Introdução à segurança do AzureIntroduction to Azure security

Visão geralOverview

Sabemos que a segurança é o primeiro trabalho na nuvem e o quanto é importante que você encontre informações precisas e atualizadas sobre a segurança do Azure.We know that security is job one in the cloud and how important it is that you find accurate and timely information about Azure security. Uma das melhores razões para usar o Azure para seus aplicativos e serviços é aproveitar sua ampla variedade de ferramentas e recursos de segurança.One of the best reasons to use Azure for your applications and services is to take advantage of its wide array of security tools and capabilities. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure.These tools and capabilities help make it possible to create secure solutions on the secure Azure platform. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados do cliente, ao mesmo tempo que também permite uma responsabilidade transparente.Microsoft Azure provides confidentiality, integrity, and availability of customer data, while also enabling transparent accountability.

Este artigo fornece uma visão abrangente da segurança disponível com o Azure.This article provides a comprehensive look at the security available with Azure.

Plataforma do AzureAzure platform

O Azure é uma plataforma de serviço de nuvem pública que dá suporte a uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos.Azure is a public cloud service platform that supports a broad selection of operating systems, programming languages, frameworks, tools, databases, and devices. Ele pode executar contêineres do Linux com a integração com o Docker, criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js e criar back-ends para dispositivos iOS, Android e Windows.It can run Linux containers with Docker integration; build apps with JavaScript, Python, .NET, PHP, Java, and Node.js; build back-ends for iOS, Android, and Windows devices.

Os serviços de nuvem pública do Azure dão suporte às mesmas tecnologias com as quais milhões de desenvolvedores e profissionais de TI já contam e nas quais confiam.Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust. Ao se basear ou migrar ativos de TI para um provedor de serviços de nuvem pública, você está confiando na capacidade dessa organização de proteger seus aplicativos e dados com os serviços e os controles que ela oferece para gerenciar a segurança de seus ativos baseados em nuvem.When you build on, or migrate IT assets to, a public cloud service provider you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

A infraestrutura do Azure foi projetada desde a instalação até os aplicativos para hospedar milhões de clientes simultaneamente e fornece uma base confiável com a qual as empresas podem atender aos seus requisitos de segurança.Azure’s infrastructure is designed from facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security requirements.

Além disso, o Azure oferece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las, de forma que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações de sua organização.In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your organization’s deployments. Este documento ajuda você a entender como as funcionalidades de segurança do Azure podem ajudá-lo a atender a esses requisitos.This document helps you understand how Azure security capabilities can help you fulfill these requirements.

Observação

O foco principal deste documento são os controles voltados para o cliente que você pode usar para personalizar e aumentar a segurança de seus aplicativos e serviços.The primary focus of this document is on customer-facing controls that you can use to customize and increase security for your applications and services.

Para obter informações sobre como a Microsoft protege a plataforma do Azure em si, consulte segurança de infraestrutura do Azure.For information on how Microsoft secures the Azure platform itself, see Azure infrastructure security.

Resumo dos recursos de segurança do AzureSummary of Azure security capabilities

Recursos para proteger a plataforma do AzureFeatures to secure the Azure platform

Os recursos a seguir são recursos que você pode examinar para fornecer a garantia de que a plataforma Azure é gerenciada de maneira segura.The following features are capabilities you can review to provide the assurance that the Azure Platform is managed in a secure manner. Os links foram fornecidos para aprofundar-se sobre como a Microsoft aborda as perguntas de confiança dos clientes em quatro áreas: proteger plataforma, privacidade & controles, conformidade e transparência.Links have been provided for further drill-down on how Microsoft addresses customer trust questions in four areas: secure platform, privacy & controls, compliance, and transparency.

Plataforma SeguraSecure Platform Privacidade e ControlesPrivacy & Controls ConformidadeCompliance TransparênciaTransparency
Ciclo de Desenvolvimento de Segurança, auditorias internasSecurity Development Cycle, Internal audits Gerenciar sempre seus dadosManage your data all the time Central de ConfiabilidadeTrust Center Como a Microsoft protege os dados do cliente nos serviços do AzureHow Microsoft secures customer data in Azure services
Treinamento de segurança obrigatório, verificações em segundo planoMandatory Security training, background checks Controlar o local dos dadosControl on data location Hub de Controles ComunsCommon Controls Hub Como a Microsoft gerencia o local de dados nos serviços do AzureHow Microsoft manage data location in Azure services
Testes de penetração, Detecção de intrusão, DDoS, Auditorias e registro em logPenetration testing, intrusion detection, DDoS, Audits & logging Fornecer acesso a dados em seus próprios termosProvide data access on your terms Lista de verificação de inspeção dos Serviços de Nuvem The Cloud Services Due Diligence Checklist Quem na Microsoft pode acessar seus dados e em quais termosWho in Microsoft can access your data on what terms
Centro de dados de última geração, a segurança física, rede seguraState of the art data center, physical security, Secure Network Respondendo às autoridades competentesResponding to law enforcement Conformidade por serviço, local e setorCompliance by service, location & Industry Como a Microsoft protege os dados do cliente nos serviços do AzureHow Microsoft secures customer data in Azure services
Resposta ao incidente de segurança, Responsabilidade compartilhadaSecurity Incident response, Shared Responsibility Padrões de privacidade rigorososStringent privacy standards Revisar a certificação para serviços do Azure, Hub de transparênciaReview certification for Azure services, Transparency hub

Recursos para proteger dados e aplicativosFeatures to secure data and application

Dependendo do modelo de serviço de nuvem, a responsabilidade de quem gerencia a segurança do aplicativo ou serviço varia.Depending on the cloud service model, there is variable responsibility for who is responsible for managing the security of the application or service. Há recursos disponíveis na Plataforma Azure para ajudar você a cumprir essas responsabilidades por meio de recursos internos, e soluções de parceiros que podem ser implantadas em uma assinatura do Azure.There are capabilities available in the Azure Platform to assist you in meeting these responsibilities through built-in features, and through partner solutions that can be deployed into an Azure subscription.

Os recursos internos são organizados em seis áreas funcionais: operações, aplicativos, armazenamento, rede, computação e identidade.The built-in capabilities are organized in six functional areas: Operations, Applications, Storage, Networking, Compute, and Identity. Detalhes adicionais sobre os recursos e funcionalidades disponíveis na plataforma do Azure nessas seis áreas são fornecidos por meio de informações de resumo.Additional detail on the features and capabilities available in the Azure Platform in these six areas are provided through summary information.

OperaçõesOperations

Esta seção fornece outras informações sobre os principais recursos em operações de segurança, e informações de resumo sobre esses recursos.This section provides additional information regarding key features in security operations and summary information about these capabilities.

Painel Segurança e AuditoriaSecurity and Audit Dashboard

A solução de Segurança e Auditoria fornece uma exibição abrangente da postura de segurança de TI de sua organização com consultas de pesquisa internas para problemas importantes que exigem atenção.The Security and Audit solution provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. O painel de segurança e auditoria é a tela inicial para tudo relacionado à segurança em logs de Azure monitor.The Security and Audit dashboard is the home screen for everything related to security in Azure Monitor logs. Ela fornece uma análise de alto nível do estado de segurança de seus computadores.It provides high-level insight into the Security state of your computers. Também inclui a capacidade de exibir todos os eventos das últimas 24 horas, dos últimos sete dias ou de qualquer outro intervalo de tempo personalizado.It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

Além disso, você pode configurar a Segurança e Conformidade para realizar automaticamente ações específicas quando um evento específico for detectado.In addition, you can configure Security & Compliance to automatically carry out specific actions when a specific event is detected.

Azure Resource ManagerAzure Resource Manager

Azure Resource Manager permite que você trabalhe com os recursos em sua solução como um grupo.Azure Resource Manager enables you to work with the resources in your solution as a group. Você pode implantar, atualizar ou excluir todos os recursos da sua solução em uma única operação coordenada.You can deploy, update, or delete all the resources for your solution in a single, coordinated operation. Use um modelo do Azure Resource Manager para a implantação, e esse modelo pode ser útil para diferentes ambientes, como teste, preparação e produção.You use an Azure Resource Manager template for deployment and that template can work for different environments such as testing, staging, and production. O Gerenciador de Recursos fornece recursos de segurança, auditoria e marcação para ajudá-lo a gerenciar seus recursos após a implantação.Resource Manager provides security, auditing, and tagging features to help you manage your resources after deployment.

As implantações baseadas em modelos do Azure Resource Manager ajudam a melhorar a segurança das soluções implantadas no Azure devido às configurações de controle de segurança padrão, e podem ser integradas às implantações baseadas em modelo padronizadas.Azure Resource Manager template-based deployments help improve the security of solutions deployed in Azure because standard security control settings and can be integrated into standardized template-based deployments. Isso reduz o risco de erros de configuração de segurança que podem ocorrer durante as implantações manuais.This reduces the risk of security configuration errors that might take place during manual deployments.

Application InsightsApplication Insights

O Application insights é um serviço de gerenciamento de desempenho de aplicativos (APM) extensível para desenvolvedores da Web.Application Insights is an extensible Application Performance Management (APM) service for web developers. Com o Application Insights, você pode monitorar seus aplicativos Web ativos e detectar automaticamente as anomalias no desempenho.With Application Insights, you can monitor your live web applications and automatically detect performance anomalies. Ele inclui ferramentas de análise avançadas para ajudar você a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo.It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your apps. Ele monitora seus aplicativos em todo o tempo de execução, tanto durante o teste quanto depois de publicado ou implantado.It monitors your application all the time it's running, both during testing and after you've published or deployed it.

O Application Insights cria gráficos e tabelas que mostram, por exemplo, em que horas do dia você tem mais usuários, o nível de capacidade de resposta do aplicativo e quão bem ele é atendido por quaisquer serviços externos dos quais depende.Application Insights creates charts and tables that show you, for example, what times of day you get most users, how responsive the app is, and how well it is served by any external services that it depends on.

Se houver travamentos, falhas ou problemas de desempenho, você pode pesquisar os dados de telemetria em detalhes para diagnosticar a causa.If there are crashes, failures or performance issues, you can search through the telemetry data in detail to diagnose the cause. E o serviço enviará a você emails se houver alterações na disponibilidade e no desempenho de seu aplicativo.And the service sends you emails if there are any changes in the availability and performance of your app. Assim, o Application Insight torna-se uma ferramenta de segurança importante, pois ajuda com a disponibilidade na tríade de segurança de disponibilidade, integridade e confidencialidade.Application Insight thus becomes a valuable security tool because it helps with the availability in the confidentiality, integrity, and availability security triad.

Azure MonitorAzure Monitor

O Azure Monitor oferece a visualização, consulta, roteamento, alertas, dimensionamento automático e automação nos dados da infraestrutura do Azure (Logs de Atividade) e de cada recurso individual do Azure( Logs de Diagnóstico).Azure Monitor offers visualization, query, routing, alerting, auto scale, and automation on data both from the Azure infrastructure (Activity Log) and each individual Azure resource (Diagnostic Logs). Use o Azure Monitor para receber alertas sobre eventos relacionados à segurança que são gerados nos logs do Azure.You can use Azure Monitor to alert you on security-related events that are generated in Azure logs.

Logs do Azure MonitorAzure Monitor logs

Logs de Azure monitor – fornece uma solução de gerenciamento de ti para infraestrutura local e de terceiros baseada em nuvem (como AWS), além dos recursos do Azure.Azure Monitor logs – Provides an IT management solution for both on-premises and third-party cloud-based infrastructure (such as AWS) in addition to Azure resources. Os dados de Azure Monitor podem ser roteados diretamente para Azure Monitor logs para que você possa ver as métricas e os logs de todo o seu ambiente em um único lugar.Data from Azure Monitor can be routed directly to Azure Monitor logs so you can see metrics and logs for your entire environment in one place.

Os logs de Azure Monitor podem ser uma ferramenta útil em análise forense e outras análises de segurança, pois a ferramenta permite que você pesquise rapidamente por grandes quantidades de entradas relacionadas à segurança com uma abordagem de consulta flexível.Azure Monitor logs can be a useful tool in forensic and other security analysis, as the tool enables you to quickly search through large amounts of security-related entries with a flexible query approach. Além disso, os logs de firewall e proxy locais podem ser exportados para o Azure e disponibilizados para análise usando logs de Azure monitor.In addition, on-premises firewall and proxy logs can be exported into Azure and made available for analysis using Azure Monitor logs.

Assistente do AzureAzure Advisor

O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a otimizar suas implantações do Azure.Azure Advisor is a personalized cloud consultant that helps you to optimize your Azure deployments. Ele analisa a configuração dos recursos e a telemetria do uso.It analyzes your resource configuration and usage telemetry. Em seguida, ele recomenda soluções para ajudar a melhorar o desempenho, a segurançae a alta disponibilidade de seus recursos, ao mesmo tempo em que procura oportunidades para reduzir o gasto geral do Azure.It then recommends solutions to help improve the performance, security, and high availability of your resources while looking for opportunities to reduce your overall Azure spend. O Assistente do Azure fornece recomendações de segurança, o que pode melhorar consideravelmente sua postura de segurança geral para soluções implantadas no Azure.Azure Advisor provides security recommendations, which can significantly improve your overall security posture for solutions you deploy in Azure. Essas recomendações são obtidas da análise de segurança executada pela Central de Segurança do Azure.These recommendations are drawn from security analysis performed by Azure Security Center.

Central de Segurança do AzureAzure Security Center

A central de segurança ajuda você a prevenir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos recursos do Azure.Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Além disso, a central de segurança ajuda com as operações de segurança, fornecendo um único painel que superfícies alertas e recomendações que podem ser acionadas imediatamente.In addition, Security Center helps with security operations by providing you a single dashboard that surfaces alerts and recommendations that can be acted upon immediately. Geralmente, você pode corrigir problemas com um único clique dentro do console da central de segurança.Often, you can remediate issues with a single click within the Security Center console.

AplicativosApplications

A seção fornece outras informações sobre os principais recursos em segurança do aplicativo e informações de resumo sobre esses recursos.The section provides additional information regarding key features in application security and summary information about these capabilities.

Verificação de vulnerabilidades de aplicativos WebWeb Application vulnerability scanning

Uma das maneiras mais fáceis de começar a usar testes de vulnerabilidades no aplicativo Serviço de Aplicativo é usar a integração ao Tinfoil Security para executar o exame de vulnerabilidades com um clique no aplicativo.One of the easiest ways to get started with testing for vulnerabilities on your App Service app is to use the integration with Tinfoil Security to perform one-click vulnerability scanning on your app. Você pode exibir os resultados do teste em um relatório de fácil compreensão e aprender como corrigir cada vulnerabilidade com instruções passo a passo.You can view the test results in an easy-to-understand report, and learn how to fix each vulnerability with step-by-step instructions.

Teste de penetraçãoPenetration Testing

Se preferir realizar seus próprios testes de penetração ou se desejar usar outro pacote de scanners ou provedor, você deverá seguir o processo de aprovação do teste de penetração do Azure e obter aprovação prévia para realizar os testes de penetração desejados.If you prefer to perform your own penetration tests or want to use another scanner suite or provider, you must follow the Azure penetration testing approval process and obtain prior approval to perform the desired penetration tests.

Firewall do aplicativo WebWeb Application firewall

O WAF (firewall de aplicativo Web) no Gateway de Aplicativo do Azure protege os aplicativos Web contra ataques comuns baseados na Web, como injeção de SQL, ataques de scripts entre sites e sequestros de sessão.The web application firewall (WAF) in Azure Application Gateway helps protect web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacking. Ele vem pré-configurado com proteção contra as ameaças identificadas pelo OWASP (Projeto Aberto de Segurança em Aplicativo Web) como as 10 vulnerabilidades mais comuns.It comes preconfigured with protection from threats identified by the Open Web Application Security Project (OWASP) as the top 10 common vulnerabilities.

Autenticação e autorização no Serviço de Aplicativo do AzureAuthentication and authorization in Azure App Service

A autenticação/autorização do serviço de aplicativo é um recurso que fornece uma maneira para seu aplicativo conectar usuários para que você não precise alterar o código no back-end do aplicativo.App Service Authentication / Authorization is a feature that provides a way for your application to sign in users so that you don't have to change code on the app backend. Ele fornece uma maneira fácil de proteger o aplicativo e trabalhar com dados por usuário.It provides an easy way to protect your application and work with per-user data.

Arquitetura de segurança em camadasLayered Security Architecture

Como os Ambientes do Serviço de Aplicativo fornecem um ambiente de runtime isolado implantado em uma Rede Virtual do Azure, os desenvolvedores podem criar uma arquitetura de segurança em camadas fornecendo níveis diferentes de acesso à rede para cada camada de aplicativo.Since App Service Environments provide an isolated runtime environment deployed into an Azure Virtual Network, developers can create a layered security architecture providing differing levels of network access for each application tier. Um desejo comum é ocultar os back-ends de API do acesso à Internet geral e só permitir que as APIs sejam chamadas por aplicativos Web upstream.A common desire is to hide API back-ends from general Internet access, and only allow APIs to be called by upstream web apps. Os NSGs (grupos de segurança de rede) podem ser usados em sub-redes da Rede Virtual do Azure contendo Ambientes do Serviço de Aplicativo para restringir o acesso público aos aplicativos da API.Network Security groups (NSGs) can be used on Azure Virtual Network subnets containing App Service Environments to restrict public access to API applications.

Diagnóstico de servidor Web e diagnóstico de aplicativosWeb server diagnostics and application diagnostics

Os aplicativos Web do Serviço de Aplicativo oferecem funcionalidade de diagnóstico para registro em log tanto de informações do servidor Web quanto do aplicativo Web.App Service web apps provide diagnostic functionality for logging information from both the web server and the web application. Eles são separados logicamente no diagnóstico do servidor Web e no Application Diagnostics.These are logically separated into web server diagnostics and application diagnostics. O servidor Web inclui dois grandes avanços em diagnóstico e solução de problemas de sites e aplicativos.Web server includes two major advances in diagnosing and troubleshooting sites and applications.

O primeiro são informações de estado em tempo real sobre pools de aplicativos, processos de trabalho, sites, domínios de aplicativo e solicitações em execução.The first new feature is real-time state information about application pools, worker processes, sites, application domains, and running requests. O segundo são os eventos de rastreamento detalhados que rastreiam uma solicitação por todo o processo de solicitação e resposta.The second new advantages are the detailed trace events that track a request throughout the complete request-and-response process.

Para habilitar a coleta desses eventos de rastreamento, o IIS 7 pode ser configurado para capturar automaticamente os logs de rastreamento completos, em formato XML, para qualquer solicitação específica com base no tempo decorrido ou em códigos de resposta do erro.To enable the collection of these trace events, IIS 7 can be configured to automatically capture full trace logs, in XML format, for any particular request based on elapsed time or error response codes.

Diagnóstico de servidor WebWeb server diagnostics

Você pode habilitar ou desabilitar os seguintes tipos de logs:You can enable or disable the following kinds of logs:

  • Registro em Log Detalhado de Erros - informações detalhadas de erros para códigos de status HTTP que indiquem uma falha (código de status 400 ou superior).Detailed Error Logging - Detailed error information for HTTP status codes that indicate a failure (status code 400 or greater). Isto pode conter informações que podem ajudar a determinar por que o servidor retornou o código de erro.This may contain information that can help determine why the server returned the error code.

  • Falha no Rastreamento de Solicitação - informações detalhadas sobre solicitações com falha, incluindo um rastreamento dos componentes IIS usados para processar a solicitação e o tempo levado em cada componente.Failed Request Tracing - Detailed information on failed requests, including a trace of the IIS components used to process the request and the time taken in each component. Isto pode ser útil se você está tentando melhorar o desempenho do site ou isolar o que está causando o retorno de um erro específico de HTTP.This can be useful if you are attempting to increase site performance or isolate what is causing a specific HTTP error to be returned.

  • Registro em Log de Servidor Web - informações sobre transações HTTP usando o formato de arquivo de log estendido W3C.Web Server Logging - Information about HTTP transactions using the W3C extended log file format. Este é útil para determinar as métricas gerais do site, como o número de solicitações manipuladas e quantas solicitações existem vindas de um endereço IP específico.This is useful when determining overall site metrics such as the number of requests handled or how many requests are from a specific IP address.

Diagnóstico de aplicativoApplication diagnostics

O Application Diagnostics permite que você capture informações produzidas por um aplicativo Web.Application diagnostics allows you to capture information produced by a web application. Os aplicativos ASP.NET podem usar a classe Rastreamento.de.Diagnóstico.de.Sistema para registrar informações no log de diagnóstico do aplicativo.ASP.NET applications can use the System.Diagnostics.Trace class to log information to the application diagnostics log. No Application Diagnostics, há dois tipos principais de eventos: aqueles relacionados ao desempenho do aplicativo e aqueles relacionados a erros e falhas do aplicativo.In Application Diagnostics, there are two major types of events, those related to application performance and those related to application failures and errors. As falhas e erros podem ser divididos em problemas de conectividade, segurança e de falha.The failures and errors can be divided further into connectivity, security, and failure issues. Os problemas de falha normalmente estão relacionados a um problema com o código do aplicativo.Failure issues are typically related to a problem with the application code.

No Application Diagnostics, você pode ver os eventos agrupados destas maneiras:In Application Diagnostics, you can view events grouped in these ways:

  • Todos (exibe todos os eventos)All (displays all events)
  • Erros do Aplicativo (exibe eventos de exceção)Application Errors (displays exception events)
  • Desempenho (exibe eventos de desempenho)Performance (displays performance events)

ArmazenamentoStorage

A seção fornece outras informações sobre os principais recursos em segurança de armazenamento do Azure e informações de resumo sobre esses recursos.The section provides additional information regarding key features in Azure storage security and summary information about these capabilities.

RBAC (Controle de Acesso Baseado em Função)Role-Based Access Control (RBAC)

Você pode proteger a conta de armazenamento com o RBAC (Controle de Acesso Baseado em Função).You can secure your storage account with Role-Based Access Control (RBAC). Restringir o acesso com base na necessidade de conhecer e aos princípios de segurança de privilégios mínimos é imperativo para organizações que desejam impor políticas de segurança para acesso a dados.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce Security policies for data access. Esses direitos de acesso são concedidos atribuindo a função apropriada do Azure a grupos e aplicativos em um determinado escopo.These access rights are granted by assigning the appropriate Azure role to groups and applications at a certain scope. Você pode usar funções internas do Azure, como colaborador da conta de armazenamento, para atribuir privilégios aos usuários.You can use Azure built-in roles, such as Storage Account Contributor, to assign privileges to users. O acesso às chaves de armazenamento para uma conta de armazenamento usando o modelo Azure Resource Manager pode ser controlado por meio do RBAC (Controle de Acesso Baseado em Função).Access to the storage keys for a storage account using the Azure Resource Manager model can be controlled through Role-Based Access Control (RBAC).

Assinatura de acesso compartilhadoShared Access Signature

Uma SAS (assinatura de acesso compartilhado) fornece acesso delegado aos recursos em sua conta de armazenamento.A shared access signature (SAS) provides delegated access to resources in your storage account. A SAS significa que você pode conceder a um cliente permissões limitadas para objetos em sua conta de armazenamento por determinado período e com um conjunto específico de permissões.The SAS means that you can grant a client limited permissions to objects in your storage account for a specified period and with a specified set of permissions. Você pode conceder essas permissões limitadas sem precisar compartilhar as chaves de acesso da conta.You can grant these limited permissions without having to share your account access keys.

Criptografia em trânsitoEncryption in Transit

A criptografia em trânsito é um mecanismo de proteção de dados quando eles são transmitidos entre redes.Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Com o Armazenamento do Azure, você pode proteger dados usando:With Azure Storage, you can secure data using:

Criptografar em repousoEncryption at rest

Para muitas organizações, a criptografia de dados em repouso é uma etapa obrigatória no sentido de garantir a soberania, a privacidade e a conformidade dos dados.For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Há três recursos de segurança de armazenamento do Azure que fornecem criptografia de dados que estão “em repouso”:There are three Azure storage security features that provide encryption of data that is “at rest”:

Análise de ArmazenamentoStorage Analytics

Análise de armazenamento do Azure executa o registro em log e fornece dados de métrica para uma conta de armazenamento.Azure Storage Analytics performs logging and provides metrics data for a storage account. Você pode usar esses dados para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento.You can use this data to trace requests, analyze usage trends, and diagnose issues with your storage account. A análise de armazenamento registra informações detalhadas sobre solicitações bem-sucedidas e com falha para um serviço de armazenamento.Storage Analytics logs detailed information about successful and failed requests to a storage service. Essas informações podem ser usadas para monitorar solicitações individuais e diagnosticar problemas com um serviço de armazenamento.This information can be used to monitor individual requests and to diagnose issues with a storage service. As solicitações são registradas em uma base de melhor esforço.Requests are logged on a best-effort basis. Os seguintes tipos de solicitações autenticadas são registrados:The following types of authenticated requests are logged:

  • Solicitações bem sucedidas.Successful requests.

  • Solicitações com falha, incluindo o tempo limite, limitação, rede, autorização e outros erros.Failed requests, including timeout, throttling, network, authorization, and other errors.

  • Solicitações que usam uma SAS (Assinatura de Acesso Compartilhado), incluindo solicitações bem-sucedidas e com falha.Requests using a Shared Access Signature (SAS), including failed and successful requests.

  • Solicitações para dados de análise.Requests to analytics data.

Habilitar clientes com base no navegador usando CORSEnabling Browser-Based Clients Using CORS

CORS (Compartilhamento de recursos entre origens) é um mecanismo que permite que os domínios troquem permissões para acessar recursos uns dos outros.Cross-Origin Resource Sharing (CORS) is a mechanism that allows domains to give each other permission for accessing each other’s resources. O Agente do Usuário envia cabeçalhos adicionais para garantir que o código JavaScript carregado de um determinado domínio tenha permissão para acessar os recursos localizados em outro domínio.The User Agent sends extra headers to ensure that the JavaScript code loaded from a certain domain is allowed to access resources located at another domain. Depois, o último domínio responde com cabeçalhos adicionais, permitindo ou negando o acesso do domínio original aos seus recursos.The latter domain then replies with extra headers allowing or denying the original domain access to its resources.

Agora, os serviços de armazenamento do Azure oferecem suporte a CORS, para que depois de definir as regras de CORS para o serviço, uma solicitação autenticada corretamente feita no serviço de um domínio diferente será avaliada para determinar se é permitida de acordo com as regras que você especificou.Azure storage services now support CORS so that once you set the CORS rules for the service, a properly authenticated request made against the service from a different domain is evaluated to determine whether it is allowed according to the rules you have specified.

RedeNetworking

A seção fornece outras informações sobre os principais recursos em segurança de rede do Azure e informações de resumo sobre esses recursos.The section provides additional information regarding key features in Azure network security and summary information about these capabilities.

Controles de camada de redeNetwork Layer Controls

O controle de acesso à rede é o ato de limitar a conectividade de entrada ou saída de sub-redes ou dispositivos específicos e representa o aspecto fundamental da segurança de rede.Network access control is the act of limiting connectivity to and from specific devices or subnets and represents the core of network security. O objetivo do controle de acesso à rede é certificar-se de que suas máquinas virtuais e seus serviços são acessíveis apenas aos usuários e dispositivos para os quais você deseja que tenham esse acesso.The goal of network access control is to make sure that your virtual machines and services are accessible to only users and devices to which you want them accessible.

Grupos de segurança de redeNetwork Security Groups

Um NSG (Grupo de Segurança de Rede) é um firewall básico de filtragem de pacotes com estado e permite o controle do acesso baseado em uma sequência de 5 tuplas.A Network Security Group (NSG) is a basic stateful packet filtering firewall and it enables you to control access based on a 5-tuple. Os NSGs não fornecem inspeção da camada de aplicativo nem controles de acesso autenticado.NSGs do not provide application layer inspection or authenticated access controls. Eles podem ser usados para controlar o tráfego entre sub-redes dentro de uma Rede Virtual do Azure e o tráfego entre uma Rede Virtual do Azure e a Internet.They can be used to control traffic moving between subnets within an Azure Virtual Network and traffic between an Azure Virtual Network and the Internet.

Controle de rota e túnel forçadoRoute Control and Forced Tunneling

A capacidade de controlar o comportamento de roteamento em suas Redes Virtuais do Azure é uma funcionalidade crítica de controle de acesso e segurança de rede.The ability to control routing behavior on your Azure Virtual Networks is a critical network security and access control capability. Por exemplo, se você quiser ter certeza de que todo o tráfego de entrada e saída da Rede Virtual do Azure passa por esse dispositivo de segurança virtual, será necessário conseguir controlar e personalizar o comportamento do roteamento.For example, if you want to make sure that all traffic to and from your Azure Virtual Network goes through that virtual security appliance, you need to be able to control and customize routing behavior. É possível fazer isso configurando as Rotas Definidas pelo Usuário no Azure.You can do this by configuring User-Defined Routes in Azure.

As Rotas Definidas pelo Usuário permitem que você personalize os caminhos de entrada e saída de máquinas virtuais individuais ou sub-redes a fim de garantir a rota mais segura possível.User-Defined Routes allow you to customize inbound and outbound paths for traffic moving into and out of individual virtual machines or subnets to insure the most secure route possible. O túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the Internet.

Isso é diferente de poder aceitar conexões de entrada e responder a elas.This is different from being able to accept incoming connections and then responding to them. Os servidores Web front-end precisam responder à solicitação dos hosts da Internet e, portanto, o tráfego originado da Internet tem permissão de entrada nesses servidores Web, que, por sua vez, podem responder.Front-end web servers need to respond to requests from Internet hosts, and so Internet-sourced traffic is allowed inbound to these web servers and the web servers can respond.

O túnel forçado é normalmente usado para forçar o tráfego de saída para a Internet a fim de passar por firewalls e proxies de segurança locais.Forced tunneling is commonly used to force outbound traffic to the Internet to go through on-premises security proxies and firewalls.

Dispositivos de segurança de rede virtualVirtual Network Security Appliances

Embora os Grupos de Segurança de Rede, as Rotas Definidas pelo Usuário e o túnel forçado forneçam um nível de segurança nas camadas de rede e de transporte do modelo OSI, em algumas ocasiões você pode querer habilitar a segurança em níveis superiores da pilha.While Network Security Groups, User-Defined Routes, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, there may be times when you want to enable security at higher levels of the stack. É possível acessar esses recursos avançados de segurança de rede por meio de uma solução de dispositivo de segurança de rede de parceiro do Azure.You can access these enhanced network security features by using an Azure partner network security appliance solution. Você pode encontrar as soluções de segurança de rede do parceiro do Azure mais atuais visitando o Azure Marketplace e procurando por "segurança" e "segurança de rede".You can find the most current Azure partner network security solutions by visiting the Azure Marketplace and searching for “security” and “network security.”

Rede Virtual do AzureAzure Virtual Network

Uma rede virtual do Azure (VNet) é uma representação da sua própria rede na nuvem.An Azure virtual network (VNet) is a representation of your own network in the cloud. É um isolamento lógico da malha de rede do Azure dedicada à sua assinatura.It is a logical isolation of the Azure network fabric dedicated to your subscription. Você pode controlar os blocos de endereços IP, as configurações de DNS, as políticas de segurança e as tabelas de rotas na rede.You can fully control the IP address blocks, DNS settings, security policies, and route tables within this network. Você pode segmentar a VNet em sub-redes e colocar as VMs (máquinas virtuais) de IaaS do Azure e/ou os Serviços de nuvem (instâncias de função de PaaS) em Redes Virtuais do Azure.You can segment your VNet into subnets and place Azure IaaS virtual machines (VMs) and/or Cloud services (PaaS role instances) on Azure Virtual Networks.

Além disso, você pode conectar a rede virtual à sua rede local usando uma das opções de conectividade disponíveis no Azure.Additionally, you can connect the virtual network to your on-premises network using one of the connectivity options available in Azure. Em linhas gerais, você pode expandir sua rede no Azure, com controle total sobre os blocos de endereços IP, com benefícios de escala empresarial proporcionados pelo Azure.In essence, you can expand your network to Azure, with complete control on IP address blocks with the benefit of enterprise scale Azure provides.

A rede do Azure dá suporte a vários cenários de acesso remoto seguro.Azure networking supports various secure remote access scenarios. Entre eles estão:Some of these include:

Gateway de VPNVPN Gateway

Para enviar o tráfego de rede entre sua Rede Virtual do Azure e seu site local, será necessário criar um gateway de VPN para sua Rede Virtual do Azure.To send network traffic between your Azure Virtual Network and your on-premises site, you must create a VPN gateway for your Azure Virtual Network. Um gateway de VPN é um tipo de gateway de rede virtual que envia o tráfego criptografado em uma conexão pública.A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Você também pode usar gateways de VPN para enviar o tráfego entre as Redes Virtuais do Azure pela malha de rede do Azure.You can also use VPN gateways to send traffic between Azure Virtual Networks over the Azure network fabric.

ExpressRouteExpress Route

O Microsoft Azure ExpressRoute é uma conexão WAN dedicada que permite que você estenda suas redes locais até a nuvem da Microsoft por meio de uma conexão privada dedicada, facilitada por um provedor de conectividade.Microsoft Azure ExpressRoute is a dedicated WAN link that lets you extend your on-premises networks into the Microsoft cloud over a dedicated private connection facilitated by a connectivity provider.

ExpressRoute

Com o ExpressRoute, você pode estabelecer conexões com os serviços de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Microsoft 365, and CRM Online. A conectividade pode ocorrer de uma rede “qualquer para qualquer” (VPN IP), uma rede Ethernet ponto a ponto ou uma conexão cruzada virtual por meio de um provedor de conectividade em uma colocalização.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

As conexões de ExpressRoute não passam pela Internet pública e, portanto, podem ser consideradas mais seguras do que soluções de VPN.ExpressRoute connections do not go over the public Internet and thus can be considered more secure than VPN-based solutions. Isso permite que as conexões de ExpressRoute ofereçam mais confiabilidade, mais velocidade, latências menores e muito mais segurança do que as conexões típicas pela Internet.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

Gateway de AplicativoApplication Gateway

O Gateway de Aplicativo do Microsoft Azure fornece um ADC (Controlador de Entrega de Aplicativos) como um serviço, oferecendo vários recursos de balanceamento de carga de camada 7 para o aplicativo.Microsoft Azure Application Gateway provides an Application Delivery Controller (ADC) as a service, offering various layer 7 load balancing capabilities for your application.

Gateway de Aplicativo

Ele permite que você otimize a produtividade web farm descarregando a terminação de TLS com uso intensivo de CPU para o gateway de aplicativo (também conhecido como "descarregamento de TLS" ou "ponte TLS").It allows you to optimize web farm productivity by offloading CPU intensive TLS termination to the Application Gateway (also known as “TLS offload” or “TLS bridging”). Ele também fornece outros recursos de roteamento de Camada 7, incluindo distribuição round robin do tráfego de entrada, afinidade de sessão, roteamento com base no caminho de URL e a capacidade de hospedar vários sites por trás de um único Gateway de Aplicativo baseado em cookie.It also provides other Layer 7 routing capabilities including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single Application Gateway. O Gateway de Aplicativo do Azure é um balanceador de carga de camada 7.Azure Application Gateway is a layer-7 load balancer.

Ele fornece o failover e solicitações HTTP de roteamento de desempenho entre diferentes servidores, estejam eles na nuvem ou no local.It provides failover, performance-routing HTTP requests between different servers, whether they are on the cloud or on-premises.

O aplicativo fornece muitos recursos do ADC (controlador de entrega de aplicativos), incluindo balanceamento de carga HTTP, afinidade de sessão baseada em cookie, descarregamento de TLS, investigações de integridade personalizadas, suporte para vários sites e muitos outros.Application provides many Application Delivery Controller (ADC) features including HTTP load balancing, cookie-based session affinity, TLS offload, custom health probes, support for multi-site, and many others.

Firewall do Aplicativo WebWeb Application Firewall

O Firewall do aplicativo Web é um recurso do Gateway de Aplicativo do Azure que fornece proteção para aplicativos Web que utilizam o gateway de aplicativo para as funções ADC (controle de entrega de aplicativos) padrão.Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control (ADC) functions. O firewall do aplicativo Web faz isso protegendo-os contra a maioria das 10 vulnerabilidades mais comuns da Web segundo o OWASP.Web application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities.

Firewall do Aplicativo Web

  • Proteção contra injeção de SQLSQL injection protection

  • Proteção Contra Ataques Comuns da Web, como a injeção de comandos, as solicitações HTTP indesejadas, a divisão de resposta HTTP e o ataque de inclusão de arquivo remotoCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Proteção contra violações de protocolo HTTPProtection against HTTP protocol violations

  • Proteção contra anomalias de protocolo HTTP, como ausência de host de agente do usuário e de cabeçalhos de aceitaçãoProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevenção contra bots, rastreadores e scannersPrevention against bots, crawlers, and scanners

  • Detecção de problemas de configuração de aplicativo comuns (ou seja, Apache, IIS etc.)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

Um firewall do aplicativo Web para proteger contra ataques da Web simplifica muito o gerenciamento de segurança e oferece mais garantia para o aplicativo contra ameaças de invasões.A centralized web application firewall to protect against web attacks makes security management much simpler and gives better assurance to the application against the threats of intrusions. Uma solução WAF também pode reagir a uma ameaça de segurança mais rapidamente ao aplicar um patch contra uma vulnerabilidade conhecida em um local central do que a proteção de cada um dos aplicativos Web individuais.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. Os gateways de aplicativos existentes podem ser facilmente convertidos em um gateway de aplicativo com o firewall do aplicativo Web.Existing application gateways can be converted to an application gateway with web application firewall easily.

