Aplicar os princípios de Zero Trust à criptografia da comunicação de rede baseada no Azure

Este artigo fornece orientação para aplicar os princípios do Zero Trust para criptografar a comunicação de rede para, de e entre ambientes do Azure das seguintes maneiras.

Princípio Zero Trust	Definição	Cumprido por
Verificar explicitamente	Sempre autentique e autorize com base em todos os pontos de dados disponíveis.	Usando políticas de Acesso Condicional para suas conexões do Gateway de VPN do Azure e Secure Shell (SSH) e RDP (Remote Desktop Protocol) para suas conexões de usuário para máquina virtual.
Use o acesso menos privilegiado	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.	Configurar seus dispositivos Microsoft Enterprise Edge (MSEE) para usar a chave de associação de conectividade estática (CAK) para Azure ExpressRoute com portas diretas e usando identidade gerenciada para autenticar recursos de circuito de Rota Expressa.
Assuma a violação	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.	Proteger o tráfego de rede com métodos e protocolos de encriptação que fornecem confidencialidade, integridade e autenticidade dos seus dados em trânsito. Usando o Azure Monitor para fornecer métricas e alertas de desempenho de rede da Rota Expressa. Usando o Azure Bastion para gerenciar sessões individuais do serviço Bastion e excluir ou forçar uma desconexão.

Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust para rede do Azure.

Os níveis de criptografia para o tráfego de rede são:

• Criptografia de camada de rede

  • Proteja e verifique a comunicação da Internet ou da sua rede local com VNets do Azure e máquinas virtuais

  • Proteja e verifique a comunicação dentro e entre as VNets do Azure

• Criptografia da camada de aplicativo

  • Proteção para Aplicativos Web do Azure

• Proteção para cargas de trabalho em execução em máquinas virtuais do Azure

Arquitetura de referência

O diagrama a seguir mostra a arquitetura de referência para esta orientação de Zero Trust para comunicação criptografada entre usuários e administradores no local ou na Internet e componentes no ambiente do Azure para as etapas descritas neste artigo.

No diagrama, os números correspondem às etapas nas seções a seguir.

O que contém este artigo?

Os princípios de Zero Trust são aplicados em toda a arquitetura de referência, desde utilizadores e administradores na Internet ou na sua rede local até e dentro da nuvem do Azure. A tabela a seguir descreve as recomendações para garantir a criptografia do tráfego de rede nessa arquitetura.

Passo	Tarefa	Princípio(s) de confiança zero aplicado(s)
1	Implemente criptografia de camada de rede.	Verificar explicitamente Use o acesso menos privilegiado Assuma a violação
2	Proteja e verifique a comunicação de uma rede local com as VNets do Azure.	Verificar explicitamente Assuma a violação
3	Proteja e verifique a comunicação dentro e entre as VNets do Azure.	Assuma a violação
4	Implemente a criptografia da camada de aplicativo.	Verificar explicitamente Assuma a violação
5	Use o Azure Bastion para proteger as máquinas virtuais do Azure.	Assuma a violação

Etapa 1: Implementar a criptografia da camada de rede

A criptografia de camada de rede é crítica ao aplicar os princípios de Zero Trust ao seu ambiente local e do Azure. Quando o tráfego de rede passa pela Internet, deve sempre assumir que existe a possibilidade de interceção de tráfego por atacantes, e os seus dados podem ficar expostos ou alterados antes de chegarem ao seu destino. Como os provedores de serviços controlam como os dados são roteados pela Internet, você deseja garantir que a privacidade e a integridade de seus dados sejam mantidas a partir do momento em que saem da rede local até a nuvem da Microsoft.

O diagrama a seguir mostra a arquitetura de referência para implementar a criptografia de camada de rede.

Nas duas próximas seções, discutiremos o IPsec (Internet Protocol Security) e o MACsec (Media Access Control Security), quais serviços de rede do Azure dão suporte a esses protocolos e como você pode garantir que eles estejam sendo usados.

IPsec

IPsec é um grupo de protocolos que fornece segurança para comunicações IP (Internet Protocol). Ele autentica e criptografa pacotes de rede usando um conjunto de algoritmos de criptografia. IPSec é o protocolo de encapsulamento de segurança usado para estabelecer redes virtuais privadas (VPNs). Um túnel VPN IPsec consiste em duas fases, a fase 1 conhecida como modo principal e a fase 2 conhecida como modo rápido.

A fase 1 do IPsec é o estabelecimento do túnel, onde os pares negociam parâmetros para a associação de segurança do Internet Key Exchange (IKE), como criptografia, autenticação, hash e algoritmos Diffie-Hellman. Para verificar suas identidades, os pares trocam uma chave pré-compartilhada. A fase 1 do IPsec pode operar em dois modos: modo principal ou modo agressivo. O Gateway de VPN do Azure suporta duas versões do IKE, IKEv1 e IKEv2 e opera apenas no modo principal. O modo principal garante a criptografia da identidade da conexão entre o Gateway de VPN do Azure e o dispositivo local.

Na fase 2 do IPsec, os pares negociam parâmetros de segurança para a transmissão de dados. Nesta fase, ambos os pares concordam com os algoritmos de criptografia e autenticação, o valor do tempo de vida da associação de segurança (SA) e os seletores de tráfego (TS) que definem qual tráfego é criptografado no túnel IPsec. O túnel criado na fase 1 serve como um canal seguro para essa negociação. O IPsec pode proteger pacotes IP usando o protocolo AH (Authentication Header) ou o protocolo ESP (Encapsulating Security Payload). O AH fornece integridade e autenticação, enquanto o ESP também fornece confidencialidade (criptografia). A fase 2 do IPsec pode operar no modo de transporte ou no modo de túnel. No modo de transporte, apenas a carga útil do pacote IP é criptografada, enquanto no modo de túnel todo o pacote IP é criptografado e um novo cabeçalho IP é adicionado. A fase 2 do IPsec pode ser estabelecida em cima do IKEv1 ou do IKEv2. A implementação atual do IPsec do Gateway de VPN do Azure suporta apenas ESP no modo de túnel.

Alguns dos serviços do Azure que suportam IPsec são:

• Gateway de VPN do Azure

  • Ligações de Rede de VPNs

  • Ligações VNet a VNet

  • Ligações Ponto a Site

• WAN Virtual do Azure

  • Sites VPN

  • Configurações de VPN do usuário

Não há configurações que você precise modificar para habilitar o IPsec para esses serviços. Eles são ativados por padrão.

MACsec e Azure Key Vault

MACsec (IEEE 802.1AE) é um padrão de segurança de rede que aplica o princípio Assume violação Zero Trust na camada de link de dados, fornecendo autenticação e criptografia através de um link Ethernet. MACsec assume que qualquer tráfego de rede, mesmo na mesma rede local, pode ser comprometido ou intercetado por atores mal-intencionados. MACsec verifica e protege cada quadro usando uma chave de segurança que é compartilhada entre duas interfaces de rede. Esta configuração só pode ser realizada entre dois dispositivos compatíveis com MACsec.

MACsec é configurado com associações de conectividade, que são um conjunto de atributos que as interfaces de rede usam para criar canais de segurança de entrada e saída. Uma vez criado, o tráfego sobre esses canais é trocado através de dois links MACsec seguro. MACsec tem dois modos de associação de conectividade:

• Modo de chave de associação de conectividade estática (CAK): os links protegidos MACsec são estabelecidos usando uma chave pré-compartilhada que inclui um nome de chave de associação de conectividade (CKN) e a CAK atribuída. Essas chaves são configuradas em ambas as extremidades do link.
• Modo CAK dinâmico: As chaves de segurança são geradas dinamicamente usando o processo de autenticação 802.1x, que pode usar um dispositivo de autenticação centralizado, como um servidor RADIUS (Remote Authentication Dial-In User Service).

Os dispositivos Microsoft Enterprise Edge (MSEE) dão suporte a CAK estático armazenando o CAK e o CKN em um Cofre de Chaves do Azure quando você configura o Azure ExpressRoute com portas diretas. Para acessar os valores no Cofre da Chave do Azure, configure a identidade gerenciada para autenticar o recurso de circuito da Rota Expressa. Essa abordagem segue o princípio Usar acesso menos privilegiado Zero Trust porque apenas dispositivos autorizados podem acessar as chaves do Cofre de Chaves do Azure. Para obter mais informações, consulte Configurar MACsec em portas ExpressRoute Direct.

Etapa 2: Proteger e verificar a comunicação de uma rede local para as redes virtuais do Azure

À medida que a migração para a nuvem se torna mais prevalente em empresas de diferentes escalas, a conectividade híbrida desempenha um papel fundamental. É crucial não apenas proteger e proteger, mas também verificar e monitorar a comunicação de rede entre sua rede local e o Azure.

O diagrama a seguir mostra a arquitetura de referência para proteger e verificar a comunicação de uma rede local para as redes virtuais do Azure.

O Azure fornece duas opções para conectar sua rede local a recursos em uma rede virtual do Azure:

• O Gateway de VPN do Azure permite que você crie um túnel VPN site a site usando IPsec para criptografar e autenticar a comunicação de rede entre sua rede em escritórios centrais ou remotos e uma VNet do Azure. Ele também permite que clientes individuais estabeleçam uma conexão ponto a site para acessar recursos em uma VNet do Azure sem um dispositivo VPN. Para adesão ao Zero Trust, configure a autenticação do Microsoft Entra ID e as políticas de Acesso Condicional para suas conexões do Gateway de VPN do Azure para verificar a identidade e a conformidade dos dispositivos conectados. Para obter mais informações, consulte Usar o gateway VPN de túnel da Microsoft com políticas de acesso condicional.

• O Azure ExpressRoute fornece uma conexão privada de alta largura de banda que permite estender sua rede local para o Azure com a assistência de um provedor de conectividade. Como o tráfego de rede não viaja pela Internet pública, os dados não são criptografados por padrão. Para criptografar seu tráfego pela Rota Expressa, configure um túnel IPsec. No entanto, lembre-se de que, ao executar túneis IPsec pela Rota Expressa, a largura de banda é limitada à largura de banda do túnel e talvez seja necessário executar vários túneis para corresponder à largura de banda do circuito da Rota Expressa. Para obter mais informações, consulte Conexões VPN site a site sobre emparelhamento privado da Rota Expressa - Gateway de VPN do Azure.

  Se você estiver usando portas ExpressRoute Direct, poderá aumentar a segurança da rede habilitando a autenticação ao estabelecer pares BGP ou configurando o MACsec para proteger a comunicação de camada 2. O MACsec fornece criptografia para quadros Ethernet, garantindo a confidencialidade, integridade e autenticidade dos dados entre seu roteador de borda e o roteador de borda da Microsoft.

  O Azure ExpressRoute também dá suporte ao Azure Monitor para métricas e alertas de desempenho de rede.

A criptografia pode proteger seus dados contra intercetação não autorizada, mas também introduz uma camada extra de processamento para criptografar e descriptografar o tráfego de rede que pode afetar o desempenho. O tráfego de rede que passa pela Internet também pode ser imprevisível porque deve viajar através de vários dispositivos de rede que podem introduzir latência de rede. Para evitar problemas de desempenho, a Microsoft recomenda o uso do ExpressRoute porque ele oferece desempenho de rede confiável e alocação de largura de banda que você pode personalizar para sua carga de trabalho.

Ao decidir entre o Gateway de VPN do Azure ou a Rota Expressa, considere as seguintes perguntas:

1. Que tipos de arquivos e aplicativos você está acessando entre sua rede local e o Azure? Você precisa de largura de banda consistente para transferir grandes volumes de dados?
2. Você precisa de uma latência consistente e baixa para que seus aplicativos tenham um desempenho ideal?
3. Você precisa monitorar o desempenho da rede e a integridade da sua conectividade híbrida?

Se você respondeu sim a qualquer uma dessas perguntas, o Azure ExpressRoute deve ser seu método principal de conectar sua rede local ao Azure.

Há dois cenários comuns em que a Rota Expressa e o Gateway de VPN do Azure podem coexistir:

• O Gateway de VPN do Azure pode ser usado para conectar suas filiais ao Azure enquanto tem seu escritório principal conectado usando a Rota Expressa.
• Você também pode usar o Gateway de VPN do Azure como uma conexão de backup com o Azure para seu escritório central se o serviço de Rota Expressa tiver uma interrupção.

Etapa 3: Proteger e verificar a comunicação dentro e entre as VNets do Azure

O tráfego no Azure tem um nível subjacente de criptografia. Quando o tráfego se move entre redes virtuais em regiões diferentes, a Microsoft usa MACsec para criptografar e autenticar o tráfego de emparelhamento na camada de link de dados.

O diagrama a seguir mostra a arquitetura de referência para proteger e verificar a comunicação dentro e entre as VNets do Azure.

No entanto, a criptografia por si só não é suficiente para garantir o Zero Trust. Você também deve verificar e monitorar a comunicação de rede dentro e entre as VNets do Azure. A criptografia e a verificação adicionais entre redes virtuais são possíveis com a ajuda do Gateway de VPN do Azure ou de dispositivos virtuais de rede (NVAs), mas não é uma prática comum. A Microsoft recomenda projetar sua topologia de rede para usar um modelo de inspeção de tráfego centralizado que possa impor políticas granulares e detetar anomalias.

Para reduzir a sobrecarga de configuração de um gateway VPN ou dispositivo virtual, habilite o recurso de criptografia VNet para determinados tamanhos de máquina virtual para criptografar e verificar o tráfego entre máquinas virtuais no nível do host, dentro de uma VNet e entre emparelhamentos de VNet.

Etapa 4: Implementar criptografia na camada de aplicativo

A criptografia da camada de aplicativo desempenha um fator-chave para o Zero Trust, que exige que todos os dados e comunicações sejam criptografados quando os usuários estão interagindo com aplicativos ou dispositivos da Web. A criptografia da camada de aplicativo garante que apenas entidades verificadas e confiáveis possam acessar aplicativos ou dispositivos Web.

O diagrama a seguir mostra a arquitetura de referência para implementar a criptografia na camada de aplicativo.

Um dos exemplos mais comuns de criptografia na camada de aplicativo é o Hypertext Transfer Protocol Secure (HTTPS), que criptografa dados entre um navegador da Web e um servidor da Web. O HTTPS usa o protocolo TLS (Transport Layer Security) para criptografar a comunicação cliente-servidor e usa um certificado digital TLS para verificar a identidade e a confiabilidade do site ou domínio.

Outro exemplo de segurança da camada de aplicativo é o Secure Shell (SSH) e o RDP (Remote Desktop Protocol) que criptografa dados entre o cliente e o servidor. Esses protocolos também suportam autenticação multifator e políticas de Acesso Condicional para garantir que apenas dispositivos ou usuários autorizados e compatíveis possam acessar recursos remotos. Consulte a Etapa 5 para obter informações sobre como proteger conexões SSH e RDP para máquinas virtuais do Azure.

Proteção para aplicativos Web do Azure

Você pode usar o Azure Front Door ou o Azure Application Gateway para proteger seus aplicativos Web do Azure.

Azure Front Door

O Azure Front Door é um serviço de distribuição global que otimiza a entrega de conteúdo aos utilizadores finais através dos pontos de presença da Microsoft. Com recursos como o Web Application Firewall (WAF) e o serviço Private Link, você pode detetar e bloquear ataques mal-intencionados em seus aplicativos Web na borda da rede Microsoft enquanto acessa de forma privada suas origens usando a rede interna da Microsoft.

Para proteger seus dados, o tráfego para os pontos de extremidade do Azure Front Door é protegido usando HTTPS com TLS de ponta a ponta para todo o tráfego que vai e vem de seus pontos de extremidade. O tráfego é encriptado do cliente para a origem e da origem para o cliente.

O Azure Front Door lida com solicitações HTTPS e determina qual ponto de extremidade em seu perfil tem o nome de domínio associado. Em seguida, ele verifica o caminho e determina qual regra de roteamento corresponde ao caminho da solicitação. Se o cache estiver habilitado, o Azure Front Door verificará seu cache para ver se há uma resposta válida. Se não houver uma resposta válida, o Azure Front Door selecionará a melhor origem que pode servir o conteúdo solicitado. Antes de a solicitação ser enviada para a origem, um conjunto de regras pode ser aplicado à solicitação para alterar o cabeçalho, a cadeia de caracteres de consulta ou o destino de origem.

O Azure Front Door suporta TLS front-end e back-end. O TLS front-end criptografa o tráfego entre o cliente e a Porta da Frente do Azure. O TLS back-end criptografa o tráfego entre o Azure Front Door e a origem. O Azure Front Door suporta TLS 1.2 e TLS 1.3. Você pode configurar o Azure Front Door para usar um certificado TLS personalizado ou usar um certificado gerenciado pelo Azure Front Door.

