O que é a segurança de rede do Azure?

A segurança de rede é um aspecto crítico da computação em nuvem, pois protege os dados e aplicativos executados na nuvem contra várias ameaças e ataques. O Azure fornece um conjunto abrangente de soluções de segurança de rede que permitem projetar, implantar e gerenciar redes seguras e resilientes na nuvem.

Um dos princípios orientadores da segurança de rede do Azure é o modelo de Confiança Zero, que pressupõe que nenhuma rede ou dispositivo seja inerentemente seguro ou confiável. Em vez disso, cada solicitação e conexão devem ser verificadas e validadas com base em dados, identidade e contexto. O modelo de Confiança Zero ajuda você a impedir o acesso não autorizado, limitar a movimentação lateral e reduzir a superfície de ataque de suas redes.

Escolhendo uma solução

Escolher a solução de segurança de rede certa para suas cargas de trabalho do Azure depende de suas necessidades e requisitos específicos. O Azure fornece uma variedade de serviços de segurança de rede que podem ser usados individualmente ou em combinação para proteger suas cargas de trabalho. Estes são alguns dos principais fatores a serem considerados ao escolher uma solução de segurança de rede:

• Tipo de carga de trabalho: cargas de trabalho diferentes têm requisitos de segurança diferentes. Por exemplo, os aplicativos Web podem exigir proteção contra ataques da Web, enquanto as máquinas virtuais podem exigir proteção contra ataques baseados em rede.
• Modelo de implantação: o Azure fornece modelos de implantação diferentes para serviços de segurança de rede, como dispositivos virtuais, serviços gerenciados e soluções integradas. Escolha o modelo que melhor atenda às suas necessidades e requisitos.
• Integração com outros serviços do Azure: muitos serviços de segurança de rede do Azure se integram a outros serviços do Azure, como a Azure Monitor, a Central de Segurança do Azure e o Microsoft Sentinel. Escolha uma solução que possa se integrar facilmente aos serviços existentes do Azure para segurança e monitoramento aprimorados.
• Custo: diferentes serviços de segurança de rede têm modelos de preços diferentes. Escolha uma solução que atenda ao seu orçamento e forneça o nível de proteção necessário.
• Requisitos de conformidade: dependendo do seu setor e local, você pode ter requisitos de conformidade específicos que sua solução de segurança de rede deve atender. Escolha uma solução que possa ajudá-lo a atender a esses requisitos.
• Escalabilidade: à medida que suas cargas de trabalho aumentam, sua solução de segurança de rede deve ser capaz de dimensionar com elas. Escolha uma solução que possa lidar com o aumento do tráfego e cargas de trabalho sem comprometer a segurança.
• Gerenciamento e monitoramento: escolha uma solução que forneça recursos fáceis de gerenciamento e monitoramento, como dashboards, alertas e relatórios. Isso ajudará você a identificar e responder rapidamente a incidentes de segurança.

Azure Firewall

O Firewall do Azure é um serviço de firewall de rede inteligente nativo de nuvem que oferece proteção com estado completo com alta disponibilidade interna e escalabilidade de nuvem ilimitada. Ele fornece segurança em nível de rede e de aplicativo para suas cargas de trabalho do Azure. Como um serviço gerenciado, o Firewall do Azure pode ser implantado em uma rede virtual e se integra perfeitamente a outros serviços do Azure, como a Azure Monitor, a Central de Segurança do Azure e o Microsoft Sentinel para segurança e monitoramento aprimorados.

Dependendo de suas necessidades, você pode selecionar entre três SKUs de Firewall do Azure:

• Básico: O SKU básico é uma opção econômica para soluções de firewall simples em cargas de trabalho do Azure. Ele fornece recursos essenciais, como filtragem de rede e aplicativo, tradução de endereço de rede e registro em log.
• Padrão: O SKU Standard é uma opção mais avançada que inclui recursos extras, como proxy DNS e categorias da Web. Ele foi projetado para soluções de firewall mais abrangentes em cargas de trabalho do Azure.
• Premium: O SKU Premium é a opção mais avançada que inclui todos os recursos da SKU Standard, além de recursos extras, como inspeção de TLS, detecção e prevenção de intrusões e filtragem de URL. Ele foi projetado para o mais alto nível de segurança e controle nas cargas de trabalho do Azure.

Casos de uso

• Segurança de rede: proteja suas cargas de trabalho do Azure contra ataques baseados em rede e acesso não autorizado.
• Segurança do aplicativo: proteja suas cargas de trabalho do Azure contra ataques e vulnerabilidades baseados em aplicativo.
• Detecção e prevenção de intrusão: monitore sua rede para atividades mal-intencionadas, registre informações sobre essa atividade, relate-a e, opcionalmente, tente bloqueá-la.
• Inspeção do TLS: inspeção e descriptografia do tráfego TLS para detectar e bloquear ameaças ocultas no tráfego criptografado.
• Filtragem de URL: controle o acesso a URLs ou categorias de URL específicas com base nas políticas da sua organização.

Para obter mais informações, consulte a visão geral do Firewall do Azure.

Proteção contra DDoS do Azure

A Proteção contra DDoS do Azure é um serviço que fornece recursos avançados de mitigação de DDoS para se defender contra ataques de DDoS. Se ajusta automaticamente para proteger os recursos específicos do Azure em uma rede virtual. A proteção é simples de habilitar em qualquer rede virtual nova ou existente ou recursos de endereço IP público, e não requer nenhuma alteração de aplicativo ou recurso.

• Proteção de IP: a Proteção de IP do Azure DDoS fornece proteção para seus recursos do Azure que recebem um endereço IP público. Ele protege contra ataques de volume, protocolo e camada de aplicativo.

  

• Proteção de rede: a Proteção de Rede do Azure DDoS fornece proteção para seus recursos do Azure em uma rede virtual que recebe um endereço IP público. Ele tem recursos extras, como suporte ao DDoS Rapid Response, proteção de custos e descontos de WAF.

  

Casos de uso

• Proteção contra ataques DDoS: proteja seus recursos do Azure contra ataques de DDoS, incluindo ataques de camada de aplicativo, protocolo e volume.
• Proteção de custos: proteja seus recursos do Azure contra custos inesperados devido a ataques de DDoS.
• Resposta rápida: obtenha suporte rápido de resposta de especialistas em DDoS do Azure no caso de um ataque de DDoS.

Para saber mais, confira Visão geral da Proteção contra DDoS do Azure.

Firewall do Aplicativo Web do Azure

O WAF (Firewall de Aplicativo Web) do Azure é um firewall de aplicativo Web que fornece proteção centralizada para seus aplicativos Web contra explorações e vulnerabilidades comuns. O WAF usa regras para monitorar solicitações e respostas HTTP e pode bloquear ou permitir o tráfego com base nas regras definidas.

O WAF está disponível em duas opções de implantação:

• WAF do Gateway de Aplicativo do Azure: o Gateway de Aplicativo do Azure é um balanceador de carga de tráfego da Web (camada 7 da OSI) que permite gerenciar o tráfego para seus aplicativos Web.
• WAF do Azure Front Door: o Azure Front Door é um ponto de entrada escalonável e seguro para entrega rápida de seus aplicativos globais. Ele oferece descarregamento de SSL, aceleração de aplicativo e balanceamento de carga global com failover instantâneo.

Casos de uso

• Proteção contra ataques da Web: proteja seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeção de SQL e XSS (script entre sites).
• Gerenciamento centralizado: gerencie as regras e políticas de firewall do aplicativo Web de um único local.
• Integração com os serviços do Azure: integre o WAF a outros serviços do Azure, como o Gateway de Aplicativo do Azure e o Azure Front Door, para maior segurança e desempenho.
• Regras personalizadas: crie regras personalizadas para atender às suas políticas e requisitos de segurança específicos.
• Proteção contra bots: proteja seus aplicativos Web contra bots mal-intencionados e ataques automatizados.

Para obter mais informações, consulte a visão geral do Firewall do Aplicativo Web do Azure.

Experiência do portal do Azure

O portal do Azure fornece uma experiência unificada para gerenciar seus serviços de segurança de rede. Você pode criar e gerenciar facilmente seus serviços de segurança de rede de um único local e também pode exibir o status e a integridade de seus serviços.

Cenários comuns de segurança de rede

Atualmente, o Hub de Segurança de Rede dá suporte às seguintes opções de implantação:

• Rede Hub-and-Spoke protegida: implante o Firewall do Azure em uma rede virtual designada como um Hub. Essa rede virtual do hub pode se conectar a várias redes virtuais spoke usando o emparelhamento de rede virtual. O Firewall do Azure está associado a uma política de Firewall do Azure que define as regras e as configurações do firewall. Esse modelo de implantação é ideal para organizações que buscam centralizar a segurança e o gerenciamento de rede em um único local.

• Proteger WANs virtuais em escala: implante um Azure Firewall em um Hub seguro da Azure Virtual WAN. O Firewall do Azure está associado a uma política de Firewall do Azure e o hub protegido está conectado a várias filiais e usuários remotos. Esse modelo de implantação é ideal para organizações que usam a WAN Virtual do Azure para conectar várias filiais e usuários remotos aos recursos do Azure.

• Confiança Zero para aplicativos Web: use o Gateway de Aplicativo do Azure com uma política de WAF (Firewall de Aplicativo Web) do Azure para proteger aplicativos Web regionais contra explorações e vulnerabilidades comuns. Personalize a política do WAF para atender às necessidades de segurança específicas de seus aplicativos Web com eficiência.

• Fornecer conteúdo de nuvem com segurança: use o Azure Front Door com uma política de WAF (Firewall de Aplicativo Web) do Azure para proteger e otimizar a entrega de seus aplicativos Web globais. Esse modelo de implantação garante um desempenho de aplicativo seguro e eficiente, permitindo que você personalize a política do WAF para atender às necessidades de segurança específicas.

Próximas etapas

Saiba mais sobre os diferentes recursos e funcionalidades de cada serviço de segurança de rede do Azure: