Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A Rede Virtual do Azure é o bloco de construção fundamental para a sua rede privada no Azure, permitindo que os recursos do Azure comuniquem de forma segura entre si, com a Internet e com as redes locais. Ao implantar redes virtuais, você deve implementar controles de segurança para proteger sua infraestrutura de rede, controlar o fluxo de tráfego e impedir o acesso não autorizado aos seus recursos.
Este artigo fornece orientação sobre como proteger melhor sua implantação da Rede Virtual do Azure.
Segurança de rede
A segurança de rede para redes virtuais concentra-se no controle do fluxo de tráfego, na implementação da segmentação de rede e na proteção contra ameaças externas. Controles de segurança de rede adequados ajudam a isolar cargas de trabalho, evitar movimentos laterais e se defender contra ataques distribuídos de negação de serviço.
Segmente cargas de trabalho usando NSGs (Grupos de Segurança de Rede) e Grupos de Segurança de Aplicativos: aplique NSGs a sub-redes e interfaces de rede para controlar o tráfego de entrada e saída com base no IP de origem, IP de destino, porta e protocolo. Use Grupos de Segurança de Aplicativos para agrupar máquinas virtuais logicamente e definir políticas de segurança de rede com base na estrutura do aplicativo. Use uma abordagem "negar por padrão, permitir por exceção" para minimizar a superfície de ataque. Para obter mais informações, consulte Grupos de segurança de rede.
Habilitar logs de fluxo NSG para monitoramento de tráfego: configure os logs de fluxo NSG para capturar informações sobre o tráfego IP que flui através de seus grupos de segurança de rede. Envie esses logs para o Azure Monitor Log Analytics e use o Traffic Analytics para visualizar a atividade da rede e identificar ameaças à segurança. Para obter mais informações, consulte Logs de fluxo NSG.
Implantar o Firewall do Azure para proteção centralizada e com monitoração de estado: use o Firewall do Azure para controlar o tráfego de entrada e de saída em suas redes virtuais com inspeção de pacotes com monitoração de estado total. Defina e gerencie regras de aplicativo e rede em escala usando políticas de firewall centralizadas. O Firewall do Azure dá suporte ao DNAT para acesso de entrada seguro e ao SNAT para conectividade de saída consistente. Para maior segurança, habilite a filtragem baseada em inteligência de ameaças para alertar e negar automaticamente o tráfego para domínios e endereços IP mal-intencionados conhecidos e use o Firewall Premium do Azure com o IDPS (Sistema de Deteção e Prevenção de Intrusões) para monitorar e bloquear o tráfego mal-intencionado da rede. Integre com o Azure Monitor para visibilidade total do tráfego e análise de log. Para obter mais informações, consulte Firewall do Azure.
Ativar o Padrão de Proteção contra DDoS: ative o Padrão de Proteção contra DDoS em suas redes virtuais para se defender contra ataques distribuídos de negação de serviço. Este serviço fornece recursos aprimorados de mitigação de DDoS e monitoramento em tempo real para seus endereços IP públicos. Para obter mais informações, consulte Azure DDoS Protection Standard.
Usar tags de serviço para simplificar as regras de segurança: substitua endereços IP específicos por tags de serviço em suas regras NSG para permitir a comunicação com os serviços do Azure enquanto mantém a segurança. A Microsoft atualiza automaticamente as etiquetas de serviço à medida que os intervalos de IP mudam. Para obter mais informações, consulte Tags de serviço.
Configurar a captura de pacotes para análise forense: habilite a captura de pacotes em máquinas virtuais ou use a captura de pacotes do Gateway VPN para registrar o tráfego de rede para análise de segurança e investigação de incidentes. Para obter mais informações, consulte Captura de pacotes do Inspetor de Rede.
Implementar o Azure Bastion para acesso RDP/SSH seguro: use o Azure Bastion para se conectar com segurança a máquinas virtuais por RDP ou SSH sem expô-las à Internet pública. Bastion elimina a necessidade de endereços IP públicos em VMs e reduz a superfície de ataque. Para obter mais informações, consulte Azure Bastion.
