Melhores práticas de segurança para cargas de trabalho IaaS no Azure

Este artigo descreve as práticas recomendadas de segurança para VMs e sistemas operacionais.

As práticas recomendadas são baseadas em um consenso de opinião e funcionam com os recursos e conjuntos de recursos atuais da plataforma Azure. Como as opiniões e tecnologias podem mudar ao longo do tempo, este artigo será atualizado para refletir essas mudanças.

Na maioria dos cenários de infraestrutura como serviço (IaaS), as máquinas virtuais (VMs) do Azure são a principal carga de trabalho para organizações que usam computação em nuvem. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. Nesses cenários, siga as considerações gerais de segurança para IaaS e aplique as práticas recomendadas de segurança a todas as suas VMs.

Proteja VMs usando autenticação e controle de acesso

A primeira etapa para proteger suas VMs é garantir que apenas usuários autorizados possam configurar novas VMs e acessar VMs.

Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. As VMs que pertencem a um grupo de recursos herdam suas políticas.

Se a sua organização tiver muitas subscrições, poderá precisar de uma forma de gerir o acesso, as políticas e a conformidade dessas subscrições. Os grupos de gerenciamento do Azure fornecem um nível de escopo acima das assinaturas. Você organiza assinaturas em grupos de gerenciamento (contêineres) e aplica suas condições de governança a esses grupos. Todas as assinaturas dentro de um grupo de gerenciamento herdam automaticamente as condições aplicadas ao grupo. Os grupos de gestão dão-lhe capacidades de gestão de nível empresarial em grande escala, independentemente do seu tipo de subscrição.

Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

• Colaborador de Máquina Virtual: pode gerenciar VMs, mas não a rede virtual ou a conta de armazenamento à qual elas estão conectadas.
• Colaborador de Máquina Virtual Clássica: pode gerenciar VMs criadas usando o modelo de implantação clássico, mas não a rede virtual ou a conta de armazenamento à qual as VMs estão conectadas.
• Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
• Usuário do DevTest Labs: pode visualizar tudo e conectar, iniciar, reiniciar e desligar VMs.

Seus administradores e coadministradores de assinatura podem alterar essa configuração, tornando-os administradores de todas as VMs em uma assinatura. Certifique-se de que confia em todos os seus administradores e coadministradores de subscrição para iniciar sessão em qualquer uma das suas máquinas.

As organizações que controlam o acesso e a configuração da VM melhoram a segurança geral da VM.

Usar Azure Virtual Machine Scale Sets a fim de garantir alta disponibilidade

Se sua VM executar aplicativos críticos que precisam ter alta disponibilidade, é altamente recomendável que você use Conjuntos de Dimensionamento de Máquina Virtual.

Os Conjuntos de Dimensionamento de Máquina Virtual permitem criar e gerenciar um grupo de VMs com balanceamento de carga. O número de instâncias de VM pode aumentar ou diminuir automaticamente como resposta à procura ou horário definido. Os conjuntos de dimensionamento fornecem alta disponibilidade para seus aplicativos e permitem que você gerencie, configure e atualize centralmente muitas VMs. Não há custo para o conjunto de escala em si, você paga apenas por cada instância de VM criada.

As máquinas virtuais em um conjunto de escala também podem ser implantadas em várias zonas de disponibilidade, em uma única zona de disponibilidade ou regionalmente.

Proteção contra software maligno

Você deve instalar a proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

O Microsoft Antimalware inclui recursos como proteção em tempo real, verificação agendada, correção de malware, atualizações de assinatura, atualizações de mecanismo, relatórios de amostras e coleta de eventos de exclusão. Para ambientes hospedados separadamente do ambiente de produção, você pode usar uma extensão antimalware para ajudar a proteger suas VMs e serviços de nuvem.

Você pode integrar o Microsoft Antimalware e soluções de parceiros com o Microsoft Defender for Cloud para facilitar a implantação e deteções internas (alertas e incidentes).

Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware

Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud

Gerenciar suas atualizações de VM

As VMs do Azure, como todas as VMs locais, devem ser gerenciadas pelo usuário. O Azure não emite atualizações do Windows para as VMs. Você precisa gerenciar suas atualizações de VM.

Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Pode rapidamente avaliar o estado das atualizações disponíveis em todos os computadores agente e gerir o processo de instalação de atualizações necessárias para os servidores.

Os computadores que são geridos pela Gestão de Atualizações utilizam as seguintes configurações para realizar a avaliação e as implementações de atualização:

• Agente de Monitorização da Microsoft (MMA) para Windows ou Linux
• Configuração de Estado Pretendido do PowerShell (DSC) para Linux
• Trabalhador Híbrido de Runbook de Automação
• Microsoft Update ou Windows Server Update Services (WSUS) para computadores Windows

Se utilizar o Windows Update, deixe a definição automática do Windows Update ativada.

Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Essa medida é especialmente importante para ser aplicada quando você implanta imagens que vêm de você ou de sua própria biblioteca. Embora as imagens do Azure Marketplace sejam atualizadas automaticamente por padrão, pode haver um tempo de atraso (até algumas semanas) após um lançamento público.

Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. O uso de um modelo oferece uma VM segura e corrigida quando você precisar dela.

Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.

Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Se suas VMs do Azure hospedam aplicativos ou serviços que precisam estar acessíveis à Internet, esteja atento à aplicação de patches. Patch para além do sistema operativo. Vulnerabilidades não corrigidas em aplicativos parceiros também podem levar a problemas que podem ser evitados se um bom gerenciamento de patches estiver em vigor.

Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. Isso é verdade para sistemas que fazem parte do seu ambiente de produção e se estendem para a nuvem.

Os sistemas de teste e desenvolvimento devem seguir estratégias de backup que forneçam recursos de restauração semelhantes aos que os usuários se acostumaram, com base em sua experiência com ambientes locais. As cargas de trabalho de produção movidas para o Azure devem ser integradas às soluções de backup existentes quando possível. Or, you can use Azure Backup to help address your backup requirements.

As organizações que não aplicam políticas de atualização de software estão mais expostas a ameaças que exploram vulnerabilidades conhecidas e previamente corrigidas. Para cumprir as regulamentações do setor, as empresas devem provar que são diligentes e usam controles de segurança corretos para ajudar a garantir a segurança de suas cargas de trabalho localizadas na nuvem.

As práticas recomendadas de atualização de software para um datacenter tradicional e a IaaS do Azure têm muitas semelhanças. Recomendamos que você avalie suas políticas atuais de atualização de software para incluir VMs localizadas no Azure.

Gerencie sua postura de segurança de VM

As ciberameaças estão a evoluir. Proteger suas VMs requer um recurso de monitoramento que possa detetar ameaças rapidamente, impedir o acesso não autorizado aos seus recursos, disparar alertas e reduzir falsos positivos.

To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. No Defender for Cloud, proteja suas VMs aproveitando os seguintes recursos:

• Aplique as definições de segurança do SO com as regras de configuração recomendadas.
• Identifique e transfira a segurança do sistema e as atualizações críticas que possam estar em falta.
• Implemente recomendações para proteção antimalware para endpoints.
• Valide a criptografia de disco.
• Avaliar e corrigir vulnerabilidades.
• Detect threats.

O Defender for Cloud pode monitorar ativamente ameaças e ameaças potenciais são expostas em alertas de segurança. As ameaças correlacionadas são agregadas em uma única exibição chamada incidente de segurança.

O Defender for Cloud armazena dados nos logs do Azure Monitor. Os logs do Azure Monitor fornecem uma linguagem de consulta e um mecanismo de análise que fornece informações sobre a operação de seus aplicativos e recursos. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Esta funcionalidade partilhada ajuda-o a formar uma visão geral do seu ambiente.

As organizações que não impõem segurança forte para suas VMs permanecem inconscientes de possíveis tentativas de usuários não autorizados de contornar os controles de segurança.

Monitorar o desempenho da VM

O abuso de recursos pode ser um problema quando os processos de VM consomem mais recursos do que deveriam. Problemas de desempenho com uma VM podem levar à interrupção do serviço, o que viola o princípio de segurança da disponibilidade. Isso é particularmente importante para VMs que hospedam o IIS ou outros servidores Web, porque o alto uso de CPU ou memória pode indicar um ataque de negação de serviço (DoS). É imperativo monitorar o acesso à VM não apenas reativamente enquanto um problema está ocorrendo, mas também proativamente em relação ao desempenho da linha de base, medido durante a operação normal.

We recommend that you use Azure Monitor to gain visibility into your resource’s health. Recursos do Azure Monitor:

• Arquivos de log de diagnóstico de recursos: monitora os recursos da VM e identifica possíveis problemas que podem comprometer o desempenho e a disponibilidade.
• Extensão de Diagnóstico do Azure: fornece recursos de monitoramento e diagnóstico em VMs do Windows. Você pode habilitar esses recursos incluindo a extensão como parte do modelo do Azure Resource Manager.

As organizações que não monitoram o desempenho da VM não podem determinar se determinadas alterações nos padrões de desempenho são normais ou anormais. Uma VM que está consumindo mais recursos do que o normal pode indicar um ataque de um recurso externo ou um processo comprometido em execução na VM.

Criptografar seus arquivos de disco rígido virtual

Recomendamos que você criptografe seus discos rígidos virtuais (VHDs) para ajudar a proteger o volume de inicialização e os volumes de dados em repouso no armazenamento, juntamente com suas chaves de criptografia e segredos.

O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows ajudam você a criptografar seus discos de máquina virtual IaaS Linux e Windows. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco em sua assinatura do cofre de chaves. A solução também garante que todos os dados nos discos de máquina virtual sejam criptografados em repouso no Armazenamento do Azure.

A seguir estão as práticas recomendadas para usar o Azure Disk Encryption:

Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. A gestão de chaves de encriptação no cofre de chaves requer autenticação do Microsoft Entra. Crie um aplicativo Microsoft Entra para essa finalidade. Para fins de autenticação, você pode usar a autenticação baseada em segredo do cliente ou a autenticação do Microsoft Entra baseada em certificado de cliente.

Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Adicione um KEK ao seu cofre de chaves digitais.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Você também pode importar um KEK do seu módulo de segurança de hardware (HSM) local para gerenciamento de chaves. Para obter mais informações, consulte a documentação do Key Vault. Quando uma chave de criptografia de chave é especificada, o Azure Disk Encryption usa essa chave para encapsular os segredos de criptografia antes de gravar no Cofre da Chave. Manter uma cópia depositária dessa chave em um HSM de gerenciamento de chaves local oferece proteção adicional contra exclusão acidental de chaves.

Best practice: Take a snapshot and/or backup before disks are encrypted. Os backups fornecem uma opção de recuperação se ocorrer uma falha inesperada durante a criptografia.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Ao aplicar a Criptografia de Disco do Azure, você pode satisfazer as seguintes necessidades comerciais:

• As VMs IaaS são protegidas em inatividade através de tecnologias de encriptação padrão no setor para dar resposta a requisitos de conformidade e segurança organizacionais.
• As VMs IaaS começam sob chaves e políticas controladas pelo cliente, e você pode auditar seu uso no cofre de chaves.

Restringir a conectividade direta com a Internet

Monitore e restrinja a conectividade direta da VM com a Internet. Os atacantes verificam constantemente os intervalos de IP da nuvem pública em busca de portas de gerenciamento abertas e tentam ataques "fáceis", como senhas comuns e vulnerabilidades conhecidas não corrigidas. A tabela a seguir lista as práticas recomendadas para ajudar a proteger contra esses ataques:

Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.

Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. O Defender for Cloud recomendará que você restrinja o acesso por meio de pontos de extremidade voltados para a Internet se qualquer um dos seus grupos de segurança de rede tiver uma ou mais regras de entrada que permitam o acesso de "qualquer" endereço IP de origem. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Quando o JIT está habilitado, o Defender for Cloud bloqueia o tráfego de entrada para suas VMs do Azure criando uma regra de grupo de segurança de rede. Selecione as portas na VM para as quais o tráfego de entrada será bloqueado. Essas portas são controladas pela solução JIT.

Next steps

Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.

Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre a segurança do Azure e os serviços relacionados da Microsoft:

• Blog da Equipe de Segurança do Azure - para obter informações atualizadas sobre as últimas novidades da Segurança do Azure
• Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com