Aplicar os princípios do Zero Trust para descontinuar a tecnologia de segurança de rede herdada

Este artigo fornece orientação para aplicar os princípios do Zero Trust para descontinuar a tecnologia de segurança de rede herdada em ambientes do Azure. Aqui estão os princípios do Zero Trust.

Princípio Zero Trust	Definição
Verificar explicitamente	Sempre autentique e autorize com base em todos os pontos de dados disponíveis.
Use o acesso menos privilegiado	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.
Assuma a violação	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. Melhore as defesas para seu ambiente do Azure removendo ou atualizando seus serviços de rede herdados para níveis mais altos de segurança.

Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Zero Trust à rede do Azure.

As áreas de rede do Azure a serem revisadas para descontinuar o uso de tecnologias de segurança de rede herdadas são:

• Serviços de fundação de rede
• Serviços de balanceamento de carga e entrega de conteúdo
• Serviços de conectividade híbrida

A transição do uso de tecnologias de segurança de rede herdadas pode impedir que um invasor acesse ambientes ou se mova através deles para infligir danos generalizados (o princípio Assumir violação Zero Trust).

Arquitetura de referência

O diagrama a seguir mostra a arquitetura de referência para esta orientação de Zero Trust para descontinuar a tecnologia de segurança de rede herdada para componentes em seu ambiente do Azure.

Esta arquitetura de referência inclui:

• Cargas de trabalho IaaS do Azure em execução em máquinas virtuais do Azure.
• Serviços do Azure.
• Uma rede virtual de segurança (VNet) que contém um Gateway de VPN do Azure e um Gateway de Aplicativo do Azure.
• Uma VNet de borda da Internet que contém um Balanceador de Carga do Azure.
• Azure Front Door na borda do ambiente do Azure.

O que contém este artigo?

Você aplica os princípios de Zero Trust em toda a arquitetura de referência, desde usuários e administradores na Internet ou em sua rede local até e dentro de seu ambiente do Azure. A tabela a seguir lista as principais tarefas para descontinuar a tecnologia de segurança de rede herdada nessa arquitetura para o princípio Assumir violação Zero Trust.

Passo	Tarefa
1	Analise seus serviços de fundações de rede.
2	Revise seus serviços de entrega de conteúdo e balanceamento de carga.
3	Reveja os seus serviços de conectividade híbrida.

Etapa 1: Revise seus serviços de fundações de rede

Sua análise dos serviços básicos de rede inclui:

• Mudança do SKU de IP público básico para o SKU de IP público padrão.
• Garantir que os endereços IP da máquina virtual estejam usando acesso de saída explícito.

Este diagrama mostra os componentes para atualizar os serviços de base de rede do Azure na arquitetura de referência.

SKU IP público básico

Os endereços IP (públicos e privados) fazem parte dos serviços IP no Azure que permitem a comunicação entre recursos públicos e privados. Os IPs públicos estão vinculados a serviços como gateways VNet, gateways de aplicativos e outros que precisam de conectividade de saída com a Internet. Os IPs privados permitem a comunicação entre recursos do Azure internamente.

O Basic Public IP SKU é visto como legado hoje e tem mais limitações do que o Standard Public IP SKU. Uma das principais limitações do Zero Trust para o SKU de IP público básico é que o uso de grupos de segurança de rede não é obrigatório, mas recomendado, enquanto é obrigatório com o SKU de IP público padrão.

Outro recurso importante para o SKU IP público padrão é a capacidade de selecionar uma preferência de roteamento, como o roteamento através da rede global da Microsoft. Esse recurso protege o tráfego dentro da rede de backbone da Microsoft sempre que possível e o tráfego de saída sai o mais próximo possível do serviço ou do usuário final.

Para obter mais informações, consulte Serviços IP da Rede Virtual do Azure.

Nota

O Basic Public IP SKU será aposentado em setembro de 2025.

Acesso de saída padrão

Por padrão, o Azure fornece acesso de saída à Internet. A conectividade dos recursos é concedida por padrão com as rotas do sistema e pelas regras de saída padrão para os grupos de segurança de rede em vigor. Em outras palavras, se nenhum método de conectividade de saída explícito estiver configurado, o Azure configurará um endereço IP de acesso de saída padrão. No entanto, sem acesso explícito de saída, surgem certos riscos de segurança.

A Microsoft recomenda que você não deixe um endereço IP de máquina virtual aberto ao tráfego da Internet. Não há controle sobre o acesso IP de saída padrão e os endereços IP, juntamente com suas dependências, podem mudar. Para máquinas virtuais equipadas com várias placas de interface de rede (NICs), não é recomendável permitir que todos os endereços IP da NIC tenham acesso de saída à Internet. Em vez disso, você deve restringir o acesso apenas às NICs necessárias.

A Microsoft recomenda que você configure o acesso de saída explícito com uma das seguintes opções:

• Azure NAT Gateway

  Para as portas SNAT (conversão de endereços de rede) de origem máxima, a Microsoft recomenda o Gateway NAT do Azure para conectividade de saída.

• Balanceadores de carga do Azure SKU padrão

  Isso requer uma regra de balanceamento de carga para programar SNAT, que pode não ser tão eficiente quanto um Gateway NAT do Azure.

• Uso restrito de endereços IP públicos

  A atribuição de um endereço IP público direto a uma máquina virtual deve ser feita apenas para ambientes de teste ou desenvolvimento devido a considerações de escalabilidade e segurança.

Etapa 2: revisar seus serviços de entrega de conteúdo e balanceamento de carga

O Azure tem muitos serviços de entrega de aplicativos que ajudam você a enviar e distribuir tráfego para seus aplicativos Web. Às vezes, uma nova versão ou camada do serviço melhora a experiência e fornece as atualizações mais recentes. Você pode usar a ferramenta de migração em cada um dos serviços de entrega de aplicativos para alternar facilmente para a versão mais recente do serviço e se beneficiar de recursos novos e aprimorados.

Sua análise dos serviços de entrega de conteúdo e balanceamento de carga inclui:

• Migrando sua camada da Porta da Frente do Azure da camada Clássica para as camadas Premium ou Standard.
• Migrando seus Gateways de Aplicativo do Azure para o WAF_v2.
• Migrando para o Balanceador de Carga do Azure SKU Padrão.

Este diagrama mostra os componentes para atualizar os serviços de entrega de conteúdo e balanceamento de carga do Azure.

Azure Front Door

O Azure Front Door tem três níveis diferentes: Premium, Standard e Classic. As camadas Standard e Premium combinam recursos da camada Azure Front Door Classic, da Rede de Entrega de Conteúdo do Azure e do Azure Web Application Firewall (WAF) em um único serviço.

A Microsoft recomenda migrar seus perfis clássicos do Azure Front Door para as camadas Premium ou Standard para aproveitar esses novos recursos e atualizações. A camada Premium se concentra em recursos de segurança aprimorados, como conectividade privada para seus serviços de back-end, regras WAF gerenciadas pela Microsoft e proteção de bot para seus aplicativos Web.

Além dos recursos aprimorados, o Azure Front Door Premium inclui relatórios de segurança que são incorporados ao serviço sem custo extra. Esses relatórios ajudam você a analisar as regras de segurança do WAF e ver que tipo de ataques seus aplicativos da Web podem enfrentar. O relatório de segurança também permite examinar métricas por diferentes dimensões, que ajudam a entender de onde vem o tráfego e uma divisão dos principais eventos por critérios.

A camada Premium do Azure Front Door fornece as medidas de segurança da Internet mais robustas entre clientes e aplicativos Web.

Gateway de Aplicação do Azure

Os Gateways de Aplicativo do Azure têm dois tipos de SKU, v1 e v2, e uma versão do WAF que pode ser aplicada a qualquer SKU. A Microsoft recomenda migrar seu Gateway de Aplicativo do Azure para o WAF_v2 SKU para se beneficiar de atualizações de desempenho e novos recursos, como dimensionamento automático, regras WAF personalizadas e suporte para o Azure Private Link.

As regras WAF personalizadas permitem especificar condições para avaliar cada solicitação que passa pelo Gateway de Aplicativo do Azure. Essas regras têm prioridade maior do que as regras nos conjuntos de regras gerenciadas e podem ser personalizadas para atender às necessidades do seu aplicativo e aos requisitos de segurança. As regras WAF personalizadas também podem limitar o acesso aos seus aplicativos Web por país ou regiões, combinando um endereço IP com um código de país.

O outro benefício da migração para o WAFv2 é que você pode se conectar ao seu Gateway de Aplicativo do Azure por meio do serviço Azure Private Link ao acessar de outra VNet ou de uma assinatura diferente. Esse recurso permite bloquear o acesso público ao Gateway de Aplicativo do Azure, permitindo que apenas usuários e dispositivos acessem por meio de um ponto de extremidade privado. Com a conectividade do Azure Private Link, você deve aprovar cada conexão de ponto de extremidade privada, o que garante que apenas a entidade certa possa acessar. Para obter mais informações sobre as diferenças entre a SKU v1 e v2, consulte Azure Application Gateway v2.

Balanceador de Carga do Azure

Com a desativação planejada do Basic Public IP SKU em setembro de 2025, você precisa atualizar os serviços que usam endereços IP Basic Public IP SKU. A Microsoft recomenda migrar seus Balanceadores de Carga do Azure SKU Básicos atuais para os Balanceadores de Carga do Azure SKU Padrão para implementar medidas de segurança não incluídas no SKU Básico.

Com o Balanceador de Carga do Azure SKU Padrão, você está seguro por padrão. Todo o tráfego de entrada da Internet para o balanceador de carga público é bloqueado, a menos que permitido pelas regras do grupo de segurança de rede aplicado. Esse comportamento padrão impede que você permita acidentalmente o tráfego da Internet para suas máquinas virtuais ou serviços antes que você esteja pronto e garante que você esteja no controle do tráfego que pode acessar seus recursos.

SKU padrão O Balanceador de Carga do Azure usa o Azure Private Link para criar conexões de ponto de extremidade privadas, o que é útil nos casos em que você deseja permitir acesso privado aos seus recursos por trás de um balanceador de carga, mas deseja que os usuários o acessem de seu ambiente.

Etapa 3: revisar seus serviços de conectividade híbrida

A revisão dos seus serviços de conectividade híbrida inclui o uso da nova geração de SKUs para o Gateway de VPN do Azure.

Este diagrama mostra os componentes para atualizar os serviços de conectividade híbrida do Azure na arquitetura de referência.

A maneira mais eficaz de conectar redes híbridas no Azure atualmente é com as SKUs de nova geração para o Gateway de VPN do Azure. Embora você possa continuar a empregar gateways VPN clássicos, eles estão desatualizados e são menos confiáveis e eficientes. Os gateways VPN clássicos suportam um máximo de 10 túneis IPsec, enquanto os SKUs mais recentes do Gateway de VPN do Azure podem escalar até 100 túneis.

Os SKUs mais recentes operam em um modelo de driver mais recente e incorporam as atualizações de software de segurança mais recentes. Os modelos de driver mais antigos eram baseados em tecnologias desatualizadas da Microsoft que não são adequadas para cargas de trabalho modernas. Os modelos de driver mais recentes não só oferecem desempenho e hardware superiores, mas também oferecem maior resiliência. O conjunto AZ de SKUs de gateways VPN pode ser posicionado em zonas de disponibilidade e suporta conexões ativas-ativas com vários endereços IP públicos, o que aumenta a resiliência e oferece opções aprimoradas para recuperação de desastres.

Além disso, para necessidades de roteamento dinâmico, os gateways VPN clássicos não podiam executar o Border Gateway Protocol (BGP), usavam apenas o IKEv1 e não suportavam roteamento dinâmico. Em resumo, os gateways SKU VPN clássicos são projetados para cargas de trabalho menores, baixa largura de banda e conexões estáticas.

Os gateways VPN clássicos também têm limitações na segurança e funcionalidade de seus túneis IPsec. Eles suportam apenas o modo Baseado em Políticas com o protocolo IKEv1 e um conjunto limitado de criptografias e algoritmos de hash que são mais suscetíveis a violações. A Microsoft recomenda que você faça a transição para as novas SKUs que oferecem uma gama mais ampla de opções para os protocolos de Fase 1 e Fase 2. Uma vantagem importante é que os gateways VPN baseados em rota podem usar o modo principal IKEv1 e IKEv2, fornecendo maior flexibilidade de implementação e algoritmos de criptografia e hash mais robustos.

Se você precisar de segurança maior do que os valores de criptografia padrão, os Gateways VPN baseados em rota permitem a personalização dos parâmetros da Fase 1 e da Fase 2 para selecionar cifras e comprimentos de chave específicos. Os grupos de criptografia mais fortes incluem o Grupo 14 (2048 bits), o Grupo 24 (Grupo MODP de 2048 bits) ou o ECP (grupos de curvas elípticas) de 256 bits ou 384 bits (Grupo 19 e Grupo 20, respectivamente). Além disso, você pode especificar quais intervalos de prefixos têm permissão para enviar tráfego criptografado usando a configuração Seletor de Tráfego para proteger ainda mais a negociação do túnel contra tráfego não autorizado.

Para obter mais informações, consulte Criptografia do Gateway de VPN do Azure.

As SKUs do Gateway de VPN do Azure facilitam as conexões VPN Ponto a Site (P2S) para utilizar protocolos IPsec baseados no padrão IKEv2 e protocolos VPN baseados em SSL/TLS, como OpenVPN e SSTP (Secure Socket Tunneling Protocol). Esse suporte fornece aos usuários vários métodos de implementação e permite que eles se conectem ao Azure usando sistemas operacionais de dispositivos diferentes. As SKUs do Gateway de VPN do Azure também oferecem muitas opções de autenticação de cliente, incluindo autenticação de certificado, autenticação de ID do Microsoft Entra e autenticação dos Serviços de Domínio Ative Directory (AD DS).

Nota

Os gateways IPSec clássicos serão desativados em 31 de agosto de 2024.

Formação recomendada

• Configurar e gerenciar redes virtuais para administradores do Azure
• Proteja e isole o acesso aos recursos do Azure usando grupos de segurança de rede e pontos de extremidade de serviço
• Introdução ao Azure Front Door
• Introdução ao Azure Application Gateway
• Introdução ao Firewall de Aplicativo Web do Azure
• Introdução ao Azure Private Link
• Conecte sua rede local ao Azure com o Gateway VPN

Passos Seguintes

Para obter mais informações sobre como aplicar o Zero Trust à rede do Azure, consulte:

• Criptografar a comunicação de rede baseada no Azure
• Segmentar a comunicação de rede baseada no Azure
• Obtenha visibilidade do seu tráfego de rede
• Proteja as redes com Zero Trust
• Redes virtuais spoke no Azure
• Hub de redes virtuais no Azure
• Redes virtuais spoke com serviços PaaS do Azure
• WAN Virtual do Azure

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Serviços IP da Rede Virtual do Azure
• Azure NAT Gateway
• Balanceador de Carga do Azure
• Azure Front Door
• Gateway de Aplicação do Azure
• Rede de Entrega de Conteúdos do Azure
• Firewall de Aplicativo Web do Azure (WAF)
• Azure Private Link
• Gateway de VPN do Azure