Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve o recurso Insights (versão prévia) nas Migrações para Azure, que fornece avaliação de segurança da infraestrutura e do inventário de software descoberto em seu datacenter.
Principais benefícios do Insights: o que os usuários ganham
- Examine os riscos de segurança em seu datacenter mais cedo durante o planejamento de migração.
- Planeje a mitigação para corrigir problemas de segurança e tornar sua migração para o Azure suave e segura.
- Identificar e planejar a atualização de servidores Windows e Linux com sistema operacional de fim de suporte, software de fim de suporte e atualizações pendentes.
- Detecte vulnerabilidades no software descoberto e tome medidas para corrigir riscos.
- Identifique servidores sem software de gerenciamento de patch ou segurança e planeje configurar o Microsoft Defender para Nuvem e o Azure Update Manager.
Dados do Security Insights
Atualmente, o Azure Migrate se concentra em um conjunto principal de áreas de risco de segurança. Cada área corresponde a um insight de segurança específico. A tabela a seguir resume os dados de insights disponíveis:
| Resource | Insights de segurança | Detalhes |
|---|---|---|
| Servers | Com riscos de segurança | Os servidores serão sinalizados se tiverem pelo menos um dos seguintes riscos de segurança: sistema operacional de fim de suporte, software de fim de suporte, CVEs (vulnerabilidades conhecidas), software de gerenciamento de patch ou segurança ausente, atualizações críticas ou de segurança pendentes |
| Fim do suporte do sistema operacional | Servidores com sistema operacional em fim de suporte. | |
| Fim do suporte de software | Servidores com software descoberto no Azure Migrate que está no fim do suporte. | |
| Com vulnerabilidades | Servidores com vulnerabilidade conhecida (CVE) no sistema operacional e software descoberto. | |
| Software de segurança ausente | Servidores sem nenhum software descoberto pertencente à categoria de software de segurança. | |
| Software de gerenciamento de patches em falta | Servidores sem nenhum software de gerenciamento de correções detectado. | |
| Atualizações pendentes | Servidores com atualizações ou patches pendentes. | |
| Programas de computador | Com riscos de segurança | Software com pelo menos um dos riscos de segurança – fim do suporte, vulnerabilidades. |
| Fim do suporte | Software declarado fim do suporte pelo fornecedor. | |
| Com vulnerabilidades | Software com vulnerabilidade conhecida (CVE). |
Como os Insights são derivados
O Azure Migrate identifica possíveis riscos de segurança em seu datacenter usando dados de inventário de software coletados por meio do processo de descoberta do appliance Azure Migrate. Ao executar uma descoberta do seu ambiente local, você geralmente fornece credenciais de convidado para seus servidores Windows e Linux. Isso permite que a ferramenta colete informações sobre software instalado, configuração do sistema operacional e atualizações pendentes. O Azure Migrate processa esses dados para gerar insights de segurança fundamentais sem precisar de credenciais ou permissões adicionais.
Observação
As Migrações para Azure não instalam agentes adicionais nem executam uma verificação profunda do seu ambiente. Os insights de segurança são limitados aos dados de software e do sistema operacional descobertos por meio da descoberta rápida do dispositivo do Migrações para Azure. Ele analisa os dados de inventário de software coletados e os faz referência cruzada com bancos de dados de ciclo de vida de suporte e vulnerabilidades disponíveis publicamente para realçar os riscos de segurança em seu datacenter.
Os riscos de segurança são derivados por meio de uma série de análises a seguir:
Software de fim de suporte: as Migrações para Azure verificam as versões do software descoberto no repositório endoflife.date disponível publicamente. Todos os dados de fim de vida são atualizados a cada 7 dias. Se o software for considerado o fim do suporte (o que significa que o fornecedor não fornece mais atualizações de segurança), ele o sinaliza como um risco à segurança. Identificar software sem suporte antecipadamente ajuda você a planejar atualizações ou mitigações como parte de sua migração na nuvem.
