Segurança de ponta a ponta no Azure

Uma das melhores razões para usar o Azure para seus aplicativos e serviços é aproveitar sua ampla variedade de ferramentas e recursos de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados do cliente, ao mesmo tempo que também permite uma responsabilidade transparente.

O diagrama e a documentação a seguir apresentam os serviços de segurança no Azure. Esses serviços de segurança ajudam a atender às necessidades de segurança da sua empresa e a proteger seus usuários, dispositivos, recursos, dados e aplicativos na nuvem.

Mapa dos serviços de segurança da Microsoft

O mapa dos serviços de segurança organiza os serviços conforme os recursos que eles protegem (coluna). O diagrama também agrupa os serviços nas seguintes categorias (linha):

  • Segurança e proteção – serviços que permitem implementar uma estratégia de defesa aprofundada e em camadas em relação a identidades, hosts, redes e dados. Essa coleção de serviços e recursos de segurança fornece uma maneira de entender e melhorar sua postura de segurança no ambiente do Azure.
  • Detecção de ameaças – serviços que identificam atividades suspeitas e facilitam a mitigação das ameaças.
  • Investigação e respostas – serviços que efetuam pull de dados de log para que você possa avaliar uma atividade suspeita e responder a ela.

Diagram showing end-to-end security services in Azure.

Controles de segurança e linhas de base

O parâmetro de comparação de segurança da nuvem da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que podem ser usadas para ajudar a proteger os serviços usados no Azure:

  • Controles de segurança – essas recomendações geralmente são aplicáveis no seu locatário do Azure e nos serviços do Azure. Cada recomendação identifica uma lista de stakeholders que, geralmente, estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
  • Linhas de base de serviço – aplicam os controles aos serviços individuais do Azure para fornecer recomendações sobre a configuração de segurança desse serviço.

Segurança e proteção

Diagram showing Azure services that help you secure and protect your cloud resources.

Serviço Descrição
Microsoft Defender para Nuvem Um sistema de gerenciamento de segurança de infraestrutura unificado que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas locais e na nuvem, estejam elas no Azure ou não.
Gerenciamento de Identidades e Acesso
Microsoft Entra ID Serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft.
Acesso Condicional é a ferramenta usada pela ID do Microsoft Entra para reunir sinais de identidade, tomar decisões e impor políticas organizacionais.
Serviços de Domínio é a ferramenta usada pela ID do Microsoft Entra para fornecer serviços de domínio gerenciado, como ingresso no domínio, política de grupo, protocolo de acesso de diretório leve (LDAP) e autenticação Kerberos/NTLM.
PIM (Privileged Identity Management) é um serviço na ID do Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização.
Autenticação multifator é a ferramenta usada pela ID do Microsoft Entra para ajudar a proteger o acesso a dados e aplicativos, exigindo uma segunda forma de autenticação.
Proteção do Microsoft Entra ID Uma ferramenta que permite que as organizações automatizem a detecção e a correção de riscos baseados em identidade, investiguem os riscos usando dados no portal e exportem os dados da detecção de riscos para utilitários de terceiros para uma análise posterior.
Infraestrutura e rede
Gateway de VPN Um gateway de rede virtual que é usado para enviar o tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública e enviar o tráfego criptografado entre redes virtuais do Azure pela rede da Microsoft.
Proteção contra DDoS do Azure Fornece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Ajusta-se automaticamente para proteger os recursos específicos do Azure em uma rede virtual.
Azure Front Door Um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis.
Firewall do Azure Um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Básico.
Azure Key Vault Um repositório seguro de segredos para tokens, senhas, certificados, chaves de API e outros segredos. O Key Vault também pode ser usado para criar e controlar as chaves de criptografia usadas para criptografar seus dados.
HSM gerenciado do Key Vault Um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3.
Link Privado do Azure Permite que você acesse os serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado em sua rede virtual.
Gateway de Aplicativo do Azure Um balanceador avançado de carga do tráfego da Web que permite que você gerencie o tráfego para seus aplicativos Web. O Gateway de Aplicativo pode tomar decisões de roteiros com base em outros atributos de uma solicitação HTTP, por exemplo, o caminho de URI ou os cabeçalhos de host.
Barramento de Serviço do Azure Um agente de mensagens empresarial totalmente gerenciado com filas de mensagens e tópicos de publicação/assinatura. O Barramento de Serviço é usado para separar aplicativos e serviços uns dos outros.
Firewall do Aplicativo Web Fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. O WAF pode ser implantado com o Gateway de Aplicativo do Azure e o Azure Front Door.
Azure Policy Ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. Por meio do painel de conformidade, ele fornece uma exibição agregada para avaliar o estado geral do ambiente, com a capacidade de drill down para a granularidade por recurso, por política. Ele também ajuda a deixar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática para novos recursos.
Dados e aplicativos
Serviço de Backup do Azure Fornece soluções simples, seguras e econômicas para fazer backup de seus dados e recuperá-los da nuvem do Microsoft Azure.
Criptografia do serviço de armazenamento do Azure Criptografa os dados automaticamente antes de serem armazenados, descriptografando-os automaticamente quando forem recuperados.
Proteção de Informações do Azure Uma solução baseada em nuvem que permite que as organizações descubram, classifiquem e protejam documentos e emails aplicando rótulos ao conteúdo.
Gerenciamento da API Uma forma de criar gateways de API consistentes e modernos para serviços de back-end existentes.
Computação confidencial do Azure Permite isolar seus dados confidenciais enquanto eles estão sendo processados na nuvem.
Azure DevOps Quando armazenados no Azure DevOps, seus projetos de desenvolvimento se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade.
Acesso do cliente
ID externo do Microsoft Entra Com identidades externas no Microsoft Entra ID, você pode permitir que pessoas de fora da sua organização acessem seus aplicativos e recursos, permitindo que elas entrem usando qualquer identidade que preferirem.
Você pode compartilhar seus aplicativos e recursos com usuários externos por meio da colaboração do Microsoft Entra B2B.
O Azure AD B2C permite que você ofereça suporte a milhões de usuários e a bilhões de autenticações por dia, monitorando e enfrentando automaticamente ameaças como negação de serviço, pulverização de senha ou ataques de força bruta.

Detectar ameaças

Diagram showing Azure services that detect threats.

Serviço Descrição
Microsoft Defender para Nuvem Proporciona proteção inteligente e avançada para os seus recursos e cargas de trabalho híbridos e do Azure. O painel da proteção de cargas de trabalho no Defender para Nuvem fornece visibilidade e controle dos recursos de proteção de cargas de trabalho para seu ambiente.
Microsoft Sentinel Uma solução escalonável e nativa da nuvem que oferece SIEM (Gerenciamento de eventos de informações de segurança) e SOAR (Resposta automatizada para orquestração de segurança). O Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.
Gerenciamento de Identidades e Acesso
Microsoft Defender XDR Um pacote de defesa empresarial unificado pré e pós-violação que coordena nativamente a detecção, prevenção, investigação e resposta em pontos de extremidade, identidades, email e aplicativos para fornecer proteção integrada contra ataques sofisticados.
O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas.
O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização.
Proteção do Microsoft Entra ID Envia dois tipos de emails de notificação automatizados para ajudar você a gerenciar riscos de usuários e detecções de riscos: email de Usuários em risco detectados. e email de Resumo semanal.
Infraestrutura e rede
Firewall do Azure O Firewall do Azure Premium fornece IDPS (sistema de prevenção e detecção de intrusões) baseado em assinatura para permitir uma detecção rápida de ataques ao procurar padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções mal-intencionadas conhecidas que são usadas por malware.
Microsoft Defender para IoT Uma solução de segurança unificada usada para identificar dispositivos IoT/OT, vulnerabilidades e ameaças. Ele permite que você proteja todo o seu ambiente de IoT/OT, independentemente de você precisar proteger os dispositivos IoT/OT existentes ou incorporar a segurança em inovações de IoT.
Observador de Rede do Azure Fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure. O Observador de Rede foi projetado para monitorar e reparar a integridade da rede de produtos IaaS que incluem máquinas virtuais, redes virtuais, gateways de aplicativo e balanceadores de carga.
Azure Policy Ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. O Azure Policy usa logs de atividade, que são automaticamente habilitados a incluir: origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis.
Dados e aplicativos
Microsoft Defender para Contêineres Uma solução nativa de nuvem utilizada para proteger os contêineres para que você possa melhorar, monitorar e manter a segurança dos clusters, contêineres e aplicativos.
Microsoft Defender for Cloud Apps Um CASB (agente de segurança de acesso de nuvem) que opera em várias nuvens. Ele fornece visibilidade avançada, controle sobre a viagem de dados e análise sofisticada para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem.

Investigar e responder

Diagram showing Azure services that help you investigate and respond to threats.

Serviço Descrição
Microsoft Sentinel Ótimas ferramenta de busca e consulta para caçar ameaças à segurança de maneira proativa nas fontes de dados de sua organização.
Métricas e logs do Azure Monitor Fornece uma solução abrangente para coleta, análise e ação com base na telemetria em seus ambientes de nuvem e locais. O Azure Monitor coleta e agrega dados de uma variedade de fontes em uma plataforma de dados comum, em que ela pode ser usada para análise, visualização e alertas.
Gerenciamento de Identidades e Acesso
Monitoramento e relatórios do Azure AD Os Relatórios do Microsoft Entra fornecem uma visão abrangente da atividade em seu ambiente.
O monitoramento do Microsoft Entra permite rotear seus logs de atividades do Microsoft Entra para pontos de extremidade diferentes.
Histórico de auditoria do Microsoft Entra PIM Mostra todas as atribuições de função e ativações nos últimos 30 dias em relação a todas as funções com privilégios.
Dados e aplicativos
Microsoft Defender for Cloud Apps Fornece ferramentas para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem.

Próximas etapas