Segurança de ponta a ponta no Azure
Uma das melhores razões para usar o Azure para seus aplicativos e serviços é aproveitar sua ampla variedade de ferramentas e recursos de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados do cliente, ao mesmo tempo que também permite uma responsabilidade transparente.
O diagrama e a documentação a seguir apresentam os serviços de segurança no Azure. Esses serviços de segurança ajudam a atender às necessidades de segurança da sua empresa e a proteger seus usuários, dispositivos, recursos, dados e aplicativos na nuvem.
Mapa dos serviços de segurança da Microsoft
O mapa dos serviços de segurança organiza os serviços conforme os recursos que eles protegem (coluna). O diagrama também agrupa os serviços nas seguintes categorias (linha):
- Segurança e proteção – serviços que permitem implementar uma estratégia de defesa aprofundada e em camadas em relação a identidades, hosts, redes e dados. Essa coleção de serviços e recursos de segurança fornece uma maneira de entender e melhorar sua postura de segurança no ambiente do Azure.
- Detecção de ameaças – serviços que identificam atividades suspeitas e facilitam a mitigação das ameaças.
- Investigação e respostas – serviços que efetuam pull de dados de log para que você possa avaliar uma atividade suspeita e responder a ela.
Controles de segurança e linhas de base
O parâmetro de comparação de segurança da nuvem da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que podem ser usadas para ajudar a proteger os serviços usados no Azure:
- Controles de segurança – essas recomendações geralmente são aplicáveis no seu locatário do Azure e nos serviços do Azure. Cada recomendação identifica uma lista de stakeholders que, geralmente, estão envolvidos no planejamento, na aprovação ou na implementação do parâmetro de comparação.
- Linhas de base de serviço – aplicam os controles aos serviços individuais do Azure para fornecer recomendações sobre a configuração de segurança desse serviço.
Segurança e proteção
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Nuvem | Um sistema de gerenciamento de segurança de infraestrutura unificado que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas locais e na nuvem, estejam elas no Azure ou não. |
| Gerenciamento de Identidades e Acesso | |
| Microsoft Entra ID | Serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft. |
| Acesso Condicional é a ferramenta usada pela ID do Microsoft Entra para reunir sinais de identidade, tomar decisões e impor políticas organizacionais. | |
| Serviços de Domínio é a ferramenta usada pela ID do Microsoft Entra para fornecer serviços de domínio gerenciado, como ingresso no domínio, política de grupo, protocolo de acesso de diretório leve (LDAP) e autenticação Kerberos/NTLM. | |
| PIM (Privileged Identity Management) é um serviço na ID do Microsoft Entra que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. | |
| Autenticação multifator é a ferramenta usada pela ID do Microsoft Entra para ajudar a proteger o acesso a dados e aplicativos, exigindo uma segunda forma de autenticação. | |
| Proteção do Microsoft Entra ID | Uma ferramenta que permite que as organizações automatizem a detecção e a correção de riscos baseados em identidade, investiguem os riscos usando dados no portal e exportem os dados da detecção de riscos para utilitários de terceiros para uma análise posterior. |
| Infraestrutura e rede | |
| Gateway de VPN | Um gateway de rede virtual que é usado para enviar o tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública e enviar o tráfego criptografado entre redes virtuais do Azure pela rede da Microsoft. |
| Proteção contra DDoS do Azure | Fornece recursos aprimorados de mitigação de DDoS para a defesa contra ataques de DDoS. Ajusta-se automaticamente para proteger os recursos específicos do Azure em uma rede virtual. |
| Azure Front Door | Um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis. |
| Firewall do Azure | Um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Básico. |
| Azure Key Vault | Um repositório seguro de segredos para tokens, senhas, certificados, chaves de API e outros segredos. O Key Vault também pode ser usado para criar e controlar as chaves de criptografia usadas para criptografar seus dados. |
| HSM gerenciado do Key Vault | Um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem usando HSMs validados FIPS 140-2 Nível 3. |
| Link Privado do Azure | Permite que você acesse os serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado em sua rede virtual. |
| Gateway de Aplicativo do Azure | Um balanceador avançado de carga do tráfego da Web que permite que você gerencie o tráfego para seus aplicativos Web. O Gateway de Aplicativo pode tomar decisões de roteiros com base em outros atributos de uma solicitação HTTP, por exemplo, o caminho de URI ou os cabeçalhos de host. |
| Barramento de Serviço do Azure | Um agente de mensagens empresarial totalmente gerenciado com filas de mensagens e tópicos de publicação/assinatura. O Barramento de Serviço é usado para separar aplicativos e serviços uns dos outros. |
| Firewall do Aplicativo Web | Fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. O WAF pode ser implantado com o Gateway de Aplicativo do Azure e o Azure Front Door. |
| Azure Policy | Ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. Por meio do painel de conformidade, ele fornece uma exibição agregada para avaliar o estado geral do ambiente, com a capacidade de drill down para a granularidade por recurso, por política. Ele também ajuda a deixar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática para novos recursos. |
| Dados e aplicativos | |
| Serviço de Backup do Azure | Fornece soluções simples, seguras e econômicas para fazer backup de seus dados e recuperá-los da nuvem do Microsoft Azure. |
| Criptografia do serviço de armazenamento do Azure | Criptografa os dados automaticamente antes de serem armazenados, descriptografando-os automaticamente quando forem recuperados. |
| Proteção de Informações do Azure | Uma solução baseada em nuvem que permite que as organizações descubram, classifiquem e protejam documentos e emails aplicando rótulos ao conteúdo. |
| Gerenciamento da API | Uma forma de criar gateways de API consistentes e modernos para serviços de back-end existentes. |
| Computação confidencial do Azure | Permite isolar seus dados confidenciais enquanto eles estão sendo processados na nuvem. |
| Azure DevOps | Quando armazenados no Azure DevOps, seus projetos de desenvolvimento se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade. |
| Acesso do cliente | |
| ID externo do Microsoft Entra | Com identidades externas no Microsoft Entra ID, você pode permitir que pessoas de fora da sua organização acessem seus aplicativos e recursos, permitindo que elas entrem usando qualquer identidade que preferirem. |
| Você pode compartilhar seus aplicativos e recursos com usuários externos por meio da colaboração do Microsoft Entra B2B. | |
| O Azure AD B2C permite que você ofereça suporte a milhões de usuários e a bilhões de autenticações por dia, monitorando e enfrentando automaticamente ameaças como negação de serviço, pulverização de senha ou ataques de força bruta. |
Detectar ameaças
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Nuvem | Proporciona proteção inteligente e avançada para os seus recursos e cargas de trabalho híbridos e do Azure. O painel da proteção de cargas de trabalho no Defender para Nuvem fornece visibilidade e controle dos recursos de proteção de cargas de trabalho para seu ambiente. |
| Microsoft Sentinel | Uma solução escalonável e nativa da nuvem que oferece SIEM (Gerenciamento de eventos de informações de segurança) e SOAR (Resposta automatizada para orquestração de segurança). O Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças. |
| Gerenciamento de Identidades e Acesso | |
| Microsoft Defender XDR | Um pacote de defesa empresarial unificado pré e pós-violação que coordena nativamente a detecção, prevenção, investigação e resposta em pontos de extremidade, identidades, email e aplicativos para fornecer proteção integrada contra ataques sofisticados. |
| O Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade empresarial projetada para ajudar as redes corporativas a prevenir, detectar, investigar e responder a ameaças avançadas. | |
| O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização. | |
| Proteção do Microsoft Entra ID | Envia dois tipos de emails de notificação automatizados para ajudar você a gerenciar riscos de usuários e detecções de riscos: email de Usuários em risco detectados. e email de Resumo semanal. |
| Infraestrutura e rede | |
| Firewall do Azure | O Firewall do Azure Premium fornece IDPS (sistema de prevenção e detecção de intrusões) baseado em assinatura para permitir uma detecção rápida de ataques ao procurar padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções mal-intencionadas conhecidas que são usadas por malware. |
| Microsoft Defender para IoT | Uma solução de segurança unificada usada para identificar dispositivos IoT/OT, vulnerabilidades e ameaças. Ele permite que você proteja todo o seu ambiente de IoT/OT, independentemente de você precisar proteger os dispositivos IoT/OT existentes ou incorporar a segurança em inovações de IoT. |
| Observador de Rede do Azure | Fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar os logs de recursos em uma rede virtual do Azure. O Observador de Rede foi projetado para monitorar e reparar a integridade da rede de produtos IaaS que incluem máquinas virtuais, redes virtuais, gateways de aplicativo e balanceadores de carga. |
| Azure Policy | Ajuda a impor padrões organizacionais e a avaliar a conformidade em escala. O Azure Policy usa logs de atividade, que são automaticamente habilitados a incluir: origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis. |
| Dados e aplicativos | |
| Microsoft Defender para Contêineres | Uma solução nativa de nuvem utilizada para proteger os contêineres para que você possa melhorar, monitorar e manter a segurança dos clusters, contêineres e aplicativos. |
| Microsoft Defender for Cloud Apps | Um CASB (agente de segurança de acesso de nuvem) que opera em várias nuvens. Ele fornece visibilidade avançada, controle sobre a viagem de dados e análise sofisticada para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem. |
Investigar e responder
| Serviço | Descrição |
|---|---|
| Microsoft Sentinel | Ótimas ferramenta de busca e consulta para caçar ameaças à segurança de maneira proativa nas fontes de dados de sua organização. |
| Métricas e logs do Azure Monitor | Fornece uma solução abrangente para coleta, análise e ação com base na telemetria em seus ambientes de nuvem e locais. O Azure Monitor coleta e agrega dados de uma variedade de fontes em uma plataforma de dados comum, em que ela pode ser usada para análise, visualização e alertas. |
| Gerenciamento de Identidades e Acesso | |
| Monitoramento e relatórios do Azure AD | Os Relatórios do Microsoft Entra fornecem uma visão abrangente da atividade em seu ambiente. |
| O monitoramento do Microsoft Entra permite rotear seus logs de atividades do Microsoft Entra para pontos de extremidade diferentes. | |
| Histórico de auditoria do Microsoft Entra PIM | Mostra todas as atribuições de função e ativações nos últimos 30 dias em relação a todas as funções com privilégios. |
| Dados e aplicativos | |
| Microsoft Defender for Cloud Apps | Fornece ferramentas para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem. |
Próximas etapas
Entenda sua responsabilidade compartilhada na nuvem.
Entenda as opções de isolamento na nuvem do Azure contra usuários mal-intencionados e não mal-intencionados.