Vulnerabilidades: Azure Migrate identifica o software instalado e o sistema operacional (OS) para cada servidor. Ele mapeia o software descoberto e o sistema operacional para a nomenclatura CPE (Common Platform Enumeration) usando um modelo de IA, que fornece uma identificação exclusiva para cada versão de software. Ele armazena apenas metadados de software (nome, editor, versão) e não captura nenhuma informação específica da organização. Azure Migrate correlaciona os nomes de CPE com as IDs CVE conhecidas (Vulnerabilidades e Exposições Comuns). As IDs de CVE são identificadores exclusivos atribuídos a vulnerabilidades de segurança cibernética divulgadas publicamente e ajudam as organizações a identificar e rastrear vulnerabilidades de maneira padrão. Consulte a CVE para obter mais detalhes. As informações sobre IDs CVE e software relacionado são provenientes do NVD (Banco de Dados Nacional de Vulnerabilidades ) disponível publicamente, gerenciado pelo NIST. Isso ajuda a identificar vulnerabilidades no software. Cada vulnerabilidade é categorizada por nível de risco (Crítico, Alto, Médio, Baixo) com base na pontuação CVSS fornecida pelo NVD. Esse recurso usa a API NVD, mas não é endossado ou certificado pelo NVD. Todos os dados CVE do NVD são atualizados a cada 7 dias.
Atualizações pendentes para servidores: o Azure Migrate identifica servidores que não estão completamente corrigidos ou atualizados com base nos metadados do Windows Update para servidores Windows e nos metadados do gerenciador de pacotes para servidores Linux. Ele também recupera a classificação dessas atualizações (Críticas, Segurança, Outras atualizações) e as mostra para mais consideração. Azure Migrate atualiza dados do Windows Updates e dos gerenciadores de pacotes do Linux a cada 24 horas. Esse insight aparece como Servidores com atualizações críticas e de segurança pendentes, indicando que o servidor não está totalmente corrigido e deve ser atualizado.
Software de segurança e gerenciamento de patches ausente: o Azure Migrate classifica o software processando seu nome e editor em categorias e subcategorias predefinidas. Saiba mais. Ele identifica servidores desprotegidos que não têm software de segurança e conformidade identificado por meio do inventário de software. Por exemplo, se o inventário de software indicar um servidor sem software em categorias como antivírus, detecção de ameaças, SIEM, IAM ou gerenciamento de patches, o Azure Migrate sinalizará o servidor como um risco potencial à segurança.
Azure Migrate atualiza os insights de segurança sempre que atualiza os dados do inventário de software descoberto. A plataforma atualiza insights quando você executa uma nova descoberta ou quando o appliance do Azure Migrate envia atualizações de inventário. Normalmente, você executa uma descoberta completa no início de um projeto e pode fazer novas verificações periódicas antes de finalizar uma avaliação. Qualquer alteração do sistema, como novos patches ou o fim da vida útil do software, refletirá nos insights de segurança atualizados.
Calcular o número de riscos de segurança
Use a seguinte fórmula para calcular o número de riscos de segurança para um servidor:
Sinalizador de fim de suporte do sistema operacional + sinalizador de fim de suporte de software + Número de vulnerabilidades + Número de atualizações críticas e de segurança pendentes + sinalizador de software de segurança + sinalizador de software de gerenciamento de patch
- Sinalizador de fim de suporte do sistema operacional = 1 se o sistema operacional do servidor estiver no final do suporte; caso contrário, 0.
- Sinalizador de fim de suporte de software = 1 se o software estiver no final do suporte; caso contrário, 0.
- Número de vulnerabilidades = Contagem de CVEs identificadas para o servidor.
- Número de atualizações críticas e de segurança pendentes = atualizações pendentes para servidores Windows e Linux classificados como Críticos ou de Segurança.
- Sinalizador de software de segurança = 1 se nenhum software pertencente à categoria segurança tiver sido descoberto no servidor; caso contrário, 0.
- Sinalizador de software de gerenciamento de patch = 1 se nenhum software pertencente à subcategoria de Gerenciamento de Patch tiver sido descoberto no servidor; caso contrário, 0.
Observação
Insights de segurança no Azure Migrate ajudam a orientar e destacar os potenciais riscos de segurança no datacenter. Eles não devem ser comparados com ferramentas de segurança especializadas. Recomendamos adotar serviços do Azure, como o Microsoft Defender para Nuvem e o Azure Update Manager para proteção abrangente do seu ambiente híbrido.
Pré-requisitos para revisar insights
Verifique se os seguintes pré-requisitos são atendidos para gerar Insights completos:
- Use a descoberta baseada em dispositivo nas Migrações para Azure para examinar os Insights. Pode levar até 24 horas após a descoberta para gerar Insights. Não há suporte para a Descoberta baseada em importação.
- Use um projeto existente ou crie um projeto de Migrações para Azure usando o portal em qualquer uma das regiões públicas com suporte das Migrações para Azure. Atualmente, não há suporte para essa funcionalidade em nuvens governamentais.
- Verifique se os recursos de descoberta de convidado estão habilitados nos dispositivos.
- Verifique se não há problemas de descoberta de software. Vá para a Central de Ações no projeto de Migrações para Azure para filtrar problemas de inventário de software.
- Verifique se o inventário de software é coletado ativamente para todos os servidores pelo menos uma vez nos últimos 30 dias.
Examinar Insights
Para revisar insights no Azure Migrate:
Acesse o portal de Migrações para Azure .
Selecione seu projeto em Todos os Projetos.
No menu à esquerda, selecione Explorar inventário>Insights (versão prévia) para examinar os insights de segurança do projeto selecionado. Esta página fornece um resumo dos riscos de segurança em servidores e softwares descobertos.
Selecione um insight para visualizar informações detalhadas. O cartão Resumo destaca os riscos críticos de segurança em seu datacenter que precisam de atenção imediata. Identifica:
- Servidores com vulnerabilidades críticas que se beneficiam de habilitar o Microsoft Defender para Nuvem após a migração.
- Servidores que executam sistemas operacionais de fim de suporte, recomendando atualizações durante a migração.
- O número de servidores com atualizações críticas e de segurança pendentes, sugerindo a remediação usando o Gerenciador de Atualizações do Azure após a migração. Você pode marcar servidores com riscos críticos para dar suporte a planejamento e mitigação eficazes durante a modernização para o Azure.
Examinar a avaliação de risco do servidor
O cartão Servidores mostra um resumo de todos os servidores descobertos com riscos de segurança. Um servidor será considerado em risco se tiver pelo menos um dos seguintes problemas:
Sistema operacional de fim de suporte
Software de fim de suporte
Vulnerabilidades conhecidas (CVEs) no sistema operacional ou software instalado
Software de gerenciamento de segurança ou patches ausente
Atualizações críticas ou de segurança pendentes
Examinar a avaliação de risco de software
O Cartão de Software mostra um resumo de todos os softwares descobertos com riscos de segurança. O software será sinalizado como em risco se for de fim de suporte ou tiver CVEs (vulnerabilidades conhecidas). O cartão exibe o número de softwares em fim de suporte e softwares com vulnerabilidades como frações do total de softwares com riscos de segurança.
Examinar insights de segurança detalhados
Para examinar os riscos de segurança detalhados para Servidores e Software, execute as seguintes ações:
Examinar servidores com riscos de segurança
Para examinar os riscos de segurança detalhados para servidores, siga estas etapas:
Vá para o painel Insights (versão prévia).
No cartão Servidores, selecione o link que mostra o número de servidores com riscos de segurança.
Você pode exibir a lista detalhada de servidores descobertos, aplicar marcas para dar suporte ao planejamento de migração e exportar os dados do servidor como um arquivo .csv.
Exibir servidores por risco de segurança
Para exibir servidores com riscos de segurança específicos, acesse o painel Insights (versão prévia ). No cartão Servidores, você vê e seleciona uma lista detalhada de servidores afetados pelos seguintes problemas:
- Sistemas operacionais de fim de suporte
- Software de fim de suporte
- Vulnerabilidades conhecidas (CVEs) em sistemas operacionais ou software instalados
- Ferramentas de gerenciamento de patch ou segurança ausentes
Como alternativa, você pode filtrar servidores com riscos de segurança nos painéis Explorar inventário>Todos os inventários e Explorar infraestrutura>Infraestrutura.
Examinar software com riscos de segurança
Para examinar o software com riscos de segurança identificados, siga estas etapas:
Vá para o painel Insights (versão prévia).
No cartão software , selecione o link que mostra o número de itens de software com riscos de segurança.
Você pode exibir a lista detalhada de software descoberto, examinar metadados associados e exportar os dados como um arquivo .csv.
Para exibir o software com riscos de segurança específicos, vá para o painel Insights (versão prévia). aqui, você verá uma lista detalhada de software afetado devido aos seguintes problemas:
- Status de fim de suporte
- Vulnerabilidades conhecidas (CVEs)
Como alternativa, você pode filtrar o software fora de suporte e o software com vulnerabilidades conhecidas no painel Explorar inventário>Software.
Examinar insights de segurança detalhados para um servidor
Para exibir insights de segurança detalhados para um servidor específico:
Vá para o painel Infraestrutura no menu à esquerda e selecione o servidor que você deseja examinar.
Selecione a guia Insights (versão prévia). A guia exibe insights de segurança para o servidor selecionado, incluindo:
- Status de suporte do sistema operacional
- Presença de software de gerenciamento de patch e segurança
- Atualizações críticas e de segurança pendentes
- Software de fim de suporte
- Software com vulnerabilidades conhecidas (CVEs)
- O resumo das cinco principais atualizações pendentes e das cinco principais vulnerabilidades é fornecido para ajudar a priorizar a correção.
Gerenciar permissões para o Security Insights
Os insights de segurança são habilitados por padrão para todos os usuários. Para gerenciar o acesso, crie funções personalizadas e remova as seguintes permissões:
| Resource | Permissions | Description |
|---|---|---|
| Atualizações pendentes | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/* |
Ler as atualizações pendentes do site do Hyper-V |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/* |
Ler as atualizações pendentes do site do servidor físico | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/* |
Ler atualizações pendentes do computador VMware | |
| Vulnerabilidades | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/* |
Ler vulnerabilidades do site do Hyper-V |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/* |
Ler as vulnerabilidades do site do servidor físico | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/* |
Ler vulnerabilidades do computador VMware |
Você também pode implementar funções integradas para o Azure Migrate para gerenciar o acesso ao Insights. Saiba mais
A mensagem de erro abaixo é exibida quando um usuário não tem permissões para exibir Insights:
Observação
O status de suporte para sistemas operacionais e software é uma propriedade de nível de computador. O acesso do usuário a essas informações é determinado pelas permissões atribuídas no nível do computador.
Explorar os serviços do Azure para reduzir os riscos de segurança
O Azure oferece soluções integradas para identificar e mitigar os riscos de segurança e fortalecer a postura de segurança na nuvem:
- O Microsoft Defender para Nuvem oferece gerenciamento de segurança unificado e proteção avançada contra ameaças. Ele avalia continuamente os recursos para configurações incorretas e vulnerabilidades, fornecendo recomendações acionáveis para proteger sua infraestrutura. Ao se alinhar aos padrões de conformidade do setor, ele garante que suas cargas de trabalho permaneçam seguras e em conformidade.
- O Gerenciador de Atualizações do Azure simplifica a aplicação de patch do sistema operacional sem infraestrutura adicional. Ele automatiza os agendamentos de atualização para minimizar os riscos de segurança de sistemas não mapeados e oferece relatórios de conformidade detalhados. Com o controle granular sobre implantações, ele ajuda a manter a integridade e a resiliência do sistema contra ameaças em evolução.
Próximas etapas
- Saiba mais sobre permissões nas Migrações para Azure.
- Saiba mais sobre o custo de segurança no caso Business.
- Saiba mais sobre Avaliações.