Nota

Você também pode usar o recurso Private Link para conectividade com NVAs para inspeção adicional de pacotes.

Gateway de Aplicação do Azure

O Gateway de Aplicativo do Azure é um balanceador de carga regional que opera na Camada 7. Ele roteia e distribui o tráfego da web com base em atributos de URL HTTP. Ele pode rotear e distribuir o tráfego usando três abordagens diferentes:

• Somente HTTP: o Application Gateway recebe e roteia solicitações HTTP de entrada para o destino apropriado de forma não criptografada.
• Terminação SSL: o Application Gateway descriptografa solicitações HTTPS recebidas no nível da instância, inspeciona-as e as encaminha sem criptografia para o destino.
• TLS de ponta a ponta: o Application Gateway descriptografa solicitações HTTPS de entrada no nível da instância, inspeciona-as e criptografa-as novamente antes de roteá-las para o destino.

A opção mais segura é o TLS de ponta a ponta, que permite a criptografia e a transmissão de dados confidenciais, exigindo o uso de Certificados de Autenticação ou Certificados Raiz Confiáveis. Também requer o upload desses certificados para os servidores back-end e a garantia de que esses servidores back-end sejam conhecidos pelo Application Gateway. Para obter mais informações, consulte Configurar TLS de ponta a ponta usando o Application Gateway.

Além disso, os usuários locais ou usuários em máquinas virtuais em outra VNet podem usar o front-end interno do Application Gateway com os mesmos recursos TLS. Junto com a criptografia, a Microsoft recomenda que você sempre habilite o WAF para obter mais proteção front-end para seus endpoints.

Etapa 5: Usar o Azure Bastion para proteger máquinas virtuais do Azure

O Azure Bastion é um serviço PaaS gerenciado que permite que você se conecte com segurança às suas máquinas virtuais por meio de uma conexão TLS. Essa conectividade pode ser estabelecida a partir do portal do Azure ou por meio de um cliente nativo para o endereço IP privado na máquina virtual. As vantagens de usar Bastion incluem:

• As máquinas virtuais do Azure não precisam de um endereço IP público. As conexões são pela porta TCP 443 para HTTPS e podem atravessar a maioria dos firewalls.
• As máquinas virtuais são protegidas contra varredura de portas.
• A plataforma Azure Bastion é constantemente atualizada e protegida contra explorações de dia zero.

Com Bastion, você pode controlar a conectividade RDP e SSH para sua máquina virtual a partir de um único ponto de entrada. Você pode gerenciar sessões individuais do serviço Bastion no portal do Azure. Você também pode excluir ou forçar uma desconexão de uma sessão remota em andamento se suspeitar que um usuário não deve estar se conectando a essa máquina.

O diagrama a seguir mostra a arquitetura de referência para usar o Azure Bastion para proteger máquinas virtuais do Azure.

Para proteger sua máquina virtual do Azure, implante o Azure Bastion e comece a usar RDP e SSH para se conectar às suas máquinas virtuais com seus endereços IP privados.

Formação recomendada

• Conecte sua rede local ao Azure com o Gateway VPN
• Conecte sua rede local à rede global da Microsoft usando a Rota Expressa
• Introdução ao Azure Front Door
• Configurar o Gateway de Aplicativo do Azure
• Introdução ao Bastião do Azure

Passos Seguintes

Para obter informações adicionais sobre como aplicar o Zero Trust à rede do Azure, consulte:

• Segmentar a comunicação de rede baseada no Azure
• Obtenha visibilidade do seu tráfego de rede
• Descontinuar a tecnologia de segurança de rede herdada
• Proteja as redes com Zero Trust
• Redes virtuais spoke no Azure
• Hub de redes virtuais no Azure
• Redes virtuais spoke com serviços PaaS do Azure
• WAN Virtual do Azure

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Gateway de VPN do Azure
• WAN Virtual do Azure
• Configurar o MACsec em portas do ExpressRoute Direct
• Usar o gateway VPN de túnel da Microsoft com políticas de Acesso Condicional
• Azure ExpressRoute
• Criptografia VNet
• Azure Front Door
• Gateway de Aplicação
• Azure Bastion