Gerenciador de TráfegoTraffic Manager

O Gerenciador de Tráfego do Microsoft Azure permite controlar a distribuição do tráfego do usuário para pontos de extremidade do serviço em diferentes datacenters.Microsoft Azure Traffic Manager allows you to control the distribution of user traffic for service endpoints in different data centers. Os pontos de extremidade de serviço com suporte no Gerenciador de Tráfego incluem VMs do Azure, Aplicativos Web e Serviços de Nuvem.Service endpoints supported by Traffic Manager include Azure VMs, Web Apps, and Cloud services. Você também pode usar o Gerenciador de Tráfego com pontos de extremidade externos e não do Azure.You can also use Traffic Manager with external, non-Azure endpoints. O Gerenciador de Tráfego usa o DNS (Sistema de Nome de Domínio) para direcionar solicitações de cliente para o ponto de extremidade mais apropriado com base em um método de roteamento de tráfego e a integridade dos pontos de extremidade.Traffic Manager uses the Domain Name System (DNS) to direct client requests to the most appropriate endpoint based on a traffic-routing method and the health of the endpoints.

O Gerenciador de Tráfego oferece uma variedade de métodos de roteamento de tráfego para atender às necessidades de diferentes aplicativo, monitoramento de integridade do ponto de extremidade e failover automático.Traffic Manager provides a range of traffic-routing methods to suit different application needs, endpoint health monitoring, and automatic failover. O Gerenciador de Tráfego é resistente a falhas, incluindo a falha de toda a região do Azure.Traffic Manager is resilient to failure, including the failure of an entire Azure region.

Azure Load BalancerAzure Load Balancer

O Azure Load Balancer oferece alta disponibilidade e desempenho de rede para seus aplicativos.Azure Load Balancer delivers high availability and network performance to your applications. É um balanceador de carga do tipo Camada 4 (TCP, UDP) que distribui o tráfego de entrada entre as instâncias de serviço íntegras definidas em um conjunto de balanceadores de carga.It is a Layer 4 (TCP, UDP) load balancer that distributes incoming traffic among healthy instances of services defined in a load-balanced set. O Azure Load Balancer pode ser configurado para:Azure Load Balancer can be configured to:

  • Balancear carga de tráfego de entrada na Internet para máquinas virtuais.Load balance incoming Internet traffic to virtual machines. Essa configuração é conhecida como balanceamento de carga público.This configuration is known as public load balancing.

  • Balanceie o tráfego de carga entre as máquinas virtuais em uma rede virtual, entre as máquinas virtuais nos serviços de nuvem ou entre os computadores locais e as máquinas virtuais em uma rede virtual entre as instalações.Load balance traffic between virtual machines in a virtual network, between virtual machines in cloud services, or between on-premises computers and virtual machines in a cross-premises virtual network. Essa configuração é conhecida como balanceamento de carga interno.This configuration is known as internal load balancing.

  • Encaminhe o tráfego externo para uma máquina virtual específicaForward external traffic to a specific virtual machine

DNS internoInternal DNS

Você pode gerenciar a lista de servidores DNS usados em uma VNet no Portal de Gerenciamento ou no arquivo de configuração de rede.You can manage the list of DNS servers used in a VNet in the Management Portal, or in the network configuration file. O cliente pode adicionar até 12 servidores DNS para cada VNet.Customer can add up to 12 DNS servers for each VNet. Ao especificar servidores DNS, é importante verificar se os servidores DNS do cliente estão listados na ordem correta para o ambiente de seu cliente.When specifying DNS servers, it's important to verify that you list customer’s DNS servers in the correct order for customer’s environment. As listas de servidores DNS não funcionam em round robin.DNS server lists do not work round-robin. Elas são usadas na ordem em que foram especificadas.They are used in the order that they are specified. Se o primeiro servidor DNS na lista puder ser alcançado, o cliente usará esse servidor DNS independentemente de ele estar funcionando corretamente.If the first DNS server on the list is able to be reached, the client uses that DNS server regardless of whether the DNS server is functioning properly or not. Para alterar a ordem de servidor DNS para a rede virtual de seu cliente, remova os servidores DNS da lista e adicione-os na ordem desejada pelo cliente.To change the DNS server order for customer’s virtual network, remove the DNS servers from the list and add them back in the order that customer wants. O DNS oferece suporte ao aspecto de disponibilidade da tríade de segurança "CIA".DNS supports the availability aspect of the “CIA” security triad.

DNS do AzureAzure DNS

O sistema de nomes de domínio, ou DNS, é responsável por converter (ou seja, resolver) um nome do site ou serviço para seu endereço IP.The Domain Name System, or DNS, is responsible for translating (or resolving) a website or service name to its IP address. DNS do Azure é um serviço de hospedagem para domínios DNS, que fornece resolução de nomes usando a infraestrutura do Microsoft Azure.Azure DNS is a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Ao hospedar seus domínios no Azure, você pode gerenciar seus registros DNS usando as mesmas credenciais, APIs, ferramentas e cobrança que seus outros serviços do Azure.By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services. O DNS oferece suporte ao aspecto de disponibilidade da tríade de segurança "CIA".DNS supports the availability aspect of the “CIA” security triad.

Logs de Azure Monitor NSGsAzure Monitor logs NSGs

Você pode habilitar as seguintes categorias de log de diagnóstico para NSGs:You can enable the following diagnostic log categories for NSGs:

  • Evento: contém entradas para as regras NSG que são aplicadas às VMs e funções de instância com base no endereço MAC.Event: Contains entries for which NSG rules are applied to VMs and instance roles based on MAC address. O status para essas regras é coletado a cada 60 segundos.The status for these rules is collected every 60 seconds.

  • Contador de regras: contém entradas de quantas vezes cada regra NSG é aplicada para negar ou permitir tráfego.Rules counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

Central de SegurançaSecurity Center

A central de segurança do Azure analisa continuamente o estado de segurança de seus recursos do Azure para práticas recomendadas de segurança de rede.Azure Security Center continuously analyzes the security state of your Azure resources for network security best practices. Quando a central de segurança identifica possíveis vulnerabilidades de segurança, ele cria recomendações que orientam você pelo processo de configuração dos controles necessários para proteger e proteger seus recursos.When Security Center identifies potential security vulnerabilities, it creates recommendations that guide you through the process of configuring the needed controls to harden and protect your resources.

ComputaçãoCompute

A seção fornece outras informações sobre os principais recursos nessa área e informações de resumo sobre esses recursos.The section provides additional information regarding key features in this area and summary information about these capabilities.

Antimalware e antivírusAntimalware & Antivirus

Com o Azure IaaS, você pode usar o software antimalware dos fornecedores de segurança, como Microsoft, Symantec, Trend Micro, McAfee e Kaspersky, para proteger suas máquinas virtuais contra arquivos maliciosos, adware e outras ameaças.With Azure IaaS, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, McAfee, and Kaspersky to protect your virtual machines from malicious files, adware, and other threats. O Microsoft Antimalware para Serviços de Nuvem e Máquinas Virtuais do Azure é uma funcionalidade de proteção que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados.Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a protection capability that helps identify and remove viruses, spyware, and other malicious software. O Microsoft Antimalware fornece alertas configuráveis quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure.Microsoft Antimalware provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems. O Microsoft Antimalware também podem ser implantado usando a Central de Segurança do AzureMicrosoft Antimalware can also be deployed using Azure Security Center

Módulos de segurança de hardwareHardware Security Module

A autenticação e a criptografia não melhoram a segurança, a menos que as próprias chaves estejam bem protegidas.Encryption and authentication do not improve security unless the keys themselves are protected. Você pode simplificar o gerenciamento e a segurança de seus segredos e chaves críticos armazenando-os em Azure Key Vault.You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault. O Key Vault oferece a opção de armazenar as chaves em HSMs (módulos de segurança de hardware) certificados para os padrões FIPS 140-2 nível 2.Key Vault provides the option to store your keys in hardware Security modules (HSMs) certified to FIPS 140-2 Level 2 standards. Suas chaves de criptografia do SQL Server para backup ou Transparent Data Encryption podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos dos seus aplicativos.Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. As permissões e o acesso a esses itens protegidos são gerenciados pelo Azure Active Directory.Permissions and access to these protected items are managed through Azure Active Directory.

Backup de máquinas virtuaisVirtual machine backup

O Backup do Azure é uma solução que protege os dados do seu aplicativo com zero investimento de capital e custos operacionais mínimos.Azure Backup is a solution that protects your application data with zero capital investment and minimal operating costs. Erros de aplicativo podem corromper seus dados e erros humanos podem introduzir bugs em seus aplicativos, o que pode causar problemas de segurança.Application errors can corrupt your data, and human errors can introduce bugs into your applications that can lead to security issues. Com o Backup do Azure, suas máquinas virtuais executando Windows e Linux estão protegidas.With Azure Backup, your virtual machines running Windows and Linux are protected.

Azure Site RecoveryAzure Site Recovery

Uma parte importante da estratégia de BCDR (continuidade dos negócios/recuperação de desastre) de sua organização é descobrir como manter as cargas de trabalho corporativas e aplicativos em execução durante interrupções planejadas e não planejadas.An important part of your organization's business continuity/disaster recovery (BCDR) strategy is figuring out how to keep corporate workloads and apps up and running when planned and unplanned outages occur. O Azure Site Recovery ajuda a orquestrar a replicação, failover e recuperação dos aplicativos e cargas de trabalho para que eles estejam disponíveis a partir de um local secundário, caso o local principal fique inativo.Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they are available from a secondary location if your primary location goes down.

TDE de VM do SQLSQL VM TDE

TDE (Transparent Data Encryption) e CLE (criptografia de nível de coluna) são recursos de criptografia do SQL Server.Transparent data encryption (TDE) and column level encryption (CLE) are SQL server encryption features. Essa forma de criptografia exige que os clientes gerenciem e armazenem as chaves criptográficas usadas para a criptografia.This form of encryption requires customers to manage and store the cryptographic keys you use for encryption.

O serviço Cofre da Chave do Azure (AKV) foi criado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível.The Azure Key Vault (AKV) service is designed to improve the security and management of these keys in a secure and highly available location. O SQL Server Connector permite que o SQL Server use essas chaves do Azure Key Vault.The SQL Server Connector enables SQL Server to use these keys from Azure Key Vault.

Se você estiver executando SQL Server com computadores locais, há etapas que podem ser seguidas para acessar Azure Key Vault da instância SQL Server local.If you are running SQL Server with on-premises machines, there are steps you can follow to access Azure Key Vault from your on-premises SQL Server instance. Mas, para o SQL Server em VMs do Azure, você pode economizar tempo usando o recurso Integração do Azure Key Vault.But for SQL Server in Azure VMs, you can save time by using the Azure Key Vault Integration feature. Com alguns cmdlets do Azure PowerShell para habilitar esse recurso, você poderá automatizar a configuração necessária para que uma VM do SQL acesse seu cofre da chave.With a few Azure PowerShell cmdlets to enable this feature, you can automate the configuration necessary for a SQL VM to access your key vault.

Criptografia de disco da VMVM Disk Encryption

Azure Disk Encryption é um novo recurso que ajuda a criptografar seus discos de máquina virtual IaaS Windows e Linux.Azure Disk Encryption is a new capability that helps you encrypt your Windows and Linux IaaS virtual machine disks. Ele aplica o recurso BitLocker do Windows padrão do setor e o recurso DM-Crypt do Linux para fornecer uma criptografia de volume para o sistema operacional e os discos de dados.It applies the industry standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves de criptografia de disco e os segredos em sua assinatura de Key Vault.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your Key Vault subscription. A solução também garante que todos os dados em discos da máquina virtual sejam criptografados em repouso no armazenamento do Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in your Azure storage.

Rede VirtualVirtual networking

As máquinas virtuais precisam de conectividade de rede.Virtual machines need network connectivity. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais sejam conectadas a uma Rede Virtual do Azure.To support that requirement, Azure requires virtual machines to be connected to an Azure Virtual Network. Uma Rede Virtual do Azure é um constructo lógico criado na malha de rede física do Azure.An Azure Virtual Network is a logical construct built on top of the physical Azure network fabric. Cada Rede Virtual do Azure lógica é isolada das todas as outras Redes Virtuais do Azure.Each logical Azure Virtual Network is isolated from all other Azure Virtual Networks. Esse isolamento ajuda a garantir que o tráfego da rede nas implantações não seja acessível para os outros clientes do Microsoft Azure.This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

Atualizações de patchPatch Updates

As atualizações de patch fornecem a base para encontrar e corrigir problemas em potencial e simplificam o processo de gerenciamento de atualizações de software, tanto reduzindo o número de atualizações de software que você deve implantar em sua empresa quanto aumentando a capacidade de monitorar a conformidade.Patch Updates provide the basis for finding and fixing potential problems and simplify the software update management process, both by reducing the number of software updates you must deploy in your enterprise and by increasing your ability to monitor compliance.

Gerenciamento de política de segurança e emissão de relatóriosSecurity policy management and reporting

A central de segurança ajuda você a prevenir, detectar e responder a ameaças, além de oferecer maior visibilidade e controle sobre a segurança de seus recursos do Azure.Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.It provides integrated Security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Gerenciamento de identidade e de acessoIdentity and access management

A proteção de sistemas, aplicativos e dados começa com controles de acesso baseados em identidade.Securing systems, applications, and data begins with identity-based access controls. Os recursos de gerenciamento de identidades e acesso integrados aos produtos e serviços comerciais da Microsoft ajudam a proteger as informações pessoais e corporativas contra o acesso não autorizado, mas as disponibilizam aos usuários legítimos, quando e onde eles precisarem.The identity and access management features that are built into Microsoft business products and services help protect your organizational and personal information from unauthorized access while making it available to legitimate users whenever and wherever they need it.

Proteção da identidadeSecure Identity

A Microsoft usa várias tecnologias e práticas de segurança em seus produtos e serviços para gerenciar a identidades e o acesso.Microsoft uses multiple security practices and technologies across its products and services to manage identity and access.

  • A Autenticação Multifator exige que os usuários usem vários métodos para obter acesso, localmente e na nuvem.Multi-Factor Authentication requires users to use multiple methods for access, on-premises and in the cloud. Ela fornece uma autenticação forte com uma gama de opções de verificação simples, e proporciona ao usuários um processo de logon simples.It provides strong authentication with a range of easy verification options, while accommodating users with a simple sign-in process.

  • O Microsoft Authenticator fornece uma experiência simples de Autenticação Multifator que funciona com o Microsoft Azure Active Directory e com contas da Microsoft, além de incluir suporte para itens vestíveis e aprovações com base em impressão digital.Microsoft Authenticator provides a user-friendly Multi-Factor Authentication experience that works with both Microsoft Azure Active Directory and Microsoft accounts, and includes support for wearables and fingerprint-based approvals.

  • A Aplicação de políticas de senha aumenta a segurança de senhas tradicionais impondo requisitos de comprimento e complexidade, rotação periódica forçada e bloqueio de conta depois de falhas nas tentativas de autenticação.Password policy enforcement increases the security of traditional passwords by imposing length and complexity requirements, forced periodic rotation, and account lockout after failed authentication attempts.

  • A Autenticação baseada em token permite autenticação via Azure Active Directory.Token-based authentication enables authentication via Azure Active Directory.

  • O Azure RBAC (controle de acesso baseado em função) permite que você conceda acesso com base na função atribuída do usuário, facilitando a concessão dos usuários apenas da quantidade de acesso de que eles precisam para realizar suas tarefas de trabalho.Azure role-based access control (Azure RBAC) enables you to grant access based on the user’s assigned role, making it easy to give users only the amount of access they need to perform their job duties. Você pode personalizar o RBAC de acordo com o modelo de negócios e da tolerância a riscos de sua organização.You can customize RBAC per your organization’s business model and risk tolerance.

  • O Gerenciamento de identidade integrado (identidade híbrida) permite que você mantenha o controle do acesso dos usuários em data centers internos e plataformas de nuvem, criando uma identidade de usuário único para autenticação e autorização para todos os recursos.Integrated identity management (hybrid identity) enables you to maintain control of users’ access across internal datacenters and cloud platforms, creating a single user identity for authentication and authorization to all resources.

Aplicativos e dados segurosSecure Apps and data

O Azure Active Directory é uma solução abrangente de gerenciamento de identidade e acesso na nuvem, ajuda a proteger o acesso aos seus dados em aplicativos locais e na nuvem e simplifica o gerenciamento de usuários e grupos.Azure Active Directory, a comprehensive identity and access management cloud solution, helps secure access to data in applications on site and in the cloud, and simplifies the management of users and groups. Ele combina os principais serviços de diretório, controle de identidade avançado, segurança e gerenciamento de acesso ao aplicativo, facilitando para os desenvolvedores a compilação do gerenciamento de identidade baseado em políticas em seus aplicativos.It combines core directory services, advanced identity governance, security, and application access management, and makes it easy for developers to build policy-based identity management into their apps. Para aprimorar seu Active Directory do Azure, é possível adicionar recursos pagos usando as edições do Azure Active Directory Basic, Premium P1 e Premium P2.To enhance your Azure Active Directory, you can add paid capabilities using the Azure Active Directory Basic, Premium P1, and Premium P2 editions.

Recursos gratuitos/comunsFree / Common Features Recursos básicosBasic Features Recursos do Premium P1Premium P1 Features Recursos do Premium P2Premium P2 Features Ingresso do Active Directory do Azure - apenas para recursos relacionados ao Windows 10Azure Active Directory Join – Windows 10 only related features
Objetos de diretório, Gerenciamento de usuário/grupo (adicionar/atualizar/excluir)/provisionamento baseado em usuário, registro de dispositivo, SSO (logon único), alteração de senha de autoatendimento para usuários de nuvem, conectar (mecanismo de sincronização que estende diretórios locais para Azure Active Directory), relatórios de segurança/usoDirectory Objects, User/Group Management (add/update/delete)/ User-based provisioning, Device registration, Single Sign-On (SSO), Self-Service Password Change for cloud users, Connect (Sync engine that extends on-premises directories to Azure Active Directory), Security / Usage Reports Gerenciamento/provisionamento de acesso baseado em grupo, redefinição de senha de autoatendimento para usuários de nuvem, identidade visual da empresa (personalização de páginas de logon/painel de acesso), proxy de aplicativo, SLA 99,9%Group-based access management / provisioning, Self-Service Password Reset for cloud users, Company Branding (Logon Pages/Access Panel customization), Application Proxy, SLA 99.9% Gerenciamento de grupo e aplicativo de autoatendimento/adições de aplicativo de autoatendimento/grupos dinâmicos, redefinição/alteração/desbloqueio de senha de autoatendimento com write-back local, autenticação multifator (nuvem e local (servidor MFA)), mim Cal + servidor mim, Cloud app Discovery, conexão de integridade, substituição automática de senha para contas de grupoSelf-Service Group and app Management/Self-Service application additions/Dynamic Groups, Self-Service Password Reset/Change/Unlock with on-premises write-back, Multi-Factor Authentication (Cloud and On-premises (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatic password rollover for group accounts Proteção de identidade, Privileged Identity ManagementIdentity Protection, Privileged Identity Management Ingressar um dispositivo no Azure AD, desktop SSO, Microsoft Passport para Azure AD, recuperação do administrador do BitLocker, registro automático do MDM, recuperação do BitLocker de autoatendimento, administradores locais adicionais para dispositivos Windows 10 por meio do ingresso no Azure adJoin a device to Azure AD, Desktop SSO, Microsoft Passport for Azure AD, Administrator BitLocker recovery, MDM auto-enrollment, Self-Service BitLocker recovery, Additional local administrators to Windows 10 devices via Azure AD Join
  • O Cloud App Discovery é um recurso premium do Azure Active Directory que permite identificar os aplicativos em nuvem usados pelos funcionários em sua organização.Cloud App Discovery is a premium feature of Azure Active Directory that enables you to identify cloud applications that are used by the employees in your organization.

  • O Azure Active Directory Identity Protection é um serviço de segurança que usa Azure Active Directory recursos de detecção de anomalias para fornecer uma visão consolidada das detecções de risco e possíveis vulnerabilidades que podem afetar as identidades da sua organização.Azure Active Directory Identity Protection is a security service that uses Azure Active Directory anomaly detection capabilities to provide a consolidated view into risk detections and potential vulnerabilities that could affect your organization’s identities.

  • O Azure Active Directory Domain Services permite ingressar VMs do Azure em um domínio sem precisar implantar controladores de domínio.Azure Active Directory Domain Services enables you to join Azure VMs to a domain without the need to deploy domain controllers. Os usuários entram nessas VMs usando suas credenciais corporativas do Active Directory e podem acessar tranquilamente os recursos.Users sign in to these VMs by using their corporate Active Directory credentials, and can seamlessly access resources.

  • O Azure Active Directory B2C é um serviço de gerenciamento de identidade global, altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades e ser integrado em várias plataformas móveis e da Web.Azure Active Directory B2C is a highly available, global identity management service for consumer-facing apps that can scale to hundreds of millions of identities and integrate across mobile and web platforms. Seus clientes podem entrar em todos os seus aplicativos por meio de experiências personalizáveis que usam contas de mídia social existentes, ou você pode criar novas credenciais autônomas.Your customers can sign in to all your apps through customizable experiences that use existing social media accounts, or you can create new standalone credentials.

  • A Colaboração B2B do Azure Active Directory é uma solução de integração de parceiro seguro que dá suporte a relações entre empresas, permitindo que os parceiros de negócios acessem de maneira seletiva seus aplicativos e dados corporativos usando suas identidades autogerenciadas.Azure Active Directory B2B Collaboration is a secure partner integration solution that supports your cross-company relationships by enabling partners to access your corporate applications and data selectively by using their self-managed identities.

  • O Ingresso no Azure Active Directory permite que você estenda os recursos de nuvem para dispositivos com Windows 10 a fim de proporcionar um gerenciamento centralizado.Azure Active Directory Join enables you to extend cloud capabilities to Windows 10 devices for centralized management. Ele permite que os usuários se conectem à nuvem corporativa ou organizacional por meio do Azure Active Directory e simplifica o acesso a aplicativos e recursos.It makes it possible for users to connect to the corporate or organizational cloud through Azure Active Directory and simplifies access to apps and resources.

  • Proxy de Aplicativo do Azure Active Directory fornece SSO e acesso remoto seguro para aplicativos da Web hospedados no local.Azure Active Directory Application Proxy provides SSO and secure remote access for web applications hosted on-premises.

Próximas etapasNext Steps