Criar a primeira camada de defesa com os serviços de Segurança do Azure

Azure
Microsoft Entra ID

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.

Você pode criar uma infraestrutura de TI completa para sua organização usando uma ampla variedade de serviços do Azure. O Azure também fornece serviços de segurança para proteger essa infraestrutura. Ao utilizar as soluções de segurança do Azure, você pode aprimorar a postura de segurança do seu ambiente de TI, mitigar vulnerabilidades e evitar violações seguindo as recomendações de práticas recomendadas da Microsoft para uma solução bem arquitetada. Embora alguns serviços de segurança tenham custos associados, muitos estão disponíveis sem custo adicional. Os serviços gratuitos incluem NSGs (grupos de segurança de rede), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e mais. Este artigo se concentra nesses serviços gratuitos.

Alguns serviços de segurança vêm com custos adicionais, enquanto outros estão disponíveis sem custo extra. Os serviços gratuitos incluem NSGs (grupos de segurança de rede), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e muitos mais. Este artigo se concentra nesses serviços de segurança gratuitos.

Este artigo é o terceiro de uma série de cinco. Para revisar os dois artigos anteriores desta série, incluindo a introdução e uma revisão de como você pode mapear ameaças contra um ambiente de TI, consulte os seguintes artigos:

Possíveis casos de uso

Este artigo organiza os serviços de segurança do Azure por cada recurso do Azure, permitindo que você se concentre em ameaças específicas direcionadas a recursos, como VMs (máquinas virtuais), sistemas operacionais, redes do Azure ou aplicativos, bem como ataques que podem comprometer usuários e senhas. O diagrama fornecido orientará você na identificação dos serviços de segurança do Azure apropriados para proteger recursos e identidades de usuário contra esses tipos de ameaças.

Arquitetura

Um diagrama de recursos locais, serviços do Microsoft 365 e do Azure, e 16 tipos de ameaças, conforme classificado pela matriz MITRE ATTACK.

Baixe um Arquivo Visio dessa arquitetura.

©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.

A camada de segurança do Azure neste diagrama é baseada no ASB (Azure Security Benchmark.) v3, que é um conjunto de regras de segurança implementadas por meio de políticas do Azure. O ASB é baseado em uma combinação de regras do CIS Center for Internet Security e do National Institute of Standards and Technology. Para obter mais informações sobre o ASB, consulte Visão geral do Azure Security Benchmark v3.

O diagrama não inclui todos os serviços de segurança do Azure disponíveis, mas destaca os serviços mais usados pelas organizações. Todos os serviços de segurança mostrados no diagrama de arquitetura podem ser combinados e configurados para trabalhar juntos com base em seu ambiente de TI e nas necessidades de segurança específicas de sua organização.

Workflow

Esta seção descreve os componentes e serviços que aparecem no diagrama. Muitos deles são rotulados com seus códigos de controle ASB, além de seus rótulos abreviados. Os códigos de controle correspondem aos domínios de controle listados em Controles.

  1. AZURE SECURITY BENCHMARK

    Cada controle de segurança refere-se a um ou mais serviços de segurança específicos do Azure. A referência de arquitetura neste artigo mostra alguns deles e seus números de controle de acordo com a documentação do ASB. Os controles incluem:

    • Segurança de rede
    • Gerenciamento de identidades
    • Acesso privilegiado
    • Proteção de dados
    • Gerenciamento de ativos
    • Registro em log e detecção de ameaças
    • Resposta a incidentes
    • Gerenciamento de vulnerabilidades e postura
    • Segurança do ponto de extremidade
    • Backup e recuperação
    • Segurança de DevOps
    • Governança e estratégia

    Para obter mais informações sobre os controles de segurança, consulte Visão geral do Azure Security Benchmark (v3).

  2. REDE

    A tabela a seguir descreve os serviços de rede no diagrama.

    Etiqueta Descrição Documentação
    NSG Um serviço gratuito que você anexa a uma interface de rede ou sub-rede. Um NSG permite filtrar o tráfego do protocolo TCP ou UDP usando intervalos de endereços IP e portas para conexões de entrada e saída. Grupos de segurança de rede
    VPN Um gateway de VPN (rede virtual privada) que fornece um túnel com proteção IPSEC (IKE v1/v2). Gateway de VPN
    FIREWALL DO AZURE Uma PaaS (plataforma como serviço) que oferece proteção na camada 4 e está conectada a uma rede virtual inteira. O que é o Firewall do Azure?
    APLICATIVO GW + WAF Gateway de Aplicativo do Azure com WAF (Firewall do Aplicativo Web) O Gateway de Aplicativo é um balanceador de carga para tráfego da Web que funciona na camada 7 e adiciona WAF para proteger aplicativos que usam HTTP e HTTPS. O que é o Gateway de Aplicativo do Azure?
    NVA A NVA (Solução de Virtualização de Rede), um serviço de segurança virtual do mercado provisionado em VMs no Azure. Soluções de virtualização de rede
    DDOS Proteção contra DDoS implementada na rede virtual para ajudar você a mitigar diferentes tipos de ataques contra DDoS. Visão geral da Proteção de Rede contra DDoS do Azure
    TLS/SSL O TLS/SSL fornece criptografia em trânsito para a maioria dos serviços do Azure que trocam informações, como o Armazenamento do Azure e os Aplicativos Web. Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell
    LINK PRIVADO Serviço que permite criar uma rede privada para um serviço do Azure que inicialmente é exposto à Internet. O que é o Link Privado do Azure?
    PONTO DE EXTREMIDADE PRIVADO Cria uma interface de rede e a anexa ao serviço do Azure. O Ponto de Extremidade Privado faz parte do Link Privado. Essa configuração permite que o serviço, usando um ponto de extremidade privado, faça parte da sua rede virtual. O que é um ponto de extremidade privado?
  3. INFRAESTRUTURA E PONTOS DE EXTREMIDADE

    A tabela a seguir descreve a infraestrutura e os serviços de ponto de extremidade mostrados no diagrama.

    Etiqueta Descrição Documentação
    BASTION O Bastion fornece funcionalidade de servidor de salto. Esse serviço permite que você acesse suas VMs por meio de protocolo RDP (Remote Desktop Protocol) ou SSH sem expor suas VMs à Internet. O que é o Azure Bastion?
    ANTIMALWARE O Microsoft Defender fornece serviço antimalware e faz parte do Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Microsoft Defender Antivirus no Windows
    CRIPTOGRAFIA DE DISCO A Criptografia de Disco permite criptografar o disco de uma VM. Azure Disk Encryption para VMs do Windows
    KEYVAULT Key Vault, um serviço para armazenar chaves, segredos e certificados com FIPS 140-2 Nível 2 ou 3. Conceitos básicos do Azure Key Vault
    SHORT RDP Shortpath RDP da Área de Trabalho Virtual do Azure Esse recurso permite que usuários remotos se conectem ao serviço de Área de Trabalho Virtual de uma rede privada. Shortpath de RDP da Área de Trabalho Virtual do Azure para redes gerenciadas
    CONEXÃO REVERSA Um recurso de segurança interno da Área de Trabalho Virtual do Azure. A conexão reversa garante que os usuários remotos recebam apenas fluxos de pixels e não alcancem as VMs do host. Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure
  4. APLICATIVO E DADOS

    A tabela a seguir descreve o aplicativo e os serviços de dados mostrados no diagrama.

    Etiqueta Descrição Documentação
    FRONTDOOR + WAF Uma CDN (rede de distribuição de conteúdo). O Front Door combina vários pontos de presença para oferecer uma melhor conexão para os usuários que acessam o serviço e adiciona WAF. O que é o Azure Front Door?
    GERENCIAMENTO DE API Um serviço que fornece segurança para chamadas de API e gerencia APIs em ambientes. Sobre o Gerenciamento de API
    TESTE PENTEST Um conjunto de práticas recomendadas para executar um teste de penetração em seu ambiente, incluindo recursos do Azure. Teste de penetração
    TOKEN SAS DE ARMAZENAMENTO Um token de acesso compartilhado para permitir que outras pessoas acessem sua conta de armazenamento do Azure. Conceder acesso limitado aos recursos de Armazenamento do Azure usando as SAS (assinaturas de acesso compartilhado)
    PONTO DE EXTREMIDADE PRIVADO Crie uma interface de rede e anexe-a à sua conta de armazenamento para configurá-la em uma rede privada no Azure. Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure
    FIREWALL DE ARMAZENAMENTO O firewall que permite definir um intervalo de endereços IP que podem acessar sua conta de armazenamento. Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure
    CRIPTOGRAFIA
    (Armazenamento do Microsoft Azure)
    Protege sua conta de armazenamento com criptografia em repouso. Criptografia do Armazenamento do Azure para dados em repouso
    AUDITORIA SQL Rastreia eventos de banco de dados e os grava em um log de auditoria na conta de armazenamento do Azure. Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics
    AVALIAÇÃO DE VULNERABILIDADES Serviço que ajuda você a descobrir, rastrear e corrigir possíveis vulnerabilidades de banco de dados. A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados
    CRIPTOGRAFIA
    (SQL do Azure)
    A TDE (Transparent Data Encryption) ajuda a proteger os serviços de banco de dados SQL do Azure ao criptografar os dados em repouso. Transparent Data Encryption para Banco de Dados SQL, Instância Gerenciada de SQL e Azure Synapse Analytics
  5. IDENTITY

    A tabela a seguir descreve os serviços de identidade mostrados no diagrama.

    Etiqueta Descrição Documentação
    RBAC O controle de acesso baseado em função do Azure (RBAC do Azure) ajuda você a gerenciar o acesso aos serviços do Azure usando permissões granulares baseadas nas credenciais do Microsoft Entra dos usuários. O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
    MFA A autenticação multifator oferece tipos adicionais de autenticação além de nomes de usuário e senhas. Como isso funciona: Autenticação multifator do Microsoft Entra
    PROTEÇÃO DE ID O Identity Protection, um serviço de segurança do Microsoft Entra ID, analisa trilhões de sinais por dia para identificar e proteger os usuários contra ameaças. O que é proteção de identidade?
    PIM PIM (Privileged Identity Management), um serviço de segurança do Microsoft Entra ID. Ele ajuda você a fornecer privilégios de superusuário temporariamente para o Microsoft Entra ID (por exemplo, Administrador de Usuários) e assinaturas do Azure (por exemplo, Administrador de Controle de Acesso Baseado em Função ou Administrador do Cofre de Chaves). O que é o Privileged Identity Management do Microsoft Entra?
    ACESSO CONDICIONAL O Acesso Condicional é um serviço de segurança inteligente que usa políticas definidas por você para várias condições para bloquear ou conceder acesso aos usuários. O que é Acesso Condicional?

Componentes

A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:

  • Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.

  • A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.

  • O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.

  • As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.

  • O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.

  • A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.

  • O Aplicativos Web do Serviço de Aplicativo é um serviço com base em HTTP para hospedagem de aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.

  • O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.

  • O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Outros colaboradores:

Próximas etapas

A Microsoft tem mais documentação que pode ajudá-lo a proteger seu ambiente de TI, e os seguintes artigos podem ser particularmente úteis:

Nos recursos a seguir, você pode encontrar mais informações sobre os serviços, tecnologias e terminologias mencionados neste artigo:

Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série: