Partilhar via


Linha de base de segurança do Azure para Gateway de Aplicação

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 à Gateway de Aplicação. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Gateway de Aplicação.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis aos Gateway de Aplicação foram excluídas. Para ver como Gateway de Aplicação mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança Gateway de Aplicação.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto de Gateway de Aplicação, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Rede
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Gateway de Aplicação configuração da infraestrutura

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.

Referência: Grupos de segurança de rede

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.Network:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja a sua sub-rede contra potenciais ameaças ao restringir o acesso à mesma com um Grupo de Segurança de Rede (NSG). Os NSGs contêm uma lista de regras da Lista de Controlo de Acesso (ACL) que permitem ou negam o tráfego de rede para a sub-rede. AuditIfNotExists, Desativado 3.0.0

NS-2: Proteger serviços cloud com controlos de rede

Funcionalidades

Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.

Referência: Configurar Gateway de Aplicação do Azure Private Link (pré-visualização)

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: é necessária conectividade pública limitada para a gestão de Gateway de Aplicação.

Para obter mais informações, visite: Gateway de Aplicação configuração da infraestrutura

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: embora as identidades geridas de outros serviços possam não ser autenticadas para Gateway de Aplicação, uma identidade gerida pode ser utilizada por Gateway de Aplicação para autenticar no Azure Key Vault e é opcional ser especificada no momento da implementação. O serviço honra os controlos RBAC do Azure.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: quando o cliente carrega um certificado TLS, este é armazenado automaticamente num Serviço do Cofre de Chaves do Azure gerido.

Gateway de Aplicação v1 não suporta a integração do Azure Key Vault. As credenciais e os certificados são armazenados num arquivo secreto diferente.

Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.

Referência: Configurar uma Gateway de Aplicação com a terminação TLS com o portal do Azure

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Notas de funcionalidades: para além da configuração de recursos (que inclui certificados de servidor TLS do cliente), Gateway de Aplicação apenas armazena dados transitórios enquanto procura os pedidos para o back-end dos clientes.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: os dados de configuração de recursos do cliente são sempre transportados através de canais TLS no plano de controlo. Para o plano de dados, o serviço permite que o cliente escolha entre variantes TCP e TLS. Os clientes escolhem com base nas suas próprias necessidades.

Orientação de Configuração: ative a transferência segura em serviços onde existe uma funcionalidade de encriptação de trânsito incorporada em dados nativos. Imponha HTTPS em quaisquer aplicações e serviços Web e certifique-se de que o TLS v1.2 ou posterior é utilizado. As versões legadas, como o SSL 3.0, TLS v1.0, devem ser desativadas. Para a gestão remota de Máquinas Virtuais, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.

Referência: Descrição geral da terminação do TLS e TLS ponto a ponto com Gateway de Aplicação

DP-4: Ativar a encriptação inativa por predefinição

Funcionalidades

Dados na Encriptação Rest Com Chaves de Plataforma

Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: os dados do cliente relativos à configuração de recursos são armazenados numa conta de armazenamento com encriptação ativada e os segredos são armazenados numa Key Vault do Azure gerida. Apenas os dados de configuração de recursos são enviados para o Kusto para análise de DRI/dev.

Uma vez que Gateway de Aplicação está a criar um proxy de produto, não armazena o tráfego de dados de runtime do cliente e simplesmente proxie-o para o back-end. O serviço tem temporariamente o tráfego de rede num formulário não encriptado na memória enquanto o procura no back-end/cliente.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: quando o cliente carrega um certificado TLS, este é armazenado automaticamente num Serviço do Cofre de Chaves do Azure gerido.

Gateway de Aplicação v1 não suporta a integração de Key Vault do Azure. As credenciais e os certificados são armazenados num arquivo de segredos diferente.

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.

Referência: terminação TLS com certificados de Key Vault

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidade: os Gateways de Aplicação são aprovisionados na VNet do cliente e, salvo determinadas isenções necessárias para o tráfego de gestão, o cliente pode aplicar todas as Políticas do Azure necessárias numa VNet.

Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Azure Policy definições incorporadas para serviços de rede do Azure

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender para Oferta de Serviço/Produto

Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.

Referência: Registos de estado de funcionamento e diagnóstico de back-end para Gateway de Aplicação

Passos seguintes