Visão geral – Aplicar princípios de Zero Trust à IaaS do Azure
Resumo: Para aplicar os princípios do Zero Trust aos componentes e à infraestrutura de IaaS do Azure, você deve primeiro entender a arquitetura de referência comum e os componentes do armazenamento do Azure, máquinas virtuais e redes virtuais spoke e hub.
Esta série de artigos ajuda você a aplicar os princípios do Zero Trust às suas cargas de trabalho no IaaS do Microsoft Azure com base em uma abordagem multidisciplinar para aplicar os princípios do Zero Trust. O Zero Trust é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança:
- Verificar explicitamente
- Use o acesso menos privilegiado
- Assuma a violação
Implementar a mentalidade Zero Trust para "assumir violação, nunca confiar, sempre verificar" requer mudanças na infraestrutura de nuvem, estratégia de implantação e implementação.
Esta série inicial de cinco artigos (incluindo esta introdução) mostra como aplicar a abordagem Zero Trust a um cenário de negócios de TI comum com base em serviços de infraestrutura. O trabalho é dividido em unidades que podem ser configuradas em conjunto da seguinte forma:
- Armazenamento do Azure
- Máquinas virtuais
- Redes virtuais spoke (VNets) para cargas de trabalho baseadas em máquinas virtuais
- Redes virtuais de hub para dar suporte ao acesso a muitas cargas de trabalho no Azure
Para obter mais informações, consulte Aplicar princípios de Zero Confiança à Área de Trabalho Virtual do Azure.
Nota
Artigos adicionais serão adicionados a esta série no futuro, incluindo como as organizações podem aplicar uma abordagem Zero Trust a aplicativos, redes, dados e serviços de DevOps com base em ambientes de negócios reais de TI.
Importante
Esta orientação Zero Trust descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:
Para descrever como aplicar uma abordagem Zero Trust, esta orientação tem como alvo um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, que às vezes é chamado de "lift-and-shift". A arquitetura de referência inclui todos os componentes necessários para dar suporte a esse aplicativo, incluindo serviços de armazenamento e uma rede virtual de hub.
A arquitetura de referência reflete um padrão de implantação comum em ambientes de produção. Ele não se baseia nas zonas de aterrissagem em escala empresarial recomendadas no Cloud Adoption Framework (CAF), embora muitas das práticas recomendadas no CAF estejam incluídas na arquitetura de referência, como o uso de uma VNet dedicada para hospedar componentes que intermediam o acesso ao aplicativo (VNet de hub).
Se estiver interessado em saber mais sobre as orientações recomendadas nas zonas de aterragem do Azure do Cloud Adoption Framework, consulte estes recursos:
Arquitetura de referência
A figura a seguir mostra a arquitetura de referência para esta orientação Zero Trust.
Esta arquitetura contém:
- Vários componentes e elementos IaaS, incluindo diferentes tipos de usuários e consumidores de TI acessando o aplicativo de diferentes sites. como o Azure, a Internet, o local e filiais.
- Um aplicativo comum de três camadas que contém uma camada de front-end, uma camada de aplicativo e uma camada de dados. Todas as camadas são executadas em máquinas virtuais dentro de uma VNet chamada SPOKE. O acesso ao aplicativo é protegido por outra rede virtual chamada HUB que contém serviços de segurança adicionais.
- Alguns dos serviços PaaS mais utilizados no Azure que suportam aplicações IaaS, incluindo o controlo de acesso baseado em funções (RBAC) e o Microsoft Entra ID, que contribuem para a abordagem de segurança Zero Trust.
- Blobs de armazenamento e arquivos de armazenamento que fornecem armazenamento de objetos para os aplicativos e arquivos compartilhados pelos usuários.
Esta série de artigos percorre as recomendações para implementar o Zero Trust para a arquitetura de referência, abordando cada uma dessas partes maiores hospedadas no Azure, conforme mostrado aqui.
O diagrama descreve as áreas maiores da arquitetura que são abordadas por cada artigo desta série:
É importante observar que a orientação nesta série de artigos é mais específica para esse tipo de arquitetura do que a orientação fornecida no Cloud Adoption Framework e nas arquiteturas de zona de aterrissagem do Azure. Se você aplicou as diretrizes em qualquer um desses recursos, não deixe de revisar também esta série de artigos para obter recomendações adicionais.
Noções básicas sobre os componentes do Azure
O diagrama de arquitetura de referência fornece uma visão topológica do ambiente. Também é valioso ver logicamente como cada um dos componentes pode ser organizado no ambiente do Azure. O diagrama a seguir fornece uma maneira de organizar suas assinaturas e grupos de recursos. Suas assinaturas do Azure podem ser organizadas de forma diferente.
Neste diagrama, a infraestrutura do Azure está contida em um locatário do Entra ID. A tabela a seguir descreve as diferentes seções mostradas no diagrama.
Subscrições do Azure
Você pode distribuir os recursos em mais de uma assinatura, onde cada assinatura pode ter funções diferentes, como assinatura de rede ou assinatura de segurança. Isso é descrito na documentação do Cloud Adoption Framework e da Landing Zone do Azure referenciada anteriormente. As diferentes assinaturas também podem conter ambientes diferentes, como ambientes de produção, desenvolvimento e testes. Depende de como você deseja separar seu ambiente e do número de recursos que você terá em cada um. Uma ou mais assinaturas podem ser gerenciadas juntas usando um Grupo de Gerenciamento. Isso lhe dá a capacidade de aplicar permissões com controle de acesso baseado em função (RBAC) e políticas do Azure a um grupo de assinaturas, em vez de configurar cada assinatura individualmente.
Microsoft Defender for Cloud e Azure Monitor
Para cada assinatura do Azure, um conjunto de soluções do Azure Monitor e do Defender for Cloud está disponível. Se você gerenciar essas assinaturas por meio de um Grupo de Gerenciamento, poderá consolidar em um único portal todas as funcionalidades do Azure Monitor e do Defender for Cloud. Por exemplo, o Secure Score, fornecido pelo Defender for Cloud, é consolidado para todas as suas assinaturas, usando um Grupo de Gerenciamento como escopo.
Grupo de recursos de armazenamento (1)
A conta de armazenamento está contida em um grupo de recursos dedicado. Você pode isolar cada conta de armazenamento em um grupo de recursos diferente para obter um controle de permissão mais granular. Os serviços de armazenamento do Azure estão contidos em uma conta de armazenamento dedicada. Você pode ter uma conta de armazenamento para cada tipo de carga de trabalho de armazenamento, por exemplo, um Armazenamento de Objetos (também chamado de armazenamento de Blob) e Arquivos do Azure. Isso fornece um controle de acesso mais granular e pode melhorar o desempenho.
Grupo de recursos de máquinas virtuais (2)
As máquinas virtuais estão contidas em um grupo de recursos. Você também pode ter cada tipo de máquina virtual para camadas de carga de trabalho, como front-end, aplicativo e dados, em diferentes grupos de recursos para isolar ainda mais o controle de acesso.
Spoke (3) e hub (4) VNet grupos de recursos em assinaturas separadas
A rede e outros recursos para cada uma das redes virtuais na arquitetura de referência são isolados dentro de grupos de recursos dedicados para redes virtuais spoke e hub. Esta organização funciona bem quando a responsabilidade por estes vive em equipas diferentes. Outra opção é organizar esses componentes colocando todos os recursos de rede em um grupo de recursos e recursos de segurança em outro. Depende de como sua organização está configurada para gerenciar esses recursos.
Proteção contra ameaças com o Microsoft Defender for Cloud
O Microsoft Defender for Cloud é uma solução estendida de deteção e resposta (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o seu ambiente. O Defender for Cloud destina-se a ser usado em conjunto com o Microsoft Defender XDR para fornecer uma maior amplitude de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.
No diagrama:
- O Defender for Cloud está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
- O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais dos Serviços de Domínio Ative Directory (AD DS).
Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender for Cloud, consulte:
- Organizar subscrições em grupos de gestão e atribuir funções aos utilizadores
- Ativar o Defender for Cloud em todas as subscrições de um grupo de gestão
Soluções de segurança nesta série de artigos
O Zero Trust envolve a aplicação conjunta de várias disciplinas de segurança e proteção de informações. Nesta série de artigos, esta abordagem multidisciplinar é aplicada a cada uma das unidades de trabalho para componentes de infraestrutura da seguinte forma:
Aplicar os princípios de Confiança Zero ao armazenamento do Azure
- Proteja os dados nos três modos: dados em repouso, dados em trânsito e dados em uso
- Verifique os usuários e controle o acesso aos dados de armazenamento com o mínimo de privilégios
- Separe ou separe, logicamente, dados críticos com controles de rede
- Use o Defender for Storage para deteção e proteção automatizadas contra ameaças
Aplicar princípios de Confiança Zero a máquinas virtuais no Azure
- Configurar isolamento lógico para máquinas virtuais
- Aproveite o RBAC (Controle de Acesso Baseado em Função)
- Componentes de inicialização da máquina virtual segura
- Habilite chaves gerenciadas pelo cliente e criptografia dupla
- Controle os aplicativos instalados em máquinas virtuais
- Configurar acesso seguro
- Configurar a manutenção segura de máquinas virtuais
- Habilite a deteção e a proteção avançadas contra ameaças
Aplicar os princípios de Confiança Zero a uma VNet falada no Azure
- Aproveite o Microsoft Entra RBAC ou configure funções personalizadas para recursos de rede
- Isolar a infraestrutura em seu próprio grupo de recursos
- Criar um grupo de segurança de rede para cada sub-rede
- Criar um grupo de segurança de aplicativo para cada função de máquina virtual
- Proteja o tráfego e os recursos dentro da rede virtual
- Acesso seguro à rede virtual e ao aplicativo
- Habilite a deteção e a proteção avançadas contra ameaças
Aplicar princípios de Confiança Zero a uma VNet de hub no Azure
- Proteja o Firewall Premium do Azure
- Implantar o Azure DDoS Protection Standard
- Configurar o roteamento do gateway de rede para o firewall
- Configurar a proteção contra ameaças
Treinamento recomendado para Zero Trust
A seguir estão os módulos de treinamento recomendados para Zero Trust.
Gerenciamento e governança do Azure
| Formação | Descrever o gerenciamento e a governança do Azure |
|---|---|
|
A formação Noções Básicas do Microsoft Azure é composta por três percursos de aprendizagem: Noções Básicas do Microsoft Azure: Descrever os conceitos de cloud; Descrever a arquitetura e os serviços do Azure e Descrever a gestão e a governação do Azure. Fundamentos do Microsoft Azure: descrever o gerenciamento e a governança do Azure é o terceiro caminho de aprendizado nos Fundamentos do Microsoft Azure. Este plano de aprendizagem explora os recursos de gestão e governação disponíveis para o ajudar a gerir os seus recursos na nuvem e no local. Este caminho de aprendizagem ajuda a prepará-lo para o Exame AZ-900: Fundamentos do Microsoft Azure. |
Configurar a Política do Azure
| Formação | Configurar a Política do Azure |
|---|---|
|
Saiba como configurar a Política do Azure para implementar requisitos de conformidade. Neste módulo, você aprenderá a: |
Gerencie a operação de segurança
| Formação | Gerenciar operação de segurança |
|---|---|
|
Depois de implantar e proteger seu ambiente do Azure, aprenda a monitorar, operar e melhorar continuamente a segurança de suas soluções. Este caminho de aprendizagem ajuda a prepará-lo para o Exame AZ-500: Tecnologias de Segurança do Microsoft Azure. |
Configurar a segurança do armazenamento
| Formação | Configurar a segurança do armazenamento |
|---|---|
|
Saiba como configurar recursos de segurança comuns do Armazenamento do Azure, como assinaturas de acesso ao armazenamento. Neste módulo, você aprenderá a: |
Configurar o Firewall do Azure
| Formação | Configurar o Firewall do Azure |
|---|---|
|
Você aprenderá como configurar o Firewall do Azure, incluindo regras de firewall. Depois de concluir este módulo, conseguirá: |
Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
Segurança no Azure | Microsoft Learn
Passos Seguintes
Consulte estes artigos adicionais para aplicar os princípios de Zero Trust ao Azure:
- Para IaaS do Azure:
- Área de Trabalho Virtual do Azure
- WAN Virtual do Azure
- Aplicativos IaaS na Amazon Web Services
- Microsoft Sentinel e Microsoft Defender XDR
Ilustrações técnicas
Este cartaz fornece uma visão rápida e de página única dos componentes da IaaS do Azure como arquiteturas lógicas e de referência, juntamente com as etapas para garantir que esses componentes tenham os princípios "nunca confie, sempre verifique" do modelo Zero Trust aplicado.
| Item | Guias de solução relacionados |
|---|---|
 PDF | Visio Atualizado em março de 2024 |
Este cartaz fornece as arquiteturas lógicas e de referência e as configurações detalhadas dos componentes separados do Zero Trust para IaaS do Azure. Use as páginas deste cartaz para departamentos ou especialidades de TI separados ou, com a versão do arquivo do Microsoft Visio, personalize os diagramas para sua infraestrutura.
| Item | Guias de solução relacionados |
|---|---|
 PDF | Visio Atualizado em março de 2024 |
Para ilustrações técnicas adicionais, clique aqui.
Referências
Consulte os links a seguir para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.
- O que é o Azure - Microsoft Cloud Services
- Infraestrutura como serviço (IaaS) do Azure
- Máquinas virtuais (VMs) para Linux e Windows
- Introdução ao Armazenamento do Azure
- Rede Virtual do Azure
- Introdução à segurança do Azure
- Diretrizes de implementação do Zero Trust
- Visão geral do benchmark de segurança na nuvem da Microsoft
- Visão geral das linhas de base de segurança para o Azure
- Criando a primeira camada de defesa com os serviços de segurança do Azure
- Arquiteturas de referência de segurança cibernética da Microsoft
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários