Partilhar via


Visão geral – Aplicar princípios de Zero Trust à IaaS do Azure

Resumo: Para aplicar os princípios do Zero Trust aos componentes e à infraestrutura de IaaS do Azure, você deve primeiro entender a arquitetura de referência comum e os componentes do armazenamento do Azure, máquinas virtuais e redes virtuais spoke e hub.

Esta série de artigos ajuda você a aplicar os princípios do Zero Trust às suas cargas de trabalho no IaaS do Microsoft Azure com base em uma abordagem multidisciplinar para aplicar os princípios do Zero Trust. O Zero Trust é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança:

  • Verificar explicitamente
  • Use o acesso menos privilegiado
  • Assuma a violação

Implementar a mentalidade Zero Trust para "assumir violação, nunca confiar, sempre verificar" requer mudanças na infraestrutura de nuvem, estratégia de implantação e implementação.

Esta série inicial de cinco artigos (incluindo esta introdução) mostra como aplicar a abordagem Zero Trust a um cenário de negócios de TI comum com base em serviços de infraestrutura. O trabalho é dividido em unidades que podem ser configuradas em conjunto da seguinte forma:

Para obter mais informações, consulte Aplicar princípios de Zero Confiança à Área de Trabalho Virtual do Azure.

Nota

Artigos adicionais serão adicionados a esta série no futuro, incluindo como as organizações podem aplicar uma abordagem Zero Trust a aplicativos, redes, dados e serviços de DevOps com base em ambientes de negócios reais de TI.

Importante

Esta orientação Zero Trust descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:

Para descrever como aplicar uma abordagem Zero Trust, esta orientação tem como alvo um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, que às vezes é chamado de "lift-and-shift". A arquitetura de referência inclui todos os componentes necessários para dar suporte a esse aplicativo, incluindo serviços de armazenamento e uma rede virtual de hub.

A arquitetura de referência reflete um padrão de implantação comum em ambientes de produção. Ele não se baseia nas zonas de aterrissagem em escala empresarial recomendadas no Cloud Adoption Framework (CAF), embora muitas das práticas recomendadas no CAF estejam incluídas na arquitetura de referência, como o uso de uma VNet dedicada para hospedar componentes que intermediam o acesso ao aplicativo (VNet de hub).

Se estiver interessado em saber mais sobre as orientações recomendadas nas zonas de aterragem do Azure do Cloud Adoption Framework, consulte estes recursos:

Arquitetura de referência

A figura a seguir mostra a arquitetura de referência para esta orientação Zero Trust.

Diagrama da arquitetura de referência para aplicar Zero Trust ao Azure IaaS que contém diferentes tipos de usuários, aplicativos comuns em execução em máquinas virtuais, serviços PaaS e armazenamento.

Esta arquitetura contém:

  • Vários componentes e elementos IaaS, incluindo diferentes tipos de usuários e consumidores de TI acessando o aplicativo de diferentes sites. como o Azure, a Internet, o local e filiais.
  • Um aplicativo comum de três camadas que contém uma camada de front-end, uma camada de aplicativo e uma camada de dados. Todas as camadas são executadas em máquinas virtuais dentro de uma VNet chamada SPOKE. O acesso ao aplicativo é protegido por outra rede virtual chamada HUB que contém serviços de segurança adicionais.
  • Alguns dos serviços PaaS mais utilizados no Azure que suportam aplicações IaaS, incluindo o controlo de acesso baseado em funções (RBAC) e o Microsoft Entra ID, que contribuem para a abordagem de segurança Zero Trust.
  • Blobs de armazenamento e arquivos de armazenamento que fornecem armazenamento de objetos para os aplicativos e arquivos compartilhados pelos usuários.

Esta série de artigos percorre as recomendações para implementar o Zero Trust para a arquitetura de referência, abordando cada uma dessas partes maiores hospedadas no Azure, conforme mostrado aqui.

Diagrama da arquitetura de referência para aplicar o Zero Trust à IaaS do Azure que mostra os componentes agrupados para armazenamento, máquinas virtuais e redes virtuais spoke e hub.

O diagrama descreve as áreas maiores da arquitetura que são abordadas por cada artigo desta série:

  1. Serviços de Armazenamento do Azure
  2. Máquinas virtuais
  3. Spoke VNets
  4. Redes virtuais de hub

É importante observar que a orientação nesta série de artigos é mais específica para esse tipo de arquitetura do que a orientação fornecida no Cloud Adoption Framework e nas arquiteturas de zona de aterrissagem do Azure. Se você aplicou as diretrizes em qualquer um desses recursos, não deixe de revisar também esta série de artigos para obter recomendações adicionais.

Noções básicas sobre os componentes do Azure

O diagrama de arquitetura de referência fornece uma visão topológica do ambiente. Também é valioso ver logicamente como cada um dos componentes pode ser organizado no ambiente do Azure. O diagrama a seguir fornece uma maneira de organizar suas assinaturas e grupos de recursos. Suas assinaturas do Azure podem ser organizadas de forma diferente.

