Proteja seus recursos do Azure contra ataques cibernéticos destrutivos

Este artigo fornece etapas para aplicar os princípios do Zero Trust para proteger seus recursos do Microsoft Azure contra ataques cibernéticos destrutivos das seguintes maneiras:

Princípio Zero Trust	Definição
Verificar explicitamente	Sempre autentique e autorize com base em todos os pontos de dados disponíveis.
Use o acesso menos privilegiado	Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.
Assuma a violação	Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. Melhore as defesas com bloqueios de recursos, backups e recuperação de desastres para máquinas virtuais, serviços de proteção e disponibilidade de dados e proteção de sua infraestrutura de recuperação, serviços baseados em configuração, automação de plataforma e ferramentas de DevOps. Para deteção de ameaças, use o Microsoft Sentinel e a deteção avançada de vários estágios e prepare seus planos de resposta a incidentes para os recursos do Azure.

Este artigo inclui orientações sobre como:

• Proteja seus recursos do Microsoft Azure contra ataques cibernéticos destrutivos.
• Detete ciberataques quando estes ocorrem.
• Como responder a eles.

Este artigo destina-se a implementadores técnicos para dar suporte ao cenário de negócios Implementar prevenção de violação de violação de segurança e infraestrutura de recuperação Zero Trust.

Arquitetura de referência

A figura a seguir mostra a arquitetura de referência para esta orientação Zero Trust com agrupamentos para cada categoria de proteção.

Este ambiente do Azure inclui:

Componente	Description
A	Máquinas virtuais e seus arquivos
N	Serviços de dados e seus dados
C	Infraestrutura de recuperação, incluindo arquivos e modelos e scripts de automação
D	Serviços baseados em configuração
E	Automação da plataforma e ferramentas de DevOps (não mostradas)

As tarefas para proteger cada tipo de ativo são descritas em detalhes na Etapa 1 deste artigo.

O que contém este artigo?

Este artigo apresenta as etapas para aplicar os princípios do Zero Trust na arquitetura de referência.

Passo	Tarefa
1	Configure a proteção contra ataques cibernéticos.
2	Configure a deteção de ataques cibernéticos.
3	Prepare seus planos de resposta a incidentes.

Etapa 1: configurar a proteção contra ataques cibernéticos

Muitas organizações implementam soluções de backup e recuperação de desastres para suas máquinas virtuais do Azure como parte de um esforço de migração. Por exemplo, você pode usar soluções nativas do Azure ou optar por usar suas próprias soluções de terceiros para seu ecossistema de nuvem.

Embora a proteção de máquinas virtuais e seus aplicativos e dados seja importante, também é fundamental expandir o escopo da proteção para além das máquinas virtuais. Esta seção fornece um detalhamento de considerações e recomendações sobre como proteger diferentes tipos de recursos no Azure contra um ataque cibernético destrutivo.

Além das considerações específicas do serviço, você deve considerar o uso de Bloqueios de Recursos para evitar a exclusão de serviços, protegendo seu plano de gerenciamento. Você também pode usar bloqueios de recursos para tornar os recursos somente leitura. Os bloqueios de recursos funcionam com acesso controlado para reduzir a chance de os recursos do Azure serem destruídos em um ataque cibernético, impedindo sua modificação ou destruição.

Para evitar que os bloqueios de recursos produzam resultados inesperados, você deve revisar as considerações antes de aplicar os bloqueios para certificar-se de que está aplicando os bloqueios aos recursos apropriados de uma forma que ainda permita que eles operem. Por exemplo, bloquear uma rede virtual (VNet) em vez de um grupo de recursos inteiro pode impedir que o bloqueio seja muito restritivo para outros recursos dentro do grupo de recursos. Devido a essas considerações, você deve priorizar o bloqueio de recursos que, se alterados ou excluídos, causariam mais interrupções.

Os bloqueios também podem ter algumas considerações para os Objetivos de Tempo de Recuperação para cargas de trabalho que estão sendo submetidas a failover. Seu plano de recuperação de desastres deve levar os bloqueios em consideração, e você deve ter um procedimento testado para a remoção dos bloqueios de forma controlada. Você precisará treinar seus administradores e a equipe do SecOps sobre como gerenciar bloqueios como parte das operações diárias e dos cenários de emergência.

Os administradores com acesso para remover os bloqueios devem ser limitados e devem envolver acesso JIT, como o fornecido com o Microsoft Entra Privileged Identity Management. O acesso a bloqueios de alteração em recursos é controlado com o escopo Microsoft.Authorization/locks/* e não deve ser concedido como parte do acesso permanente.

A. Proteção de máquinas virtuais

Para cargas de trabalho baseadas em máquinas virtuais, incluindo conjuntos de escala e clusters Kubernetes, você precisa planejar duas camadas de proteção, além do uso de bloqueios de recursos no plano de gerenciamento.

Primeiro, você precisa planejar o backup dos dados das máquinas virtuais para que possa restaurar dados perdidos se ocorrer um ataque, o que inclui o Serviço Kubernetes do Azure (AKS). Você também precisa proteger os próprios dados de backup contra ataques usando controles de exclusão suave. Para obter informações sobre como configurar backups, consulte:

• Criar e configurar um cofre dos Serviços de Recuperação
• Fazer backup de uma máquina virtual no Azure
• Configurar o backup para um cluster do Serviço Kubernetes do Azure
• Backup e recuperação para AKS
• Plano de backup e restauração para proteger contra ransomware
• Eliminação recuperável do Azure Backup

Em segundo lugar, você precisa planejar a possibilidade de restaurar um servidor para um novo local quando a infraestrutura subjacente em sua região for atacada. Para obter informações sobre como configurar a replicação em máquinas virtuais, consulte Configurar a recuperação de desastres para VMs do Azure. Isso inclui a configuração de aplicativos e configurações para os recursos usados durante o failover.

Importante

Ao usar o Azure Site Recovery para máquinas virtuais que fazem parte de um conjunto de dimensionamento de máquina virtual, você pode replicar o estado da máquina virtual. No entanto, os dispositivos replicados não suportarão dimensionamento.

Para algumas cargas de trabalho baseadas em máquinas virtuais, como clusters Kubernetes, o estado real dos servidores não pode ser replicado por meio do Azure Site Recovery. Você pode precisar de outras soluções, como configuração ativa/passiva.

B. Proteção de serviços de dados

Os serviços de dados são uma coleção informal de serviços que contêm dados essenciais para as operações, mas o recurso em si não é tão importante. Por exemplo, há pouca diferença entre duas contas de armazenamento configuradas da mesma maneira e hospedando os mesmos dados.

Os serviços de dados são diferentes das máquinas virtuais, que podem ter configurações de sistema operacional separadas dos aplicativos em execução e separadas da configuração do plano de gerenciamento. Como resultado, estes serviços:

• Muitas vezes, contêm suas próprias ferramentas de failover, como a capacidade de uma conta de armazenamento replicar para outra região como parte de níveis de armazenamento com redundância geográfica (GRS).
• Tenha suas próprias considerações sobre como proteger os dados de ataques e disponibilizar os dados novamente no caso de um ataque.

A tabela a seguir fornece referências de proteção de dados e disponibilidade para serviços comumente usados, mas você deve investigar a documentação do produto de cada serviço para entender as opções disponíveis.

Serviço	Proteção de dados	Disponibilidade dos dados
Ficheiros do Azure	Backup de compartilhamentos de arquivos do Azure Evitar a eliminação acidental das partilhas de ficheiros do Azure	Habilitar exclusão suave em compartilhamentos de arquivos do Azure
Armazenamento de Blobs do Azure	Habilitar a restauração point-in-time em dados de blob Armazenar dados de blobs críticos para a empresa com o armazenamento imutável	Visão geral da proteção de dados para o blob do Azure Ativar e gerir a eliminação recuperável para contentores Ativar a eliminação recuperável para blobs
Base de dados SQL do Azure	Backups automatizados no Banco de Dados SQL do Azure	Georreplicação ativa Grupos de failover para o Banco de Dados SQL do Azure
Instâncias Geridas SQL	Backups automatizados na Instância Gerenciada SQL do Azure	Grupos de failover para a Instância Gerenciada SQL do Azure
SQL em VMs do Azure	Backup e restauração para o SQL Server em VMs do Azure	Instâncias de cluster de failover com o SQL Server em Máquinas Virtuais do Azure
Cofres de chaves	Backup e restauração do Azure Key Vault	Habilite a proteção de exclusão suave e limpeza para cofres de chaves Disponibilidade e redundância do Azure Key Vault

Aviso

Não há suporte para alguns cenários de recuperação de conta de armazenamento. Para obter mais informações, consulte Recuperação de armazenamento sem suporte.

C. Proteção da infraestrutura de recuperação

Além de proteger os recursos em suas cargas de trabalho, você também precisa proteger os recursos usados para restaurar a funcionalidade após uma interrupção, como documentação de procedimentos de recuperação e scripts e modelos de configuração. Se os atacantes puderem visar e interromper sua infraestrutura de recuperação, todo o seu ambiente poderá ser comprometido, levando a atrasos substanciais na recuperação do ataque e deixando sua organização vulnerável a cenários de ransomware.

Para dados protegidos pelo Backup do Azure, usar a exclusão suave para o backup do Azure permite recuperar dados de backup mesmo se excluídos. Além disso, a exclusão suave aprimorada impõe a atribuição de exclusão suave e permite que você defina um período de retenção.

Para aumentar ainda mais a segurança, implemente a autorização multiusuário (MUA) para operações críticas, o que requer que dois ou mais usuários aprovem operações críticas antes de serem executadas. Isso adiciona uma camada extra de segurança, garantindo que nenhum usuário e, portanto, um invasor com apenas uma conta de usuário, possa comprometer a integridade do backup. Habilite e configure o MUA para proteger suas políticas de backup contra alterações e exclusões não autorizadas.

Você pode proteger o Azure Site Recovery com bloqueios de recursos e acesso JEA/JIT para impedir o acesso não autorizado e a deteção quando os recursos estiverem em risco.

Ao replicar máquinas virtuais com o Azure Site Recovery que foram criptografadas com o Azure Disk Encryption (ADE) ou Customer Managed Keys (CMK), verifique se as chaves de criptografia estão armazenadas no Azure Key Vault para a região de destino. O armazenamento das chaves na região de destino facilita o acesso contínuo às chaves após o failover e mantém a continuidade da segurança dos dados. Para proteger o Cofre da Chave do Azure contra ataques cibernéticos destrutivos, habilite recursos avançados de proteção contra ameaças, como proteção de exclusão suave e limpeza.

Para obter orientações passo a passo sobre replicação para máquinas virtuais criptografadas, consulte o seguinte:

• Replicação de VMs protegidas por ADE
• Replicação de VMs com discos CMK

D. Protegendo serviços baseados em configuração

Serviços baseados em configuração são serviços do Azure que não têm dados além de sua configuração no plano de gerenciamento. Esses recursos geralmente são baseados em infraestrutura e são serviços fundamentais que suportam cargas de trabalho. Os exemplos incluem redes virtuais, balanceadores de carga, gateways de rede e gateways de aplicativos.

Como esses serviços são sem monitoração de estado, não há dados operacionais para proteger. A melhor opção para proteger esses serviços é ter modelos de implantação de infraestrutura como código (IaC), como o Bicep, que podem restaurar o estado desses serviços após um ataque destrutivo. Você também pode usar scripts para implantações, mas as implantações IaC funcionam melhor para restaurar a funcionalidade em um ambiente existente onde apenas alguns serviços são afetados.

Desde que um recurso configurado da mesma maneira possa ser implantado, os serviços podem continuar a operar. Em vez de tentar fazer backup e manter cópias desses recursos, você pode usar a implantação programática para se recuperar de um ataque.

Para obter mais informações sobre como usar o IaC, consulte Recomendações para usar a infraestrutura como código.

E. Protegendo a automação da plataforma e as ferramentas de DevOps

Se você estiver usando implantações programáticas ou outros tipos de automação, a automação da plataforma e os recursos de ferramentas de DevOps também precisam ser protegidos. Para obter exemplos para proteger sua infraestrutura de implantação, consulte Protegendo pipelines de CI/CD de DevOps e Recomendações para proteger um ciclo de vida de desenvolvimento.

No entanto, você também deve planejar a proteção do código em si, que varia com base nas ferramentas de controle do código-fonte que você está usando. Por exemplo, o GitHub tem instruções para fazer backup de um repositório para seus repositórios de código-fonte.

Você também deve revisar seus serviços específicos para determinar a melhor forma de proteger seu código-fonte e pipelines contra ataques e destruição.

Para componentes como agentes de compilação hospedados em máquinas virtuais, você pode usar o plano de proteção baseado em máquina virtual apropriado para garantir que seus agentes estejam disponíveis quando necessário.

Etapa 2: Configurar a deteção de ataques cibernéticos

Para detetar ataques à sua infraestrutura do Azure, comece com o Microsoft Defender for Cloud, uma plataforma de proteção de aplicações nativa da nuvem (CNAPP) composta por medidas e práticas de segurança concebidas para proteger aplicações baseadas na nuvem de várias ameaças e vulnerabilidades cibernéticas.

O Defender for Cloud, em conjunto com planos adicionais para componentes do Azure, coleta sinais dos componentes do Azure e fornece proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho.

O diagrama a seguir mostra o fluxo de informações de eventos de segurança dos serviços do Azure por meio do Defender for Cloud e do Microsoft Sentinel.

Na figura:

• Os serviços do Azure enviam sinais para o Microsoft Defender for Cloud.
• O Microsoft Defender for Cloud, com planos adicionais, como o Defender for Servers, analisa os sinais para deteção aprimorada de ameaças e envia informações de segurança e dados de gerenciamento de eventos (SIEM) para o Microsoft Sentinel.
• O Microsoft Sentinel usa os dados do SIEM para deteção, investigação, resposta e caça proativa de ataques cibernéticos.

Depois de proteger melhor seus recursos do Azure com as recomendações na Etapa 1 deste artigo, você precisa ter um plano para detetar ataques cibernéticos destrutivos usando o Microsoft Sentinel. Um ponto de partida é usar a deteção avançada de ataques de vários estágios no Microsoft Sentinel. Isso permite que você crie deteções para cenários específicos, como destruição de dados, negação de serviço, atividade administrativa mal-intencionada e muito mais.

Como parte da preparação de suas cargas de trabalho para resposta, você precisa:

• Identifique como você determinará se um recurso está sob ataque.
• Determine como você pode capturar e gerar um incidente como resultado.

Etapa 3: Preparar seus planos de resposta a incidentes

Você precisa ter planos de resposta a incidentes bem definidos e prontos para implementar ataques cibernéticos destrutivos antes que os incidentes ocorram. Durante um incidente, você não terá tempo para determinar como impedir ataques em andamento ou restaurar dados e serviços danificados.

Os aplicativos do Azure e os serviços compartilhados devem ter planos de resposta e recuperação que incluam playbooks para restaurar máquinas virtuais, serviços de dados, serviços de configuração e serviços de automação/DevOps. Cada aplicativo ou área de serviço deve ter suas definições e dependências bem definidas.

Os seus playbooks devem:

• Inclua seus processos para os seguintes cenários:

  • Failover de VMs do Azure para uma região secundária
  • Como restaurar dados de VM do Azure no portal do Azure
  • Restaurar ficheiros para uma máquina virtual no Azure
  • Recupere dados excluídos e pontos de recuperação usando a exclusão suave aprimorada no Backup do Azure
  • Restaurar o estado dos clusters do Kubernetes após um desastre
  • Recuperar uma conta de armazenamento eliminada
  • Recupere um cofre de chaves apagado suavemente
  • Recupere segredos, chaves e certificados excluídos por software de um cofre de chaves
  • Diretrizes de recuperação de desastres para o Banco de Dados SQL do Azure

• Inclua o processo de restauração de quaisquer outros recursos que compõem este serviço.

• Seja testado periodicamente como parte de seus processos de manutenção SecOps.

Formação recomendada

• Implementar o gerenciamento privilegiado de identidades
• Projetar uma solução para backup e recuperação de desastres
• Melhore sua postura de segurança na nuvem com o Microsoft Defender for Cloud
• Crie deteções e execute investigações usando o Microsoft Sentinel

Próximos passos

Continue a implementar sua infraestrutura de prevenção e recuperação de violações de segurança.

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Bloqueios de recursos
• Gerenciamento de identidades privilegiadas do Microsoft Entra
• Exclusão suave para backup do Azure
• Autorização multiusuário (MUA)
• Bicep
• Microsoft Defender para Cloud
• Microsoft Sentinel