Editar

Share via

Crie a primeira camada de defesa com os serviços de Segurança do Azure

Azure
Microsoft Entra ID

Ideias de soluções

Este artigo é uma ideia de solução. Se você quiser que expandamos o conteúdo com mais informações, como possíveis casos de uso, serviços alternativos, considerações de implementação ou orientação de preços, informe-nos fornecendo feedback do GitHub.

Você pode criar uma infraestrutura de TI inteira para executar sua organização usando vários serviços do Azure. O Azure também oferece serviços de segurança para proteger a sua infraestrutura. Usando os serviços de segurança do Azure, você pode melhorar a postura de segurança do seu ambiente de TI. Você pode mitigar vulnerabilidades e evitar violações implementando uma solução bem arquitetada que siga as recomendações da Microsoft.

Alguns serviços de segurança incorrem em taxas, enquanto outros não têm encargos adicionais. Os serviços gratuitos incluem grupos de segurança de rede (NSGs), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e muitos outros. Este artigo abrange esses serviços.

Este artigo é o terceiro de uma série de cinco. Para revisar os dois artigos anteriores desta série, incluindo a introdução e uma revisão de como você pode mapear ameaças contra um ambiente de TI, consulte os seguintes artigos:

Potenciais casos de utilização

Este artigo apresenta os serviços de segurança do Azure de acordo com cada serviço do Azure. Dessa forma, você pode pensar em uma ameaça específica contra um recurso — uma máquina virtual (VM), um sistema operacional, uma rede do Azure, um aplicativo — ou um ataque que pode comprometer usuários e senhas. Em seguida, use o diagrama neste artigo para ajudá-lo a entender quais serviços de segurança do Azure usar para proteger recursos e identidades de usuário desse tipo de ameaça.

Arquitetura

Um diagrama de recursos locais, serviços do Microsoft 365 e do Azure e 16 tipos de ameaças classificadas pela matriz MITRE ATTACK.

Transfira um ficheiro do Visio desta arquitetura.

©2021 A Corporação MITRE. Este trabalho é reproduzido e distribuído com a permissão da MITRE Corporation.

A camada de segurança do Azure neste diagrama baseia-se no Azure Security Benchmark (ASB) v3, que é um conjunto de regras de segurança que são implementadas através de políticas do Azure. O ASB é baseado em uma combinação de regras do CIS Center for Internet Security e do National Institute of Standards and Technology. Para obter mais informações sobre o ASB, consulte Visão geral do Benchmark de Segurança do Azure v3.

O diagrama não contém todos os serviços de segurança do Azure disponíveis, mas mostra os serviços de segurança mais usados pelas organizações. Todos os serviços de segurança identificados no diagrama de arquitetura podem trabalhar juntos em qualquer combinação, de acordo com seu ambiente de TI e os requisitos de segurança da sua organização.

Fluxo de Trabalho

Esta seção descreve os componentes e serviços que aparecem no diagrama. Muitos deles são rotulados com seus códigos de controle ASB, além de seus rótulos abreviados. Os códigos de controle correspondem aos domínios de controle listados em Controles.

  1. BENCHMARK DE SEGURANÇA DO AZURE

    Cada controlo de segurança refere-se a um ou mais serviços de segurança específicos do Azure. A referência de arquitetura neste artigo mostra alguns deles e seus números de controle de acordo com a documentação ASB. Os controlos incluem:

    • Segurança da rede
    • Gestão de identidades
    • Acesso privilegiado
    • Proteção de dados
    • Gestão de ativos
    • Deteção de registo e de ameaça
    • resposta a incidentes
    • Gestão de postura e de vulnerabilidade
    • Segurança de pontos finais
    • Cópia de segurança e recuperação
    • Segurança do DevOps
    • Governação e estratégia

    Para obter mais informações sobre controles de segurança, consulte Visão geral do Benchmark de Segurança do Azure (v3).

  2. REDE

    A tabela a seguir descreve os serviços de rede no diagrama.

    Label Description Documentação
    NSG Um serviço gratuito que você anexa a uma interface de rede ou sub-rede. Um NSG permite filtrar o tráfego do protocolo TCP ou UDP usando intervalos de endereços IP e portas para conexões de entrada e saída. Grupos de segurança de rede
    VPN Um gateway de rede virtual privada (VPN) que fornece um túnel com proteção IPSEC (IKE v1/v2). Gateway de VPN
    AZURE FIREWALL Uma plataforma como serviço (PaaS) que oferece proteção na camada 4 e está conectada a uma rede virtual inteira. O que é o Firewall do Azure?
    APP GW + WAF Gateway de Aplicativo do Azure com Firewall de Aplicativo Web (WAF). O Application Gateway é um balanceador de carga para tráfego da Web que funciona na camada 7 e adiciona WAF para proteger aplicativos que usam HTTP e HTTPS. O que é o Azure Application Gateway?
    NVA Network Virtual Appliance (NVA), um serviço de segurança virtual do mercado que é provisionado em VMs no Azure. Dispositivos virtuais de rede
    DDOS Proteção contra DDoS implementada na rede virtual para ajudá-lo a mitigar diferentes tipos de ataques DDoS. Visão geral da Proteção de Rede DDoS do Azure
    TLS/SSL O TLS/SSL fornece criptografia em trânsito para a maioria dos serviços do Azure que trocam informações, como o Armazenamento do Azure e os Aplicativos Web. Configurar TLS de ponta a ponta usando o Application Gateway com PowerShell
    LINK PRIVADO Serviço que permite criar uma rede privada para um serviço do Azure que inicialmente está exposto à Internet. O que é a Ligação Privada do Azure?
    PONTO FINAL PRIVADO Cria uma interface de rede e a anexa ao serviço do Azure. O Private Endpoint faz parte do Private Link. Essa configuração permite que o serviço, usando um ponto de extremidade privado, faça parte de sua rede virtual. O que é um ponto final privado?

  3. INFRAESTRUTURA E TERMINAIS

    A tabela a seguir descreve a infraestrutura e os serviços de ponto de extremidade mostrados no diagrama.

    Label Description Documentação
    BASTIÃO Bastion fornece funcionalidade de servidor de salto. Este serviço permite-lhe aceder às suas VMs através do protocolo de ambiente de trabalho remoto (RDP) ou SSH sem expor as suas VMs à Internet. O que é o Azure Bastion?
    ANTIMALWARE O Microsoft Defender fornece serviço antimalware e faz parte do Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Microsoft Defender Antivírus no Windows
    ENCRIPTAÇÃO DE DISCO A Criptografia de Disco permite criptografar o disco de uma VM. Azure Disk Encryption para VMs do Windows
    COFRE KEYVAULT Key Vault, um serviço para armazenar chaves, segredos e certificados com FIPS 140-2 Nível 2 ou 3. Conceitos básicos do Azure Key Vault
    PDR CURTO Shortpath RDP da Área de Trabalho Virtual do Azure. Esse recurso permite que usuários remotos se conectem ao serviço de Área de Trabalho Virtual a partir de uma rede privada. RDP Shortpath do Azure Virtual Desktop para redes geridas
    LIGAÇÃO INVERSA Um recurso de segurança interno da Área de Trabalho Virtual do Azure. A conexão reversa garante que os usuários remotos recebam apenas fluxos de pixels e não alcancem as VMs do host. Compreender a conectividade de rede do Azure Virtual Desktop

  4. APLICAÇÃO E DADOS

    A tabela a seguir descreve os serviços de aplicativo e de dados mostrados no diagrama.

    Label Description Documentação
    PORTA FRONTAL + WAF Uma rede de distribuição de conteúdo (CDN). O Front Door combina vários pontos de presença para oferecer uma melhor conexão para os usuários que acessam o serviço e adiciona WAF. O que é o Azure Front Door?
    GESTÃO DE API Um serviço que oferece segurança para chamadas de API e gerencia APIs em todos os ambientes. Sobre a Gestão de API
    PENTEST Um conjunto de práticas recomendadas para executar um teste de penetração em seu ambiente, incluindo recursos do Azure. Testes de penetração
    TOKEN SAS DE ARMAZENAMENTO Um token de acesso compartilhado para permitir que outras pessoas acessem sua conta de armazenamento do Azure. Conceder acesso limitado aos recursos do Armazenamento do Azure com assinaturas de acesso partilhado (SAS)
    PONTO FINAL PRIVADO Crie uma interface de rede e anexe-a à sua conta de armazenamento para configurá-la dentro de uma rede privada no Azure. Utilizar pontos finais privados para o Armazenamento do Azure
    FIREWALL DE ARMAZENAMENTO Firewall que lhe permite definir um intervalo de endereços IP que podem aceder à sua conta de armazenamento. Configurar as firewalls e as redes virtuais do Armazenamento do Microsoft Azure
    ENCRIPTAÇÃO
    (Armazenamento do Azure)    		 Protege a sua conta de armazenamento com encriptação em repouso. Azure Storage encryption for data at rest (Encriptação do Armazenamento do Azure para dados inativos)
    AUDITORIA SQL Rastreia eventos de banco de dados e os grava em um log de auditoria em sua conta de armazenamento do Azure. Auditoria para a Base de Dados SQL do Azure e o Azure Synapse Analytics
    AVALIAÇÃO DE VULNERABILIDADE Serviço que ajuda você a descobrir, rastrear e corrigir possíveis vulnerabilidades do banco de dados. A avaliação de vulnerabilidade do SQL ajuda a identificar vulnerabilidades do banco de dados
    ENCRIPTAÇÃO
    (Azure SQL)    		 A criptografia de dados transparente (TDE) ajuda a proteger os serviços do banco de dados SQL do Azure criptografando dados em repouso. Encriptação de dados transparente para Base de Dados SQL, Azure SQL Managed Instance e Azure Synapse Analytics

  5. IDENTIDADE

    A tabela a seguir descreve os serviços de identidade mostrados no diagrama.

    Label Description Documentação
    RBAC O controle de acesso baseado em função do Azure (Azure RBAC) ajuda você a gerenciar o acesso aos serviços do Azure usando permissões granulares baseadas nas credenciais do Microsoft Entra dos usuários. O que é o controlo de acesso baseado em funções do Azure (Azure RBAC)?
    AMF A autenticação multifator oferece tipos adicionais de autenticação além de nomes de usuário e senhas. Como funciona: Autenticação multifator Microsoft Entra
    PROTEÇÃO DE IDENTIFICAÇÃO O Identity Protection, um serviço de segurança do Microsoft Entra ID, analisa trilhões de sinais por dia para identificar e proteger os usuários contra ameaças. O que é a Proteção de Identidade?
    PIM Privileged Identity Management (PIM), um serviço de segurança do Microsoft Entra ID. Ele ajuda você a fornecer privilégios de superusuário temporariamente para assinaturas do Microsoft Entra ID (por exemplo, Administrador Global) e do Azure (por exemplo, proprietário ou colaborador). O que é o Microsoft Entra Privileged Identity Management?
    COND ACC O Acesso Condicional é um serviço de segurança inteligente que usa políticas definidas para várias condições para bloquear ou conceder acesso aos usuários. O que é o Acesso Condicional?

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

  • O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS. Também os ajuda a aceder a recursos internos, como aplicações na sua rede intranet empresarial.

  • A Rede Virtual do Azure é o bloco de construção fundamental para a sua rede privada no Azure. A Rede Virtual permite que muitos tipos de recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. A Rede Virtual fornece uma rede virtual que se beneficia da infraestrutura do Azure, como escala, disponibilidade e isolamento.

  • O Azure Load Balancer é um serviço de balanceamento de carga de Camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que sua solução esteja altamente disponível. O Azure Load Balancer é redundante por zona, garantindo alta disponibilidade nas Zonas de Disponibilidade.

  • As máquinas virtuais são um dos vários tipos de recursos de computação escalonáveis sob demanda que o Azure oferece. Uma máquina virtual (VM) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que a executa.

  • O serviço Kubernetes do Azure (AKS) é um serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos em contêineres. O AKS fornece Kubernetes sem servidor, integração contínua/entrega contínua (CI/CD) e segurança e governança de nível empresarial.

  • A Área de Trabalho Virtual do Azure é um serviço de virtualização de área de trabalho e aplicativo que é executado na nuvem para fornecer áreas de trabalho para usuários remotos.

  • Os Aplicativos Web do Serviço de Aplicativo são um serviço baseado em HTTP para hospedagem de aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e os aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

  • O Armazenamento do Azure é altamente disponível, massivamente escalável, durável e seguro para vários objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece-lhe controlo detalhado sobre quem tem acesso aos seus dados.

  • O Banco de Dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que lida com a maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem o envolvimento do usuário. O Banco de dados SQL fornece uma variedade de recursos internos de segurança e conformidade para ajudar seu aplicativo a atender aos requisitos de segurança e conformidade.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Outros contribuidores:

Próximos passos

A Microsoft tem mais documentação que pode ajudá-lo a proteger seu ambiente de TI, e os seguintes artigos podem ser particularmente úteis:

  • Segurança no Microsoft Cloud Adoption Framework para Azure. O Cloud Adoption Framework fornece orientação de segurança para sua jornada na nuvem, esclarecendo os processos, as práticas recomendadas, os modelos e a experiência.
  • Estrutura bem arquitetada do Microsoft Azure. O Azure Well-Architected Framework é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. A estrutura é baseada em cinco pilares: confiabilidade, segurança, otimização de custos, excelência operacional e eficiência de desempenho.
  • Práticas recomendadas de segurança da Microsoft. As Práticas Recomendadas de Segurança da Microsoft (anteriormente conhecidas como Bússola de Segurança do Azure ou Bússola de Segurança da Microsoft) são uma coleção de práticas recomendadas que fornecem orientações claras e acionáveis para decisões relacionadas à segurança.
  • Arquiteturas de referência de segurança cibernética da Microsoft (MCRA). MCRA é uma compilação de várias arquiteturas de referência de segurança da Microsoft.

Nos recursos a seguir, você pode encontrar mais informações sobre os serviços, tecnologias e terminologias mencionados neste artigo:

Para obter mais detalhes sobre essa arquitetura de referência, consulte os outros artigos desta série: