Descrição geral da segurança de rede do Azure
A segurança da rede pode ser definida como o processo de proteger os recursos contra acesso não autorizado ou ataque, aplicando controles ao tráfego da rede. O objetivo é garantir que apenas o tráfego legítimo seja permitido. O Azure inclui uma infraestrutura de rede robusta para dar suporte aos seus requisitos de conectividade de aplicativos e serviços. A conectividade de rede é possível entre recursos localizados no Azure, entre recursos locais e recursos hospedados do Azure e de e para a Internet e o Azure.
Este artigo aborda algumas das opções que o Azure oferece na área de segurança de rede. Você pode aprender sobre:
- Rede do Azure
- Controlo de acesso à rede
- Azure Firewall
- Acesso remoto seguro e conectividade entre locais
- Disponibilidade
- Resolução de nomes
- Arquitetura de rede de perímetro (DMZ)
- Azure DDoS Protection
- Azure Front Door
- Gestor de tráfego
- Monitorização e deteção de ameaças
Nota
Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é implantar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede.
Rede do Azure
O Azure requer que as máquinas virtuais estejam conectadas a uma Rede Virtual do Azure. Uma rede virtual é uma construção lógica criada sobre a malha de rede física do Azure. Cada rede virtual é isolada de todas as outras redes virtuais. Isso ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Azure.
Saiba mais:
Controlo de acesso à rede
O controle de acesso à rede é o ato de limitar a conectividade de e para dispositivos ou sub-redes específicos dentro de uma rede virtual. O objetivo do controle de acesso à rede é limitar o acesso às suas máquinas virtuais e serviços a usuários e dispositivos aprovados. Os controles de acesso são baseados em decisões para permitir ou negar conexões de e para sua máquina virtual ou serviço.
O Azure dá suporte a vários tipos de controle de acesso à rede, como:
- Controlo da camada de rede
- Controlo de rotas e tunelamento forçado
- Dispositivos de segurança de rede virtual
Controlo da camada de rede
Qualquer implantação segura requer alguma medida de controle de acesso à rede. O objetivo do controle de acesso à rede é restringir a comunicação da máquina virtual aos sistemas necessários. Outras tentativas de comunicação são bloqueadas.
Nota
Os firewalls de armazenamento são abordados no artigo de visão geral da segurança de armazenamento do Azure
Regras de segurança de rede (NSGs)
Se você precisar de controle de acesso básico no nível de rede (com base no endereço IP e nos protocolos TCP ou UDP), poderá usar NSGs (Network Security Groups). Um NSG é um firewall básico, stateful, de filtragem de pacotes, e permite que você controle o acesso com base em uma tupla 5. Os NSGs incluem funcionalidades para simplificar o gerenciamento e reduzir as chances de erros de configuração:
- As regras de segurança aumentada simplificam a definição de regras NSG e permitem que você crie regras complexas em vez de ter que criar várias regras simples para obter o mesmo resultado.
- As etiquetas de serviço são etiquetas criadas pela Microsoft que representam um grupo de endereços IP. Eles são atualizados dinamicamente para incluir intervalos de IP que atendem às condições que definem a inclusão no rótulo. Por exemplo, se você quiser criar uma regra que se aplique a todo o armazenamento do Azure na região leste, poderá usar Storage.EastUS
- Os grupos de segurança de aplicativos permitem implantar recursos em grupos de aplicativos e controlar o acesso a esses recursos criando regras que usam esses grupos de aplicativos. Por exemplo, se você tiver servidores Web implantados no grupo de aplicativos 'Webservers', poderá criar uma regra que aplique um NSG permitindo 443 tráfego da Internet para todos os sistemas no grupo de aplicativos 'Webservers'.
Os NSGs não fornecem inspeção da camada de aplicativo ou controles de acesso autenticados.
Saiba mais:
Acesso à VM do Defender for Cloud just in time
O Microsoft Defender for Cloud pode gerenciar os NSGs em VMs e bloquear o acesso à VM até que um usuário com o controle de acesso baseado em função do Azure apropriado Azure RBAC permissões solicite acesso. Quando o usuário é autorizado com sucesso, o Defender for Cloud faz modificações nos NSGs para permitir o acesso às portas selecionadas pelo tempo especificado. Quando o tempo expira, os NSGs são restaurados ao seu estado protegido anterior.
Saiba mais:
Pontos finais de serviço
Os pontos de extremidade de serviço são outra maneira de aplicar controle sobre seu tráfego. Pode limitar a comunicação com os serviços suportados apenas às suas redes virtuais através de uma ligação direta. O tráfego da sua rede virtual para o serviço do Azure especificado permanece na rede de backbone do Microsoft Azure.
Saiba mais:
Controlo de rotas e tunelamento forçado
A capacidade de controlar o comportamento de roteamento em suas redes virtuais é fundamental. Se o roteamento estiver configurado incorretamente, os aplicativos e serviços hospedados em sua máquina virtual poderão se conectar a dispositivos não autorizados, incluindo sistemas de propriedade e operados por possíveis invasores.
A rede do Azure suporta a capacidade de personalizar o comportamento de roteamento para o tráfego de rede em suas redes virtuais. Isso permite que você altere as entradas da tabela de roteamento padrão em sua rede virtual. O controlo do comportamento de encaminhamento ajuda-o a certificar-se de que todo o tráfego de um determinado dispositivo ou grupo de dispositivos entra ou sai da sua rede virtual através de uma localização específica.
Por exemplo, você pode ter um dispositivo de segurança de rede virtual em sua rede virtual. Você quer ter certeza de que todo o tráfego de e para sua rede virtual passa por esse dispositivo de segurança virtual. Você pode fazer isso configurando UDRs (Rotas Definidas pelo Usuário) no Azure.
O tunelamento forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet. Observe que isso é diferente de aceitar conexões de entrada e, em seguida, responder a elas. Os servidores Web front-end precisam responder a solicitações de hosts da Internet e, portanto, o tráfego originado pela Internet é permitido para entrar nesses servidores Web e os servidores Web têm permissão para responder.
O que você não quer permitir é que um servidor Web front-end inicie uma solicitação de saída. Essas solicitações podem representar um risco de segurança porque essas conexões podem ser usadas para baixar malware. Mesmo que você queira que esses servidores front-end iniciem solicitações de saída para a Internet, convém forçá-los a passar por seus proxies da Web locais. Isso permite que você aproveite a filtragem e o registro de URL.
Em vez disso, você gostaria de usar o túnel forçado para evitar isso. Quando você habilita o túnel forçado, todas as conexões com a Internet são forçadas por meio do gateway local. Você pode configurar o túnel forçado aproveitando UDRs.
Saiba mais:
Dispositivos de segurança de rede virtual
Embora NSGs, UDRs e túnel forçado forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, você também pode querer habilitar a segurança em níveis mais altos do que a rede.
Por exemplo, os seus requisitos de segurança podem incluir:
- Autenticação e autorização antes de permitir o acesso ao seu aplicativo
- Deteção e resposta à intrusão
- Inspeção da camada de aplicação para protocolos de alto nível
- Filtragem de URL
- Antivírus e Antimalware ao nível da rede
- Proteção anti-bot
- Controlo de acesso a aplicações
- Proteção DDoS adicional (acima da proteção contra DDoS fornecida pela própria malha do Azure)
Você pode acessar esses recursos avançados de segurança de rede usando uma solução de parceiro do Azure. Pode encontrar as soluções de segurança de rede de parceiros do Azure mais recentes visitando o Azure Marketplace e procurando por "segurança" e "segurança de rede".
Azure Firewall
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.
O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Basic. O Azure Firewall Standard fornece filtragem L3-L7 e feeds de inteligência de ameaças diretamente do Microsoft Cyber Security. O Firewall Premium do Azure fornece recursos avançados, incluindo IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos. O Firewall do Azure Basic é uma SKU simplificada que fornece o mesmo nível de segurança que a SKU Padrão, mas sem os recursos avançados.
Saiba mais:
Acesso remoto seguro e conectividade entre locais
A instalação, a configuração e o gerenciamento de seus recursos do Azure precisam ser feitos remotamente. Além disso, talvez você queira implantar soluções de TI híbridas que tenham componentes no local e na nuvem pública do Azure. Esses cenários exigem acesso remoto seguro.
A rede do Azure suporta os seguintes cenários de acesso remoto seguro:
- Conectar estações de trabalho individuais a uma rede virtual
- Conecte sua rede local a uma rede virtual com uma VPN
- Conecte sua rede local a uma rede virtual com um link WAN dedicado
- Conectar redes virtuais entre si
Conectar estações de trabalho individuais a uma rede virtual
Talvez você queira habilitar desenvolvedores individuais ou pessoal de operações para gerenciar máquinas virtuais e serviços no Azure. Por exemplo, digamos que você precise acessar uma máquina virtual em uma rede virtual. Mas sua política de segurança não permite acesso remoto RDP ou SSH a máquinas virtuais individuais. Nesse caso, você pode usar uma conexão VPN ponto a site.
A conexão VPN ponto a site permite que você configure uma conexão privada e segura entre o usuário e a rede virtual. Quando a conexão VPN é estabelecida, o usuário pode RDP ou SSH através do link VPN em qualquer máquina virtual na rede virtual. (Isso pressupõe que o usuário possa se autenticar e esteja autorizado.) VPN ponto a site suporta:
Secure Socket Tunneling Protocol (SSTP), um protocolo VPN proprietário baseado em SSL. Uma solução VPN SSL pode penetrar firewalls, uma vez que a maioria dos firewalls abrem a porta TCP 443, que TLS/SSL usa. SSTP só é suportado em dispositivos Windows. O Azure suporta todas as versões do Windows que têm SSTP (Windows 7 e posterior).
VPN IKEv2, uma solução de VPN IPsec baseada em normas. A VPN IKEv2 pode ser utilizada para ligar a partir de dispositivos Mac (versões de OSX 10.11 e superiores).
Saiba mais:
Conecte sua rede local a uma rede virtual com uma VPN
Talvez você queira conectar toda a sua rede corporativa, ou partes dela, a uma rede virtual. Isso é comum em cenários de TI híbridos, onde as organizações estendem seu datacenter local para o Azure. Em muitos casos, as organizações hospedam partes de um serviço no Azure e partes no local. Por exemplo, eles podem fazer isso quando uma solução inclui servidores Web front-end no Azure e bancos de dados back-end locais. Esses tipos de conexões "entre locais" também tornam o gerenciamento de recursos localizados do Azure mais seguro e habilitam cenários como estender controladores de domínio do Ative Directory para o Azure.
Uma maneira de conseguir isso é usar uma VPN site a site. A diferença entre uma VPN site a site e uma VPN ponto a site é que esta última conecta um único dispositivo a uma rede virtual. Uma VPN site a site conecta uma rede inteira (como sua rede local) a uma rede virtual. As VPNs site a site para uma rede virtual usam o protocolo VPN de modo de túnel IPsec altamente seguro.
Saiba mais:
- Criar uma VNet do Resource Manager com uma conexão VPN site a site usando o portal do Azure
- Acerca do Gateway de VPN
Conecte sua rede local a uma rede virtual com um link WAN dedicado
As conexões VPN ponto a site e site a site são eficazes para habilitar a conectividade entre locais. No entanto, algumas organizações consideram que têm as seguintes desvantagens:
- As conexões VPN movem dados pela internet. Isso expõe essas conexões a possíveis problemas de segurança envolvidos na movimentação de dados em uma rede pública. Além disso, a fiabilidade e a disponibilidade das ligações à Internet não podem ser garantidas.
- As ligações VPN a redes virtuais podem não ter a largura de banda necessária para algumas aplicações e finalidades, uma vez que atingem o máximo de cerca de 200 Mbps.
As organizações que precisam do mais alto nível de segurança e disponibilidade para suas conexões entre locais normalmente usam links WAN dedicados para se conectar a sites remotos. O Azure fornece a capacidade de usar um link WAN dedicado que você pode usar para conectar sua rede local a uma rede virtual. O Azure ExpressRoute, o Express route direct e o Express route global reach permitem isso.
Saiba mais:
Conectar redes virtuais entre si
É possível usar muitas redes virtuais para suas implantações. Há várias razões pelas quais você pode fazer isso. Talvez você queira simplificar o gerenciamento ou aumentar a segurança. Independentemente da motivação para colocar recursos em diferentes redes virtuais, pode haver momentos em que você queira que os recursos em cada uma das redes se conectem uns com os outros.
Uma opção é que os serviços em uma rede virtual se conectem a serviços em outra rede virtual, fazendo "looping back" pela internet. A conexão começa em uma rede virtual, passa pela internet e depois volta para a rede virtual de destino. Esta opção expõe a ligação aos problemas de segurança inerentes a qualquer comunicação baseada na Internet.
Uma opção melhor pode ser criar uma VPN site a site que se conecte entre duas redes virtuais. Esse método usa o mesmo protocolo de modo de túnel IPSec que a conexão VPN site a site entre locais mencionada acima.
A vantagem dessa abordagem é que a conexão VPN é estabelecida pela malha de rede do Azure, em vez de se conectar pela Internet. Isso fornece uma camada extra de segurança, em comparação com VPNs site a site que se conectam pela Internet.
Saiba mais:
Outra maneira de conectar suas redes virtuais é o emparelhamento VNET. Esse recurso permite que você conecte duas redes do Azure para que a comunicação entre elas aconteça pela infraestrutura de backbone da Microsoft sem que ela passe pela Internet. O emparelhamento VNET pode conectar duas VNETs dentro da mesma região ou duas VNETs entre regiões do Azure. Os NSGs podem ser usados para limitar a conectividade entre diferentes sub-redes ou sistemas.
Disponibilidade
A disponibilidade é um componente fundamental de qualquer programa de segurança. Se seus usuários e sistemas não puderem acessar o que precisam acessar pela rede, o serviço pode ser considerado comprometido. O Azure tem tecnologias de rede que suportam os seguintes mecanismos de alta disponibilidade:
- Balanceamento de carga baseado em HTTP
- Balanceamento de carga no nível de rede
- Balanceamento de carga global
O balanceamento de carga é um mecanismo projetado para distribuir igualmente conexões entre vários dispositivos. Os objetivos do balanceamento de carga são:
- Para aumentar a disponibilidade. Quando você equilibra a carga de conexões entre vários dispositivos, um ou mais dispositivos podem ficar indisponíveis sem comprometer o serviço. Os serviços executados nos restantes dispositivos online podem continuar a fornecer o conteúdo do serviço.
- Para aumentar o desempenho. Quando você equilibra a carga de conexões entre vários dispositivos, um único dispositivo não precisa lidar com todo o processamento. Em vez disso, as demandas de processamento e memória para veicular o conteúdo estão espalhadas por vários dispositivos.
Balanceamento de carga baseado em HTTP
As organizações que executam serviços baseados na Web geralmente desejam ter um balanceador de carga baseado em HTTP na frente desses serviços Web. Isso ajuda a garantir níveis adequados de desempenho e alta disponibilidade. Os balanceadores de carga tradicionais baseados em rede dependem de protocolos de camada de rede e transporte. Os balanceadores de carga baseados em HTTP, por outro lado, tomam decisões com base nas características do protocolo HTTP.
O Gateway de Aplicativo do Azure fornece balanceamento de carga baseado em HTTP para seus serviços baseados na Web. O Application Gateway suporta:
- Afinidade de sessão baseada em cookies. Esse recurso garante que as conexões estabelecidas com um dos servidores por trás desse balanceador de carga permaneçam intactas entre o cliente e o servidor. Isso garante a estabilidade das transações.
- Descarregamento de TLS. Quando um cliente se conecta com o balanceador de carga, essa sessão é criptografada usando o protocolo HTTPS (TLS). No entanto, para aumentar o desempenho, você pode usar o protocolo HTTP (não criptografado) para se conectar entre o balanceador de carga e o servidor Web por trás do balanceador de carga. Isso é conhecido como "descarregamento TLS", porque os servidores Web por trás do balanceador de carga não experimentam a sobrecarga do processador envolvida com a criptografia. Os servidores Web podem, portanto, atender às solicitações mais rapidamente.
- Roteamento de conteúdo baseado em URL. Esse recurso possibilita que o balanceador de carga tome decisões sobre para onde encaminhar conexões com base na URL de destino. Isso fornece muito mais flexibilidade do que soluções que tomam decisões de balanceamento de carga com base em endereços IP.
Saiba mais:
Balanceamento de carga no nível de rede
Em contraste com o balanceamento de carga baseado em HTTP, o balanceamento de carga no nível da rede toma decisões com base no endereço IP e nos números de porta (TCP ou UDP). Você pode obter os benefícios do balanceamento de carga no nível de rede no Azure usando o Balanceador de Carga do Azure. Algumas características-chave do Load Balancer incluem:
- Balanceamento de carga no nível de rede com base no endereço IP e nos números de porta.
- Suporte para qualquer protocolo de camada de aplicação.
- Balanceamentos de carga para máquinas virtuais do Azure e instâncias de função de serviços de nuvem.
- Pode ser usado para aplicativos e máquinas virtuais voltados para a Internet (balanceamento de carga externo) e não voltados para a Internet (balanceamento de carga interno).
- Monitoramento de ponto final, que é usado para determinar se algum dos serviços por trás do balanceador de carga ficou indisponível.
Saiba mais:
Balanceamento de carga global
Algumas organizações querem o mais alto nível de disponibilidade possível. Uma maneira de atingir esse objetivo é hospedar aplicativos em datacenters distribuídos globalmente. Quando um aplicativo é hospedado em datacenters localizados em todo o mundo, é possível que uma região geopolítica inteira fique indisponível e ainda tenha o aplicativo instalado e funcionando.
Essa estratégia de balanceamento de carga também pode gerar benefícios de desempenho. Você pode direcionar solicitações para o serviço para o datacenter mais próximo do dispositivo que está fazendo a solicitação.
No Azure, você pode obter os benefícios do balanceamento de carga global usando o Gerenciador de Tráfego do Azure.
Saiba mais:
Resolução de nomes
A resolução de nomes é uma função crítica para todos os serviços que você hospeda no Azure. Do ponto de vista da segurança, o comprometimento da função de resolução de nomes pode levar um invasor a redirecionar solicitações de seus sites para o site de um invasor. A resolução segura de nomes é um requisito para todos os seus serviços hospedados na nuvem.
Há dois tipos de resolução de nomes que você precisa abordar:
- Resolução interna de nomes. Isso é usado por serviços em suas redes virtuais, suas redes locais ou ambas. Os nomes utilizados para a resolução interna de nomes não estão acessíveis através da Internet. Para uma segurança ideal, é importante que o seu esquema interno de resolução de nomes não esteja acessível a utilizadores externos.
- Resolução de nomes externos. Isso é usado por pessoas e dispositivos fora de suas redes locais e redes virtuais. Estes são os nomes que são visíveis para a Internet e são utilizados para direcionar a ligação aos seus serviços baseados na nuvem.
Para resolução interna de nomes, você tem duas opções:
- Um servidor DNS de rede virtual. Quando você cria uma nova rede virtual, um servidor DNS é criado para você. Este servidor DNS pode resolver os nomes das máquinas localizadas nessa rede virtual. Esse servidor DNS não é configurável, é gerenciado pelo gerenciador de malha do Azure e, portanto, pode ajudá-lo a proteger sua solução de resolução de nomes.
- Traga o seu próprio servidor DNS. Você tem a opção de colocar um servidor DNS de sua própria escolha em sua rede virtual. Este servidor DNS pode ser um servidor DNS integrado do Ative Directory ou uma solução de servidor DNS dedicada fornecida por um parceiro do Azure, que pode obter no Azure Marketplace.
Saiba mais:
Para resolução de nomes externos, você tem duas opções:
- Hospede seu próprio servidor DNS externo localmente.
- Hospede seu próprio servidor DNS externo com um provedor de serviços.
Muitas grandes organizações hospedam seus próprios servidores DNS localmente. Eles podem fazer isso porque têm a experiência em rede e a presença global para fazê-lo.
Na maioria dos casos, é melhor hospedar seus serviços de resolução de nomes DNS com um provedor de serviços. Esses provedores de serviços têm a experiência de rede e presença global para garantir uma disponibilidade muito alta para seus serviços de resolução de nomes. A disponibilidade é essencial para os serviços de DNS, porque se os seus serviços de resolução de nomes falharem, ninguém conseguirá aceder aos seus serviços voltados para a Internet.
O Azure fornece uma solução de DNS externo altamente disponível e de alto desempenho na forma de DNS do Azure. Esta solução de resolução de nomes externos tira partido da infraestrutura mundial de DNS do Azure. Ele permite que você hospede seu domínio no Azure, usando as mesmas credenciais, APIs, ferramentas e cobrança que seus outros serviços do Azure. Como parte do Azure, ele também herda os fortes controles de segurança incorporados à plataforma.
Saiba mais:
- Visão geral do DNS do Azure
- As zonas privadas do DNS do Azure permitem configurar nomes DNS privados para recursos do Azure em vez dos nomes atribuídos automaticamente sem a necessidade de adicionar uma solução DNS personalizada.
Arquitetura de rede de perímetro
Muitas grandes organizações usam redes de perímetro para segmentar suas redes e criar uma zona de buffer entre a Internet e seus serviços. A parte de perímetro da rede é considerada uma zona de baixa segurança, e nenhum ativo de alto valor é colocado nesse segmento de rede. Normalmente, você verá dispositivos de segurança de rede que têm uma interface de rede no segmento de rede de perímetro. Outra interface de rede está conectada a uma rede que possui máquinas virtuais e serviços que aceitam conexões de entrada da Internet.
Você pode projetar redes de perímetro de várias maneiras diferentes. A decisão de implantar uma rede de perímetro e, em seguida, que tipo de rede de perímetro usar se você decidir usar uma, depende dos seus requisitos de segurança de rede.
Saiba mais:
Azure DDoS Protection
Os ataques de Denial of Service distribuído (DDoS) são algumas das maiores preocupações de disponibilidade e segurança relativamente aos clientes que estão a mover as suas aplicações para a cloud. Um ataque DDoS tenta esgotar os recursos de um aplicativo, tornando o aplicativo indisponível para usuários legítimos. Os ataques de DDoS podem ser direcionadas para qualquer ponto final que esteja publicamente acessível através da internet.
Os recursos de proteção contra DDoS incluem:
- Integração de plataforma nativa: nativamente integrada ao Azure. Inclui configuração através do portal do Azure. A Proteção contra DDoS compreende os recursos e a configuração de recursos.
- Proteção chave-na-mão: A configuração simplificada protege imediatamente todos os recursos numa rede virtual assim que a Proteção contra DDoS é ativada. Nenhuma intervenção ou definição de usuário é necessária. A Proteção contra DDoS atenua o ataque de forma instantânea e automática, uma vez detetado.
- Monitoramento de tráfego sempre ativo: seus padrões de tráfego de aplicativos são monitorados 24 horas por dia, 7 dias por semana, procurando indicadores de ataques DDoS. A mitigação é executada quando as políticas de proteção são excedidas.
- Relatórios de Mitigação de Ataques Os Relatórios de Mitigação de Ataques usam dados agregados de fluxo de rede para fornecer informações detalhadas sobre ataques direcionados aos seus recursos.
- Logs de fluxo de mitigação de ataque Os logs de fluxo de mitigação de ataque permitem que você analise o tráfego perdido, o tráfego encaminhado e outros dados de ataque quase em tempo real durante um ataque DDoS ativo.
- Ajuste adaptável: o perfil de tráfego inteligente aprende o tráfego do seu aplicativo ao longo do tempo e seleciona e atualiza o perfil mais adequado para o seu serviço. O perfil ajusta-se à medida que o tráfego muda ao longo do tempo. Proteção de camada 3 a camada 7: fornece proteção contra DDoS de pilha completa, quando usado com um firewall de aplicativo da Web.
- Ampla escala de mitigação: Mais de 60 tipos de ataque diferentes podem ser mitigados, com capacidade global, para proteger contra os maiores ataques DDoS conhecidos.
- Métricas de ataque: as métricas resumidas de cada ataque podem ser acessadas por meio do Azure Monitor.
- Alertas de ataque: os alertas podem ser configurados no início e na interrupção de um ataque e ao longo da duração do ataque, usando métricas de ataque integradas. Os alertas integram-se no seu software operacional, como os registos do Microsoft Azure Monitor, o Splunk, o Armazenamento do Azure, o E-mail e o portal do Azure.
- Garantia de custo: créditos de serviço de transferência de dados e expansão de aplicativos para ataques DDoS documentados.
- Os clientes da Proteção contra DDoS rápida e responsiva contra DDoS agora têm acesso à equipe de Resposta Rápida durante um ataque ativo. A RRC pode ajudar na investigação de ataques, mitigações personalizadas durante um ataque e análise pós-ataque.
Saiba mais:
Azure Front Door
O Azure Front Door Service permite definir, gerenciar e monitorar o roteamento global do seu tráfego da Web. Ele otimiza o roteamento do seu tráfego para melhor desempenho e alta disponibilidade. O Azure Front Door permite criar regras de firewall de aplicações Web (WAF) personalizadas para o controlo de acesso de forma a proteger a carga de trabalho HTTP/HTTPS da exploração com base em endereços IP de cliente, no indicativo e em parâmetros http. Além disso, o Front Door também permite que você crie regras de limitação de taxa para combater o tráfego de bots mal-intencionados, inclui descarregamento de TLS e solicitação por HTTP/HTTPS, processamento de camada de aplicativo.
