Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A segurança de rede protege os recursos contra acesso ou ataques não autorizados controlando o tráfego de rede. O Azure fornece uma infraestrutura de rede robusta para dar suporte aos requisitos de conectividade de aplicativo e serviço, com controles de segurança em todas as camadas.
Este artigo aborda os principais recursos de segurança de rede no Azure:
- Controle de acesso à rede
- Firewall do Azure
- Acesso remoto seguro e conectividade entre locais
- Disponibilidade e balanceamento de carga
- Resolução de nomes
- proteção contra DDoS
- Azure Front Door
- Monitoramento e detecção de ameaças
Anotação
Para cargas de trabalho da Web, recomendamos usar a Proteção contra DDoS do Azure e um firewall de aplicativo Web para proteger contra ataques de DDoS. O Azure Front Door com um firewall de aplicativo Web fornece proteção no nível da plataforma contra ataques DDoS no nível da rede.
Rede Virtual do Azure
A Rede Virtual do Azure é o bloco de construção fundamental para sua rede privada no Azure. Cada rede virtual é isolada de outras redes virtuais, ajudando a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Azure. As redes virtuais permitem que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com as redes locais.
Saiba mais:
Controle de acesso à rede
O controle de acesso à rede limita a conectividade de e para dispositivos ou sub-redes específicos em uma rede virtual. O objetivo é restringir o acesso a suas máquinas virtuais e serviços a usuários e dispositivos aprovados.
Grupos de segurança de rede
Os NSGs (Grupos de Segurança de Rede) fornecem filtragem de pacotes básica e com estado com base em endereço IP e protocolos TCP/UDP. Os NSGs controlam o acesso usando uma tupla de 5 (IP de origem, porta de origem, IP de destino, porta de destino, protocolo).
Os NSGs incluem recursos para simplificar o gerenciamento:
- Regras de segurança aumentadas: crie regras complexas em vez de várias regras simples para obter o mesmo resultado
- Marcas de serviço: rótulos gerenciados pela Microsoft que representam grupos de endereços IP que são atualizados dinamicamente
- Grupos de segurança do aplicativo: organizar recursos em grupos de aplicativos e controlar o acesso com base nesses grupos
Saiba mais:
Pontos de extremidade de serviço
Os pontos de extremidade de serviço de Rede Virtual estendem o espaço de endereço privado da rede virtual para os serviços do Azure por meio de uma conexão direta. Os pontos de extremidade de serviço mantêm o tráfego na rede de backbone do Azure, restringindo a comunicação com serviços suportados apenas para suas redes virtuais.
Saiba mais:
Link Privado do Azure
O Link Privado do Azure fornece conectividade privada de uma rede virtual para serviços de PaaS do Azure, serviços de propriedade do cliente ou serviços de parceiros da Microsoft. O tráfego de Link Privado permanece na rede de backbone do Microsoft Azure, eliminando a exposição à Internet pública.
Saiba mais:
Firewall do Azure
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para cargas de trabalho na nuvem. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita.
O Firewall do Azure está disponível em três SKUs:
- Azure Firewall Basic: segurança simplificada para pequenas e médias empresas
- Padrão de Firewall do Azure: filtragem de L3-L7 e inteligência contra ameaças da Microsoft Cyber Security
- Firewall do Azure Premium: funcionalidades avançadas, incluindo IDPS baseado em assinatura para detecção rápida de ataque
Saiba mais:
- O que é o Firewall do Azure?
- Escolher o SKU de Firewall do Azure correto
- Visão geral de detecção e proteção contra ameaças
Acesso remoto seguro e conectividade entre locais
O Azure dá suporte a vários cenários seguros de acesso remoto para gerenciar recursos do Azure e implantar soluções de TI híbridas.
VPN ponto a site
As conexões VPN ponto a site permitem que usuários individuais estabeleçam conexões privadas e seguras com uma rede virtual. Os usuários podem acessar máquinas virtuais e serviços no Azure após a autenticação. A VPN ponto a site dá suporte a:
- Protocolo SSTP (Secure Socket Tunneling Protocol): protocolo VPN baseado em SSL proprietário (dispositivos Windows)
- VPN IKEv2: solução VPN IPsec baseada em padrões (dispositivos Mac)
- Protocolo OpenVPN: protocolo VPN baseado em SSL/TLS (dispositivos Android, iOS, Windows, Linux e Mac)
Saiba mais:
VPN site a site
As conexões de Gateway de VPN site a site estabelecem conectividade segura entre ambientes, entre a rede no local e as redes virtuais do Azure. As VPNs site a site usam o protocolo VPN do modo de túnel IPsec altamente seguro.
O Gateway de VPN é essencial para cenários de TI híbridos em que partes de um serviço são hospedadas no Azure e no local.
Saiba mais:
ExpressRoute
O ExpressRoute fornece links wan dedicados entre sua rede local e os serviços de nuvem da Microsoft. As conexões do ExpressRoute não atravessam a Internet pública, oferecendo segurança, confiabilidade, velocidade e latência mais baixas em comparação com conexões de Internet.
O ExpressRoute dá suporte a:
- ExpressRoute Direct: conectividade direta com a rede global da Microsoft
- Alcance Global do ExpressRoute: conectividade entre seus sites locais por meio de circuitos do ExpressRoute
Saiba mais:
Emparelhamento VNET
O emparelhamento de Rede Virtual conecta duas redes virtuais do Azure, permitindo que os recursos em qualquer rede se comuniquem entre si. O emparelhamento VNet usa a infraestrutura de backbone da Microsoft, ignorando a internet pública. O emparelhamento dá suporte a conexões na mesma região do Azure ou em regiões diferentes (emparelhamento de VNet global).
Saiba mais:
Disponibilidade e balanceamento de carga
O balanceamento de carga distribui conexões em vários dispositivos para aumentar a disponibilidade e o desempenho. O Azure fornece várias opções de balanceamento de carga.
Azure Load Balancer
O Azure Load Balancer fornece balanceamento de carga de camada 4 de alto desempenho e baixa latência para todos os protocolos UDP e TCP. Load Balancer distribui o tráfego de entrada para instâncias de back-end de acordo com as regras e verificações de integridade configuradas.
Os recursos do Load Balancer incluem:
- Suporte para cenários de balanceamento de carga internos e externos
- Redundância de zona e implantações zonais
- Suporte a aplicativos TCP e UDP
- Verificações de integridade para verificar a disponibilidade da instância de back-end
Saiba mais:
Gateway de Aplicativo do Azure
O Gateway de Aplicativo do Azure é um balanceador de carga de tráfego da Web (Camada 7) que gerencia o tráfego para seus aplicativos Web. O Gateway de Aplicativo toma decisões de roteamento com base em atributos de solicitação HTTP, como caminho de URI ou cabeçalhos de host.
Os recursos do Gateway de Aplicativo incluem:
- WAF (Firewall de Aplicativo Web) para proteção centralizada
- Terminação do TLS para reduzir a sobrecarga de criptografia em servidores Web
- Afinidade de sessão baseada em cookie
- Roteamento de conteúdo baseado em URL
- Dimensionamento automático e redundância de zona
Saiba mais:
Gerenciador de Tráfego do Azure
O Gerenciador de Tráfego do Azure é um balanceador de carga de tráfego baseado em DNS que distribui o tráfego de maneira ideal para serviços em regiões globais do Azure. O Gerenciador de Tráfego fornece alta disponibilidade e capacidade de resposta roteando solicitações de cliente para o ponto de extremidade de serviço mais apropriado com base no método de roteamento de tráfego e na integridade do ponto de extremidade.
O Gerenciador de Tráfego dá suporte a vários métodos de roteamento, incluindo prioridade, ponderado, desempenho, geográfico, multivalor e roteamento de sub-rede.
Saiba mais:
Resolução de nomes
A resolução de nomes seguros é crucial para todos os serviços hospedados na nuvem. Funções de resolução de nomes comprometidas podem redirecionar solicitações para sites mal-intencionados.
DNS do Azure
O DNS do Azure fornece resolução de nomes altamente disponível e de alto desempenho usando a infraestrutura do Microsoft Azure. O DNS do Azure dá suporte a:
- Domínios DNS públicos hospedados na infraestrutura global do Azure
- Zonas DNS privadas para resolução de nomes dentro e entre redes virtuais
- Cenários DNS de horizonte dividido em que o mesmo nome de domínio é resolvido de forma diferente para consultas públicas e privadas
Saiba mais:
proteção contra DDoS
Ataques de DDoS (negação de serviço distribuído) estão entre as maiores preocupações de disponibilidade e segurança para clientes que movem aplicativos para a nuvem. A Proteção contra DDoS do Azure protege os recursos do Azure contra ataques de DDoS.
SKUs da Proteção contra DDoS do Azure:
- Proteção de Infraestrutura de DDoS: proteção básica habilitada por padrão em todas as propriedades do Azure sem custo adicional
- Proteção de Rede DDoS: proteção avançada para recursos em redes virtuais com ajuste adaptável, políticas de mitigação e monitoramento
Os recursos da Proteção de Rede DDoS incluem:
- Integração de plataforma nativa com a configuração por meio do portal do Azure
- Monitoramento de tráfego contínuo e mitigação em tempo real
- Análise de ataque, incluindo relatórios de mitigação e logs de fluxo
- Ajuste adaptável com base nos padrões de tráfego do aplicativo
- Garantia de custo, incluindo transferência de dados e créditos de serviço de expansão de aplicativos
Saiba mais:
Azure Front Door
O Azure Front Door é um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis. O Front Door fornece balanceamento de carga da Camada 7, terminação TLS, roteamento baseado em URL e segurança integrada.
Os recursos do Front Door incluem:
- Balanceamento de carga HTTP global com failover instantâneo
- Terminação TLS na borda
- Roteamento baseado em caminho de URL
- Afinidade de sessão baseada em cookie
- Proteção do Firewall de Aplicativo Web
- Proteção contra DDoS no nível da plataforma
- Integração de Link Privado para proteger origens de back-end
Saiba mais:
Monitoramento e detecção de ameaças
O Azure fornece ferramentas para monitorar a segurança de rede e detectar ameaças.
Observador de Rede do Azure
O Observador de Rede do Azure fornece ferramentas para monitorar, diagnosticar e obter insights sobre sua rede no Azure.
Os recursos do Observador de Rede incluem:
- Monitor da Conexão: monitora a conectividade entre recursos e pontos de extremidade do Azure
- Logs de fluxo do NSG: registra informações sobre o tráfego IP fluindo por meio de Grupos de Segurança de Rede
- Captura de pacotes: captura o tráfego de rede de e para máquinas virtuais
- Solução de problemas de VPN: diagnostica problemas com gateways de VPN e conexões
- Diagnóstico de rede: valida a configuração de rede e identifica problemas de segurança
Saiba mais:
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem ajuda você a prevenir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos recursos do Azure. O Defender para Nuvem fornece recomendações de segurança de rede, monitora a configuração de segurança de rede e alerta você sobre ameaças baseadas em rede.
Saiba mais:
- Introdução ao Microsoft Defender para Nuvem
- Proteger seus recursos de rede
- Visão geral da detecção de ameaças
Próximas etapas
- Práticas recomendadas e padrões de segurança do Azure
- Práticas recomendadas de segurança da rede
- Visão geral da segurança de gerenciamento de identidades
- Detecção e proteção contra ameaças