Implementar o Gateway NAT do Azure para tráfego de saída: use o Gateway NAT do Azure para fornecer um endereço IP de saída estático para recursos de rede virtual, garantindo tráfego de saída seguro e escalável. O NAT Gateway também fornece proteção contra o esgotamento de portas. Para obter mais informações, consulte Azure NAT Gateway.
Usar pontos de extremidade privados e Link Privado para serviços do Azure: use o Link Privado do Azure para acessar serviços PaaS do Azure (como Armazenamento do Azure, Banco de Dados SQL) em um ponto de extremidade privado em sua rede virtual. O Private Link elimina a exposição à Internet pública e melhora a segurança mantendo o tráfego na rede de backbone do Azure. Para obter mais informações, consulte Azure Private Link.
Configurar sub-redes como privadas por padrão: para sub-redes que não exigem acesso público à Internet, configure-as como sub-redes privadas. Use o Firewall do Azure ou o Gateway NAT para acesso de saída controlado, se necessário. Para obter mais informações, consulte Acesso de saída padrão no Azure
Aplicar recomendações de proteção de rede adaptável: use o Adaptive Network Hardening do Microsoft Defender for Cloud para receber recomendações baseadas em aprendizado de máquina para endurecer as regras do NSG com base em padrões de tráfego reais e inteligência de ameaças. Para obter mais informações, consulte Adaptive Network Hardening.
Projete com princípios de defesa profunda: implemente várias camadas de controles de segurança de rede para criar proteção redundante. Use estratégias de segmentação que isolem cargas de trabalho críticas e apliquem medidas de segurança diferentes em cada limite de rede para conter possíveis violações.
Habilitar criptografia de Rede Virtual: use a criptografia de Rede Virtual do Azure para criptografar dados em trânsito entre máquinas virtuais dentro da mesma rede virtual e entre redes virtuais emparelhadas regional e globalmente. Isso fornece proteção adicional para comunicações de dados confidenciais. Para obter mais informações, consulte Criptografia de rede virtual.
Mantenha o perímetro de segurança atualizado: revise e atualize regularmente as configurações de segurança, incluindo NSGs, grupos de segurança de aplicativos e intervalos de endereços IP. Regras desatualizadas podem não estar alinhadas com a arquitetura de rede ou os padrões de tráfego atuais, potencialmente criando lacunas de segurança. Para obter mais informações, consulte Visão geral de grupos de segurança de rede.
Limitar o uso de endereços IP públicos: minimize o número de endereços IP públicos usando endereços IP públicos compartilhados de serviços como o Azure Front Door ou o Application Gateway. Quando IPs públicos forem necessários, implemente o gerenciamento de portas adequado e solicite a validação. Para obter mais informações, consulte Endereços IP públicos.
Gestão de identidades
O gerenciamento de identidades para redes virtuais envolve o controle do acesso aos recursos da rede e a garantia de que apenas usuários e serviços autorizados possam modificar as configurações de rede. Controles de identidade adequados evitam alterações não autorizadas na rede e mantêm a postura de segurança da rede.
Usar o RBAC do Azure para acesso a recursos de rede: atribua funções internas apropriadas, como Colaborador de Rede ou funções personalizadas com permissões específicas, para controlar quem pode criar, modificar ou excluir redes virtuais e recursos relacionados. Siga o princípio do menor privilégio. Para obter mais informações, consulte RBAC do Azure para redes.
Habilitar a integração do Microsoft Entra ID com o SSO: use o Microsoft Entra ID como o provedor de identidade centralizado para gerenciar o acesso a recursos de rede e serviços relacionados do Azure. Implemente o logon único (SSO) em vez de configurar credenciais autônomas individuais por serviço para reduzir a superfície de ataque e minimizar os requisitos de senha. A integração do Microsoft Entra ID garante autenticação e autorização consistentes em toda a sua infraestrutura de rede. Para obter mais informações, consulte Logon único para aplicativos.
Implementar acesso condicional para administradores de rede: configure políticas de acesso condicional para exigir autenticação multifator e restrinja o acesso a operações de gerenciamento de rede com base na localização do usuário, conformidade do dispositivo e nível de risco. Para obter mais informações, consulte Acesso condicional.
Usar identidades gerenciadas para recursos do Azure: habilite identidades gerenciadas para recursos do Azure que precisam acessar outros serviços do Azure, eliminando a necessidade de armazenar credenciais em suas configurações de rede virtual. Isso fornece autenticação segura e sem credenciais. Para obter mais informações, consulte Identidades geridas.
Revise e reconcilie regularmente o acesso do usuário: realize revisões regulares de acesso para gerenciar com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. Certifique-se de que apenas os usuários ativos tenham acesso contínuo às funções de gerenciamento de rede. Para obter mais informações, consulte Revisões do Azure Identity Access.
Aplicar o princípio do menor privilégio para funções de rede: configure o controle de acesso baseado em função com uma mentalidade de não acesso para funções relacionadas à rede. Certifique-se de que os usuários só possam modificar as configurações de rede conforme exigido por sua função de trabalho para minimizar possíveis riscos de segurança. Para obter mais informações, consulte Práticas recomendadas do RBAC do Azure.
Acesso privilegiado
O gerenciamento de acesso privilegiado para Redes Virtuais concentra-se em proteger as operações administrativas e garantir que o pessoal autorizado execute alterações na configuração da rede com supervisão e monitoramento adequados.
Impor autenticação multifator para administradores de rede: exija MFA para todos os usuários com privilégios de administração de rede para adicionar uma camada de segurança extra além das senhas. O MFA reduz significativamente o risco de ataques baseados em credenciais. Para obter mais informações, consulte a autenticação multifatores do Microsoft Entra.
Use o acesso just-in-time para operações de rede: implemente o Microsoft Entra Privileged Identity Management para fornecer acesso limitado por tempo às funções de administração de rede. O acesso JIT reduz a janela de exposição para credenciais privilegiadas. Para obter mais informações, consulte Gerenciamento privilegiado de identidades.
Monitorar atividades de rede privilegiadas: habilite o registro e o monitoramento de todas as operações de rede privilegiadas, incluindo alterações NSG, modificações na tabela de rotas e atualizações de regras de firewall. Use o Log de Atividades do Azure e o Azure Monitor para controlar ações administrativas. Para obter mais informações, consulte Log de atividades do Azure.
Usar contas administrativas dedicadas com Estações de Trabalho de Acesso Privilegiado: Crie procedimentos operacionais padrão para o uso de contas administrativas dedicadas. Implante estações de trabalho de acesso privilegiado (PAWs) com autenticação multifator configurada para administradores de rede executarem tarefas administrativas. Os PAWs fornecem um ambiente robusto e seguro para o gerenciamento de infraestrutura de rede crítica. Use o Gerenciamento de Identidade e Acesso do Microsoft Defender for Cloud para monitorar o número de contas administrativas. Para obter mais informações, consulte Estações de trabalho de acesso privilegiado.
Manter o inventário de contas administrativas: use funções de administrador internas do Microsoft Entra ID que podem ser atribuídas explicitamente e podem ser consultadas. Auditar regularmente as contas que são membros de grupos administrativos para garantir o controle de acesso adequado.
Proteção de dados
A proteção de dados para Redes Virtuais envolve a proteção de dados em trânsito em sua infraestrutura de rede e a garantia de que as comunicações de rede sejam criptografadas e protegidas contra intercetação ou adulteração.
Habilitar criptografia em trânsito: verifique se todo o tráfego de rede usa protocolos de criptografia como TLS 1.2 ou superior, IPsec para conexões VPN e protocolos criptografados para comunicações de aplicativos. O Azure fornece criptografia por padrão para o tráfego entre datacenters do Azure. Para obter mais informações, consulte Criptografia em trânsito.
Habilitar a criptografia da Rede Virtual do Azure: use a criptografia da Rede Virtual do Azure para criptografar dados em trânsito entre máquinas virtuais dentro da mesma rede virtual. Isso fornece uma camada adicional de segurança para dados confidenciais. Para obter mais informações, consulte Criptografia de Rede Virtual do Azure.
Implementar controles de acesso à rede para dados confidenciais: use NSGs e o Firewall do Azure para restringir o acesso a sub-redes e recursos que contenham dados confidenciais. Aplique princípios de defesa profunda com várias camadas de controles de segurança de rede.
Habilitar MACsec para Rota Expressa do Azure: para conexões de Rota Expressa, habilite o MACsec (Segurança de Controle de Acesso à Mídia) para fornecer criptografia de Camada 2 entre sua rede local e o Azure, garantindo a confidencialidade e a integridade dos dados em trânsito. Para obter mais informações, consulte MACsec for ExpressRoute.
Classifique os dados com base na sensibilidade: atribua níveis de confidencialidade aos dados que fluem através de suas redes virtuais e implemente controles de segurança de rede apropriados com base nessas classificações. Use essa classificação para influenciar o design da rede e a priorização de segurança.
Registo e deteção de ameaças
O registro abrangente e a deteção de ameaças para Redes Virtuais permitem o monitoramento de segurança, a resposta a incidentes e a emissão de relatórios de conformidade. O registro adequado ajuda a identificar ameaças à segurança e fornece recursos forenses para a investigação de incidentes.
Centralize a coleta de logs com o Azure Monitor: defina as configurações de diagnóstico para enviar logs de rede virtual, logs de fluxo NSG e logs do Firewall do Azure para o espaço de trabalho do Azure Monitor Log Analytics para análise e correlação centralizadas. Defina períodos de retenção de log apropriados de acordo com os regulamentos de conformidade da sua organização e use contas de Armazenamento do Azure para armazenamento de arquivamento de longo prazo de logs de segurança. Para obter mais informações, consulte Azure Monitor.
Habilite o Microsoft Defender for Cloud: use o Microsoft Defender for Cloud para monitorar seus recursos de rede virtual em busca de configurações incorretas de segurança e ameaças. Habilite os recursos de segurança aprimorados para uma proteção abrangente. Para obter mais informações, consulte Microsoft Defender for Cloud.
Configurar alertas e notificações de segurança: configure alertas do Azure Monitor para eventos críticos de segurança de rede, como alterações de regras NSG, padrões de tráfego incomuns ou bloqueios de firewall. Configure grupos de ação para notificar automaticamente as equipes de segurança. Para obter mais informações, consulte Alertas do Azure Monitor.
Use o Microsoft Sentinel para deteção avançada de ameaças: conecte seus logs de rede virtual ao Microsoft Sentinel para análises de segurança avançadas, caça a ameaças e recursos de resposta automatizada. Para obter mais informações, consulte Microsoft Sentinel.
Habilite o log abrangente para recursos de rede: ative o log de diagnóstico para redes virtuais, balanceadores de carga e outros componentes de rede para capturar alterações de configuração e padrões de acesso. Configure o log de consultas DNS para o DNS do Azure ou servidores DNS personalizados para detetar ataques baseados em DNS e tentativas de exfiltração de dados. Monitore consultas de domínio suspeitas e atividades de tunelamento DNS.
Monitore e analise logs com o UEBA: revise regularmente os logs para identificar comportamento anómalo e eventos de segurança. Use o Espaço de Trabalho de Análise de Log do Azure Monitor para consultar e executar análises em dados de segurança. Implemente ferramentas de Análise de Comportamento de Usuário e Entidade (UEBA) para coletar o comportamento do usuário a partir de dados de monitoramento e analisá-lo para detetar padrões de acesso anômalos do usuário que possam indicar ameaças à segurança.
Gestão de ativos
O gerenciamento de ativos para redes virtuais envolve a manutenção de um inventário de recursos de rede, a implementação de políticas de governança e a garantia da conformidade com os padrões de segurança. A gestão eficaz de ativos ajuda a manter a postura de segurança e permite uma resposta rápida a incidentes de segurança.
Usar a Política do Azure para restrições de governança e recursos: implante definições de Política do Azure para impor padrões de segurança para redes virtuais. Essas políticas podem exigir NSGs em sub-redes, impor regras de segurança específicas ou impedir a criação de IPs públicos. Use definições de política internas, como "Tipos de recursos não permitidos" e "Tipos de recursos permitidos" para restringir a criação de recursos. Para obter mais informações, consulte Política do Azure para redes virtuais.
Marcar recursos de rede para a organização: aplique estratégias de marcação consistentes a redes virtuais, sub-redes, NSGs e recursos relacionados para permitir a organização adequada, o gerenciamento de custos e a aplicação de políticas de segurança. Use tags e o campo de descrição nas regras NSG para especificar a necessidade comercial, a duração e outras informações para regras de segurança para ajudar em auditorias de segurança e gerenciamento de regras. Para obter mais informações, consulte Marcação de recursos.
Monitorar alterações na configuração de recursos: use o Azure Resource Graph para consultar e descobrir todos os recursos de rede em assinaturas. Configure alertas para alterações não autorizadas em configurações de rede críticas. Para obter mais informações, consulte Azure Resource Graph.
Implementar gerenciamento de configuração padronizado: use modelos do Azure Resource Manager ou Bicep para definir e implantar configurações de rede de forma consistente. Use o Azure Blueprints para simplificar implantações do Azure em grande escala empacotando artefatos de ambiente importantes, como modelos do Azure Resource Manager, atribuições de controle de acesso baseadas em função e políticas, em uma única definição de blueprint. Armazene modelos no controle de versão e implemente processos de gerenciamento de alterações para modificações de rede. Para obter mais informações, consulte Azure Blueprints.
Manter inventários de recursos aprovados: crie e mantenha inventários de recursos aprovados do Azure e configurações aprovadas para seu ambiente de rede. Auditar regularmente implantações para garantir a conformidade com as linhas de base aprovadas.
Testes de segurança
Os testes de segurança para Redes Virtuais garantem que os controlos de segurança implementados estão a funcionar corretamente e podem detetar e prevenir potenciais ameaças. Testes regulares validam a eficácia da sua postura de segurança de rede.
Realizar testes de penetração regulares: Realizar testes de penetração periódicos conduzidos por especialistas externos à equipe de carga de trabalho que tentam hackear eticamente a infraestrutura de rede. Esses testes validam as defesas de segurança simulando ataques do mundo real.
Implementar verificação de vulnerabilidades: execute varreduras de vulnerabilidade integradas e de rotina para detetar explorações na infraestrutura de rede, máquinas virtuais e dispositivos de rede. Integre scanners em pipelines de implantação para detetar vulnerabilidades automaticamente.
Teste procedimentos de resposta a incidentes: realize exercícios para testar seus recursos de resposta a incidentes de segurança de rede regularmente. Identifique pontos fracos e lacunas em seus procedimentos de resposta de segurança de rede e revise os planos conforme necessário.
Validar a segmentação de rede: teste regularmente os controles de segmentação de rede para garantir que os recursos comprometidos em um segmento não possam acessar recursos em outros segmentos. Verifique se os limites de isolamento estão funcionando conforme projetado.
Testar procedimentos de backup e recuperação: teste regularmente sua capacidade de recriar configurações de rede virtual a partir de modelos ou documentação exportados para garantir que os procedimentos de recuperação funcionem corretamente e atendam aos objetivos de tempo de recuperação.
Habilitar Verificador de Rede Virtual: use o Verificador de Rede Virtual no Gerenciador de Rede Virtual do Azure em ambientes de pré-produção para testar a conectividade entre recursos e garantir que eles estejam acessíveis e não bloqueados por políticas. Para obter mais informações, consulte Verificador de rede virtual.
Use o Azure Chaos Studio para testes de resiliência: implemente o Azure Chaos Studio para simular interrupções de conectividade de rede e validar se os controles de segurança permanecem eficazes durante cenários de falha. Isso garante que os mecanismos de segurança continuem a funcionar corretamente, mesmo quando a rede sofre estresse ou interrupções parciais. Para obter mais informações, consulte Azure Chaos Studio.
Backup e recuperação
O backup e a recuperação para redes virtuais concentram-se em preservar as configurações de rede e garantir a rápida restauração da conectividade de rede se houver exclusão acidental ou erros de configuração. Embora as redes virtuais em si não exijam backups tradicionais, a preservação da configuração é fundamental.
Exportar e proteger configurações de rede: use o Azure Resource Manager para exportar configurações de rede virtual como modelos que podem ser armazenados e usados para recuperação de desastres. Automatize esse processo usando a Automação do Azure ou o Azure Pipelines. Use o Azure DevOps para armazenar e gerenciar seu código com segurança, como definições personalizadas de Política do Azure e modelos do Azure Resource Manager. Ative a proteção Soft-Delete e a proteção contra eliminação no Cofre de Chaves para proteger as chaves contra exclusão acidental ou maliciosa. Para obter mais informações, consulte Exportar modelos.
Arquitetura de rede de documentos: mantenha uma documentação abrangente do seu projeto de rede, incluindo esquemas de endereços IP, tabelas de roteamento, regras de grupo de segurança e requisitos de conectividade. Guarde esta documentação num local seguro e acessível.
Teste e valide procedimentos de recuperação: teste regularmente sua capacidade de recriar configurações de rede virtual a partir de modelos ou documentação exportados para garantir que os procedimentos de recuperação funcionem corretamente e atendam aos objetivos de tempo de recuperação. Execute periodicamente a implantação de modelos do Azure Resource Manager em uma assinatura isolada e teste a restauração de chaves gerenciadas pelo cliente para garantir que os procedimentos de recuperação funcionem corretamente.
Backup de recursos conectados e chaves gerenciadas pelo cliente: embora as redes virtuais não exijam backup, certifique-se de que as máquinas virtuais e outros recursos conectados às suas redes tenham o backup adequado com o Backup do Azure para manter os recursos de recuperação completos. Se estiver usando chaves gerenciadas pelo cliente para criptografia em seu ambiente de rede virtual, certifique-se de que o backup dessas chaves seja feito no Cofre de Chaves do Azure com procedimentos de retenção e recuperação apropriados. Para obter mais informações, consulte Backup do Azure.
Preparar infraestrutura de rede redundante: duplique a infraestrutura de rede com antecedência, especialmente para configurações híbridas. Certifique-se de que rotas separadas em diferentes regiões estejam prontas para se comunicar entre si com antecedência. Replique e mantenha NSGs consistentes e regras do Firewall do Azure em sites primários e de recuperação de desastres. Evite intervalos de endereços IP sobrepostos entre redes de produção e de recuperação de desastres para simplificar o gerenciamento de rede e agilizar a transição durante eventos de failover.
Resposta a incidentes
A resposta a incidentes para Redes Virtuais envolve o estabelecimento de procedimentos para detetar, responder e recuperar de incidentes de segurança que afetam sua infraestrutura de rede. Os recursos adequados de resposta a incidentes ajudam a minimizar o impacto das violações de segurança e garantem a rápida restauração dos serviços.
Crie um guia de resposta a incidentes: crie um guia de resposta a incidentes para sua organização que defina todas as funções do pessoal e as fases do tratamento de incidentes, desde a deteção até a revisão pós-incidente. Incluir procedimentos específicos para incidentes de segurança de rede.
Implementar pontuação e priorização de incidentes: estabeleça procedimentos para priorizar incidentes de segurança com base na gravidade e no impacto. Use os alertas do Microsoft Defender for Cloud para ajudar a priorizar quais incidentes de segurança de rede devem ser investigados primeiro.
Configurar detalhes de contato de incidentes de segurança: configure as informações de contato de incidentes de segurança que serão usadas pela Microsoft para entrar em contato com você se o Centro de Resposta de Segurança da Microsoft descobrir que seus dados foram acessados por uma parte ilegal ou não autorizada. Para obter mais informações, consulte Contato do Microsoft Defender for Cloud Security.
Incorporar alertas de segurança na resposta a incidentes: exporte alertas e recomendações do Microsoft Defender for Cloud usando o recurso Exportação Contínua para ajudar a identificar riscos aos recursos do Azure. Use o conector de dados para transmitir alertas para o Microsoft Sentinel para gerenciamento centralizado de incidentes.
Teste os procedimentos de resposta de segurança: realize exercícios para testar as capacidades de resposta a incidentes dos seus sistemas regularmente. Identifique pontos fracos e lacunas em seus procedimentos de resposta de segurança de rede e revise os planos conforme necessário.
Automatize a resposta a incidentes: use o recurso Automação do Fluxo de Trabalho no Microsoft Defender for Cloud para acionar automaticamente respostas por meio de Aplicativos Lógicos em alertas de segurança e recomendações para proteger seus recursos de rede do Azure.