A própria plataforma Front Door é protegida por uma proteção DDoS no nível de infraestrutura do Azure. Para maior proteção, a Proteção de Rede DDoS do Azure pode ser habilitada em suas VNETs e proteger recursos contra ataques de camada de rede (TCP/UDP) por meio de ajuste automático e mitigação. Front Door é um proxy reverso de camada 7, ele só permite que o tráfego da web passe para servidores back-end e bloquear outros tipos de tráfego por padrão.
Nota
Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é implantar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede.
Saiba mais:
- Para obter mais informações sobre todo o conjunto de recursos do Azure Front door, você pode revisar a visão geral do Azure Front Door:
Azure Traffic manager
O Gestor de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que lhe permite distribuir o tráfego de forma otimizada para serviços nas regiões globais do Azure, proporcionando, ao mesmo tempo, elevada disponibilidade e capacidade de resposta. O Gestor de Tráfego utiliza o DNS para direcionar os pedidos do cliente para o ponto final de serviço mais adequado com base num método de encaminhamento de tráfego e no estado de funcionamento dos pontos finais. Os pontos finais são serviços com acesso à Internet alojados dentro ou fora do Azure. O gestor de tráfego monitoriza os pontos finais e não direciona o tráfego para quaisquer pontos finais que não estejam disponíveis.
Saiba mais:
Monitorização e deteção de ameaças
O Azure fornece recursos para ajudá-lo nessa área-chave com deteção precoce, monitoramento e coleta e revisão do tráfego de rede.
Observador de Rede do Azure
O Azure Network Watcher pode ajudá-lo a solucionar problemas e fornece um conjunto totalmente novo de ferramentas para ajudar na identificação de problemas de segurança.
A Vista de Grupo de Segurança ajuda na auditoria e conformidade de segurança de Máquinas Virtuais. Use esse recurso para executar auditorias programáticas, comparando as políticas de linha de base definidas pela sua organização com regras eficazes para cada uma das suas VMs. Isso pode ajudá-lo a identificar qualquer desvio de configuração.
A captura de pacotes permite capturar o tráfego de rede de e para a máquina virtual. Você pode coletar estatísticas de rede e solucionar problemas de aplicativos, o que pode ser inestimável na investigação de invasões de rede. Você também pode usar esse recurso junto com o Azure Functions para iniciar capturas de rede em resposta a alertas específicos do Azure.
Para obter mais informações sobre o Network Watcher e como começar a testar algumas das funcionalidades em seus laboratórios, consulte Visão geral do monitoramento do observador de rede do Azure.
Nota
Para obter as notificações mais atualizadas sobre a disponibilidade e o estado deste serviço, consulte a página de atualizações do Azure.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças e proporciona-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um grande conjunto de soluções de segurança.
O Defender for Cloud ajuda-o a otimizar e monitorizar a segurança da rede:
- Fornecer recomendações de segurança de rede.
- Monitorizar o estado da configuração de segurança da rede.
- Alertá-lo sobre ameaças baseadas na rede, tanto no nível do ponto de extremidade quanto da rede.
Saiba mais:
TAP de Rede Virtual
O TAP (Terminal Access Point) da rede virtual do Azure permite que você transmita continuamente o tráfego de rede da máquina virtual para um coletor de pacotes de rede ou ferramenta de análise. O coletor ou ferramenta de análise é fornecido por um parceiro de dispositivo virtual de rede. Você pode usar o mesmo recurso TAP de rede virtual para agregar o tráfego de várias interfaces de rede na mesma assinatura ou em assinaturas diferentes.
Saiba mais:
Registo
O registro em log em um nível de rede é uma função fundamental para qualquer cenário de segurança de rede. No Azure, você pode registrar informações obtidas para NSGs para obter informações de log no nível da rede. Com o registro NSG, você obtém informações de:
- Registos de atividades. Use esses logs para exibir todas as operações enviadas para suas assinaturas do Azure. Esses logs são habilitados por padrão e podem ser usados no portal do Azure. Anteriormente, eram conhecidos como logs de auditoria ou operacionais.
- Logs de eventos. Esses logs fornecem informações sobre quais regras NSG foram aplicadas.
- Logs de contadores. Esses logs permitem saber quantas vezes cada regra NSG foi aplicada para negar ou permitir tráfego.
Você também pode usar o Microsoft Power BI, uma poderosa ferramenta de visualização de dados, para exibir e analisar esses logs. Saiba mais: