Aplicar princípios de Confiança Zero para descontinuar a tecnologia de segurança de rede herdada
Este artigo fornece diretrizes para aplicar os princípios da Confiança Zero para descontinuar a tecnologia de segurança de rede herdada em ambientes do Azure. Aqui estão os princípios de Confiança Zero.
| Princípio de Confiança Zero | Definição |
|---|---|
| Verificação explícita | Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. |
| Usar o acesso de privilégio mínimo | Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados. |
| Pressupor a violação | Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas. Aprimore as defesas para seu ambiente do Azure removendo ou atualizando seus serviços de rede herdados para níveis mais altos de segurança. |
Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios da Confiança Zero à rede do Azure.
As áreas de rede do Azure a serem revisadas para descontinuar o uso de tecnologias de segurança de rede herdadas são:
- Serviços de base de rede
- Serviços de balanceamento de carga e entrega de conteúdo
- Serviços de conectividade híbrida
A transição para deixar de usar tecnologias de segurança de rede herdadas pode impedir que um invasor acesse ambientes ou se mova entre eles para causar danos generalizados (o princípio de Confiança Zero de Pressupor a violação).
Arquitetura de referência
O diagrama a seguir mostra a arquitetura de referência para esta orientação de Confiança Zero para descontinuar a tecnologia de segurança de rede herdada para componentes em seu ambiente do Azure.
Essa arquitetura de referência inclui:
- Cargas de trabalho IaaS do Azure em execução em máquinas virtuais do Azure.
- Serviços do Azure.
- Uma VNet (rede virtual de segurança) que contém um Gateway de VPN do Azure e o Gateway de Aplicativo do Azure.
- Uma VNet de borda da Internet que contém um Azure Load Balancer.
- Azure Front Door na borda do ambiente do Azure.
O que você encontrará neste artigo?
Você aplica princípios da Confiança Zero em toda a arquitetura de referência, desde usuários e administradores na Internet ou na sua rede local e no seu ambiente do Azure. A tabela a seguir lista as principais tarefas para descontinuar a tecnologia de segurança de rede herdada nessa arquitetura para o princípio de Confiança Zero Pressupor a violação.
| Etapa | Tarefa |
|---|---|
| 1 | Examine seus serviços de base de rede. |
| 2 | Examine seus serviços de distribuição de conteúdo e balanceamento de carga. |
| 3 | Examine seus serviços de conectividade híbrida. |
Etapa 1: Examinar seus serviços de base de rede
Sua revisão dos serviços de base de rede inclui:
- Movendo do SKU de IP público Básico para o SKU de IP público Standard.
- Garantindo que os endereços IP da máquina virtual estejam usando acesso de saída explícito.
Este diagrama mostra os componentes para atualizar os serviços do Azure Network Foundation na arquitetura de referência.
SKU de IP público Básico
Os endereços IP (públicos e privados) fazem parte dos serviços de IP no Azure que permitem a comunicação entre recursos públicos e privados. Os IPs públicos são vinculados a serviços como gateways de VNet, gateways de aplicativo e outros que precisam de conectividade de saída com a Internet. Os IPs privados habilitam a comunicação entre os recursos do Azure internamente.
O SKU de IP público Básico é visto como herdado hoje e tem mais limitações do que o SKU de IP público Standard. Uma das principais limitações para a Confiança Zero para o SKU IP público Básico é que o uso de grupos de segurança de rede não é necessário, mas recomendado, embora seja obrigatório com o SKU de IP Público Standard.
Outro recurso importante para o SKU de IP Público Standard é a capacidade de selecionar uma Preferência de Roteamento, como roteamento por meio da rede global da Microsoft. Esse recurso protege o tráfego dentro da rede de backbone da Microsoft sempre que possível e o tráfego de saída sai o mais próximo possível do serviço ou do usuário final.
Para obter mais informações, consulte Serviços IP da Rede Virtual do Azure.
Observação
O SKU de IP público Básico será desativado em setembro de 2025.
Acesso de saída padrão
Por padrão, o Azure fornece acesso de saída à Internet. A conectividade dos recursos é concedida por padrão com as rotas do sistema e pelas regras de saída padrão para os grupos de segurança de rede em vigor. Em outras palavras, se nenhum método de conectividade de saída explícito estiver configurado, o Azure configurará um endereço IP de acesso de saída padrão. No entanto, sem acesso de saída explícito, certos riscos de segurança surgem.
A Microsoft recomenda que você não deixe um endereço IP de máquina virtual aberto para o tráfego da Internet. Não há controle sobre o acesso IP de saída padrão; os endereços IP, juntamente com as respectivas dependências, podem ser alterados. Para máquinas virtuais equipadas com várias NICs (placas de interface de rede), não é recomendável permitir que todos os endereços IP de NIC tenham acesso de saída à Internet. Em vez disso, você deve restringir o acesso apenas às NICs necessárias.
A Microsoft recomenda que você configure o acesso de saída explícito com uma das seguintes opções:
-
Para as portas de SNAT (conversão de endereço de rede de origem) máximas, a Microsoft recomenda o Gateway da NAT do Azure para conectividade de saída.
Azure Load Balancers do SKU Standard
Isso requer uma regra de balanceamento de carga para programar o SNAT, que pode não ser tão eficiente quanto um Gateway da NAT do Azure.
Uso restrito de endereços IP públicos
A atribuição de um endereço IP público direto a uma máquina virtual deve ser feita apenas para ambientes de teste ou desenvolvimento devido a considerações de escalabilidade e segurança.
Etapa 2: examinar os serviços de distribuição de conteúdo e balanceamento de carga
O Azure tem muitos serviços de entrega de aplicativos que ajudam você a enviar e distribuir tráfego para seus aplicativos Web. Às vezes, uma nova versão ou camada do serviço aprimora a experiência e fornece as atualizações mais recentes. Você pode usar a ferramenta de migração em cada um dos serviços de entrega de aplicativos para alternar facilmente para a versão mais recente do serviço e se beneficiar de recursos novos e aprimorados.
Sua revisão dos serviços de distribuição de conteúdo e balanceamento de carga inclui:
- Migrar sua camada do Azure Front Door da camada Clássica para as camadas Premium ou Standard.
- Migrar seus Gateways de Aplicativo do Azure para WAF_v2.
- Criar um Azure Load Balancer de SKU Standard.
Este diagrama mostra os componentes para atualizar os serviços de distribuição de conteúdo e balanceamento de carga do Azure.
Porta da frente do Azure
O Azure Front Door tem três camadas diferentes: Premium, Standard e Clássica. As camadas Standard e Premium combinam recursos da camada Clássica do Azure Front Door, da Rede de Distribuição de Conteúdo do Azure e do WAF (Firewall de Aplicativo Web) do Azure em apenas um serviço.
A Microsoft recomenda migrar seus perfis clássicos do Azure Front Door para as camadas Premium ou Standard para aproveitar esses novos recursos e atualizações. A camada Premium se concentra em recursos de segurança aprimorados, como conectividade privada com seus serviços de back-end, regras de WAF gerenciadas pela Microsoft e proteção contra bots para seus aplicativos Web.
Além dos recursos aprimorados, o Azure Front Door Premium inclui relatórios de segurança integrados ao serviço, sem custo adicional. Esses relatórios ajudam você a analisar as regras de segurança do WAF e a ver que tipo de ataques seus aplicativos Web podem enfrentar. O relatório de segurança também permite examinar as métricas por dimensões diferentes, o que ajuda você a entender de onde vem o tráfego, além de um detalhamento dos principais eventos por critérios.
A camada Premium do Azure Front Door fornece as medidas de segurança da Internet mais robustas entre clientes e aplicativos Web.
Gateway de Aplicativo do Azure
Os Gateways de Aplicativo do Azure têm dois tipos de SKU, v1 e v2, e uma versão do WAF que pode ser aplicada a qualquer SKU. A Microsoft recomenda migrar o Gateway de Aplicativo do Azure para o SKU WAF_v2 para se beneficiar de atualizações de desempenho e novos recursos, como dimensionamento automático, regras personalizadas do WAF e suporte para o Link Privado do Azure.
As regras personalizadas do WAF permitem que você especifique condições para avaliar cada solicitação que passa pelo Gateway de Aplicativo do Azure. Essas regras têm prioridade maior do que as regras nos conjuntos de regras gerenciadas e podem ser personalizadas para atender às necessidades de seu aplicativo e requisitos de segurança. As regras personalizadas do WAF também podem limitar o acesso a seus aplicativos Web por país ou regiões, correspondendo um endereço IP a um código de país.
O outro benefício de migrar para o WAFv2 é que você pode se conectar ao Gateway de Aplicativo do Azure por meio do serviço de Link Privado do Azure ao acessar de outra VNet ou de uma assinatura diferente. Esse recurso permite bloquear o acesso público ao Gateway de Aplicativo do Azure, permitindo que apenas usuários e dispositivos acessem por meio de um ponto de extremidade privado. Com a conectividade do Link Privado do Azure, você precisa aprovar cada conexão de ponto de extremidade privado, o que garante que apenas a entidade certa possa acessar. Para obter mais informações sobre as diferenças entre o SKU v1 e v2, confira Gateway de Aplicativo do Azure v2.
Azure Load Balancer
Com a desativação planejada do SKU de IP público básico em setembro de 2025, você precisa atualizar serviços que usam endereços IP públicos do SKU Básico. A Microsoft recomenda migrar seus Azure Load Balancers de SKU Básico atuais para os Azure Load Balancers de SKU Standard a fim de implementar medidas de segurança não incluídas com o SKU Básico.
Com o SKU Standard do Azure Load Balancer, você está seguro por padrão. Todo o tráfego da Internet de entrada para o balanceador de carga público é bloqueado, a menos que seja permitido pelas regras do grupo de segurança de rede aplicado. Esse comportamento padrão impede que o tráfego da Internet seja permitido acidentalmente para suas máquinas virtuais ou serviços antes de você estar pronto e garante que você esteja no controle do tráfego que pode acessar seus recursos.
O Azure Load Balancer de SKU Standard usa o Link Privado do Azure para criar conexões de ponto de extremidade privado, o que é útil nos casos em que você deseja permitir o acesso privado aos seus recursos por trás de um balanceador de carga, mas deseja que os usuários o acessem em seu ambiente.
Etapa 3: Examinar seus serviços de conectividade híbrida
A revisão dos serviços de conectividade híbrida inclui o uso da nova geração de SKUs para o Gateway de VPN do Azure.
Este diagrama mostra os componentes para atualizar os serviços de conectividade híbrida do Azure na arquitetura de referência.
A maneira mais eficaz de conectar redes híbridas no Azure atualmente é com os SKUs da nova geração para o Gateway de VPN do Azure. Embora você possa continuar a empregar gateways de VPN clássicos, eles estão desatualizados e são menos confiáveis e eficientes. Os gateways de VPN clássicos dão suporte a um máximo de dez túneis IPsec (Segurança de Protocolo de Internet), enquanto os SKUs mais recentes do Gateway de VPN do Azure podem escalar verticalmente para até 100 túneis.
Os SKUs mais recentes operam em um modelo de driver mais recente e incorporam as atualizações de software de segurança mais recentes. Os modelos de driver mais antigos eram baseados em tecnologias da Microsoft desatualizadas que não são adequadas para cargas de trabalho modernas. Os modelos de driver mais recentes não só oferecem desempenho e hardware superiores, mas também fornecem resiliência aprimorada. O conjunto AZ de SKUs de gateways VPN pode ser posicionado em zonas de disponibilidade e dar suporte a conexões no modo ativo-ativo com vários endereços IP públicos, o que aprimora a resiliência e oferece opções aprimoradas para recuperação de desastre.
Além disso, para necessidades de roteamento dinâmico, os gateways de VPN clássicos não podiam executar o BGP (Border Gateway Protocol), só usavam IKEv1 e não davam suporte a roteamento dinâmico. Em resumo, os gateways de VPN de SKU clássicos são projetados para cargas de trabalho menores, baixa largura de banda e conexões estáticas.
Os gateways de VPN clássicos também têm limitações na segurança e na funcionalidade dos túneis IPsec deles. Eles só dão suporte ao modo baseado em política com o protocolo IKEv1 e um conjunto limitado de criptografias e algoritmos de hash que são mais suscetíveis a violações. A Microsoft recomenda que você faça a transição para os novos SKUs que oferecem uma gama mais ampla de opções para protocolos de Fase 1 e Fase 2. Uma vantagem fundamental é que os Gateways de VPN baseados em rota podem usar o modo principal IKEv1 e IKEv2, proporcionando maior flexibilidade de implementação e algoritmos de criptografia e hash mais robustos.
Se você precisar de segurança maior do que os valores de criptografia padrão, os Gateways de VPN baseados em rota permitirão que a personalização dos parâmetros de Fase 1 e Fase 2 selecione criptografias e comprimentos de chave específicos. Grupos de criptografia mais fortes incluem Grupo 14 (2.048 bits), Grupo 24 (Grupo MODP de 2.048 bits) ou ECP (grupos de curva elíptica) de 256 bits ou 384 bits (Grupo 19 e Grupo 20, respectivamente). Além disso, você pode especificar quais intervalos de prefixo têm permissão para enviar tráfego criptografado usando a configuração seletor de tráfego para proteger ainda mais a negociação do túnel contra tráfego não autorizado.
Para obter mais informações, confira Criptografia do Gateway de VPN do Azure.
Os SKUs do Gateway de VPN do Azure facilitam conexões VPN P2S (Ponto a Site) para utilizar protocolos IPsec com base no IKEv2 Standard e protocolos VPN baseados em SSL/TLS, como OpenVPN e SSTP (Secure Sockets Tunneling Protocol). Esse suporte fornece aos usuários vários métodos de implementação e permite que eles se conectem ao Azure usando sistemas operacionais de dispositivos diferentes. Os SKUs do Gateway de VPN do Azure também oferecem muitas opções de autenticação de cliente, incluindo autenticação de certificado, autenticação do Microsoft Entra ID e autenticação do AD DS (Active Directory Domain Services).
Observação
Os gateways IPSec clássicos serão desativados em 31 de agosto de 2024.
Treinamento recomendado
- Configurar e gerenciar redes virtuais para administradores do Azure
- Proteger e isolar o acesso aos recursos do Azure usando grupos de segurança de rede e pontos de extremidade de serviço
- Introdução ao Azure Front Door
- Introdução ao Gateway de Aplicativo do Azure
- Introdução ao Firewall do Aplicativo Web do Azure
- Introdução ao Link Privado do Azure
- Conectar sua rede local ao Azure com o Gateway de VPN
Próximas etapas
Para obter mais informações sobre como aplicar a Confiança Zero à rede do Azure, confira:
- Criptografar a comunicação de rede baseada no Azure
- Segmentar a comunicação de rede baseada no Azure
- Obter visibilidade do seu tráfego de rede
- Proteger redes com a Confiança Zero
- Redes virtuais spoke no Azure
- Redes virtuais hub no Azure
- Redes virtuais spoke com serviços PaaS do Azure
- WAN Virtual do Azure
Referências
Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.