Descrição geral do exemplo de esquema do Azure Security Benchmark Foundation
Importante
A 11 de julho de 2026, o Blueprints (Pré-visualização) será preterido. Migre as definições e atribuições de esquemas existentes para Especificações de Modelo e Pilhas de Implementação. Os artefactos de esquema devem ser convertidos em modelos JSON do ARM ou ficheiros Bicep utilizados para definir pilhas de implementação. Para saber como criar um artefacto como um recurso do ARM, veja:
O exemplo de esquema do Azure Security Benchmark Foundation fornece um conjunto de padrões de infraestrutura de linha de base para o ajudar a criar um ambiente do Azure seguro e compatível. O esquema ajuda-o a implementar uma arquitetura baseada na cloud que oferece soluções para cenários que têm requisitos de acreditação ou conformidade. Implementa e configura limites de rede, monitorização e outros recursos em linha com as políticas e outras proteções definidas na Referência de Segurança do Azure.
Arquitetura
O ambiente fundamental criado por este exemplo de esquema baseia-se nos principais de arquitetura de um modelo hub-and-spoke. O esquema implementa uma rede virtual hub que contém recursos, serviços e artefactos comuns e partilhados, como o Azure Bastion, gateway e firewall para conectividade, gestão e sub-redes jump box para alojar infraestruturas de conectividade, gestão e gestão adicionais/opcionais, manutenção, administração e gestão. Uma ou mais redes virtuais spoke são implementadas para alojar cargas de trabalho de aplicações, como serviços Web e de bases de dados. As redes virtuais spoke estão ligadas à rede virtual do hub através do peering de rede virtual do Azure para uma conectividade totalmente integrada e segura. Podem ser adicionados spokes adicionais ao reatribuir o esquema de exemplo ou ao criar manualmente uma rede virtual do Azure e ao peering com a rede virtual do hub. Toda a conectividade externa às redes virtuais spoke e sub-redes está configurada para encaminhar através da rede virtual do hub e, através de caixas de ligação de firewall, gateway e gestão.
Este esquema implementa vários serviços do Azure para fornecer uma base segura, monitorizada e preparada para empresas. Este ambiente é composto por:
- Os Registos do Azure Monitor e uma conta de armazenamento do Azure para garantir que os registos de recursos, registos de atividades, métricas e fluxos de tráfego de redes são armazenados numa localização central para consultas, análises, arquivo e alertas fáceis.
- Centro de Segurança do Azure (versão padrão) para fornecer proteção contra ameaças para recursos do Azure.
- O Azure Rede Virtual no hub que suporta sub-redes para conectividade de volta a uma rede no local, uma pilha de entrada e saída para/para conectividade Internet e sub-redes opcionais para a implementação de serviços administrativos ou de gestão adicionais. Rede Virtual no spoke contém sub-redes para alojar cargas de trabalho de aplicações. Podem ser criadas sub-redes adicionais após a implementação, conforme necessário, para suportar cenários aplicáveis.
- Azure Firewall para encaminhar todo o tráfego de internet de saída e para ativar o tráfego de internet de entrada através da jump box. (As regras de firewall predefinidas bloqueiam todo o tráfego de entrada e saída da Internet e as regras têm de ser configuradas após a implementação, conforme aplicável.)
- Grupos de segurança de rede (NSGs) atribuídos a todas as sub-redes (exceto sub-redes pertencentes ao serviço, como o Azure Bastion, Gateway e Azure Firewall) configurados para bloquear todo o tráfego de entrada e saída da Internet.
- Grupos de segurança de aplicações para permitir o agrupamento de máquinas virtuais do Azure para aplicar políticas de segurança de rede comuns.
- Encaminhar tabelas para encaminhar todo o tráfego de saída da Internet das sub-redes através da firewall. (Azure Firewall e as regras NSG terão de ser configuradas após a implementação para abrir a conectividade.)
- O Azure Observador de Rede monitorizar, diagnosticar e ver métricas de recursos na rede virtual do Azure.
- Azure DDoS Protection para proteger os recursos do Azure contra ataques DDoS.
- O Azure Bastion para fornecer conectividade totalmente integrada e segura a uma máquina virtual que não necessite de um endereço IP público, agente ou software de cliente especial.
- O Azure Gateway de VPN ativar o tráfego encriptado entre uma rede virtual do Azure e uma localização no local através da Internet pública.
Nota
O Azure Security Benchmark Foundation estabelece uma arquitetura básica para cargas de trabalho. O diagrama de arquitetura acima inclui vários recursos nocionais para demonstrar a utilização potencial de sub-redes. Ainda precisa de implementar cargas de trabalho nesta arquitetura básica.
Passos seguintes
Analisou a descrição geral e a arquitetura do exemplo de esquema do Azure Security Benchmark Foundation.
Artigos adicionais sobre esquemas e como os utilizar:
- Saiba mais sobre o ciclo de vida do esquema.
- Compreenda como utilizar parâmetros estáticos e dinâmicos.
- Aprenda a personalizar a ordem de sequenciação do esquema.
- Saiba como utilizar o bloqueio de recursos de esquema.
- Saiba como atualizar as atribuições existentes.