Práticas recomendadas de segurança para as cargas de trabalho IaaS no AzureSecurity best practices for IaaS workloads in Azure

Este artigo descreve as melhores práticas de segurança para VMs e sistemas operacionais.This article describes security best practices for VMs and operating systems.

As recomendações baseiam-se um consenso de opinião, e trabalhar com recursos da plataforma Windows Azure atuais e conjuntos de recursos.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Como as opiniões e tecnologias podem mudar com o tempo, este artigo será atualizado para refletir essas mudanças.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

Na maioria dos cenários de IaaS (Infraestrutura como Serviço), as máquinas virtuais (VMs) do Azure são a carga de trabalho principal para as organizações que usam a computação em nuvem.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Esse fato é evidente em cenários híbridos, nos quais as organizações desejam migrar cargas de trabalho para a nuvem de forma lenta.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. Nesses cenários, siga o considerações gerais de segurança para IaaSe aplicar práticas recomendadas de segurança para todas as suas VMs.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Proteger VMs usando autenticação e controle de acessoProtect VMs by using authentication and access control

A primeira etapa na proteção de VMs é garantir que apenas usuários autorizados possam configurar novas VMs e acessar VMs.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Observação

Para melhorar a segurança das VMs do Linux no Azure, você pode integrar com a autenticação do Azure AD.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Quando você usa a autenticação do Azure ad para VMs do Linux, controla e aplica centralmente políticas que permitem ou negam o acesso às VMs.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Melhor prática: controle o acesso à VM.Best practice: Control VM access.
Detalhe: utilize as políticas do Azure para estabelecer convenções para recursos na organização e criar políticas personalizadas.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Aplique essas políticas a recursos, como grupos de recursos.Apply these policies to resources, such as resource groups. VMs que pertencem a um grupo de recursos herdam suas políticas.VMs that belong to a resource group inherit its policies.

Se a organização tiver muitas assinaturas, talvez você precise de uma forma de gerenciar o acesso, as políticas e a conformidade com eficiência para essas assinaturas.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas.Azure management groups provide a level of scope above subscriptions. Você organiza assinaturas em grupos de gerenciamento (contêineres) e aplica as condições de governança a esses grupos.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo.All subscriptions within a management group automatically inherit the conditions applied to the group. Os grupos de gerenciamento fornecem gerenciamento corporativo em larga escala, independentemente do tipo de assinaturas que você possa ter.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Melhor prática: reduza a variabilidade na configuração e implantação de VMs.Best practice: Reduce variability in your setup and deployment of VMs.
Detalhe: utilize modelos do Azure Resource Manager para fortalecer as opções de implantação e facilitar o reconhecimento e inventário das VMs no ambiente.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Melhor prática: acesso privilegiado protegido.Best practice: Secure privileged access.
Detalhe: utilize uma abordagem de privilégios mínimos e funções internas do Azure para permitir que os usuários acessem e configurem as VMs:Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Colaborador de Máquina Virtual: pode gerenciar VMs, mas não a rede virtual nem a conta de armazenamento à qual ele está conectado.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Colaborador de Máquina Virtual Clássica: pode gerenciar VMs criadas usando o modelo de implantação clássica, mas não a rede ou armazenamento de conta virtual para o qual as VMs estão conectadas.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Administrador de Segurança: na Central de Segurança somente: Pode visualizar as políticas de segurança, estados de segurança, editar políticas de segurança, visualizar alertas e recomendações, ignorar alertas e recomendações.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Usuário do DevTest Labs: pode exibir tudo e se conectar a VMs, iniciá-las, reiniciá-las e desligá-las.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Os administradores de assinatura e coadministradores podem alterar essa configuração, tornando-os administradores de todas as VMs em uma assinatura.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Certifique-se de confiar em todos os administradores de assinatura e coadministradores para fazer logon em qualquer um dos computadores.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Observação

É recomendável que você consolide as VMs com o mesmo ciclo de vida no mesmo grupo de recursos.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Usando grupos de recursos, você pode implantar, monitorar e acumular custos para os seus recursos de cobrança.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

As organizações que controlam o acesso e a configuração da VM melhoram sua segurança geral da VM.Organizations that control VM access and setup improve their overall VM security.

Use várias VMs para melhor disponibilidadeUse multiple VMs for better availability

Se a VM executar aplicativos críticos que precisam ter alta disponibilidade, será altamente recomendável usar várias VMs.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Para obter melhor disponibilidade, use um conjunto de disponibilidade ou zonasde disponibilidade.For better availability, use an availability set or availability zones.

Um conjunto de disponibilidade é um agrupamento lógico que você pode usar no Azure para garantir que os recursos de VM inseridos nele sejam isolados uns dos outros quando forem implantados em um datacenter do Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. O Azure garante que as VMs colocadas em um conjunto de disponibilidade sejam executadas em vários servidores físicos, racks de computação, unidades de armazenamento e comutadores de rede.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. Se ocorrer uma falha de hardware ou de software do Azure, somente um subconjunto das VMs será afetado e o aplicativo geral continuará disponível aos clientes.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Os conjuntos de disponibilidade são uma funcionalidade essencial quando você quer compilar soluções de nuvem confiáveis.Availability sets are an essential capability when you want to build reliable cloud solutions.

Proteção contra malwareProtect against malware

Você deve instalar a proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Você pode instalar o Microsoft Antimalware ou uma solução de proteção de ponto de extremidade do parceiro da Microsoft (Trend Micro, Broadcom, McAfee, Windows Defendere System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

O Antimalware da Microsoft inclui recursos como proteção em tempo real, verificação agendada, correção de malware, atualizações de assinatura, atualizações de mecanismo, relatórios de exemplos e coleção de eventos de exclusão.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Para ambientes que são hospedados separadamente do ambiente de produção, é possível usar uma extensão antimalware para ajudar a proteger as VMs e os serviços de nuvem.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Você pode integrar o Antimalware da Microsoft e as soluções de parceiros com a Central de Segurança do Azure para facilidade de implantação e detecções internas (alertas e incidentes).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Melhor prática: instale uma solução antimalware para proteger contra malware.Best practice: Install an antimalware solution to protect against malware.
Detalhe: instale uma solução de parceiro da Microsoft ou Antimalware da MicrosoftDetail: Install a Microsoft partner solution or Microsoft Antimalware

Melhor prática: integre a solução antimalware à Central de Segurança para monitorar o status da proteção.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Detalhe: gerencie problemas de proteção de ponto de extremidade com a Central de SegurançaDetail: Manage endpoint protection issues with Security Center

Gerenciar as atualizações de VMManage your VM updates

As VMs do Azure, como todas as VMs locais, devem ser gerenciadas pelo usuário.Azure VMs, like all on-premises VMs, are meant to be user managed. O Azure não efetua push de atualizações do Windows para VMs.Azure doesn't push Windows updates to them. Você deve gerenciar as atualizações da VM.You need to manage your VM updates.

Melhor prática: mantenha as VMs atualizadas.Best practice: Keep your VMs current.
Detalhe: use a solução Gerenciamento de Atualizações na Automação do Azure para gerenciar atualizações do sistema operacional nos computadores Windows e Linux implantados no Azure, em ambientes locais ou em outros provedores de nuvem.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Você pode avaliar o status de atualizações disponíveis em todos os computadores de agente e gerenciar rapidamente o processo de instalação das atualizações necessárias para os servidores.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Os computadores que são gerenciados pelo Gerenciamento de Atualizações usam as configurações a seguir para realizar implantações de atualização e avaliação:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) para Windows ou LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • DSC (PowerShell Desired State Configuration) para LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrid Runbook Worker de AutomaçãoAutomation Hybrid Runbook Worker
  • Microsoft Update ou Windows Server Update Services (WSUS) para computadores WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Se você usa o Windows Update, deixe a configuração automática do Windows Update habilitada.If you use Windows Update, leave the automatic Windows Update setting enabled.

Melhor prática: garanta na implantação que as imagens compiladas incluem a rodada mais recente de atualizações do Windows.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detalhe: verifique e instale todas as atualizações do Windows como uma primeira etapa de toda implantação.Detail: Check for and install all Windows updates as a first step of every deployment. Essa medida é especialmente importante para aplicar ao implantar imagens que vêm de você ou sua própria biblioteca.This measure is especially important to apply when you deploy images that come from either you or your own library. Embora as imagens do Microsoft Azure Marketplace sejam atualizadas automaticamente por padrão, pode haver um tempo de atraso (até algumas semanas) após um lançamento público.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Melhor prática: reimplemente as VMs periodicamente para forçar uma atualização da versão do sistema operacional.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detalhe: defina a VM com um modelo do Azure Resource Manager para que você possa reimplementá-la facilmente.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. Usar um modelo fornece uma VM corrigida e segura quando necessário.Using a template gives you a patched and secure VM when you need it.

Prática recomendada: aplicar rapidamente atualizações de segurança às VMs.Best practice: Rapidly apply security updates to VMs.
Detalhe: habilitar a central de segurança do Azure (camada gratuita ou Standard) para identificar atualizações de segurança ausentes e aplicá-las.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Melhor prática: instale as atualizações de segurança mais recentes.Best practice: Install the latest security updates.
Detalhes: algumas das primeiras cargas de trabalho que os clientes migram para o Azure são laboratórios e sistemas externos.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Se as VMs do Azure hospedarem aplicativos ou serviços que precisam ser acessados pela Internet, esteja atento ao patches.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Patch além do sistema operacional.Patch beyond the operating system. As vulnerabilidades sem patch em aplicativos de parceiros também podem levar a problemas que podem ser evitados com um bom gerenciamento de patches.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Melhor prática: implante e teste uma solução de backup.Best practice: Deploy and test a backup solution.
Detalhe: um backup precisa ser tratado da mesma maneira como você lida qualquer outra operação.Detail: A backup needs to be handled the same way that you handle any other operation. Isso é verdadeiro para os sistemas que fazem parte de seu ambiente de produção que se estende para a nuvem.This is true of systems that are part of your production environment extending to the cloud.

Os sistemas de desenvolvimento e teste devem seguir as estratégias de backup que ofereçam recursos de restauração semelhantes aos que os usuários já utilizam com base em sua experiência com os ambientes locais.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. As cargas de trabalho de produção movidas para o Azure devem se integrar a soluções de backup existentes quando possível.Production workloads moved to Azure should integrate with existing backup solutions when possible. Você também pode usar o Backup do Azure para ajudar a solucionar suas necessidades de backup.Or, you can use Azure Backup to help address your backup requirements.

As organizações que não impõem diretivas de atualização de software estão mais expostas a ameaças que exploram vulnerabilidades conhecidas anteriormente fixas.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Para cumprir as normas do setor, as empresas devem provar que são diligentes e usam controles de segurança corretos para ajudar a garantir a segurança de suas cargas de trabalho localizadas na nuvem.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

As melhores práticas de atualização de software para um datacenter tradicional e IaaS do Azure têm muitas semelhanças.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. É recomendável que você avalie as políticas de atualização de software atuais para incluir VMs localizadas no Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Gerenciar sua postura de segurança de VMManage your VM security posture

As ameaças cibernéticas estão evoluindo.Cyberthreats are evolving. A proteção das VMs exige um recurso de monitoramento que possa detectar ameaças rapidamente, impedir o acesso não autorizado aos recursos, acionar alertas e reduzir falsos positivos.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Para monitorar a postura de segurança das suas VMs Windows e Linux, use a Central de Segurança do Azure.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. Na Central de Segurança, proteja as VMs aproveitando os seguintes recursos:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Aplicar configurações de segurança do sistema operacional com as regras de configuração recomendadas.Apply OS security settings with recommended configuration rules.
  • Identificar e baixar a segurança do sistema e as atualizações críticas que podem estar faltando.Identify and download system security and critical updates that might be missing.
  • Implantar recomendações para proteção antimalware de ponto de extremidade.Deploy recommendations for endpoint antimalware protection.
  • Validar criptografia de disco.Validate disk encryption.
  • Avaliar e corrigir vulnerabilidades.Assess and remediate vulnerabilities.
  • Detectar ameaças.Detect threats.

A Central de Segurança pode monitorar ativamente as ameaças e essas possíveis ameaças são expostas em alertas de segurança.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. As ameaças correlacionadas são agregadas em uma única exibição chamada incidente de segurança.Correlated threats are aggregated in a single view called a security incident.

A central de segurança armazena dados em logs de Azure monitor.Security Center stores data in Azure Monitor logs. Os logs de Azure Monitor fornecem uma linguagem de consulta e um mecanismo de análise que fornece informações sobre a operação de seus aplicativos e recursos.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Os dados também são coletados do Azure Monitor, das soluções de gerenciamento e dos agentes instalados em máquinas virtuais na nuvem ou no local.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Essa funcionalidade compartilhada ajuda a formar uma imagem completa do seu ambiente.This shared functionality helps you form a complete picture of your environment.

As organizações que não reforçam a segurança das VMs permaneçam sem conhecimento das possíveis tentativas de usuários não autorizados de contornar os controles de segurança.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Monitorar o desempenho de VMMonitor VM performance

Abuso de recursos pode ser um problema quando os processos VM consomem mais recursos do que deveriam.Resource abuse can be a problem when VM processes consume more resources than they should. Problemas de desempenho com uma máquina virtual podem levar a interrupção do serviço, o que viola o princípio de segurança de disponibilidade.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Isso é particularmente importante para as VMs que hospedam IIS ou outros servidores Web, já que o alto uso de CPU ou de memória pode indicar um ataque de DoS (ataque de negação de serviço).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. É fundamental monitorar o acesso à VM não apenas de forma reativa durante a ocorrência de um problema, mas também de forma proativa em relação ao desempenho da linha de base, conforme medido durante a operação normal.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

É recomendável usar o Azure Monitor para obter visibilidade da integridade do recurso.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Recursos do Azure Monitor:Azure Monitor features:

As organizações que não monitoram o desempenho da VM não podem estipular se determinadas alterações nos padrões de desempenho são normais ou anormais.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Uma VM que consome mais recursos do que o normal pode indicar um ataque de um recurso externo ou um processo comprometido em execução na VM.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Criptografar os arquivos de disco rígido virtualEncrypt your virtual hard disk files

É recomendável criptografar os VHDs (discos rígidos virtuais) para ajudar a proteger o volume de inicialização e volumes de dados em repouso no armazenamento, juntamente com os segredos e chave de criptografia.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption ajuda a criptografar seus discos de máquina virtual IaaS Windows e Linux.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. O Azure Disk Encryption usa o recurso BitLocker do Windows padrão do setor e o recurso DM-Crypt do Linux para fornecer uma criptografia de volume para os discos do sistema operacional e de dados.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. A solução é integrada com Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves de criptografia de disco e os segredos em sua assinatura do cofre de chaves.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. A solução também garante que todos os dados nos discos da máquina virtual sejam criptografados em repouso no Armazenamento do Microsoft Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

A seguir, são apresentadas as melhores práticas para usar o Azure Disk Encryption:Following are best practices for using Azure Disk Encryption:

Melhor prática: habilite a criptografia nas VMs.Best practice: Enable encryption on VMs.
Detalhes: o Azure Disk Encryption gera e grava as chaves de criptografia no cofre de chaves.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. O gerenciamento de chaves de criptografia no cofre de chaves requer a autenticação do Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Crie um aplicativo do Azure AD para essa finalidade.Create an Azure AD application for this purpose. Para fins de autenticação, você pode usar a autenticação baseada em segredo do cliente ou a autenticação do Azure AD baseada em certificado de cliente.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Melhor prática: use uma KEK (chave de criptografia de chave) para uma camada adicional de segurança para chaves de criptografia.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Adicione uma KEK ao cofre de chaves.Add a KEK to your key vault.
Detalhe: Use o cmdlet Add-AzKeyVaultKey para criar uma chave de criptografia de chave no cofre de chaves.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Também é possível importar uma KEK do HSM (módulo de segurança de hardware) local para o gerenciamento de chaves.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Para obter mais informações, consulte a documentação do Key Vault.For more information, see the Key Vault documentation. Quando uma chave de criptografia de chave é especificada, o Azure Disk Encryption usa essa chave para agrupar os segredos de criptografia antes de gravar no Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. Manter uma cópia de caução dessa chave em um HSM de gerenciamento de chaves local oferece proteção adicional contra exclusão acidental de chaves.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Melhor prática: tire um instantâneo e/ou faça backup antes que os discos sejam criptografados.Best practice: Take a snapshot and/or backup before disks are encrypted. Os backups fornecem uma opção de recuperação caso ocorra uma falha inesperada durante a criptografia.Backups provide a recovery option if an unexpected failure happens during encryption.
Detalhe: VMs com discos gerenciados exigem um backup antes que a criptografia ocorra.Detail: VMs with managed disks require a backup before encryption occurs. Depois que um backup é feito, você pode usar o cmdlet set-AzVMDiskEncryptionExtension para criptografar discos gerenciados especificando o parâmetro -skipVmBackup .After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Para obter mais informações sobre como fazer backup e restaurar VMs criptografadas, consulte o artigo Backup do Microsoft Azure.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Melhor prática: para garantir que os segredos de criptografia não ultrapassem os limites regionais, o Azure Disk Encryption precisa que o cofre de chaves e as VMs sejam colocados na mesma região.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detalhe: crie e use um cofre de chaves que esteja na mesma região da VM a ser criptografada.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Quando você aplica o Azure Disk Encryption, é possível atender às seguintes necessidades comerciais:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • As VMs da IaaS são protegidas em repouso por meio da tecnologia de criptografia padrão do setor para atender aos requisitos de segurança e conformidade da organização.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • As VMs de IaaS são iniciadas com políticas e chaves controladas pelo cliente, e você pode auditar o seu uso no cofre de chaves.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Restringir a conectividade direta com a InternetRestrict direct internet connectivity

Monitore e restrinja a conectividade direta com a Internet da VM.Monitor and restrict VM direct internet connectivity. Os invasores examinam constantemente intervalos de IP de nuvem pública para portas de gerenciamento aberto e tentam ataques "fáceis", como senhas comuns e vulnerabilidades conhecidas sem patches.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. A tabela a seguir lista as práticas recomendadas para ajudar a proteger contra esses ataques:The following table lists best practices to help protect against these attacks:

Prática recomendada: evitar a exposição inadvertida ao roteamento de rede e à segurança.Best practice: Prevent inadvertent exposure to network routing and security.
Detalhe: Use o RBAC para garantir que apenas o grupo de rede central tenha permissão para recursos de rede.Detail: Use RBAC to ensure that only the central networking group has permission to networking resources.

Prática recomendada: identificar e corrigir VMs expostas que permitem o acesso de "qualquer" endereço IP de origem.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detalhe: Use a central de segurança do Azure.Detail: Use Azure Security Center. A central de segurança recomendará que você restrinja o acesso por meio de pontos de extremidade voltados para a Internet se qualquer um dos grupos de segurança de rede tiver uma ou mais regras de entrada que permitam o acesso de "qualquer" endereço IP de origem.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. A central de segurança recomendará que você edite essas regras de entrada para restringir o acesso a endereços IP de origem que realmente precisam de acesso.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Prática recomendada: restringir as portas de gerenciamento (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Detalhe: o acesso à VM just-in-time (JIT) pode ser usado para bloquear o tráfego de entrada para suas VMs do Azure, reduzindo a exposição a ataques e, ao mesmo tempo, fornecendo acesso fácil para se conectar às VMs quando necessário.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Quando o JIT está habilitado, a central de segurança bloqueia o tráfego de entrada para suas VMs do Azure criando uma regra de grupo de segurança de rede.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Você seleciona as portas na VM para as quais o tráfego de entrada será bloqueado.You select the ports on the VM to which inbound traffic will be locked down. Essas portas são controladas pela solução JIT.These ports are controlled by the JIT solution.

Próximas etapasNext steps

Veja Melhores práticas e padrões de segurança do Azure para obter melhores práticas segurança complementares a serem usadas ao projetar, implantar e gerenciar as soluções de nuvem, usando o Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Os seguintes recursos estão disponíveis para fornecer mais informações gerais sobre a segurança do Azure e os serviços da Microsoft relacionados:The following resources are available to provide more general information about Azure security and related Microsoft services: