Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Overview
Sabemos que a segurança é um trabalho na nuvem e como é importante que você encontre informações precisas e oportunas sobre a segurança do Azure. Uma das melhores razões para utilizar o Azure para as suas aplicações e serviços é tirar partido da sua vasta gama de ferramentas e capacidades de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados dos clientes, ao mesmo tempo que permite uma responsabilização transparente.
Este artigo fornece uma visão abrangente da segurança disponível com o Azure.
Azure platform
O Azure é uma plataforma de serviço de nuvem pública que suporta uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Ele pode executar contêineres Linux com integração Docker; criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js; criar back-ends para dispositivos iOS, Android e Windows.
Os serviços de nuvem pública do Azure suportam as mesmas tecnologias nas quais milhões de programadores e profissionais de TI já confiam. Quando você cria ou migra ativos de TI para um provedor de serviços de nuvem pública, confia na capacidade dessa organização de proteger seus aplicativos e dados. Eles fornecem serviços e controles para gerenciar a segurança de seus ativos baseados em nuvem.
A infraestrutura do Azure é meticulosamente trabalhada desde o início, abrangendo tudo, desde instalações físicas a aplicativos, para hospedar com segurança milhões de clientes simultaneamente. Essa base robusta permite que as empresas atendam com confiança aos seus requisitos de segurança.
Além disso, o Azure fornece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las para que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações da sua organização. Este documento ajuda você a entender como os recursos de segurança do Azure podem ajudá-lo a atender a esses requisitos.
Note
O foco principal deste documento são os controles voltados para o cliente que você pode usar para personalizar e aumentar a segurança de seus aplicativos e serviços.
Para obter informações sobre como a Microsoft protege a própria plataforma Azure, consulte Segurança da infraestrutura do Azure.
Resumo dos recursos de segurança do Azure
Dependendo do modelo de serviço em nuvem, há uma responsabilidade variável sobre quem é responsável por gerenciar a segurança do aplicativo ou serviço. Há recursos disponíveis na Plataforma Azure para ajudá-lo a cumprir essas responsabilidades por meio de recursos internos e por meio de soluções de parceiros que podem ser implantadas em uma assinatura do Azure.
Os recursos internos são organizados em seis áreas funcionais: Operações, Aplicativos, Armazenamento, Rede, Computação e Identidade. Mais detalhes sobre os recursos disponíveis na Plataforma Azure nessas seis áreas são fornecidos por meio de informações resumidas.
Operations
Esta seção fornece informações adicionais sobre os principais recursos em operações de segurança e informações resumidas sobre esses recursos.
Microsoft Sentinel
Microsoft Sentinel is a scalable, cloud-native, security information, and event management (SIEM) and security orchestration, automation, and response (SOAR) solution. O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. O Microsoft Sentinel fornece uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. O Microsoft Defender for Cloud fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure. O Microsoft Defender for Cloud ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Além disso, o Defender for Cloud ajuda nas operações de segurança, fornecendo um único painel que exibe alertas e recomendações que podem ser acionados imediatamente. Muitas vezes, você pode corrigir problemas com uma única seleção no console do Defender for Cloud.
Azure Resource Manager
O Azure Resource Manager permite que você trabalhe com os recursos em sua solução como um grupo. Pode implementar, atualizar ou eliminar todos os recursos da sua solução numa operação única e coordenada. Você usa um modelo do Azure Resource Manager para implantação e esse modelo pode funcionar para diferentes ambientes, como teste, preparo e produção. O Resource Manager fornece funcionalidades de segurança, auditoria e etiquetagem para o ajudar a gerir os recursos após a implementação.
As implantações baseadas em modelo do Azure Resource Manager ajudam a melhorar a segurança das soluções implantadas no Azure porque as configurações de controle de segurança padrão podem ser integradas em implantações padronizadas baseadas em modelos. Os modelos reduzem o risco de erros de configuração de segurança que podem ocorrer durante implantações manuais.
Application Insights
Application Insights is a flexible Application Performance Management (APM) service designed for web developers. Ele permite que você monitore seus aplicativos da Web ao vivo e detete automaticamente problemas de desempenho. Com poderosas ferramentas de análise, pode diagnosticar problemas e obter informações sobre as interações dos utilizadores com as suas aplicações. O Application Insights monitora seu aplicativo continuamente, desde o desenvolvimento até os testes e a produção.
O Application Insights gera gráficos e tabelas perspicazes que revelam os tempos de pico de atividade do usuário, a capacidade de resposta do aplicativo e o desempenho de quaisquer serviços externos dos quais ele depende.
Se houver quedas de sistema, falhas ou problemas de desempenho, pode examinar os dados em detalhe para diagnosticar a causa. E o serviço envia e-mails se houver alguma alteração na disponibilidade e no desempenho do seu aplicativo. O Application Insight torna-se, assim, uma ferramenta de segurança valiosa porque ajuda com a disponibilidade na tríade de segurança confidencialidade, integridade e disponibilidade.
Azure Monitor
Azure Monitor offers visualization, query, routing, alerting, auto scale, and automation on data both from the Azure subscription (Activity Log) and each individual Azure resource (Resource Logs). Você pode usar o Azure Monitor para alertá-lo sobre eventos relacionados à segurança gerados nos logs do Azure.
Registos do Azure Monitor
Logs do Azure Monitor – Fornece uma solução de gestão de TI para infraestrutura local e baseada em nuvem não Microsoft (como Amazon Web Services), além de recursos do Azure. Os dados do Azure Monitor podem ser roteados diretamente para os logs do Azure Monitor para que você possa ver métricas e logs para todo o seu ambiente em um só lugar.
Os logs do Azure Monitor podem ser uma ferramenta útil em análises forenses e outras análises de segurança, pois a ferramenta permite pesquisar rapidamente grandes quantidades de entradas relacionadas à segurança com uma abordagem de consulta flexível. Além disso, o firewall local e os logs de proxy podem ser exportados para o Azure e disponibilizados para análise usando os logs do Azure Monitor.
Assistente do Azure
Azure Advisor is a personalized cloud consultant that helps you to optimize your Azure deployments. Ele analisa seus dados de configuração e uso de recursos. It then recommends solutions to help improve the performance, security, and reliability of your resources while looking for opportunities to reduce your overall Azure spend. O Consultor do Azure fornece recomendações de segurança, que podem melhorar significativamente sua postura geral de segurança para soluções implantadas no Azure. Essas recomendações são extraídas da análise de segurança realizada pelo Microsoft Defender for Cloud.
Applications
A seção fornece informações adicionais sobre os principais recursos de segurança de aplicativos e informações resumidas sobre esses recursos.
Penetration Testing
We don’t perform penetration testing of your application for you, but we do understand that you want and need to perform testing on your own applications. A notificação da Microsoft sobre atividades de teste de caneta não é mais necessária, os clientes ainda devem estar em conformidade com as Regras de Engajamento do Microsoft Cloud Penetration Testing.
Firewall de aplicativos Web
O Firewall de Aplicativo Web (WAF) no Gateway de Aplicativo do Azure fornece proteção para aplicativos Web contra ataques comuns baseados na Web, como injeção de SQL, scripts entre sites e sequestro de sessão. Ele é pré-configurado para se defender contra as 10 principais vulnerabilidades identificadas pelo Open Web Application Security Project (OWASP).
Autenticação e autorização no Serviço de Aplicações do Azure
Autenticação/Autorização do Serviço de Aplicações é uma funcionalidade que permite ao seu aplicativo fazer login de utilizadores, para que não seja necessário alterar o código no back-end da aplicação. Ele fornece uma maneira fácil de proteger seu aplicativo e trabalhar com dados por usuário.
Arquitetura de segurança em camadas
Como os Ambientes do Serviço de Aplicativo fornecem um ambiente de tempo de execução isolado implantado em uma Rede Virtual do Azure, os desenvolvedores podem criar uma arquitetura de segurança em camadas fornecendo diferentes níveis de acesso à rede para cada camada de aplicativo. É comum ocultar back-ends de API do acesso geral à Internet e permitir que apenas APIs sejam chamadas por aplicativos Web upstream. Os NSGs (grupos de Segurança de Rede) podem ser usados em sub-redes da Rede Virtual do Azure que contêm Ambientes do Serviço de Aplicativo para restringir o acesso público a aplicativos de API.
Os aplicativos Web do Serviço de Aplicativo oferecem recursos de diagnóstico robustos para capturar logs do servidor Web e do aplicativo Web. Esses diagnósticos são categorizados em diagnósticos de servidor Web e diagnósticos de aplicativos. O diagnóstico do servidor Web inclui avanços significativos para diagnosticar e solucionar problemas de sites e aplicativos.
O primeiro novo recurso são informações de estado em tempo real sobre pools de aplicativos, processos de trabalho, sites, domínios de aplicativos e solicitações em execução. As segundas novas vantagens são os eventos de rastreamento detalhados que rastreiam uma solicitação durante todo o processo completo de solicitação e resposta.
Para habilitar a coleta desses eventos de rastreamento, o IIS 7 pode ser configurado para capturar automaticamente logs de rastreamento abrangentes em formato XML para solicitações específicas. A coleção pode ser baseada no tempo decorrido ou nos códigos de erro de resposta.
Armazenamento
A seção fornece informações adicionais sobre os principais recursos da segurança de armazenamento do Azure e informações resumidas sobre esses recursos.
Controlo de acesso baseado em funções do Azure (RBAC do Azure)
Você pode proteger sua conta de armazenamento com o controle de acesso baseado em função do Azure (Azure RBAC). Restringir o acesso com base na necessidade de conhecer e privilégios mínimos dos princípios de segurança é imperativo para organizações que desejam aplicar políticas de segurança para acesso a dados. Esses direitos de acesso são concedidos atribuindo a função apropriada do Azure a grupos e aplicativos em um determinado escopo. Você pode usar funções internas do Azure, como Colaborador da Conta de Armazenamento, para atribuir privilégios aos usuários. O acesso às chaves de armazenamento de uma conta de armazenamento usando o modelo do Azure Resource Manager pode ser controlado por meio do Azure RBAC.
Assinatura de Acesso Partilhado
As assinaturas de acesso partilhado (SAS) disponibilizam acesso delegado a recursos na sua conta de armazenamento. A SAS significa que você pode conceder a um cliente permissões limitadas para objetos em sua conta de armazenamento por um período especificado e com um conjunto especificado de permissões. Pode conceder estas permissões limitadas sem ter de partilhar as chaves de acesso da sua conta.
Encriptação em Trânsito
A encriptação em trânsito é um mecanismo de proteção de dados quando estes são transmitidos através de redes. Com o Armazenamento do Azure, você pode proteger os dados usando:
Transport-level encryption, such as HTTPS when you transfer data into or out of Azure Storage.
Wire encryption, such as SMB 3.0 encryption for Azure File shares.
Criptografia do lado do cliente, para criptografar os dados antes de serem transferidos para o armazenamento e para descriptografar os dados depois de serem transferidos para fora do armazenamento.
Encriptação em repouso
Para muitas organizações, a criptografia de dados em repouso é um passo obrigatório para a privacidade, conformidade e soberania de dados. Há três recursos de segurança de armazenamento do Azure que fornecem criptografia de dados em repouso:
A Criptografia do Serviço de Armazenamento permite que você solicite que o serviço de armazenamento criptografe automaticamente os dados ao gravá-los no Armazenamento do Azure.
Client-side Encryption also provides the feature of encryption at rest.
Azure Disk Encryption para VMs Linux e Azure Disk Encryption para VMs Windows permitem encriptar os discos do sistema operativo e os discos de dados usados por uma máquina virtual IaaS.
Análise de Armazenamento
O Azure Storage Analytics executa o registro em log e fornece dados de métricas para uma conta de armazenamento. Pode utilizar estes dados para rastrear pedidos, analisar tendências de utilização e diagnosticar problemas relacionados com a sua conta de armazenamento. A Análise de Armazenamento regista informações detalhadas sobre os pedidos com êxito e com falha feitos a um serviço de armazenamento. Estas informações podem ser utilizadas para monitorizar os pedidos individuais e diagnosticar problemas num serviço de armazenamento. As solicitações são registadas com o melhor esforço possível. São registados os seguintes tipos de pedidos autenticados:
- Successful requests.
- Solicitações com falha, incluindo tempo limite, limitação, rede, autorização e outros erros.
- Solicitações usando uma Assinatura de Acesso Compartilhado (SAS), incluindo solicitações com falha e bem-sucedidas.
- Solicitações para dados analíticos.
Habilitando clientes baseados em navegador usando CORS
O Cross-Origin Resource Sharing (CORS) é um mecanismo que permite que os domínios dêem permissão uns aos outros para acessar os recursos uns dos outros. O User Agent envia cabeçalhos extras para garantir que o código JavaScript carregado de um determinado domínio tenha permissão para acessar recursos localizados em outro domínio. O último domínio então responde com cabeçalhos extras permitindo ou negando o acesso do domínio original aos seus recursos.
Os serviços de armazenamento do Azure agora oferecem suporte ao CORS para que, depois de definir as regras do CORS para o serviço, uma solicitação devidamente autenticada feita no serviço de um domínio diferente seja avaliada para determinar se ele é permitido de acordo com as regras especificadas.
Rede
A seção fornece informações adicionais sobre os principais recursos na segurança de rede do Azure e informações resumidas sobre esses recursos.
Controles de camada de rede
O controle de acesso à rede é o ato de limitar a conectividade de e para dispositivos ou sub-redes específicos e representa o núcleo da segurança da rede. O objetivo do controle de acesso à rede é garantir que suas máquinas virtuais e serviços sejam acessíveis apenas a usuários e dispositivos aos quais você deseja que eles sejam acessíveis.
Grupos de Segurança de Rede
Um NSG (Network Security Group) é um firewall básico de filtragem de pacotes com monitoração de estado e permite controlar o acesso com base em cinco tuplas. Os NSGs não fornecem inspeção da camada de aplicativo ou controles de acesso autenticados. Eles podem ser usados para controlar o tráfego que se move entre sub-redes dentro de uma Rede Virtual do Azure e o tráfego entre uma Rede Virtual do Azure e a Internet.
Azure Firewall
Azure Firewall is a cloud-native and intelligent network firewall security service that provides threat protection for your cloud workloads running in Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.
O Firewall do Azure é oferecido em três SKUs: Basic, Standard e Premium. O Firewall do Azure Basic oferece segurança simplificada semelhante à SKU padrão, mas sem recursos avançados. O Azure Firewall Standard fornece filtragem L3-L7 e feeds de inteligência de ameaças diretamente do Microsoft Cyber Security. O Firewall Premium do Azure fornece recursos avançados, incluindo IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos.
Azure DDoS Protection
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados para defesa contra ataques DDoS. Ele é ajustado automaticamente para proteger seus recursos específicos do Azure em uma rede virtual. Habilitar a proteção é simples em qualquer rede virtual nova ou existente e não requer alterações em seus aplicativos ou recursos.
A Proteção contra DDoS do Azure oferece duas camadas: Proteção de Rede DDoS e Proteção IP DDoS.
A Proteção de Rede DDoS fornece recursos aprimorados para defesa contra ataques distribuídos de negação de serviço (DDoS). Ele opera nas camadas de rede 3 e 4 e inclui recursos avançados, como suporte de resposta rápida DDoS, proteção de custos e descontos no Web Application Firewall (WAF).
O DDoS IP Protection segue um modelo de pagamento por IP protegido. Inclui os mesmos recursos principais de engenharia que a Proteção contra DDoS na Rede, mas não oferece serviços adicionais como suporte de resposta rápida a DDoS, proteção de custos e descontos no Firewall de Aplicações Web (WAF).
Controlo de Rotas e Tunelamento Forçado
A capacidade de controlar o comportamento de roteamento em suas Redes Virtuais do Azure é um recurso crítico de segurança de rede e controle de acesso. Por exemplo, se você quiser garantir que todo o tráfego de e para sua Rede Virtual do Azure passe por esse dispositivo de segurança virtual, você precisa ser capaz de controlar e personalizar o comportamento de roteamento. Você pode fazer isso configurando Rotas Definidas pelo Usuário no Azure.
User-Defined Routes allow you to customize inbound and outbound paths for traffic moving into and out of individual virtual machines or subnets to ensure the most secure route possible. Forced tunneling is a mechanism you can use to ensure that your services aren't allowed to initiate a connection to devices on the Internet.
Isso é diferente de ser capaz de aceitar conexões de entrada e, em seguida, responder a elas. Os servidores Web front-end precisam responder a solicitações de hosts da Internet e, portanto, o tráfego originado da Internet é permitido entrar nesses servidores Web e os servidores Web podem responder.
O túnel forçado é comumente usado para forçar o tráfego de saída para a Internet a passar por proxies de segurança e firewalls locais.
Dispositivos de segurança de rede virtual
While Network Security Groups, User-Defined Routes, and forced tunneling provide you with a level of security at the network and transport layers of the OSI model, there might be times when you want to enable security at higher levels of the stack. Você pode acessar esses recursos avançados de segurança de rede usando uma solução de dispositivo de segurança de rede de parceiro do Azure. You can find the most current Azure partner network security solutions by visiting the Azure Marketplace and searching for security and network security.
Rede Virtual do Azure
Uma rede virtual do Azure (VNet) é uma representação da sua própria rede na nuvem. É um isolamento lógico da malha de rede do Azure dedicada à sua assinatura. Pode controlar totalmente os blocos de endereços IP, as definições de DNS, as políticas de segurança e as tabelas de rotas dentro desta rede. Você pode segmentar sua VNet em sub-redes e colocar máquinas virtuais (VMs) IaaS do Azure e/ou serviços de nuvem (instâncias de função PaaS) em Redes Virtuais do Azure.
Additionally, you can connect the virtual network to your on-premises network using one of the connectivity options available in Azure. Essencialmente, pode expandir a sua rede para o Azure, com controlo total sobre blocos de endereços IP com a vantagem da escala empresarial que o Azure oferece.
A rede do Azure dá suporte a vários cenários de acesso remoto seguro. Algumas delas incluem:
Conectar estações de trabalho individuais a uma Rede Virtual do Azure
Conectar a rede local a uma Rede Virtual do Azure com uma VPN
Conectar a rede local a uma Rede Virtual do Azure com um link WAN dedicado
Azure Virtual Network Manager
O Azure Virtual Network Manager fornece uma solução centralizada para proteger as suas redes virtuais em escala. Ele usa regras de administração de segurança para definir e aplicar centralmente políticas de segurança para suas redes virtuais em toda a organização. As regras de administração de segurança têm precedência sobre as regras de grupo de segurança de rede (NSGs) e são aplicadas na rede virtual. Isso permite que as organizações apliquem políticas principais com regras de administração de segurança, ao mesmo tempo em que permite que as equipes downstream adaptem os NSGs de acordo com suas necessidades específicas nos níveis de sub-rede e NIC. Depending on the needs of your organization you can use Allow, Deny, or Always Allow rule actions to enforce security policies.
| Rule Action | Description |
|---|---|
| Allow | Permite o tráfego especificado por padrão. Os NSGs a jusante ainda recebem esse tráfego e podem negá-lo. |
| Always Allow | Sempre permita o tráfego especificado, independentemente de outras regras com prioridade mais baixa ou dos NSGs. Isso pode ser usado para garantir que o agente de monitoramento, o controlador de domínio ou o tráfego de gerenciamento não seja bloqueado. |
| Deny | Bloqueie o tráfego especificado. Os NSGs downstream não avaliarão esse tráfego depois de serem negados por uma regra de administração de segurança, garantindo que suas portas de alto risco para redes virtuais novas e existentes estejam protegidas por padrão. |
In Azure Virtual Network Manager, network groups allow you to group virtual networks together for centralized management and enforcement of security policies. Os grupos de rede são um agrupamento lógico de redes virtuais com base nas suas necessidades do ponto de vista da topologia e da segurança. Você pode atualizar manualmente a associação de rede virtual de seus grupos de rede ou pode definir instruções condicionais com a Política do Azure para atualizar dinamicamente os grupos de rede para atualizar automaticamente sua associação de grupo de rede.
Azure Private Link
O Azure Private Link permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços de parceiros/de propriedade do cliente hospedados pelo Azure de forma privada em sua rede virtual por meio de um ponto de extremidade privado. A configuração e o consumo através do Azure Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros partilhados. O tráfego da sua rede virtual para o serviço do Azure permanece sempre na rede de backbone do Microsoft Azure.
Private Endpoints allow you to secure your critical Azure service resources to only your virtual networks. O Ponto de Extremidade Privado do Azure usa um endereço IP privado de sua rede virtual para conectá-lo de forma privada e segura a um serviço alimentado pelo Azure Private Link, trazendo efetivamente o serviço para sua rede virtual. Expor sua rede virtual à Internet pública não é mais necessário para consumir serviços no Azure.
Você também pode criar seu próprio serviço de link privado em sua rede virtual. O serviço Azure Private Link é a referência ao seu próprio serviço que é alimentado pelo Azure Private Link. O seu serviço que atua por trás do Azure Standard Load Balancer pode ser habilitado para acesso através de Private Link, para que os utilizadores do seu serviço possam aceder-lhe de forma privada a partir das suas próprias redes virtuais. Os seus clientes podem criar um ponto de extremidade privado dentro da sua rede virtual e associá-lo a este serviço. Expor seu serviço à Internet pública não é mais necessário para renderizar serviços no Azure.
Gateway de VPN
Para enviar tráfego de rede entre sua Rede Virtual do Azure e seu site local, você deve criar um gateway VPN para sua Rede Virtual do Azure. A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. Também pode utilizar gateways VPN para enviar tráfego entre as Redes Virtuais do Azure através da malha de rede do Azure.
Express Route
Microsoft Azure ExpressRoute is a dedicated WAN link that lets you extend your on-premises networks into the Microsoft cloud over a dedicated private connection facilitated by a connectivity provider.
Com a Rota Expressa, você pode estabelecer conexões com serviços de nuvem da Microsoft, como Microsoft Azure, Microsoft 365 e CRM Online. A conectividade pode ser feita a partir de uma rede any-to-any (VPN IP), uma rede Ethernet ponto a ponto ou uma ligação cruzada virtual através de um fornecedor de conectividade num centro de colocalização.
As conexões ExpressRoute não passam pela Internet pública e, portanto, podem ser consideradas mais seguras do que as soluções baseadas em VPN. Tal permite que as ligações do ExpressRoute ofereçam mais fiabilidade, velocidades superiores, latências inferiores e uma maior segurança do que as ligações típicas através da Internet.
Gateway de Aplicação
O Gateway de Aplicações do Microsoft Azure fornece um Application Delivery Controller (ADC) como um serviço, oferecendo várias capacidades de balanceamento de carga de camada 7 para a sua aplicação.
It allows you to optimize web farm productivity by offloading CPU intensive TLS termination to the Application Gateway (also known as TLS offload or TLS bridging). Ele também fornece outros recursos de encaminhamento de Camada 7, incluindo distribuição equitativa (round-robin) de tráfego de entrada, afinidade de sessão baseada em cookies, encaminhamento baseado em caminho de URL e a capacidade de hospedar vários sites atrás de um único Gateway de Aplicação. O Application Gateway do Azure é um balanceador de carga de 7 camadas.
Fornece alternância em caso de falha e encaminhamento de desempenho de pedidos HTTP entre diversos servidores, estejam eles na nuvem ou localmente.
Application provides many Application Delivery Controller (ADC) features including HTTP load balancing, cookie-based session affinity, TLS offload, custom health probes, support for multi-site, and many others.
Firewall de Aplicações Web
O Firewall de Aplicações Web é uma funcionalidade do Gateway de Aplicações do Azure que fornece proteção às aplicações web que utilizam o gateway de aplicações para funções padrão de Controlo de Entrega de Aplicações (ADC). A Firewall de aplicações Web fá-lo ao protegê-las contra a maioria das 10 principais vulnerabilidades Web da OWASP.
Proteção contra injeção de SQL
Proteção contra ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos
Proteção contra violações de protocolo HTTP
Proteção contra anomalias do protocolo HTTP, como host ausente, agente do usuário e cabeçalhos de aceitação
Prevenção contra bots, crawlers e scanners
Deteção de configurações incorretas comuns de aplicativos (por exemplo, Apache, IIS)
Um firewall centralizado de aplicativos da Web (WAF) simplifica o gerenciamento de segurança e aumenta a proteção contra ataques da Web. Ele fornece melhor garantia contra ameaças de intrusão e pode responder mais rapidamente a ameaças de segurança corrigindo vulnerabilidades conhecidas centralmente, em vez de proteger cada aplicativo Web individual. Os gateways de aplicativos existentes podem ser facilmente atualizados para incluir um firewall de aplicativo Web.
Gestor de Tráfego
O Gerenciador de Tráfego do Microsoft Azure permite controlar a distribuição do tráfego de usuários para pontos de extremidade de serviço em diferentes data centers. Os pontos de extremidade de serviço suportados pelo Gerenciador de Tráfego incluem VMs do Azure, Aplicativos Web e serviços de nuvem. Também pode utilizar o Gestor de Tráfego com pontos finais externos, não pertencentes ao Azure. Traffic Manager uses the Domain Name System (DNS) to direct client requests to the most appropriate endpoint based on a traffic-routing method and the health of the endpoints.
Traffic Manager provides a range of traffic-routing methods to suit different application needs, endpoint health monitoring, and automatic failover. O Gestor de Tráfego é resiliente a falhas, incluindo a falhas numa região do Azure inteira.
Azure Load Balancer
O Balanceador de Carga do Azure oferece elevada disponibilidade e elevado desempenho de rede às suas aplicações. É um balanceador de carga de Camada 4 (TCP, UDP) que distribui o tráfego de entrada pelas instâncias saudáveis de serviços definidos num conjunto balanceado. O Azure Load Balancer pode ser configurado para:
Balanceie a carga do tráfego de entrada da Internet para máquinas virtuais. Essa configuração é conhecida como balanceamento de carga pública.
Balanceie a carga do tráfego entre máquinas virtuais em uma rede virtual, entre máquinas virtuais em serviços de nuvem ou entre computadores locais e máquinas virtuais em uma rede virtual entre locais. Essa configuração é conhecida como balanceamento de carga interno.
Encaminhar tráfego externo para uma máquina virtual específica
Internal DNS
Você pode gerenciar a lista de servidores DNS usados em uma rede virtual no Portal de Gerenciamento ou no arquivo de configuração de rede. O cliente pode adicionar até 12 servidores DNS para cada rede virtual. Ao especificar servidores DNS, é importante verificar se você lista os servidores DNS do cliente na ordem correta para o ambiente do cliente. As listas de servidores DNS não funcionam por rodízio. Eles são usados na ordem em que são especificados. Se o primeiro servidor DNS da lista puder ser alcançado, o cliente usará esse servidor DNS independentemente de o servidor DNS estar funcionando corretamente ou não. Para alterar a ordem do servidor DNS para a rede virtual do cliente, remova os servidores DNS da lista e adicione-os novamente na ordem desejada pelo cliente. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
DNS do Azure
O Sistema de Nomes de Domínio, ou DNS, é responsável por traduzir (ou resolver) um nome de site ou serviço para o seu endereço IP. Azure DNS is a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
Azure Monitor registra NSGs
Você pode habilitar as seguintes categorias de log de diagnóstico para NSGs:
Evento: contém entradas para as quais as regras NSG são aplicadas a VMs e funções de instância com base no endereço MAC. O status dessas regras é coletado a cada 60 segundos.
Contador de regras. Contém entradas que indicam quantas vezes cada regra NSG é aplicada para negar ou permitir tráfego.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud analisa continuamente o estado de segurança dos seus recursos do Azure para obter as melhores práticas de segurança de rede. When Defender for Cloud identifies potential security vulnerabilities, it creates recommendations that guide you through the process of configuring the needed controls to harden and protect your resources.
Serviços avançados de rede de contêiner (ACNS)
O ACNS (Advanced Container Networking Services) é um pacote abrangente projetado para elevar a eficiência operacional de seus clusters do Serviço Kubernetes do Azure (AKS). Ele fornece recursos avançados de segurança e observabilidade, abordando as complexidades do gerenciamento de infraestrutura de microsserviços em escala.
Estas características dividem-se em dois pilares principais:
Security: For clusters using Azure CNI Powered by Cilium, network policies include fully qualified domain name (FQDN) filtering for solving the complexities of maintaining configuration.
Observability: This feature of the Advanced Container Networking Services suite brings the power of Hubble’s control plane to both Cilium and non-Cilium Linux data planes, providing enhanced visibility into networking and performance.
Computação
A seção fornece informações adicionais sobre os principais recursos nesta área e informações resumidas sobre esses recursos.
Computação confidencial do Azure
A computação confidencial do Azure fornece a peça final, que falta, do quebra-cabeça de proteção de dados. Ele permite que você mantenha seus dados criptografados sempre. Enquanto em repouso, quando em movimento através da rede, e agora, mesmo enquanto carregado na memória e em uso. Additionally, by making Remote Attestation possible, it allows you to cryptographically verify that the VM you deploy booted securely and is configured correctly, before unlocking your data.
O espectro de opções vai desde a habilitação de cenários de "elevação e deslocamento" de aplicativos existentes, até um controle total dos recursos de segurança. Para IaaS (infraestrutura como serviço), você pode usar máquinas virtuais confidenciais alimentadas por AMD SEV-SNP ou enclaves de aplicativos confidenciais para máquinas virtuais que executam o Intel Software Guard Extensions (SGX). For Platform as a Service, we have multiple container based options, including integrations with Azure Kubernetes Service (AKS).
Antimalware & Antivírus
Com a IaaS do Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro, McAfee e Kaspersky para proteger suas máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças. Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a protection capability that helps identify and remove viruses, spyware, and other malicious software. O Microsoft Antimalware fornece alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure. O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender for Cloud
Módulo de Segurança de Hardware
A criptografia e a autenticação não melhoram a segurança, a menos que as próprias chaves estejam protegidas. Você pode simplificar o gerenciamento e a segurança de seus segredos e chaves críticos armazenando-os no Cofre de Chaves do Azure. O Key Vault oferece a opção de armazenar suas chaves em módulos de segurança de hardware (HSMs) certificados de acordo com os padrões validados pelo FIPS 140. Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados por meio do Microsoft Entra ID.
Cópia de segurança da máquina virtual
Azure Backup is a solution that protects your application data with zero capital investment and minimal operating costs. Erros de aplicativos podem corromper seus dados, e erros humanos podem introduzir bugs em seus aplicativos que podem levar a problemas de segurança. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.
Azure Site Recovery
Uma parte importante da estratégia de continuidade de negócios/recuperação de desastres (BCDR) da sua organização é descobrir como manter as cargas de trabalho e os aplicativos corporativos em funcionamento quando ocorrem interrupções planejadas e não planejadas. O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal ficar inativo.
SQL VM TDE
A criptografia de dados transparente (TDE) e a criptografia no nível da coluna (CLE) são recursos de criptografia do SQL Server. Essa forma de criptografia exige que os clientes gerenciem e armazenem as chaves criptográficas que você usa para criptografia.
O serviço Azure Key Vault (AKV) foi projetado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server use essas chaves do Cofre de Chaves do Azure.
Se você estiver executando o SQL Server com máquinas locais, há etapas que você pode seguir para acessar o Cofre de Chaves do Azure a partir de sua instância local do SQL Server. Mas para o SQL Server em VMs do Azure, você pode economizar tempo usando o recurso de Integração do Cofre da Chave do Azure. Com alguns cmdlets do Azure PowerShell para habilitar esse recurso, você pode automatizar a configuração necessária para que uma VM SQL acesse seu cofre de chaves.
Criptografia de disco VM
O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows ajudam você a criptografar seus discos de máquina virtual IaaS. Ele aplica o recurso BitLocker padrão do setor do Windows e o recurso DM-Crypt do Linux para fornecer criptografia de volume para o sistema operacional e os discos de dados. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco em sua assinatura do Cofre de Chaves. A solução também garante que todos os dados nos discos de máquina virtual sejam criptografados em repouso em seu armazenamento do Azure.
Virtual networking
As máquinas virtuais precisam de conectividade de rede. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais estejam conectadas a uma Rede Virtual do Azure. Uma Rede Virtual do Azure é uma construção lógica criada sobre a malha de rede física do Azure. Cada Rede Virtual do Azure lógica é isolada de todas as outras Redes Virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Patch Updates
As atualizações de patch fornecem a base para encontrar e corrigir possíveis problemas e simplificam o processo de gerenciamento de atualizações de software, reduzindo o número de atualizações de software que você deve implantar em sua empresa e aumentando sua capacidade de monitorar a conformidade.
Gerenciamento e relatórios de políticas de segurança
O Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças e proporciona-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Gestão de identidades e acessos
A proteção de sistemas, aplicativos e dados começa com controles de acesso baseados em identidade. Os recursos de gerenciamento de identidade e acesso incorporados aos produtos e serviços empresariais da Microsoft ajudam a proteger suas informações organizacionais e pessoais contra acesso não autorizado, ao mesmo tempo em que as disponibilizam para usuários legítimos quando e onde eles precisarem.
Secure Identity
A Microsoft usa várias práticas e tecnologias de segurança em seus produtos e serviços para gerenciar identidade e acesso.
Multifactor authentication requires users to use multiple methods for access, on-premises and in the cloud. Ele fornece autenticação forte com uma variedade de opções de verificação fáceis, enquanto acomoda os usuários com um processo de login simples.
Microsoft Authenticator provides a user-friendly multifactor authentication experience that works with both Microsoft Entra ID and Microsoft accounts, and includes support for wearables and fingerprint-based approvals.
A aplicação da política de senha aumenta a segurança das senhas tradicionais, impondo requisitos de comprimento e complexidade, rotação periódica forçada e bloqueio de conta após tentativas de autenticação falhadas.
Token-based authentication enables authentication via Microsoft Entra ID.
O controle de acesso baseado em função do Azure (Azure RBAC) permite que você conceda acesso com base na função atribuída ao usuário, facilitando dar aos usuários apenas a quantidade de acesso necessária para executar suas tarefas de trabalho. Você pode personalizar o RBAC do Azure de acordo com o modelo de negócios e a tolerância ao risco da sua organização.
O gerenciamento integrado de identidades (identidade híbrida) permite manter o controle do acesso dos usuários em datacenters internos e plataformas de nuvem, criando uma única identidade de usuário para autenticação e autorização para todos os recursos.
Aplicações e dados seguros
O Microsoft Entra ID, uma solução abrangente de nuvem de gerenciamento de identidade e acesso, ajuda a proteger o acesso a dados em aplicativos no local e na nuvem e simplifica o gerenciamento de usuários e grupos. Ele combina serviços de diretório principais, governança de identidade avançada, segurança e gerenciamento de acesso a aplicativos, e torna mais fácil para os desenvolvedores criar gerenciamento de identidade baseado em políticas em seus aplicativos. Para melhorar sua ID do Microsoft Entra, você pode adicionar recursos pagos usando as edições Microsoft Entra Basic, Premium P1 e Premium P2.
O Cloud App Discovery é um recurso premium do Microsoft Entra ID que permite identificar aplicativos em nuvem que são usados pelos funcionários em sua organização.
O Microsoft Entra ID Protection é um serviço de segurança que usa os recursos de deteção de anomalias do Microsoft Entra para fornecer uma visão consolidada das deteções de risco e vulnerabilidades potenciais que podem afetar as identidades da sua organização.
Os Serviços de Domínio do Microsoft Entra permitem que você associe VMs do Azure a um domínio sem a necessidade de implantar controladores de domínio. Os usuários entram nessas VMs usando suas credenciais corporativas do Ative Directory e podem acessar recursos sem problemas.
O Microsoft Entra B2C é um serviço de gerenciamento de identidade global altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades e integrado em plataformas móveis e da Web. Os seus clientes podem iniciar sessão em todas as suas aplicações através de experiências personalizáveis que utilizam contas de redes sociais existentes ou pode criar novas credenciais autónomas.
O Microsoft Entra B2B Collaboration é uma solução segura de integração de parceiros que suporta seus relacionamentos entre empresas, permitindo que os parceiros acessem seus aplicativos e dados corporativos seletivamente usando suas identidades autogerenciadas.
O Microsoft Entra permite estender as capacidades da nuvem para dispositivos Windows 10 para gestão centralizada. Ele possibilita que os usuários se conectem à nuvem corporativa ou organizacional por meio do Microsoft Entra ID e simplifica o acesso a aplicativos e recursos.
O proxy de aplicativo Microsoft Entra fornece SSO e acesso remoto seguro para aplicativos Web hospedados localmente.
Next Steps
Compreenda a sua responsabilidade partilhada na nuvem.
Saiba como o Microsoft Defender for Cloud pode ajudá-lo a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure.