Segurança de ponta a ponta no Azure

Uma das melhores razões para usar o Azure para seus aplicativos e serviços é aproveitar sua ampla variedade de ferramentas e recursos de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados do cliente, ao mesmo tempo que também permite uma responsabilidade transparente.

O diagrama e a documentação a seguir apresentam os serviços de segurança no Azure. Esses serviços de segurança ajudam a atender às necessidades de segurança da sua empresa e a proteger seus usuários, dispositivos, recursos, dados e aplicativos na nuvem.

Mapa dos serviços de segurança da Microsoft

O mapa dos serviços de segurança organiza os serviços conforme os recursos que eles protegem (coluna). O diagrama também agrupa os serviços nas seguintes categorias (linha):

  • Segurança e proteção – serviços que permitem implementar uma estratégia de defesa aprofundada e em camadas em relação a identidades, hosts, redes e dados. Essa coleção de serviços e recursos de segurança fornece uma maneira de entender e melhorar sua postura de segurança no ambiente do Azure.
  • Detecção de ameaças – serviços que identificam atividades suspeitas e facilitam a mitigação das ameaças.
  • Investigação e respostas – serviços que efetuam pull de dados de log para que você possa avaliar uma atividade suspeita e responder a ela.

O diagrama inclui o programa Azure Security Benchmark, uma coleção de recomendações de segurança de alto impacto que podem ser usadas para ajudar a proteger os serviços usados no Azure.

Diagrama mostrando serviços de segurança de ponta a ponta no Azure.

Controles de segurança e linhas de base

O programa Azure Security Benchmark inclui uma coleção de recomendações de segurança de alto impacto que podem ser usadas para ajudar a proteger os serviços usados no Azure:

  • Controles de segurança – essas recomendações geralmente são aplicáveis no seu locatário do Azure e nos serviços do Azure. Cada recomendação identifica uma lista de stakeholders que, geralmente, estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
  • Linhas de base de serviço – aplicam os controles aos serviços individuais do Azure para fornecer recomendações sobre a configuração de segurança desse serviço.

Segurança e proteção

Diagrama mostrando os serviços do Azure que ajudam na segurança e proteção dos seus recursos de nuvem.

Serviço Descrição
Microsoft Defender para Nuvem Um sistema de gerenciamento de segurança de infraestrutura unificado que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas locais e na nuvem, estejam elas no Azure ou não.
Gerenciamento & de identidade e acesso
Azure AD (Active Directory) Serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft.
O Acesso condicional é a ferramenta usada pelo Azure AD para reunir sinais de identidade, tomar decisões e impor políticas organizacionais.
O Domain Services é a ferramenta usada pelo Azure AD para fornecer serviços de domínio gerenciado, como ingresso no domínio, política de grupo, protocolo LDAP e autenticação Kerberos/NTLM.
O PIM (Privileged Identity Management) é um serviço no Azure AD que permite gerenciar, controlar e monitorar o acesso a importantes recursos na sua organização.
A Autenticação multifator é a ferramenta usada pelo Azure AD para ajudar a proteger o acesso a dados e aplicativos por meio da obrigatoriedade de uma segunda forma de autenticação.
Azure AD Identity Protection Uma ferramenta que permite que as organizações automatizem a detecção e a correção de riscos baseados em identidade, investiguem os riscos usando dados no portal e exportem os dados da detecção de riscos para utilitários de terceiros para uma análise posterior.
Infraestrutura & e rede
Gateway de VPN Um gateway de rede virtual que é usado para enviar o tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública e enviar o tráfego criptografado entre redes virtuais do Azure pela rede da Microsoft.
Proteção contra DDoS do Azure Standard Fornece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Ajusta-se automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
Azure Front Door Um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis.
Firewall do Azure Um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos da Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita.
Azure Key Vault Um repositório seguro de segredos para tokens, senhas, certificados, chaves de API e outros segredos. O Key Vault também pode ser usado para criar e controlar as chaves de criptografia usadas para criptografar seus dados.
HSM gerenciado do Key Vault Um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3.
Link Privado do Azure Permite que você acesse os serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado em sua rede virtual.
Gateway de Aplicativo do Azure Um balanceador avançado de carga do tráfego da Web que permite que você gerencie o tráfego para seus aplicativos Web. O Gateway de Aplicativo pode tomar decisões de roteiros com base em outros atributos de uma solicitação HTTP, por exemplo, o caminho de URI ou os cabeçalhos de host.
Barramento de Serviço do Azure Um agente de mensagens empresarial totalmente gerenciado com filas de mensagens e tópicos de publicação/assinatura. O Barramento de Serviço é usado para separar aplicativos e serviços uns dos outros.
Firewall do Aplicativo Web Fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. O WAF pode ser implantado com o Gateway de Aplicativo do Azure e o Azure Front Door.
Dados e aplicativos
Serviço de Backup do Azure Fornece soluções simples, seguras e econômicas para fazer backup de seus dados e recuperá-los da nuvem do Microsoft Azure.
Criptografia do serviço de armazenamento do Azure Criptografa os dados automaticamente antes de serem armazenados, descriptografando-os automaticamente quando forem recuperados.
Proteção de Informações do Azure Uma solução baseada em nuvem que permite que as organizações descubram, classifiquem e protejam documentos e emails aplicando rótulos ao conteúdo.
Gerenciamento da API Uma forma de criar gateways de API consistentes e modernos para serviços de back-end existentes.
Computação confidencial do Azure Permite isolar seus dados confidenciais enquanto eles estão sendo processados na nuvem.
Azure DevOps Quando armazenados no Azure DevOps, seus projetos de desenvolvimento se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade.
Acesso do cliente
Identidades Externas do Azure AD Com Identidades Externas no Azure AD, você pode permitir que pessoas fora da sua organização acessem seus aplicativos e recursos, deixando elas entrarem usando qualquer identidade que preferirem.
Você pode compartilhar seus aplicativos e recursos com usuários externos por meio da colaboração do Azure AD B2B.
O Azure AD B2C permite que você ofereça suporte a milhões de usuários e a bilhões de autenticações por dia, monitorando e enfrentando automaticamente ameaças como negação de serviço, pulverização de senha ou ataques de força bruta.

Detectar ameaças

Diagrama mostrando serviços do Azure que detectam ameaças.

Serviço Descrição
Microsoft Defender para Nuvem Proporciona proteção inteligente e avançada para os seus recursos e cargas de trabalho híbridos e do Azure. O painel da proteção de cargas de trabalho no Defender para Nuvem fornece visibilidade e controle dos recursos de proteção de cargas de trabalho para seu ambiente.
Microsoft Sentinel Uma solução escalonável e nativa da nuvem que oferece SIEM (Gerenciamento de eventos de informações de segurança) e SOAR (Resposta automatizada para orquestração de segurança). O Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.
Gerenciamento & de identidade e acesso
Microsoft 365 Defender Um pacote de defesa empresarial unificado pré e pós-violação que coordena nativamente a detecção, prevenção, investigação e resposta em pontos de extremidade, identidades, email e aplicativos para fornecer proteção integrada contra ataques sofisticados.
O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas.
O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização.
Azure AD Identity Protection Envia dois tipos de emails de notificação automatizados para ajudar você a gerenciar riscos de usuários e detecções de riscos: email de Usuários em risco detectados. e email de Resumo semanal.
Infraestrutura e rede
Microsoft Defender para IoT Uma solução de segurança unificada usada para identificar dispositivos IoT/OT, vulnerabilidades e ameaças. Ele permite que você proteja todo o seu ambiente de IoT/OT, independentemente de você precisar proteger os dispositivos IoT/OT existentes ou incorporar a segurança em inovações de IoT.
Observador de Rede do Azure Fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure. O Observador de Rede foi projetado para monitorar e reparar a integridade da rede de produtos IaaS que incluem máquinas virtuais, redes virtuais, gateways de aplicativo e balanceadores de carga.
Log de auditoria do Azure Policy Ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. O Azure Policy usa logs de atividade, que são automaticamente habilitados a incluir: origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Dados e aplicativos
Microsoft Defender para registros de contêiner Inclui um verificador de vulnerabilidade para verificar as imagens nos seus registros do Registro de Contêiner do Azure baseados no Azure Resource Manager e fornecer uma visibilidade mais profunda das vulnerabilidades das suas imagens.
Microsoft Defender para Kubernetes Fornece proteção contra ameaças no nível do cluster monitorando seus serviços gerenciados pelo AKS por meio dos logs recuperados pelo AKS (Serviço do Kubernetes do Azure).
Microsoft Defender for Cloud Apps Um CASB (agente de segurança de acesso de nuvem) que opera em várias nuvens. Ele fornece visibilidade avançada, controle sobre a viagem de dados e análise sofisticada para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem.

Investigar e responder

Diagrama mostrando serviços do Azure que ajudam você a investigar e a responder a ameaças.

Serviço Descrição
Microsoft Sentinel Ótimas ferramenta de busca e consulta para caçar ameaças à segurança de maneira proativa nas fontes de dados de sua organização.
Logs e métricas do Azure Monitor    Fornece uma solução abrangente para coleta, análise e ação com base na telemetria em seus ambientes de nuvem e locais. O Azure Monitor coleta e agrega dados de uma variedade de fontes em uma plataforma de dados comum, em que ela pode ser usada para análise, visualização e alertas.
Gerenciamento & de identidade e acesso
Relatórios e monitoramento do Azure AD Os relatórios do Azure AD fornecem uma visão abrangente da atividade em seu ambiente.
O monitoramento do Azure AD permite que você roteie seus logs de atividades do Azure AD para diferentes pontos de extremidade.
Histórico de auditorias do Azure AD PIM Mostra todas as atribuições de função e ativações nos últimos 30 dias em relação a todas as funções com privilégios.
Dados e aplicativos
Microsoft Defender for Cloud Apps Fornece ferramentas para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem.

Próximas etapas