Compartilhar via

Criar a primeira camada de defesa com os serviços de Segurança do Azure

Azure
Microsoft Entra ID

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.

Você pode usar vários serviços do Azure para criar uma infraestrutura de TI completa para sua organização. O Azure também fornece serviços de segurança que ajudam você a proteger essa infraestrutura. Usando soluções de segurança do Azure, você pode aprimorar a postura de segurança do ambiente, reduzir vulnerabilidades e reduzir o risco de violação por meio de uma solução bem arquitetada com base nas práticas recomendadas da Microsoft.

Embora alguns serviços de segurança incorram em custos associados, muitos estão disponíveis sem custo adicional. Os serviços gratuitos incluem NSGs (grupos de segurança de rede), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e mais. Este artigo se concentra nesses serviços gratuitos.

Este artigo é o terceiro de uma série de cinco. Para examinar os dois artigos anteriores desta série, incluindo a introdução e uma revisão de como você pode mapear ameaças em um ambiente de TI, consulte o seguinte artigo:

Possíveis casos de uso

Este artigo organiza os serviços de segurança do Azure por recurso do Azure para que você possa se concentrar em ameaças específicas direcionadas a recursos como VMs (máquinas virtuais), sistemas operacionais, redes do Azure ou aplicativos, além de ataques que podem comprometer usuários e senhas. O diagrama a seguir pode ajudá-lo a identificar os serviços de segurança do Azure que ajudam a proteger recursos e identidades de usuário contra esses tipos de ameaças.

Arquitetura

Um diagrama de recursos locais, serviços do Microsoft 365 e do Azure, e 16 tipos de ameaças, conforme classificado pela matriz MITRE ATTACK.

Baixe um Arquivo Visio dessa arquitetura.

©2021 A MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

A camada de segurança do Azure neste diagrama é baseada no ASB (Azure Security Benchmark.) v3, que é um conjunto de regras de segurança implementadas por meio de políticas do Azure. O ASB é baseado em uma combinação de regras do CIS Center for Internet Security e do National Institute of Standards and Technology. Para obter mais informações sobre o ASB, consulte Visão geral do Azure Security Benchmark v3.

O diagrama não inclui todos os serviços de segurança do Azure disponíveis, mas destaca os serviços usados com mais frequência. Todos os serviços de segurança mostrados no diagrama de arquitetura podem ser combinados e configurados para trabalhar em conjunto com seu ambiente de TI e as necessidades de segurança específicas de sua organização.

Workflow

Esta seção descreve os componentes e serviços que aparecem no diagrama. Muitos deles são rotulados com seus códigos de controle ASB, além de seus rótulos abreviados. Os códigos de controle correspondem aos domínios de controle listados em Controles.

  1. Parâmetro de comparação de segurança do Azure

    Cada controle de segurança refere-se a um ou mais serviços de segurança específicos do Azure. A referência de arquitetura neste artigo mostra alguns deles e seus números de controle de acordo com a documentação do ASB. Os controles incluem:

    • Segurança de rede
    • Gerenciamento de identidades
    • Acesso privilegiado
    • Proteção de dados
    • Gerenciamento de ativos
    • Registro em log e detecção de ameaças
    • Resposta a incidentes
    • Gerenciamento de vulnerabilidades e postura
    • Segurança do ponto de extremidade
    • Backup e recuperação
    • Segurança de DevOps
    • Governança e estratégia

    Para obter mais informações sobre os controles de segurança, consulte Visão geral do Azure Security Benchmark (v3).

  2. Rede

    A tabela a seguir descreve os serviços de rede no diagrama.

    Etiqueta Descrição Documentação
    NSG Um serviço gratuito que você anexa a uma interface de rede ou sub-rede. Um NSG permite filtrar o tráfego do protocolo TCP ou UDP usando intervalos de endereços IP e portas para conexões de entrada e saída. Grupos de segurança de rede
    VPN Um gateway de VPN (rede virtual privada) que fornece um túnel com proteção IPSEC (IKE v1/v2). Gateway de VPN
    Firewall do Azure Uma PaaS (plataforma como serviço) que oferece proteção na camada 4 e está conectada a uma rede virtual inteira. O que é o Firewall do Azure?
    Aplicativo GW + WAF Gateway de Aplicativo do Azure com WAF (Firewall do Aplicativo Web) O Gateway de Aplicativo é um balanceador de carga para tráfego da Web que funciona na camada 7 e adiciona WAF para proteger aplicativos que usam HTTP e HTTPS. O que é o Gateway de Aplicativo do Azure?
    NVA NVA (solução de virtualização de rede). Um serviço de segurança virtual do marketplace provisionado em VMs no Azure. Soluções de virtualização de rede
    DDOS Proteção contra DDoS implementada na rede virtual para ajudar você a mitigar diferentes tipos de ataques contra DDoS. Visão geral da Proteção de Rede contra DDoS do Azure
    TLS/SSL O TLS/SSL fornece criptografia em trânsito para a maioria dos serviços do Azure que trocam informações, como o Armazenamento do Azure e os Aplicativos Web. Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell
    Link privado Serviço que permite criar uma rede privada para um serviço do Azure que inicialmente é exposto à Internet. O que é o Link Privado do Azure?
    Ponto de extremidade privado Cria uma interface de rede e a anexa ao serviço do Azure. O Ponto de Extremidade Privado faz parte do Link Privado. Essa configuração permite que o serviço se torne parte da rede virtual por meio de um ponto de extremidade privado. O que é um ponto de extremidade privado?

  3. Infraestrutura e endpoints

    A tabela a seguir descreve a infraestrutura e os serviços de ponto de extremidade mostrados no diagrama.

    Etiqueta Descrição Documentação
    Bastião O Bastion fornece funcionalidade de servidor de salto. Esse serviço permite que você acesse suas VMs por meio de protocolo RDP (Remote Desktop Protocol) ou SSH sem expor suas VMs à Internet. O que é o Azure Bastion?
    Antimalware O Microsoft Defender fornece serviço antimalware e faz parte do Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Microsoft Defender Antivirus no Windows
    Criptografia de disco A Criptografia de Disco permite criptografar o disco de uma VM. Azure Disk Encryption para VMs do Windows
    Cofre de Chaves Key Vault, um serviço para armazenar chaves, segredos e certificados com FIPS 140-2 Nível 2 ou 3. Conceitos básicos do Azure Key Vault
    RDP Curto Shortpath RDP da Área de Trabalho Virtual do Azure Esse recurso permite que usuários remotos se conectem ao serviço de Área de Trabalho Virtual de uma rede privada. Shortpath de RDP da Área de Trabalho Virtual do Azure para redes gerenciadas
    Conexão reversa Um recurso de segurança interno da Área de Trabalho Virtual do Azure. A conexão reversa garante que os usuários remotos recebam apenas fluxos de pixels e não alcancem as VMs do host. Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure

  4. Aplicação e dados

    A tabela a seguir descreve o aplicativo e os serviços de dados mostrados no diagrama.

    Etiqueta Descrição Documentação
    Porta de frente + WAF Uma CDN (rede de distribuição de conteúdo). O Front Door combina vários pontos de presença para oferecer uma melhor conexão para os usuários que acessam o serviço e adiciona WAF. O que é o Azure Front Door?
    Gerenciamento da API Um serviço que fornece segurança para chamadas de API e gerencia APIs em ambientes. Sobre o Gerenciamento de API
    PenTest Um conjunto de práticas recomendadas para executar um teste de penetração em seu ambiente, incluindo recursos do Azure. Teste de penetração
    Token SAS de armazenamento Um token de acesso compartilhado usando políticas de expiração para permitir que outras pessoas acessem sua conta de armazenamento do Azure. Conceder acesso limitado aos recursos de Armazenamento do Azure usando as SAS (assinaturas de acesso compartilhado)
    Ponto de extremidade privado Crie uma interface de rede e anexe-a à sua conta de armazenamento para configurá-la em uma rede privada no Azure. Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure
    Firewall de armazenamento O firewall que permite definir um intervalo de endereços IP que podem acessar sua conta de armazenamento. Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure
    Criptografia
    (Armazenamento do Microsoft Azure)    		 Protege sua conta de armazenamento com criptografia em repouso. Criptografia do Armazenamento do Azure para dados em repouso
    Auditoria SQL Rastreia eventos de banco de dados e os grava em um log de auditoria na conta de armazenamento do Azure. Para cenários de análise que usam almacéns ou lakehouses do Microsoft Fabric, use logs de atividade do workspace do Microsoft Fabric e o Microsoft Purview (quando habilitado) para monitorar o acesso e a classificação. Auditoria do Banco de Dados SQL do Azure

    Visão geral do Microsoft Purview
    Avaliação de vulnerabilidade Serviço que ajuda você a descobrir, rastrear e corrigir possíveis vulnerabilidades de banco de dados. A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados
    Criptografia
    (SQL do Azure)    		 A TDE (Transparent Data Encryption) criptografa dados inativos para os serviços do Banco de Dados SQL do Azure. Os dados do Microsoft Fabric armazenados no OneLake são criptografados em repouso por padrão com criptografia gerenciada pela plataforma, alinhada com os conceitos básicos de segurança do Fabric. Criptografia de dados transparente para o Banco de Dados SQL e a Instância Gerenciada de SQL

    Segurança no Microsoft Fabric

  5. Identidade

    A tabela a seguir descreve os serviços de identidade mostrados no diagrama.

    Etiqueta Descrição Documentação
    RBAC O controle de acesso baseado em função do Azure (RBAC do Azure) ajuda você a gerenciar o acesso aos serviços do Azure usando permissões granulares baseadas nas credenciais do Microsoft Entra dos usuários. O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
    AMF A autenticação multifator oferece tipos adicionais de autenticação além de nomes de usuário e senhas. Como funciona: autenticação multifator do Microsoft Entra
    Proteção de identidade O Identity Protection, um serviço de segurança do Microsoft Entra ID, analisa trilhões de sinais por dia para identificar e proteger os usuários contra ameaças. O que é proteção de identidade?
    PIM PIM (Privileged Identity Management), um serviço de segurança do Microsoft Entra ID. Ele ajuda você a fornecer privilégios de superusuário temporariamente para a ID do Microsoft Entra (por exemplo, Administrador de Usuários) e assinaturas do Azure (por exemplo, Administrador de Controle de Acesso Baseado em Função ou Administrador do Key Vault). O que é o Privileged Identity Management do Microsoft Entra?
    Conta Cond O Acesso Condicional é um serviço de segurança inteligente que usa políticas definidas por você para várias condições para bloquear ou conceder acesso aos usuários. O que é Acesso Condicional?

Componentes

  • A ID do Microsoft Entra é um serviço de gerenciamento de identidade e acesso. Nessa arquitetura, ele gerencia identidades de usuário e acesso a recursos externos, como o Microsoft 365 e o portal do Azure, e recursos internos, como aplicativos em sua rede intranet corporativa.

  • A Rede Virtual do Azure é um serviço de rede que permite a comunicação segura entre os recursos do Azure, a Internet e as redes locais. Nessa arquitetura, ela fornece a infraestrutura de rede privada que dá suporte a conectividade e isolamento seguros para cargas de trabalho.

  • O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de baixa latência para tráfego UDP e TCP. Load Balancer é um serviço com redundância de zona que pode lidar com milhões de fluxos simultâneos. Nessa arquitetura, ela garante alta disponibilidade e escalabilidade distribuindo tráfego de entrada e saída entre recursos na rede virtual.

  • As Máquinas Virtuais do Azure são uma oferta de IaaS (infraestrutura como serviço) que fornece recursos de computação escalonáveis. Nessa arquitetura, as VMs hospedam cargas de trabalho que exigem controle direto sobre o sistema operacional e as configurações de segurança.

  • O AKS (Serviço de Kubernetes do Azure) é um serviço de orquestração de contêiner gerenciado que simplifica a implantação e o gerenciamento de clusters do Kubernetes. Nessa arquitetura, o AKS executa aplicativos em contêineres e fornece recursos internos para segurança, governança e ci/cd (integração contínua/entrega contínua).

  • A Área de Trabalho Virtual é um serviço de virtualização de aplicativos e área de trabalho que fornece áreas de trabalho remotas da nuvem. Nessa arquitetura, ela fornece acesso seguro a áreas de trabalho corporativas para usuários remotos e inclui recursos internos, como o RdP Shortpath e a conexão reversa.

  • O recurso Aplicativos Web do Serviço de Aplicativo hospeda aplicativos Web, APIs REST e back-ends móveis. Nessa arquitetura, os Aplicativos Web hospedam aplicativos baseados em HTTP e fornecem recursos de segurança, como TLS e pontos de extremidade privados. Você pode desenvolver em seu idioma escolhido. Os aplicativos são executados e dimensionados em ambientes baseados em Windows e Linux.

  • O Armazenamento do Azure é uma solução de armazenamento escalonável e segura para vários tipos de dados, incluindo blobs, arquivos, filas e tabelas. Nessa arquitetura, ela armazena dados de aplicativo e sistema com criptografia em repouso e dá suporte ao acesso seguro por meio de tokens SAS e pontos de extremidade privados.

  • O Banco de Dados SQL é um serviço de banco de dados relacional gerenciado que automatiza a aplicação de patch, backups e monitoramento. Nessa arquitetura, ele fornece armazenamento de dados seguro e compatível por meio de recursos como criptografia de dados transparente, auditoria e avaliações de vulnerabilidade.

  • O Microsoft Fabric é uma plataforma unificada de análise de SaaS que reúne engenharia de dados, data warehouse, análise em tempo real e business intelligence. Nessa arquitetura, você pode adotar o Fabric para cargas de trabalho de análise que precisam de workspaces controlados, criptografia em repouso do OneLake, acesso ao nível do item baseado em função e registro centralizado de atividades, enquanto os dados operacionais permanecem em serviços como o Azure SQL Database.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Outros colaboradores:

Próximas etapas

A Microsoft tem mais documentação que pode ajudá-lo a proteger seu ambiente de TI, e os seguintes artigos podem ser particularmente úteis:

Nos recursos a seguir, você pode encontrar mais informações sobre os serviços, tecnologias e terminologias mencionados neste artigo:

Para obter mais informações sobre essa arquitetura de referência, consulte os outros artigos desta série: