entrada para suas VMs do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar a VMs quando necessário. Quando o just-in-time está habilitado e um usuário solicita acesso a uma VM, o Defender for Cloud verifica quais permissões o usuário tem para a VM. Se eles tiverem as permissões corretas, a solicitação será aprovada e o Defender for Cloud configurará automaticamente os NSGs (Network Security Groups) para permitir o tráfego de entrada para as portas selecionadas por um período limitado de tempo. Após o término do tempo, o Defender for Cloud restaura os NSGs para seus estados anteriores.
Encriptação
Dois métodos de criptografia são oferecidos para discos gerenciados. Criptografia no nível do sistema operacional, que é a Criptografia de Disco do Azure, e criptografia no nível da plataforma, que é a criptografia do lado do servidor.
Encriptação do lado do servidor
Os discos gerenciados do Azure criptografam automaticamente seus dados por padrão ao mantê-los na nuvem. A criptografia do lado do servidor protege seus dados e ajuda você a cumprir seus compromissos organizacionais de segurança e conformidade. Os dados nos discos gerenciados do Azure são criptografados de forma transparente usando criptografia AES de 256 bits, uma das cifras de bloco mais fortes disponíveis, e são compatíveis com FIPS 140-2.
A criptografia não afeta o desempenho dos discos gerenciados. Não há custo adicional para a criptografia.
Você pode confiar em chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou pode gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, poderá especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados em discos gerenciados.
Para saber mais sobre a criptografia do lado do servidor, consulte os artigos para Windows ou Linux.
Azure Disk Encryption
Para melhorar a segurança e a conformidade das VMs do Windows e das VMs Linux, os discos virtuais no Azure podem ser criptografados. Os discos virtuais em VMs do Windows são criptografados em repouso usando o BitLocker. Os discos virtuais em VMs Linux são criptografados em repouso usando dm-crypt.
Não há cobrança para criptografar discos virtuais no Azure. As chaves criptográficas são armazenadas no Cofre de Chaves do Azure usando proteção de software ou você pode importar ou gerar suas chaves em HSMs (Módulos de Segurança de Hardware) certificados de acordo com os padrões validados pelo FIPS 140. Essas chaves criptográficas são usadas para criptografar e descriptografar discos virtuais anexados à sua VM. Você mantém o controle dessas chaves criptográficas e pode auditar seu uso. Uma entidade de serviço Microsoft Entra fornece um mecanismo seguro para emitir essas chaves criptográficas à medida que as VMs são ligadas e desligadas.
Cofre de chaves e chaves SSH
Segredos e certificados podem ser modelados como recursos e fornecidos pelo Cofre de Chaves. Você pode usar o Azure PowerShell para criar cofres de chaves para VMs do Windows e a CLI do Azure para VMs do Linux. Também pode criar chaves para encriptação.
As políticas de acesso ao cofre de chaves concedem permissões a chaves, segredos e certificados separadamente. Por exemplo, pode dar a um utilizador acesso só a chaves, mas não permissões para segredos. No entanto, as permissões para aceder a chaves, segredos ou certificados são ao nível do cofre. Em outras palavras, a política de acesso ao cofre de chaves não oferece suporte a permissões no nível do objeto.
Ao se conectar a VMs, você deve usar a criptografia de chave pública para fornecer uma maneira mais segura de entrar nelas. Esse processo envolve uma troca de chaves públicas e privadas usando o comando secure shell (SSH) para se autenticar em vez de um nome de usuário e senha. As senhas são vulneráveis a ataques de força bruta, especialmente em VMs voltadas para a Internet, como servidores Web. Com um par de chaves de shell seguro (SSH), você pode criar uma VM Linux que usa chaves SSH para autenticação, eliminando a necessidade de senhas para entrar. Você também pode usar chaves SSH para se conectar de uma VM do Windows a uma VM do Linux.
Identidades geridas para os recursos do Azure
Um desafio comum inerente à criação de aplicações na cloud passa pela gestão das credenciais que estão no seu código para a autenticação nos serviços cloud. Manter essas credenciais protegidas é uma tarefa importante. Idealmente, nunca aparecem nas estações de trabalho dos programadores nem são verificadas no controlo de origem. O Azure Key Vault oferece uma forma de armazenar credenciais, segredos e outras chaves em segurança, mas o código tem de se autenticar no Key Vault para poder obtê-los.
O recurso de identidades gerenciadas para recursos do Azure no Microsoft Entra resolve esse problema. O recurso fornece aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Pode utilizar a identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra, incluindo o Cofre da Chave, sem quaisquer credenciais no seu código. Seu código que está sendo executado em uma VM pode solicitar um token de dois pontos de extremidade que são acessíveis somente de dentro da VM. Para obter informações mais detalhadas sobre esse serviço, revise a página de visão geral de identidades gerenciadas para recursos do Azure.
Políticas
As políticas do Azure podem ser usadas para definir o comportamento desejado para as VMs da sua organização. Usando políticas, uma organização pode impor várias convenções e regras em toda a empresa. A aplicação do comportamento desejado pode ajudar a mitigar riscos, contribuindo para o sucesso da organização.
Controlo de acesso baseado em funções do Azure
Usando o controle de acesso baseado em função do Azure (Azure RBAC), você pode segregar tarefas dentro de sua equipe e conceder apenas a quantidade de acesso aos usuários em sua VM de que eles precisam para executar seus trabalhos. Em vez de conceder a todos permissões irrestritas na VM, você pode permitir apenas determinadas ações. Você pode configurar o controle de acesso para a VM no portal do Azure, usando a CLI do Azure ouo Azure PowerShell.