Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral da política de segurança DNS e do feed de inteligência contra ameaças.
Para obter mais informações sobre a configuração da política de segurança DNS e do feed de inteligência contra ameaças, consulte os seguintes guias de instruções:
O que é a política de segurança DNS?
A política de segurança de DNS oferece a capacidade de filtrar e registrar consultas DNS na VNet (rede virtual). A política se aplica ao tráfego DNS público e privado de uma VNet. Os logs de DNS podem ser enviados para uma conta de armazenamento, um workspace do Log Analytics ou hubs de eventos. Você pode optar por permitir, registrar um alerta ou bloquear consultas DNS.
Com a política de segurança de DNS, você pode:
- Criar regras para se proteger contra ataques baseados em DNS, bloqueando a resolução de nomes de domínios conhecidos ou mal-intencionados.
- Salve e exiba logs DNS detalhados para obter informações sobre o tráfego DNS.
Uma política de segurança de DNS tem os seguintes elementos e propriedades associados:
- Localização: a região do Azure em que a política de segurança é criada e implantada.
- Regras de tráfego DNS: regras que permitem, bloqueiam ou registram um alerta com base em listas de prioridade e domínio.
- Links de rede virtual: um link que associa a política de segurança a uma VNet.
- Listas de domínio de DNS: listas baseadas em localização de domínios de DNS.
A política de segurança de DNS pode ser configurada usando o Azure PowerShell ou o portal do Azure.
O que é inteligência contra ameaças DNS?
A política de segurança de DNS do Azure com o feed de Inteligência contra Ameaças permite a detecção e prevenção precoces de incidentes de segurança em redes virtuais do cliente, em que domínios mal-intencionados conhecidos provenientes do MSRC (Centro de Resposta de Segurança) da Microsoft podem ser bloqueados da resolução de nomes.
Além dos recursos já fornecidos da política de segurança DNS, o feed está disponível como uma lista de domínio gerenciado e habilita a proteção de cargas de trabalho contra domínios mal-intencionados conhecidos com o feed inteligente de ameaças gerenciado da Microsoft.
A seguir estão os benefícios de usar a política de segurança DNS com o feed de Inteligência de Ameaças:
Proteção inteligente:
- Quase todos os ataques começam com uma consulta DNS. A lista de domínios gerenciados da Inteligência contra Ameaças permite a detecção e a prevenção de incidentes de segurança antecipadamente.
Atualizações contínuas:
- A Microsoft atualiza automaticamente o feed para proteger contra domínios mal-intencionados detectados recentemente.
Monitoramento e bloqueio de domínio mal-intencionado:
A flexibilidade da observação da atividade no modo somente de alerta ou bloquear a atividade suspeita no modo de bloqueio.
A ativação do log proporciona visibilidade sobre todo o tráfego DNS na rede virtual.
Casos de uso
Configure a Inteligência contra Ameaças como uma lista de domínio gerenciado nas políticas de segurança DNS para uma camada adicional de proteção contra domínios mal-intencionados conhecidos.
Obtenha visibilidade de hosts comprometidos que tentam resolver domínios mal-intencionados conhecidos de redes virtuais.
Registre e configure alertas quando domínios maliciosos forem resolvidos em redes virtuais onde a alimentação de Inteligência de Ameaças está configurada.
Integre-se perfeitamente com redes virtuais e outros serviços, como Zonas DNS Privadas do Azure, Resolvedor Privado e outros serviços na rede virtual.
Localização
Uma política de segurança só pode ser aplicada a VNets da mesma região. No exemplo a seguir, duas políticas são criadas em cada uma das duas regiões diferentes (Leste dos EUA e EUA Central).
Importante
A relação política:VNet é 1:N. Quando uma VNet está associada a uma política de segurança (por meio de links de rede virtual), essa VNet não pode ser associada a outra política de segurança sem a remoção do link de rede virtual existente primeiro. Uma política de segurança de DNS individual pode ser associada a várias VNets na mesma região.
Regras de tráfego DNS
As regras de tráfego DNS determinam a ação tomada para uma consulta DNS.
Para exibir as regras de tráfego DNS no portal do Azure, selecione uma política de segurança de DNS e, em Configurações, selecione Regras de Tráfego DNS. Consulte o seguinte exemplo:
- As regras são processadas em ordem de Prioridade no intervalo de 100 a 65.000. Números menores têm prioridade mais alta.
- Se um nome de domínio for bloqueado em uma regra de prioridade mais baixa e o mesmo domínio for permitido em uma regra de prioridade mais alta, o nome de domínio será permitido.
- As regras seguem a hierarquia de DNS. Se contoso.com for permitido em uma regra de prioridade mais alta, sub.contoso.com será permitido, mesmo que sub.contoso.com seja bloqueado em uma regra de prioridade mais baixa.
- Você pode configurar uma política em todos os domínios criando uma regra que se aplica ao domínio ".". Tenha cuidado ao bloquear domínios para que você não bloqueie os serviços necessários do Azure.
- Você pode adicionar e excluir regras de maneira dinâmica na lista. Lembre-se de selecionar Salvar após editar as regras no portal.
- Várias listas de domínio DNS são permitidas por regra. Você precisa ter, pelo menos, uma lista de domínios DNS.
- Cada regra está associada a uma das três Ações de Tráfego: Permitir, Bloquear ou Registrar Alerta.
- Permitir: permita a consulta nas listas de domínio associadas e registre a consulta em log.
- Bloquear: bloqueie a consulta nas listas de domínio associadas e registre a ação de bloqueio.
- Registrar Alerta: permita a consulta nas listas de domínio associadas e registre um alerta em log.
- As regras podem ser Habilitadas ou Desabilitadas individualmente.
Links de rede virtual
As políticas de segurança de DNS se aplicam somente às VNets vinculadas à política de segurança. Você pode vincular uma política de segurança individual a várias VNets, porém, uma VNet individual só pode ser vinculada a uma política de segurança de DNS.
O seguinte exemplo mostra uma política de segurança de DNS vinculada a duas VNets (myeastvnet-40, myeastvnet-50):
- Você só pode vincular VNets que estejam na mesma região da política de segurança.
- Quando você vincula uma VNet a uma política de segurança de DNS usando um link de rede virtual, a política de segurança de DNS se aplica a todos os recursos contidos na VNet.
Listas de domínio DNS
Listas de domínio DNS são listas de domínios DNS que você associa às regras de tráfego.
Selecione Listas de Domínio DNS em Configurações de uma política de segurança de DNS para ver as listas de domínio atuais associadas à política.
Observação
Cadeias CNAME são examinadas ("perseguidas") para determinar se as regras de tráfego associadas a um domínio devem ser aplicadas. Por exemplo, uma regra que se aplica a malicioso.contoso.com também se aplica a adatum.com se adatum.com mapeia para malicious.contoso.com ou se malicioso.contoso.com aparece em qualquer lugar em uma cadeia CNAME para adatum.com.
O seguinte exemplo mostra as listas de domínio DNS associadas à política de segurança de DNS myeast-secpol:
Você pode associar uma lista de domínios a várias regras de tráfego DNS em políticas de segurança diferentes. Uma política de segurança precisa conter, pelo menos, uma lista de domínios. Este é um exemplo de uma lista de domínios DNS (blocklist-1) que contém dois domínios (malicious.contoso.com, exploit.adatum.com):
- Uma lista de domínios DNS precisa conter, pelo menos, um domínio. Os domínios curinga são permitidos.
Importante
Tenha cuidado ao criar listas de domínios curinga. Por exemplo, se você criar uma lista de domínios que se aplique a todos os domínios (inserindo . como o domínio DNS) e configurar uma regra de tráfego DNS para bloquear as consultas para essa lista de domínios, você poderá impedir que os serviços necessários funcionem.
Ao exibir uma lista de domínios DNS no portal do Azure, você também pode selecionar Configurações>Regras de Tráfego DNS Associadas para ver uma lista de todas as regras de tráfego e as políticas de segurança de DNS associadas que referenciam a lista de domínios DNS.
Requisitos e restrições
| Tipo de restrição | Limite/Regra |
|---|---|
| Restrições de rede virtual | - As políticas de segurança DNS só podem ser aplicadas a VNets na mesma região que a política de segurança DNS. - Você pode vincular uma política de segurança para cada VNet. |
| Restrições de política de segurança | 1000 |
| Restrições da regra de tráfego DNS | 100 |
| Restrições de lista de domínio | 2.000 |
| Restrições de lista de domínio grande | 100,000 |
| Restrições de domínio | 100,000 |