Diagrama da arquitetura lógica para aplicar o Zero Trust ao Azure IaaS mostrando assinaturas, Microsoft Defender for Cloud e Azure Monitor e grupos de recursos em um locatário do Microsoft Entra ID.

Neste diagrama, a infraestrutura do Azure está contida em um locatário do Microsoft Entra ID. A tabela a seguir descreve as diferentes seções mostradas no diagrama.

  • Subscrições do Azure

    Você pode distribuir os recursos em mais de uma assinatura, onde cada assinatura pode ter funções diferentes, como assinatura de rede ou assinatura de segurança. Isso é descrito na documentação do Cloud Adoption Framework e da Landing Zone do Azure referenciada anteriormente. As diferentes assinaturas também podem conter ambientes diferentes, como ambientes de produção, desenvolvimento e testes. Depende de como você deseja separar seu ambiente e do número de recursos que você terá em cada um. Uma ou mais assinaturas podem ser gerenciadas juntas usando um Grupo de Gerenciamento. Isso lhe dá a capacidade de aplicar permissões com controle de acesso baseado em função (RBAC) e políticas do Azure a um grupo de assinaturas, em vez de configurar cada assinatura individualmente.

  • Microsoft Defender for Cloud e Azure Monitor

    Para cada assinatura do Azure, um conjunto de soluções do Azure Monitor e do Defender for Cloud está disponível. Se você gerenciar essas assinaturas por meio de um Grupo de Gerenciamento, poderá consolidar em um único portal todas as funcionalidades do Azure Monitor e do Defender for Cloud. Por exemplo, o Secure Score, fornecido pelo Defender for Cloud, é consolidado para todas as suas assinaturas, usando um Grupo de Gerenciamento como escopo.

  • Grupo de recursos de armazenamento (1)

    A conta de armazenamento está contida em um grupo de recursos dedicado. Você pode isolar cada conta de armazenamento em um grupo de recursos diferente para obter um controle de permissão mais granular. Os serviços de armazenamento do Azure estão contidos em uma conta de armazenamento dedicada. Você pode ter uma conta de armazenamento para cada tipo de carga de trabalho de armazenamento, por exemplo, um Armazenamento de Objetos (também chamado de armazenamento de Blob) e Arquivos do Azure. Isso fornece um controle de acesso mais granular e pode melhorar o desempenho.

  • Grupo de recursos de máquinas virtuais (2)

    As máquinas virtuais estão contidas em um grupo de recursos. Você também pode ter cada tipo de máquina virtual para camadas de carga de trabalho, como front-end, aplicativo e dados, em diferentes grupos de recursos para isolar ainda mais o controle de acesso.

  • Spoke (3) e hub (4) VNet grupos de recursos em assinaturas separadas

    A rede e outros recursos para cada uma das redes virtuais na arquitetura de referência são isolados dentro de grupos de recursos dedicados para redes virtuais spoke e hub. Esta organização funciona bem quando a responsabilidade por estes vive em equipas diferentes. Outra opção é organizar esses componentes colocando todos os recursos de rede em um grupo de recursos e recursos de segurança em outro. Depende de como sua organização está configurada para gerenciar esses recursos.

Proteção contra ameaças com o Microsoft Defender for Cloud

O Microsoft Defender for Cloud é uma solução estendida de deteção e resposta (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o seu ambiente. O Defender for Cloud destina-se a ser usado em conjunto com o Microsoft Defender XDR para fornecer uma maior amplitude de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.

Diagrama da arquitetura lógica do Microsoft Defender for Cloud e do Microsoft Defender XDR que fornece proteção contra ameaças para componentes IaaS do Azure.

No diagrama:

  • O Defender for Cloud está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
  • O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais dos Serviços de Domínio Ative Directory (AD DS).

Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender for Cloud, consulte:

Soluções de segurança nesta série de artigos

O Zero Trust envolve a aplicação conjunta de várias disciplinas de segurança e proteção de informações. Nesta série de artigos, esta abordagem multidisciplinar é aplicada a cada uma das unidades de trabalho para componentes de infraestrutura da seguinte forma:

Aplicar os princípios de Confiança Zero ao armazenamento do Azure

  1. Proteja os dados nos três modos: dados em repouso, dados em trânsito e dados em uso
  2. Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios
  3. Separe ou separe, logicamente, dados críticos com controles de rede
  4. Use o Defender for Storage para deteção e proteção automatizadas contra ameaças

Aplicar princípios de Confiança Zero a máquinas virtuais no Azure

  1. Configurar isolamento lógico para máquinas virtuais
  2. Aproveite o RBAC (Controle de Acesso Baseado em Função)
  3. Componentes de inicialização da máquina virtual segura
  4. Habilite chaves gerenciadas pelo cliente e criptografia dupla
  5. Controle os aplicativos instalados em máquinas virtuais
  6. Configurar acesso seguro
  7. Configurar a manutenção segura de máquinas virtuais
  8. Habilite a deteção e a proteção avançadas contra ameaças

Aplicar os princípios de Confiança Zero a uma VNet falada no Azure

  1. Aproveite o Microsoft Entra RBAC ou configure funções personalizadas para recursos de rede
  2. Isolar a infraestrutura em seu próprio grupo de recursos
  3. Criar um grupo de segurança de rede para cada sub-rede
  4. Criar um grupo de segurança de aplicativo para cada função de máquina virtual
  5. Proteja o tráfego e os recursos dentro da rede virtual
  6. Acesso seguro à rede virtual e ao aplicativo
  7. Habilite a deteção e a proteção avançadas contra ameaças

Aplicar princípios de Confiança Zero a uma VNet de hub no Azure

  1. Proteja o Firewall Premium do Azure
  2. Implantar o Azure DDoS Protection Standard
  3. Configurar o roteamento do gateway de rede para o firewall
  4. Configurar a proteção contra ameaças

A seguir estão os módulos de treinamento recomendados para Zero Trust.

Gerenciamento e governança do Azure

Formação Descrever o gerenciamento e a governança do Azure
A formação Noções Básicas do Microsoft Azure é composta por três percursos de aprendizagem: Noções Básicas do Microsoft Azure: Descrever os conceitos de cloud; Descrever a arquitetura e os serviços do Azure e Descrever a gestão e a governação do Azure. Fundamentos do Microsoft Azure: descrever o gerenciamento e a governança do Azure é o terceiro caminho de aprendizado nos Fundamentos do Microsoft Azure. Este plano de aprendizagem explora os recursos de gestão e governação disponíveis para o ajudar a gerir os seus recursos na nuvem e no local.
Este caminho de aprendizagem ajuda a prepará-lo para o Exame AZ-900: Fundamentos do Microsoft Azure.

Configurar a Política do Azure

Formação Configurar a Política do Azure
Saiba como configurar a Política do Azure para implementar requisitos de conformidade.
Neste módulo, você aprenderá a:
  • Crie grupos de gerenciamento para direcionar políticas e orçamentos de gastos.
  • Implemente a Política do Azure com definições de política e iniciativa.
  • Defina o escopo das políticas do Azure e determine a conformidade.
  • Gerencie a operação de segurança

    Formação Gerenciar operação de segurança
    Depois de implantar e proteger seu ambiente do Azure, aprenda a monitorar, operar e melhorar continuamente a segurança de suas soluções.
    Este caminho de aprendizagem ajuda a prepará-lo para o Exame AZ-500: Tecnologias de Segurança do Microsoft Azure.

    Configurar a segurança do armazenamento

    Formação Configurar a segurança do armazenamento
    Saiba como configurar recursos de segurança comuns do Armazenamento do Azure, como assinaturas de acesso ao armazenamento.
    Neste módulo, você aprenderá a:
  • Configure uma assinatura de acesso compartilhado (SAS), incluindo o identificador de recurso uniforme (URI) e os parâmetros SAS.
  • Configure a criptografia do Armazenamento do Azure.
  • Implemente chaves gerenciadas pelo cliente.
  • Recomende oportunidades para melhorar a segurança do Armazenamento do Azure.
  • Configurar o Firewall do Azure

    Formação Configurar o Firewall do Azure
    Você aprenderá como configurar o Firewall do Azure, incluindo regras de firewall.
    Depois de concluir este módulo, conseguirá:
  • Determine quando usar o Firewall do Azure.
  • Implemente o Firewall do Azure, incluindo regras de firewall.
  • Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
    Segurança no Azure | Microsoft Learn

    Passos Seguintes

    Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:

    Consulte estes artigos adicionais para aplicar os princípios de Zero Trust à rede do Azure:

    Ilustrações técnicas

    Este cartaz fornece uma visão rápida e de página única dos componentes da IaaS do Azure como arquiteturas lógicas e de referência, juntamente com as etapas para garantir que esses componentes tenham os princípios "nunca confie, sempre verifique" do modelo Zero Trust aplicado.

    Item Guias de solução relacionados
    Figura em miniatura do cartaz Aplicar Zero Confiança à infraestrutura IaaS do Azure.
    PDF | Visio
    Atualizado em março de 2024

    Este cartaz fornece as arquiteturas lógicas e de referência e as configurações detalhadas dos componentes separados do Zero Trust para IaaS do Azure. Use as páginas deste cartaz para departamentos ou especialidades de TI separados ou, com a versão do arquivo do Microsoft Visio, personalize os diagramas para sua infraestrutura.

    Item Guias de solução relacionados
    Figura em miniatura para os Diagramas para aplicar Zero Trust ao cartaz de infraestrutura IaaS do Azure.
    PDF | Visio
    Atualizado em março de 2024

    Para ilustrações técnicas adicionais, clique aqui.

    Referências

    Consulte os links a seguir para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.