O que é a segurança de rede do Azure?

A segurança da rede é um aspeto crítico da computação em nuvem, uma vez que protege os dados e aplicações que são executados na nuvem de várias ameaças e ataques. O Azure fornece um conjunto abrangente de soluções de segurança de rede que lhe permitem projetar, implementar e gerir redes seguras e resilientes na nuvem.

Um dos princípios orientadores da segurança de rede do Azure é o modelo Zero Trust, que pressupõe que nenhuma rede ou dispositivo é inerentemente seguro ou confiável. Em vez disso, cada solicitação e conexão deve ser verificada e validada com base em dados, identidade e contexto. O modelo Zero Trust ajuda-o a impedir o acesso não autorizado, limitar o movimento lateral e reduzir a superfície de ataque das suas redes.

Escolher uma solução

Escolher a solução de segurança de rede certa para suas cargas de trabalho do Azure depende de suas necessidades e requisitos específicos. O Azure fornece uma variedade de serviços de segurança de rede que podem ser usados individualmente ou em combinação para proteger suas cargas de trabalho. Aqui estão alguns fatores-chave a considerar ao escolher uma solução de segurança de rede:

• Tipo de carga de trabalho: cargas de trabalho diferentes têm requisitos de segurança diferentes. Por exemplo, os aplicativos Web podem exigir proteção contra ataques da Web, enquanto as máquinas virtuais podem exigir proteção contra ataques baseados em rede.
• Modelo de implantação: o Azure fornece diferentes modelos de implantação para serviços de segurança de rede, como dispositivos virtuais, serviços gerenciados e soluções integradas. Escolha o modelo que melhor se adapta às suas necessidades e exigências.
• Integração com outros serviços do Azure: muitos serviços de segurança de rede do Azure integram-se com outros serviços do Azure, como o Azure Monitor, o Centro de Segurança do Azure e o Microsoft Sentinel. Escolha uma solução que possa ser facilmente integrada com seus serviços existentes do Azure para segurança e monitoramento aprimorados.
• Custo: Diferentes serviços de segurança de rede têm diferentes modelos de preços. Escolha uma solução que se adapte ao seu orçamento e forneça o nível de proteção de que necessita.
• Requisitos de conformidade: Dependendo do seu setor e localização, você pode ter requisitos de conformidade específicos que sua solução de segurança de rede deve atender. Escolha uma solução que possa ajudá-lo a atender a esses requisitos.
• Escalabilidade: À medida que suas cargas de trabalho crescem, sua solução de segurança de rede deve ser capaz de ser dimensionada com elas. Escolha uma solução que possa lidar com o aumento do tráfego e das cargas de trabalho sem comprometer a segurança.
• Gerenciamento e monitoramento: escolha uma solução que forneça recursos fáceis de gerenciamento e monitoramento, como painéis, alertas e relatórios. Isto irá ajudá-lo a identificar e responder rapidamente a incidentes de segurança.

Azure Firewall

O Firewall do Azure é um serviço de firewall de rede inteligente nativo da nuvem que oferece proteção total com alta disponibilidade interna e escalabilidade ilimitada na nuvem. Ele fornece segurança em nível de rede e aplicativo para suas cargas de trabalho do Azure. Como um serviço gerenciado, o Firewall do Azure pode ser implantado em uma rede virtual e integra-se perfeitamente a outros serviços do Azure, como o Azure Monitor, a Central de Segurança do Azure e o Microsoft Sentinel para segurança e monitoramento aprimorados.

Dependendo de suas necessidades, você pode selecionar entre três SKUs do Firewall do Azure:

• Básico: o SKU básico é uma opção econômica para soluções simples de firewall em cargas de trabalho do Azure. Ele fornece recursos essenciais, como filtragem de rede e aplicativos, conversão de endereços de rede e registro.
• Padrão: O SKU padrão é uma opção mais avançada que inclui recursos extras, como proxy DNS e categorias da Web. Ele foi projetado para soluções de firewall mais abrangentes em cargas de trabalho do Azure.
• Premium: O SKU Premium é a opção mais avançada que inclui todos os recursos do SKU padrão, além de recursos extras, como inspeção TLS, deteção e prevenção de intrusão e filtragem de URL. Ele foi projetado para o mais alto nível de segurança e controle em cargas de trabalho do Azure.

Casos de uso

• Segurança de rede: proteja suas cargas de trabalho do Azure contra ataques baseados em rede e acesso não autorizado.
• Segurança de aplicativos: proteja suas cargas de trabalho do Azure contra ataques e vulnerabilidades baseados em aplicativos.
• Deteção e prevenção de intrusões: monitorize a sua rede em busca de atividades maliciosas, registe informações sobre esta atividade, denuncie-a e, opcionalmente, tente bloqueá-la.
• Inspeção TLS: inspecione e descriptografe o tráfego TLS para detetar e bloquear ameaças ocultas no tráfego criptografado.
• Filtragem de URL: controle o acesso a URLs ou categorias de URL específicas com base nas políticas da sua organização.

Para obter mais informações, consulte Visão geral do Firewall do Azure.

Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure é um serviço que fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. Ele é ajustado automaticamente para ajudar a proteger seus recursos específicos do Azure em uma rede virtual. A proteção é simples de ativar em qualquer rede virtual ou recursos de endereço IP público novos ou existentes e não requer alterações de aplicativos ou recursos.

• Proteção de IP: a Proteção de IP DDoS do Azure fornece proteção para seus recursos do Azure aos quais é atribuído um endereço IP público. Ele protege contra ataques de volumetria, protocolo e camada de aplicativo.

  

• Proteção de rede: a Proteção de Rede DDoS do Azure fornece proteção para seus recursos do Azure em uma rede virtual aos quais é atribuído um endereço IP público. Ele tem recursos extras, como suporte a DDoS Rapid Response, proteção de custos e descontos WAF.

  

Casos de uso

• Proteção contra ataques DDoS: proteja seus recursos do Azure contra ataques DDoS, incluindo ataques volumétricos, de protocolo e de camada de aplicativo.
• Proteção de custos: proteja seus recursos do Azure contra custos inesperados devido a ataques DDoS.
• Resposta rápida: obtenha suporte de resposta rápida de especialistas em DDoS do Azure no caso de um ataque DDoS.

Para obter mais informações, consulte Visão geral da Proteção contra DDoS do Azure.

Firewall de Aplicações Web do Azure

O Azure Web Application Firewall (WAF) é um firewall de aplicativo Web que fornece proteção centralizada para seus aplicativos Web contra explorações e vulnerabilidades comuns. O WAF usa regras para monitorar solicitações e respostas HTTP e pode bloquear ou permitir tráfego com base nas regras que você definir.

O WAF está disponível em duas opções de implantação:

• Azure Application Gateway WAF: O Azure Application Gateway é um balanceador de carga de tráfego da Web (camada OSI 7) que permite gerenciar o tráfego para seus aplicativos Web.
• Azure Front Door WAF: O Azure Front Door é um ponto de entrada escalável e seguro para entrega rápida de seus aplicativos globais. Ele oferece descarregamento SSL, aceleração de aplicativos e balanceamento de carga global com failover instantâneo.

Casos de uso

• Proteção contra ataques da Web: proteja seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeção de SQL e scripts entre sites (XSS).
• Gerenciamento centralizado: gerencie suas regras e políticas de firewall de aplicativos da Web a partir de um único local.
• Integração com serviços do Azure: integre o WAF com outros serviços do Azure, como o Azure Application Gateway e o Azure Front Door, para melhorar a segurança e o desempenho.
• Regras personalizadas: crie regras personalizadas para atender aos seus requisitos e políticas de segurança específicos.
• Proteção de bots: proteja seus aplicativos da Web contra bots mal-intencionados e ataques automatizados.

Para obter mais informações, consulte Visão geral do Firewall de Aplicativo Web do Azure.

Experiência do portal do Azure

O portal do Azure fornece uma experiência unificada para gerenciar seus serviços de segurança de rede. Pode criar e gerir facilmente os seus serviços de segurança de rede a partir de uma única localização e também pode ver o estado e o estado de funcionamento dos seus serviços.

Cenários comuns de segurança de rede

Atualmente, o hub de Segurança de Rede oferece suporte às seguintes opções de implantação:

• Rede virtual segura hub-and-spoke: implante um Firewall do Azure em uma rede virtual designada como hub. Esta rede virtual de hub pode se conectar a várias redes virtuais spoke usando emparelhamento de rede virtual. O Firewall do Azure está associado a uma política de Firewall do Azure que define as regras e configurações para o firewall. Esse modelo de implantação é ideal para organizações que buscam centralizar a segurança e o gerenciamento de rede em um único local.

• Proteja WANs virtuais em escala: implante um Firewall do Azure em um hub seguro da WAN Virtual do Azure. O Firewall do Azure está associado a uma política de Firewall do Azure e o hub seguro está conectado a várias filiais e usuários remotos. Esse modelo de implantação é ideal para organizações que usam a WAN Virtual do Azure para conectar várias filiais e usuários remotos aos recursos do Azure.

• Zero Trust para aplicativos Web: use o Gateway de Aplicativo do Azure com uma política WAF (Firewall de Aplicativo Web) do Azure para proteger aplicativos Web regionais contra explorações e vulnerabilidades comuns. Personalize a política WAF para atender às necessidades específicas de segurança de seus aplicativos Web de forma eficaz.

• Forneça conteúdo na nuvem de forma segura: use o Azure Front Door com uma política do Azure Web Application Firewall (WAF) para proteger e otimizar a entrega de seus aplicativos Web globais. Esse modelo de implantação garante um desempenho seguro e eficiente do aplicativo, permitindo que você personalize a política WAF para atender a necessidades específicas de segurança.

Próximos passos

Saiba mais sobre os diferentes recursos e capacidades de cada serviço de segurança de rede do Azure: