Proteger e usar políticas em máquinas virtuais no Azure
Aplica-se a: ✔️ VMs do Linux ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis ✔️ Conjuntos de dimensionamento uniformes
É importante proteger a máquina virtual (VM) nos aplicativos executados. Proteger suas VMs pode incluir um ou mais serviços do Azure e recursos que abrangem o acesso seguro a suas máquinas virtuais e armazenamento seguro de seus dados. Este artigo fornece informações que permite que você mantenha sua VM e aplicativos seguros.
Antimalware
O panorama atual de ameaças a ambientes de nuvem é dinâmico, aumentando a pressão para manter uma proteção eficaz e atender aos requisitos de conformidade e segurança na nuvem. O Microsoft Antimalware para Azure é uma funcionalidade de proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. Os alertas podem ser configurados para notificar você quando se sabe que software mal-intencionado ou indesejado tenta se instalar ou ser executado em sua VM. Não há suporte para ele em VMs com o Linux ou o Windows Server 2008.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem ajuda a prevenir, detectar e responder a ameaças às VMs. O Defender para Nuvem permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.
O acesso Just-In-Time do Defender para Nuvem pode ser aplicado na implantação da VM para bloquear o tráfego de entrada às VMs do Azure, reduzindo a exposição a ataques enquanto fornece acesso fácil para conectar às VMs quando necessário. Quando o Just-In-Time está habilitado e um usuário solicita acesso a uma VM, o Defender para Nuvem verifica quais permissões o usuário tem para a VM. Se o usuário tem as permissões corretas, a solicitação é aprovada e o Defender para Nuvem configura automaticamente os NSGs (Grupos de Segurança de Rede) para permitir o tráfego de entrada às portas selecionadas pelo período limitado. Depois que o tempo expirar, o Defender for Cloud restaura os NSGs aos seus estados anteriores.
Criptografia
Dois métodos de criptografia são oferecidos para discos gerenciados. Criptografia no nível do sistema operacional, que é o Azure Disk Encryption e criptografia no nível da plataforma, que é a criptografia do lado do servidor.
Criptografia no servidor
Os discos gerenciados do Azure criptografam automaticamente os dados por padrão ao enviá-los para a nuvem. A criptografia do lado do servidor ajuda a proteger os dados e atender aos compromissos de conformidade e segurança de sua organização. Os dados nos discos gerenciados são criptografados de maneira transparente usando a criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis, e são compatíveis com o FIPS 140-2.
A criptografia não afeta o desempenho de discos gerenciados. Não há nenhum custo adicional para o uso da criptografia.
Você pode contar com chaves gerenciadas pela plataforma para a criptografia do disco gerenciado ou gerenciar a criptografia usando suas próprias chaves. Se você optar por gerenciar a criptografia com suas próprias chaves, pode especificar uma chave gerenciada pelo cliente a ser usada para criptografar e descriptografar todos os dados nos discos gerenciados.
Para saber mais sobre a criptografia do lado do servidor, veja os artigos para Windows ou Linux.
Azure Disk Encryption
Para conformidade e segurança aprimorados da VM do Windows e da VM do Linux, os discos virtuais no Azure podem ser criptografados. Discos virtuais em VMs do Windows são criptografados em repouso usando o BitLocker. Os discos virtuais em VMs do Linux são criptografados em repouso usando dm-crypt.
Não há nenhuma taxa para criptografar discos virtuais no Azure. As chaves criptográficas são armazenadas no Azure Key Vault usando proteção de software, ou você pode importar ou gerar suas chaves em Módulos de Segurança de Hardware (HSMs) certificados de acordo com os padrões FIPS 140 validados. Essas chaves criptográficas são usadas para criptografar e descriptografar os discos virtuais conectados à sua VM. Você mantém o controle dessas chaves criptográficas e pode auditar seu uso. Uma entidade de serviço do Microsoft Entra fornece um mecanismo seguro para emitir essas chaves de criptografia à medida que as VMs são ligadas e desligadas.
Key Vault e chaves SSH
Os certificados e segredos podem ser modelados como recursos e fornecidos pelo Key Vault. Você pode usar o Azure PowerShell para criar os cofres de chaves de VMs do Windows e a CLI do Azure para VMs do Linux. Você também pode criar chaves de criptografia.
As políticas de acesso do cofre de chaves concedem permissões a chaves, segredos e certificados separadamente. Por exemplo, você pode dar a um usuário acesso apenas a chaves, mas nenhuma permissão para segredos. No entanto, as permissões para acessar chaves, segredos ou certificados estão no nível de cofre. Em outras palavras, a política de acesso de cofre de chaves não dá suporte a permissões em nível de objeto.
Quando você se conectar a máquinas virtuais, deverá usar a criptografia de chave pública para fornecer uma maneira mais segura para entrar neles. Esse processo envolve uma troca de chaves públicas e privadas usando o comando SSH (secure shell) para autenticar a si mesmo em vez de um nome de usuário e uma senha. As senhas são vulneráveis a ataques de força bruta, especialmente em VMs voltadas para a Internet, como os servidores Web. Com um par de chaves SSH (secure shell), você pode criar uma VM do Linux que usa chaves SSH para autenticação, eliminando a necessidade de senhas para fazer entrar. Você também pode usar as chaves de SSH para conectar-se de uma VM do Windows para uma VM do Linux.
Identidades gerenciadas dos recursos do Azure
Um desafio comum ao criar aplicativos de nuvem é como gerenciar as credenciais no código para autenticar serviços de nuvem. Proteger as credenciais é uma tarefa importante. O ideal é que as credenciais nunca apareçam em estações de trabalho do desenvolvedor e não sejam verificadas no controle de origem. O Azure Key Vault fornece uma maneira de armazenar com segurança as credenciais, os segredos e outras chaves, mas seu código precisa se autenticar no Key Vault para recuperá-los.
O recurso identidades gerenciadas para recursos do Azure no Microsoft Entra resolve esse problema. O recurso fornece aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Você pode usar a identidade para se autenticar em qualquer serviço que seja compatível com a autenticação do Microsoft Entra, incluindo o Key Vault, sem precisar de nenhuma credencial no seu código. O código em execução na VM pode solicitar um token de dois pontos de extremidade que só podem ser acessados de dentro da VM. Para obter mais informações sobre esse serviço, examine a página de visão geral Identidades gerenciadas para recursos do Azure.
Políticas
As políticas do Azure podem ser utilizadas para definir o comportamento desejado nas VMs da sua organização. Usando políticas, uma organização pode impor várias convenções e regras em toda a empresa. A imposição do comportamento desejado pode ajudar a reduzir o risco e contribui para o sucesso da organização.
Controle de acesso baseado em função do Azure
Usando o Azure RBAC (controle de acesso baseado em função), é possível separar as tarefas dentro de sua equipe e conceder somente a quantidade de acesso que os usuários em sua VM precisam para realizar seus trabalhos. Em vez de apresentar todas as permissões irrestritas na VM, você pode permitir que apenas determinadas ações. Você pode configurar o controle de acesso para a VM no portal do Azure, usando a CLI do Azure ou o Azure PowerShell.