Visão geral – Aplicar princípios de Confiança Zero à rede do Azure

Esta série de artigos ajuda você a aplicar os princípios da Confiança Zero à sua infraestrutura de rede no Microsoft Azure com base em uma abordagem multidisciplinar. Confiança Zero é uma estratégia de segurança. Não se trata de um produto ou serviço, mas de uma abordagem para projetar e implementar o seguinte conjunto de princípios de segurança:

  • Verificação explícita
  • Usar o acesso de privilégio mínimo
  • Pressupor a violação

A implementação da mentalidade de Confiança Zero para "presumir a violação, nunca confiar, sempre verificar" exige mudanças na infraestrutura de nuvem, na estratégia de implantação e na implementação.

Os seguintes artigos mostram como aplicar a abordagem de Confiança Zero à rede para serviços de infraestrutura do Azure implantados frequentemente:

Importante

Esta orientação de Confiança Zero descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:

Para descrever as instruções de como aplicar a abordagem Confiança Zero, esta diretriz tem como meta um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, o que às vezes é chamado de "lift-and-shift".

Proteção contra ameaças com o Microsoft Defender para Nuvem

Para o princípio de Confiança Zero de presumir a violação para a rede do Azure, o Microsoft Defender para Nuvem é uma solução de detecção e resposta estendida (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, de ameaça e de alerta de todo o seu ambiente. O Defender para Nuvem destina-se a ser usado com o Microsoft Defender XDR para fornecer maior alcance de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.

Diagrama da arquitetura lógica do Microsoft Defender para Nuvem e do Microsoft Defender XDR que fornece proteção contra ameaças para a rede do Azure.

No diagrama:

  • O Defender para Nuvem está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
  • O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais do AD DS (Active Directory Domain Services).

Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender para Nuvem, veja:

Recursos adicionais

Consulte estes artigos adicionais para aplicar princípios de Confiança Zero ao IaaS do Azure: