Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A segurança é essencial no ambiente de nuvem atual. As ameaças cibernéticas estão em constante evolução e proteger seus dados, aplicativos e infraestrutura requer uma abordagem abrangente e de várias camadas. Sabemos que a segurança é o primeiro trabalho na nuvem e o quanto é importante que você encontre informações precisas e atualizadas sobre a segurança do Azure.
Este artigo fornece uma visão abrangente da segurança disponível com o Azure. Para obter uma exibição de ponta a ponta da segurança do Azure organizada por recursos de proteção, detecção e resposta, consulte a segurança de ponta a ponta no Azure.
Abordagem de segurança em profundidade do Azure
O Azure emprega uma estratégia de defesa detalhada, fornecendo várias camadas de proteção de segurança em toda a pilha, desde datacenters físicos até computação, armazenamento, rede, aplicativos e identidade. Essa abordagem de várias camadas garante que, se uma camada estiver comprometida, camadas adicionais continuarão a proteger seus recursos.
A infraestrutura do Azure é meticulosamente criada desde o início, abrangendo tudo, desde instalações físicas até aplicativos, para hospedar com segurança milhões de clientes simultaneamente. Essa base robusta capacita as empresas a atender com confiança aos seus requisitos de segurança. Para obter informações sobre como a Microsoft protege a plataforma do Azure, consulte Segurança de infraestrutura do Azure. Para obter detalhes sobre a segurança do datacenter físico, consulte a segurança física do Azure.
O Azure é uma plataforma de serviço de nuvem pública que dá suporte a uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Ele pode executar contêineres do Linux com a integração com o Docker, criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js e criar back-ends para dispositivos iOS, Android e Windows. Os serviços de nuvem pública do Azure dão suporte às mesmas tecnologias com as quais milhões de desenvolvedores e profissionais de TI já contam e nas quais confiam.
Segurança de plataforma interna
O Azure fornece proteções de segurança padrão internas na plataforma que ajudam a proteger seus recursos desde o momento em que são implantados. Para obter informações abrangentes sobre os recursos de segurança da plataforma do Azure, consulte a visão geral de segurança da plataforma do Azure.
- Proteção de Rede: a Proteção contra DDoS do Azure protege automaticamente seus recursos contra ataques de negação de serviço distribuídos
- Criptografia por padrão: a criptografia de dados em repouso está habilitada por padrão para o Armazenamento do Azure, o Banco de Dados SQL e muitos outros serviços
- Segurança de Identidade: a ID do Microsoft Entra fornece autenticação e autorização seguras para todos os serviços do Azure
- Detecção de ameaças: monitores internos de detecção de ameaças para atividades suspeitas em seus recursos do Azure
- Conformidade: o Azure mantém o maior portfólio de conformidade do setor, ajudando você a atender aos requisitos regulatórios
Esses controles de segurança fundamentais funcionam continuamente em segundo plano para proteger sua infraestrutura de nuvem, sem nenhuma configuração adicional necessária para a proteção básica.
Responsabilidade compartilhada na nuvem
Embora o Azure forneça segurança de plataforma robusta, a segurança na nuvem é uma responsabilidade compartilhada entre a Microsoft e nossos clientes. A divisão de responsabilidades depende do seu modelo de implantação (IaaS, PaaS ou SaaS):
- Responsabilidade da Microsoft: o Azure protege a infraestrutura subjacente, incluindo datacenters físicos, hardware, infraestrutura de rede e o sistema operacional host
- Sua responsabilidade: você é responsável por proteger seus dados, aplicativos, identidades e gerenciamento de acesso
Cada carga de trabalho e aplicativo é diferente, com requisitos de segurança exclusivos com base em regulamentos do setor, confidencialidade de dados e necessidades de negócios. É aqui que os serviços de segurança avançada do Azure entram em jogo. Para obter mais informações sobre o modelo de responsabilidade compartilhada, consulte Responsabilidade compartilhada na nuvem.
Note
O foco principal deste documento são os controles voltados para o cliente que você pode usar para personalizar e aumentar a segurança de seus aplicativos e serviços.
Serviços de segurança avançados para cada carga de trabalho
Para atender aos requisitos de segurança exclusivos, o Azure fornece um conjunto abrangente de serviços de segurança avançada que você pode configurar e personalizar para suas necessidades específicas. Esses serviços são organizados em seis áreas funcionais: Operações, Aplicativos, Armazenamento, Rede, Computação e Identidade. Para obter um catálogo abrangente de serviços e tecnologias de segurança, consulte os serviços e tecnologias de segurança do Azure.
Além disso, o Azure fornece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las para que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações da sua organização. Este documento ajuda você a entender como as funcionalidades de segurança do Azure podem ajudá-lo a atender a esses requisitos.
Para obter uma exibição estruturada dos controles e linhas de base de segurança do Azure, consulte o parâmetro de comparação de segurança na nuvem da Microsoft, que fornece diretrizes de segurança abrangentes para os serviços do Azure. Para obter informações sobre os recursos de segurança técnica do Azure, consulte os recursos técnicos de segurança do Azure.
Segurança de computação
Proteger suas máquinas virtuais e recursos de computação é fundamental para proteger suas cargas de trabalho no Azure. O Azure fornece várias camadas de segurança de computação, desde proteções baseadas em hardware até detecção de ameaças baseadas em software. Para obter informações detalhadas de segurança da máquina virtual, consulte a visão geral de segurança das Máquinas Virtuais do Azure.
Inicialização confiável
O início confiável é o padrão para VMs de Segunda Geração do Azure recém-criadas e Conjuntos de Dimensionamento de Máquinas Virtuais. O início confiável protege contra técnicas de ataque avançadas e persistentes, incluindo kits de inicialização, rootkits e malware no nível do kernel.
A inicialização confiável fornece:
- Inicialização Segura: protege contra a instalação de rootkits e kits de inicialização baseados em malware, garantindo que somente sistemas operacionais assinados e drivers possam inicializar
- vTPM (virtual Trusted Platform Module): um cofre seguro dedicado para chaves e medidas que permite a verificação de integridade de atestado e inicialização
- Monitoramento de integridade de inicialização: usa o atestado por meio do Microsoft Defender para Nuvem para verificar a integridade da cadeia de inicialização e alertar sobre falhas
A inicialização confiável pode ser habilitada em VMs existentes e conjuntos de dimensionamento de máquinas virtuais.
Computação confidencial do Azure
A computação confidencial do Azure fornece a parte final, ausente, do quebra-cabeça de proteção de dados. Ele permite que você mantenha seus dados criptografados sempre. Enquanto está em repouso, enquanto está em movimento pela rede e agora, mesmo quando está carregado na memória e em uso. Além disso, ao tornar possível o Atestado Remoto , ele permite que você verifique criptograficamente se a VM que você implanta foi inicializada com segurança e está configurada corretamente, antes de desbloquear seus dados.
O espectro de opções varia desde a habilitação de cenários de "lift and shift" de aplicativos existentes até o controle total dos recursos de segurança. Para IaaS (Infraestrutura como Serviço), você pode usar:
- Máquinas virtuais confidenciais alimentadas por AMD SEV-SNP: criptografia de memória baseada em hardware com até 256 GB de memória criptografada
- VMs confidenciais com Intel TDX: Extensões de domínio de confiança intel fornecendo desempenho e segurança aprimorados
- VMs confidenciais com GPUs NVIDIA H100: computação confidencial acelerada por GPU para cargas de trabalho de IA/ML
- Enclaves de aplicativos confidenciais com Intel SGX: isolamento no nível do aplicativo para código e dados confidenciais
Para PaaS (Plataforma como Serviço), o Azure oferece várias opções de computação confidencial baseadas em contêiner, incluindo integrações com o AKS (Serviço de Kubernetes do Azure).
Antimalware e antivírus
Com o Azure IaaS, você pode usar o software antimalware dos fornecedores de segurança, como Microsoft, Symantec, Trend Micro, McAfee e Kaspersky, para proteger suas máquinas virtuais contra arquivos maliciosos, adware e outras ameaças. O Microsoft Antimalware para Máquinas Virtuais do Azure é um recurso de proteção que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware fornece alertas configuráveis quando um software mal-intencionado ou indesejado conhecido tenta se instalar ou executar nos sistemas do Azure. O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender para Nuvem.
Note
Para proteção moderna, considere o Microsoft Defender para Servidores que fornece proteção avançada contra ameaças, incluindo EDR (detecção e resposta de ponto de extremidade) por meio da integração com o Microsoft Defender para Ponto de Extremidade.
Módulos de segurança de hardware
A autenticação e a criptografia não melhoram a segurança, a menos que as próprias chaves estejam bem protegidas. Você pode simplificar o gerenciamento e a segurança dos seus principais segredos e chaves armazenando-os no Azure Key Vault. O Key Vault fornece a opção de armazenar suas chaves em HSMs (módulos de segurança de hardware) certificados para padrões FIPS 140-3 Nível 3 . Suas chaves de criptografia do SQL Server para backup ou Transparent Data Encryption podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos dos seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados pela ID do Microsoft Entra.
Para obter informações abrangentes sobre as opções de gerenciamento de chaves, incluindo o Azure Key Vault, o HSM Gerenciado e o HSM de Pagamento, consulte o gerenciamento de chaves no Azure.
Backup de máquinas virtuais
O Backup do Azure é uma solução que protege os dados do aplicativo com nenhum investimento de capital e custos operacionais mínimos. Erros de aplicativo podem corromper seus dados e erros humanos podem introduzir bugs em seus aplicativos, o que pode causar problemas de segurança. Com o Backup do Azure, suas máquinas virtuais executando Windows e Linux estão protegidas.
Azure Site Recovery
Uma parte importante da estratégia de BCDR (continuidade dos negócios/recuperação de desastre) de sua organização é descobrir como manter as cargas de trabalho corporativas e aplicativos em execução durante interrupções planejadas e não planejadas. O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos, de modo que eles estejam disponíveis em um local secundário, caso o local primário fique inativo.
TDE de VM do SQL
TDE (Transparent Data Encryption) e CLE (criptografia de nível de coluna) são recursos de criptografia do SQL Server. Essa forma de criptografia exige que os clientes gerenciem e armazenem as chaves criptográficas usadas para a criptografia.
O serviço Cofre da Chave do Azure (AKV) foi criado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server use essas chaves do Azure Key Vault.
Se você estiver executando o SQL Server em máquinas locais, existem etapas a serem seguidas para acessar o Azure Key Vault da instância do SQL Server local. Mas, para o SQL Server em VMs do Azure, você pode economizar tempo usando o recurso Integração do Azure Key Vault. Com alguns cmdlets do Azure PowerShell para habilitar esse recurso, você poderá automatizar a configuração necessária para que uma VM do SQL acesse seu cofre da chave.
Para obter uma lista abrangente das práticas recomendadas de segurança do banco de dados, consulte a lista de verificação de segurança do banco de dados do Azure.
Criptografia de disco da VM
Importante
O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.
Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.
Para criptografia de máquina virtual moderna, o Azure oferece:
- Criptografia no host: fornece criptografia de ponta a ponta para dados de VM, incluindo discos temporários e caches de sistema operacional/disco de dados
- Criptografia de disco confidencial: disponível com VMs confidenciais para criptografia baseada em hardware
- Criptografia do lado do servidor com chaves gerenciadas pelo cliente: gerenciar suas próprias chaves de criptografia por meio do Azure Key Vault
Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.
Rede Virtual
As máquinas virtuais precisam de conectividade de rede. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais sejam conectadas a uma Rede Virtual do Azure. Uma Rede Virtual do Azure é um constructo lógico criado na malha de rede física do Azure. Cada Rede Virtual do Azure lógica é isolada das todas as outras Redes Virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Atualizações de patch
As atualizações de patch fornecem a base para encontrar e corrigir problemas em potencial e simplificam o processo de gerenciamento de atualizações de software, tanto reduzindo o número de atualizações de software que você deve implantar em sua empresa quanto aumentando a capacidade de monitorar a conformidade.
Gerenciamento de política de segurança e emissão de relatórios
O Defender para nuvem ajuda você a impedir, detectar e responder a ameaças, e fornece maior visibilidade e controle sobre a segurança dos seus recursos do Azure. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.
Segurança do aplicativo
A segurança do aplicativo se concentra em proteger seus aplicativos contra ameaças durante todo o ciclo de vida, desde o desenvolvimento até a implantação e o runtime. O Azure fornece ferramentas abrangentes para desenvolvimento seguro, teste e proteção de aplicativos. Para obter diretrizes seguras de desenvolvimento de aplicativos, consulte Desenvolver aplicativos seguros no Azure. Para as práticas recomendadas de segurança específicas do PaaS, consulte Como proteger implantações de PaaS. Para obter segurança de implantação de IaaS, consulte as práticas recomendadas de segurança para cargas de trabalho de IaaS no Azure.
Teste de penetração
Não executamos testes de penetração de seu aplicativo para você, mas entendemos que você deseja e precisa executar testes em seus próprios aplicativos. A notificação da Microsoft sobre as atividades de teste de caneta não é mais necessária para que os clientes ainda estejam em conformidade com as Regras de Participação em Testes de Penetração no Microsoft Cloud.
Firewall do aplicativo Web
O WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo do Azure fornece proteção para aplicações web contra ataques comuns baseados na internet, como injeção de SQL, cross-site scripting e sequestro de sessão. Ele é pré-configurado para se defender das 10 principais vulnerabilidades identificadas pelo OWASP (Open Web Application Security Project).
Autenticação e autorização no Serviço de Aplicativo do Azure
A Autenticação/Autorização do Serviço de Aplicativo é um recurso que oferece uma maneira para seu aplicativo conectar usuários de forma que você não precise alterar o código no back-end do aplicativo. Ele fornece uma maneira fácil de proteger o aplicativo e trabalhar com dados por usuário.
Arquitetura de segurança em camadas
Como os Ambientes do Serviço de Aplicativo fornecem um ambiente de runtime isolado implantado em uma Rede Virtual do Azure, os desenvolvedores podem criar uma arquitetura de segurança em camadas fornecendo níveis diferentes de acesso à rede para cada camada de aplicativo. É comum ocultar back-ends de API do acesso geral à Internet e permitir que as APIs sejam chamadas apenas por aplicativos Web upstream. Os NSGs (grupos de segurança de rede) podem ser usados em sub-redes da Rede Virtual do Azure contendo Ambientes do Serviço de Aplicativo para restringir o acesso público aos aplicativos da API.
Os aplicativos Web do Serviço de Aplicativo oferecem recursos de diagnóstico robustos para capturar logs do servidor Web e do aplicativo Web. Esses diagnósticos são categorizados no diagnóstico do servidor Web e no diagnóstico do aplicativo. O diagnóstico do servidor Web inclui avanços significativos para diagnosticar e solucionar problemas de sites e aplicativos.
O primeiro são informações de estado em tempo real sobre pools de aplicativos, processos de trabalho, sites, domínios de aplicativo e solicitações em execução. O segundo são os eventos de rastreamento detalhados que rastreiam uma solicitação por todo o processo de solicitação e resposta.
Para habilitar a coleção desses eventos de rastreamento, o IIS 7 pode ser configurado para capturar automaticamente logs de rastreamento abrangentes no formato XML para solicitações específicas. A coleção pode ser baseada em códigos de resposta de erro ou tempo decorridos.
Segurança de armazenamento
A segurança de armazenamento é essencial para proteger seus dados em repouso e em trânsito. O Azure fornece várias camadas de criptografia, controles de acesso e recursos de monitoramento para garantir que seus dados permaneçam seguros. Para obter informações detalhadas sobre criptografia de dados, consulte a visão geral da criptografia do Azure. Para obter as principais opções de gerenciamento, consulte o gerenciamento de chaves no Azure. Para obter as práticas recomendadas de criptografia de dados, consulte as práticas recomendadas de segurança de dados e criptografia do Azure.
RBAC do Azure (controle de acesso baseado em função do Azure)
Você pode proteger a conta de armazenamento com oAzure RBAC (controle de acesso baseado em função do Azure). Restringir o acesso com base nos princípios de segurança de divulgação restrita àqueles diretamente interessados e no privilégio mínimo é fundamental para as organizações que desejam impor políticas de segurança para acesso a dados. Esses direitos de acesso são concedidos atribuindo a função do Azure apropriada a grupos e aplicativos em determinado escopo. Você pode usar as funções internas do Azure, como Colaborador da Conta de Armazenamento, para atribuir privilégios aos usuários. O acesso às chaves de armazenamento para uma conta de armazenamento usando o modelo do Azure Resource Manager pode ser controlado por meio do Azure RBAC.
Assinatura de Acesso Compartilhado
Uma SAS (Assinatura de Acesso Compartilhado) fornece acesso delegado aos recursos da sua conta de armazenamento. A SAS significa que você pode conceder a um cliente permissões limitadas para objetos em sua conta de armazenamento por determinado período e com um conjunto específico de permissões. Você pode conceder essas permissões limitadas sem precisar compartilhar as chaves de acesso da conta.
Criptografia em trânsito
A criptografia em trânsito é um mecanismo de proteção de dados quando eles são transmitidos entre redes. Com o Armazenamento do Azure, você pode proteger dados usando:
Criptografia de nível de transporte, como HTTPS quando você transfere dados para dentro ou para fora do Armazenamento do Azure.
Criptografia de fio, como criptografia SMB 3.0 para compartilhamentos de Arquivos do Azure.
Criptografia do lado do cliente, para criptografar os dados antes de serem transferidos para o armazenamento e para descriptografar os dados depois de serem transferidos para fora do armazenamento.
Criptografia em repouso
Para muitas organizações, a criptografia de dados em repouso é uma etapa obrigatória no sentido de garantir a soberania, a privacidade e a conformidade dos dados. Há três recursos de segurança de armazenamento do Azure que fornecem criptografia de dados que estão em repouso:
Criptografia do Serviço de Armazenamento permite solicitar que o serviço de armazenamento criptografe automaticamente os dados ao gravá-los no Armazenamento do Azure.
A Criptografia do lado do cliente também fornece o recurso de criptografia em repouso.
A Azure Disk Encryption para VMs do Linux e a Azure Disk Encryption para VMs do Windows permitem criptografar os discos do sistema operacional e discos de dados usados por uma máquina virtual IaaS.
Análise de Armazenamento
O Azure Storage Analytics executa o registro em log e fornece dados de métrica para uma conta de armazenamento. Você pode usar esses dados para rastrear solicitações, analisar tendências de uso e diagnosticar problemas com sua conta de armazenamento. A análise de armazenamento registra informações detalhadas sobre solicitações bem-sucedidas e com falha para um serviço de armazenamento. Essas informações podem ser usadas para monitorar solicitações individuais e diagnosticar problemas com um serviço de armazenamento. As solicitações são registradas em uma base de melhor esforço. Os seguintes tipos de solicitações autenticadas são registrados:
- Solicitações bem-sucedidas.
- Solicitações com falha, incluindo o tempo limite, limitação, rede, autorização e outros erros.
- Solicitações que usam uma SAS (Assinatura de Acesso Compartilhado), incluindo solicitações bem-sucedidas e com falha.
- Solicitações para dados de análise.
Habilitar clientes com base no navegador usando CORS
O CORS (Compartilhamento de Recursos entre Origens) é um mecanismo que permite que os domínios concedam permissão uns aos outros para acessar os recursos uns dos outros. O Agente do Usuário envia cabeçalhos adicionais para garantir que o código JavaScript carregado de um determinado domínio tenha permissão para acessar os recursos localizados em outro domínio. Depois, o último domínio responde com cabeçalhos adicionais, permitindo ou negando o acesso do domínio original aos seus recursos.
Agora, os serviços de armazenamento do Azure oferecem suporte a CORS, para que depois de definir as regras de CORS para o serviço, uma solicitação autenticada corretamente feita no serviço de um domínio diferente será avaliada para determinar se é permitida de acordo com as regras que você especificou.
Segurança de rede
A segurança de rede controla como o tráfego flui de e para seus recursos do Azure. O Azure fornece um conjunto abrangente de serviços de segurança de rede, desde firewall básico até proteção avançada contra ameaças e balanceamento de carga global. Para obter informações abrangentes de segurança de rede, consulte a visão geral de segurança de rede do Azure. Para obter as práticas recomendadas de segurança de rede, consulte as práticas recomendadas de segurança de rede do Azure.
Controles de camada de rede
O controle de acesso à rede é o ato de limitar a conectividade de entrada ou saída de sub-redes ou dispositivos específicos e representa o aspecto fundamental da segurança de rede. O objetivo do controle de acesso à rede é certificar-se de que suas máquinas virtuais e seus serviços são acessíveis apenas aos usuários e dispositivos para os quais você deseja que tenham esse acesso.
Grupos de segurança de rede
Um NSG (Grupo de Segurança de Rede) é um firewall básico de filtragem de pacotes com estado e permite o controle do acesso baseado em uma sequência de cinco tuplas. Os NSGs não fornecem inspeção da camada de aplicativo nem controles de acesso autenticado. Eles podem ser usados para controlar o tráfego entre sub-redes dentro de uma Rede Virtual do Azure e o tráfego entre uma Rede Virtual do Azure e a Internet.
Firewall do Azure
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele fornece inspeção de tráfego de leste a oeste e de norte a sul.
O Firewall do Azure é oferecido em três SKUs: Básico, Standard e Premium:
- Azure Firewall Basic – Projetado para pequenas e médias empresas, oferecendo proteção essencial a um preço acessível
- Firewall do Azure Standard — fornece filtragem de L3 a L7, feeds de inteligência contra ameaças da Segurança Cibernética da Microsoft e pode ser dimensionado para 30 Gbps
-
Firewall do Azure Premium – Proteção avançada contra ameaças para ambientes altamente confidenciais e regulamentados com:
- Inspeção do TLS: descriptografa o tráfego de saída, processa-o para ameaças e, em seguida, criptografa novamente antes de enviar para o destino
- IDPS (Sistema de Detecção e Prevenção de Intrusões): IDPS baseado em assinatura com mais de 67.000 assinaturas em mais de 50 categorias, atualizado com mais de 20 a 40 novas regras diariamente
- Filtragem de URL: estende a filtragem FQDN para considerar todo o caminho de URL
- Categorias avançadas da Web: categorização aprimorada com base em URLs completas para tráfego HTTP e HTTPS
- Desempenho aprimorado: escala até 100 Gbps com suporte a fluxo pesado de 10 Gbps
- Conformidade do PCI DSS: atende aos requisitos padrão de segurança de dados do setor de cartões de pagamento
O Firewall do Azure Premium é essencial para proteger contra ransomware, pois ele pode detectar e bloquear a conectividade de Comando e Controle (C&C) usada pelo ransomware para buscar chaves de criptografia. Saiba mais sobre a proteção contra ransomware com o Firewall do Azure.
Proteção contra DDoS do Azure
A Proteção contra DDoS do Azure, combinada com as melhores práticas de design de aplicativos, oferece recursos aprimorados para a defesa contra ataques de DDoS. Ajusta-se automaticamente para proteger os recursos específicos do Azure em uma rede virtual. Habilitar a proteção é simples em qualquer rede virtual nova ou existente e não requer alterações em seus aplicativos ou recursos.
A Proteção contra DDoS do Azure oferece duas camadas: Proteção de Rede contra DDoS e Proteção de IP contra DDoS.
Proteção de Rede DDoS – fornece recursos aprimorados para se defender contra ataques de DDoS (Negação de Serviço Distribuída). Ela opera nas camadas de rede 3 e 4 e inclui recursos avançados, como suporte a resposta rápida contra DDoS, proteção de custos e descontos no WAF (Firewall de Aplicativo Web).
Proteção de IP contra DDoS – segue um modelo pago por IP protegido. Ela inclui os mesmos principais recursos de engenharia que a Proteção de Rede contra DDoS, mas não oferece os serviços adicionais, como suporte a resposta rápida contra DDoS, proteção de custos e descontos de WAF.
Controle de rota e túnel forçado
A capacidade de controlar o comportamento de roteamento em suas Redes Virtuais do Azure é uma funcionalidade crítica de controle de acesso e segurança de rede. Por exemplo, se você quiser ter certeza de que todo o tráfego de entrada e saída da Rede Virtual do Azure passa por esse dispositivo de segurança virtual, será necessário conseguir controlar e personalizar o comportamento do roteamento. É possível fazer isso configurando as Rotas Definidas pelo Usuário no Azure.
Rotas Definidas pelo Usuário permitem personalizar caminhos de entrada e saída para o tráfego que entra e sai de sub-redes ou máquinas virtuais individuais, a fim de assegurar a rota mais segura possível. O túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não têm permissão para iniciar uma conexão com dispositivos na Internet.
Isso é diferente de poder aceitar conexões de entrada e responder a elas. Os servidores Web front-end precisam responder à solicitação dos hosts da Internet e, portanto, o tráfego originado da Internet tem permissão de entrada nesses servidores Web, que, por sua vez, podem responder.
O túnel forçado é normalmente usado para forçar o tráfego de saída para a Internet a fim de passar por firewalls e proxies de segurança locais.
Dispositivos de segurança de rede virtual
Embora grupos de segurança de rede, rotas definidas pelo usuário e túnel forçado forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, pode haver momentos em que você deseja habilitar a segurança em níveis mais altos da pilha. É possível acessar esses recursos avançados de segurança de rede por meio de uma solução de dispositivo de segurança de rede de parceiro do Azure. Você pode encontrar as soluções de segurança de rede de parceiros do Azure mais atuais visitando o Azure Marketplace e procurando segurança de rede e segurança.
Rede Virtual do Azure
Uma rede virtual do Azure (VNet) é uma representação da sua própria rede na nuvem. É um isolamento lógico da malha de rede do Azure dedicada à sua assinatura. Você pode controlar os blocos de endereços IP, as configurações de DNS, as políticas de segurança e as tabelas de rotas na rede. Você pode segmentar sua VNet em sub-redes e colocar VMs (máquinas virtuais) de IaaS do Azure nas Redes Virtuais do Azure.
Além disso, você pode conectar a rede virtual à sua rede local usando uma das opções de conectividade disponíveis no Azure. Em linhas gerais, você pode expandir sua rede no Azure, com controle total sobre os blocos de endereços IP, com benefícios de escala empresarial proporcionados pelo Azure.
A rede do Azure dá suporte a vários cenários de acesso remoto seguro. Entre eles estão:
Conectar estações de trabalho individuais a uma Rede Virtual do Azure
Conectar a rede local a uma Rede Virtual do Azure com uma VPN
Conectar a rede local a uma Rede Virtual do Azure com uma conexão WAN dedicada
Gerenciador de Rede Virtual do Azure
O Gerenciador de Rede Virtual do Azure fornece uma solução centralizada para gerenciar e proteger suas redes virtuais em escala. Ele usa regras de administrador de segurança para definir e impor centralmente políticas de segurança em toda a sua organização. As regras de administrador de segurança têm precedência sobre as regras do NSGs (grupo de segurança de rede) e são aplicadas na rede virtual. Isso permite que as organizações apliquem políticas básicas com regras de administração de segurança, ao mesmo tempo que permite que as equipes downstream adaptem os NSGs de acordo com suas necessidades específicas nos níveis de sub-rede e NIC.
Dependendo das necessidades da sua organização, você pode usar as ações de regra Permitir, Negar ou Sempre Permitir para impor políticas de segurança:
| Ação de regra | Description |
|---|---|
| Allow | Permite o tráfego especificado por padrão. Os NSGs downstream ainda recebem esse tráfego e podem negá-lo. |
| Sempre permitir | Permita sempre o tráfego especificado, independentemente de outras regras com prioridade mais baixa ou NSGs. Isso pode ser usado para garantir que o agente de monitoramento, o controlador de domínio ou o tráfego de gerenciamento não sejam bloqueados. |
| Deny | Bloqueie o tráfego especificado. Os NSGs a jusante não avaliarão este tráfego depois de ter sido negado por uma regra de administração de segurança, garantindo que as suas portas de alto risco para redes virtuais existentes e novas estão protegidas por padrão. |
No Gerenciador de Rede Virtual do Azure, os grupos de rede permitem agrupar redes virtuais para gerenciamento centralizado e imposição de políticas de segurança. Os grupos de rede são um agrupamento lógico de redes virtuais com base nas suas necessidades do ponto de vista da topologia e da segurança. Você pode atualizar manualmente a associação de rede virtual de seus grupos de rede ou pode definir instruções condicionais com o Azure Policy para atualizar dinamicamente grupos de rede para atualizar automaticamente sua associação de grupo de rede.
Link Privado do Azure
O Link Privado do Azure lhe permite acessar os serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e serviços de parceiros/de propriedade de clientes hospedados no Azure em um ponto de extremidade privado em sua rede virtual. A configuração e o consumo usando o Link Privado do Azure são consistentes entre os serviços de parceiro de PaaS do Azure, de propriedade do cliente e de parceiros compartilhados. O tráfego da sua rede virtual para o serviço do Azure sempre permanece na rede de backbone do Microsoft Azure.
Os pontos de extremidade privados permite que você possa garantir os recursos essenciais dos serviços do Azure somente para suas redes virtuais. O ponto de extremidade privado do Azure usa um endereço de IP privado da VNet para conectá-lo de maneira privada e segura a um serviço fornecido pelo Link Privado do Azure, trazendo efetivamente o serviço para sua VNet. Expor sua rede virtual à Internet pública não é mais necessário para consumir serviços no Azure.
Você também pode criar seu próprio serviço de link privado na rede virtual. O Serviço de Link Privado do Azure é a referência para o seu próprio serviço que é fornecido pelo Link Privado do Azure. Seu serviço que está sendo executado por trás do Azure Standard Load Balancer pode ser habilitado para acesso ao Link Privado para que os consumidores de seu serviço possam acessá-lo de forma privada em suas próprias VNets. Os clientes podem criar um ponto de extremidade privado dentro da rede virtual e mapeá-lo para esse serviço. Expor seu serviço à Internet pública não é mais necessário para consumir serviços no Azure.
Gateway de VPN
Para enviar o tráfego de rede entre sua Rede Virtual do Azure e seu site local, será necessário criar um gateway de VPN para sua Rede Virtual do Azure. Um gateway de VPN é um tipo de gateway de rede virtual que envia tráfego criptografado em uma conexão pública. Você também pode usar gateways de VPN para enviar o tráfego entre as Redes Virtuais do Azure pela malha de rede do Azure.
Rota Expressa
O Microsoft Azure ExpressRoute é um link de WAN dedicado que permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada dedicada facilitada por um provedor de conectividade.
Com o ExpressRoute, você pode estabelecer conexões com os serviços em nuvem da Microsoft, como o Microsoft Azure e o Microsoft 365. A conectividade pode ocorrer de uma rede any-to-any (VPN de IP), uma rede Ethernet ponto a ponto ou uma conexão cruzada virtual por meio de um provedor de conectividade em uma colocação.
As conexões de ExpressRoute não passam pela Internet pública e, portanto, podem ser consideradas mais seguras do que soluções de VPN. Isso permite que as conexões de ExpressRoute ofereçam mais confiabilidade, mais velocidade, latências menores e muito mais segurança do que as conexões típicas pela Internet.
Application Gateway
O Gateway de Aplicativo do Microsoft Azure fornece um ADC (Controlador de Entrega de Aplicativos) como um serviço, oferecendo vários recursos de balanceamento de carga de camada 7 para o aplicativo.
Ele permite que você otimize a produtividade do Web farm descarregando a terminação TLS com uso intensivo de CPU para o Gateway de Aplicativo (também conhecido como descarregamento de TLS ou ponte TLS). Ele também fornece outros recursos de roteamento de Camada 7, incluindo distribuição round robin do tráfego de entrada, afinidade de sessão, roteamento com base no caminho de URL e a capacidade de hospedar vários sites por trás de um único Gateway de Aplicativo baseado em cookie. O Gateway de Aplicativo do Azure é um balanceador de carga de camada 7.
Ele fornece o failover e solicitações HTTP de roteamento de desempenho entre diferentes servidores, estejam eles na nuvem ou no local.
O aplicativo fornece muitos recursos do ADC (Application Delivery Controller), incluindo balanceamento de carga HTTP, afinidade de sessão baseada em cookie, descarregamento de TLS, investigações de integridade personalizadas, suporte para vários sites e muitos outros.
Firewall de Aplicativo Web
O Firewall do aplicativo Web é um recurso do Gateway de Aplicativo do Azure que fornece proteção para aplicativos Web que utilizam o gateway de aplicativo para as funções ADC (controle de entrega de aplicativos) padrão. O firewall do aplicativo Web faz isso protegendo-os contra a maioria das 10 vulnerabilidades mais comuns da Web segundo o OWASP.
Proteção contra injeção de SQL
Proteção contra ataques comuns da Web, como injeção de comando, contrabando de solicitações HTTP, divisão de resposta HTTP e inclusão remota de arquivos
Proteção contra violações de protocolo HTTP
Proteção contra anomalias de protocolo HTTP, como host ausente, agente do usuário e cabeçalhos de aceitação
Prevenção contra bots, rastreadores e scanners
Detecção de configurações incorretas comuns do aplicativo (por exemplo, Apache, IIS)
Um WAF (firewall de aplicativo Web) centralizado simplifica o gerenciamento de segurança e aprimora a proteção contra ataques da Web. Ele fornece melhor garantia contra ameaças de intrusão e pode responder mais rapidamente às ameaças de segurança, corrigindo vulnerabilidades conhecidas centralmente, em vez de proteger cada aplicativo Web individual. Os gateways de aplicativo existentes podem ser facilmente atualizados para incluir um firewall de aplicativo Web.
Azure Front Door
O Azure Front Door é um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis. O Front Door fornece:
- Balanceamento de carga global: distribuir o tráfego entre vários back-ends em regiões diferentes
- Firewall integrado do aplicativo Web: proteger contra vulnerabilidades e ataques comuns da Web
- Proteção contra DDoS: proteção interna contra ataques de negação de serviço distribuídos
- Descarregamento de SSL/TLS: gerenciamento centralizado de certificados e criptografia de tráfego
- Roteamento baseado em URL: rotear o tráfego para back-ends diferentes com base em padrões de URL
O Front Door combina a entrega de conteúdo, a aceleração do aplicativo e a segurança em um único serviço.
Gerenciador de Tráfego
O Gerenciador de Tráfego do Microsoft Azure permite controlar a distribuição do tráfego do usuário para pontos de extremidade de serviço em datacenters diferentes. Os pontos de extremidade de serviço com suporte no Gerenciador de Tráfego incluem VMs do Azure, Aplicativos Web e Serviços de Nuvem. Você também pode usar o Gerenciador de Tráfego com pontos de extremidade externos e não do Azure.
O Gerenciador de Tráfego usa o DNS (Sistema de Nomes de Domínio) para direcionar solicitações de cliente para o ponto de extremidade mais apropriado com base em um método de roteamento de tráfego e na integridade dos pontos de extremidade. O Gerenciador de Tráfego oferece uma variedade de métodos de roteamento de tráfego para atender às necessidades de diferentes aplicativo, monitoramento de integridade do ponto de extremidade e failover automático. O Gerenciador de Tráfego é resistente a falhas, incluindo a falha de toda a região do Azure.
Azure Load Balancer
O Azure Load Balancer oferece alta disponibilidade e desempenho de rede para seus aplicativos. É um balanceador de carga do tipo Camada 4 (TCP, UDP) que distribui o tráfego de entrada entre as instâncias de serviço íntegras definidas em um conjunto de balanceadores de carga. O Azure Load Balancer pode ser configurado para:
Balancear carga de tráfego de entrada na Internet para máquinas virtuais. Essa configuração é conhecida como balanceamento de carga público.
Balanceie o tráfego de carga entre as máquinas virtuais em uma rede virtual, entre as máquinas virtuais nos serviços de nuvem ou entre os computadores locais e as máquinas virtuais em uma rede virtual entre as instalações. Essa configuração é conhecida como balanceamento de carga interno.
Encaminhe o tráfego externo para uma máquina virtual específica
DNS interno
Você pode gerenciar a lista de servidores DNS usados em uma VNet no Portal de Gerenciamento ou no arquivo de configuração de rede. O cliente pode adicionar até 12 servidores DNS para cada VNet. Ao especificar servidores DNS, é importante verificar se os servidores DNS do cliente estão listados na ordem correta para o ambiente de seu cliente. As listas de servidores DNS não funcionam em round robin. Eles são usados na ordem em que são especificados. Se o primeiro servidor DNS na lista puder ser alcançado, o cliente usará esse servidor DNS independentemente de ele estar funcionando corretamente. Para alterar a ordem de servidor DNS para a rede virtual de seu cliente, remova os servidores DNS da lista e adicione-os na ordem desejada pelo cliente. O DNS oferece suporte ao aspecto de disponibilidade da tríade de segurança "CIA".
DNS do Azure
O sistema de nomes de domínio, ou DNS, é responsável por converter (ou seja, resolver) um nome do site ou serviço para seu endereço IP. O DNS do Azure é um serviço de hospedagem para domínios DNS, fornecendo resolução de nomes usando a infraestrutura do Microsoft Azure. Ao hospedar seus domínios no Azure, você pode gerenciar seus registros DNS usando as mesmas credenciais, APIs, ferramentas e cobrança que seus outros serviços do Azure. O DNS oferece suporte ao aspecto de disponibilidade da tríade de segurança CIA.
NSGs de logs do Azure Monitor
Você pode habilitar as seguintes categorias de log de diagnóstico para NSGs:
Evento: contém entradas para as regras NSG que são aplicadas às VMs e funções de instância com base no endereço MAC. O status para essas regras é coletado a cada 60 segundos.
Contador de regras: contém entradas de quantas vezes cada regra NSG é aplicada para negar ou permitir tráfego.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem analisa continuamente o estado de segurança dos seus recursos do Azure para as práticas recomendadas de segurança de rede. Quando o Defender para Nuvem identifica possíveis vulnerabilidades de segurança, ele cria recomendações que orientam você pelo processo de configuração dos controles necessários para proteger e proteger seus recursos.
Serviços avançados de rede de contêineres (ACNS)
Advanced Container Networking Services (ACNS) é um conjunto abrangente projetado para elevar a eficiência operacional de seus clusters do Serviço de Kubernetes do Azure (AKS). Ele fornece recursos avançados de segurança e observabilidade, abordando as complexidades do gerenciamento da infraestrutura de microsserviços em escala.
Esses recursos são divididos em dois pilares principais:
Segurança: para clusters que usam o CNI do Azure alimentado pelo Cilium, as políticas de rede incluem filtragem de FQDN (nome de domínio totalmente qualificado) para resolver as complexidades da manutenção da configuração.
Observabilidade: este recurso do pacote Serviços avançados de rede de contêineres traz o poder do painel de controle do Hubble para os planos de dados Cilium e não Cilium Linux, fornecendo visibilidade aprimorada da rede e do desempenho.
Gerenciamento e operações de segurança
Gerenciar e monitorar a segurança do ambiente do Azure é essencial para manter uma postura de segurança forte. O Azure fornece ferramentas abrangentes para operações de segurança, detecção de ameaças e resposta a incidentes. Para obter uma cobertura detalhada do gerenciamento e monitoramento de segurança, consulte a visão geral de gerenciamento e monitoramento de segurança do Azure. Para obter as melhores práticas de segurança operacional, consulte as práticas recomendadas de segurança operacional do Azure. Para obter uma visão geral abrangente da segurança operacional, consulte a visão geral de segurança operacional do Azure.
Microsoft Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa da nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (orquestração, automatização e resposta de segurança). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma solução para detecção de ataques, visibilidade de ameaças, procura proativa e resposta a ameaças.
O Microsoft Sentinel agora está disponível no portal do Microsoft Defender para todos os clientes, oferecendo uma experiência unificada de operações de segurança que simplifica os fluxos de trabalho e melhora a visibilidade. A integração com o Security Copilot permite que os analistas interajam com os dados do Microsoft Sentinel usando linguagem natural, gerem consultas de busca e automatizem investigações para uma resposta mais rápida contra ameaças.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem ajuda você a impedir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança dos seus recursos do Azure. O Microsoft Defender para Nuvem fornece monitoramento integrado de segurança e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detectar ameaças que podem passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
O Microsoft Defender para Nuvem oferece proteção abrangente com planos específicos da carga de trabalho, incluindo:
- Defender para Servidores – Proteção avançada contra ameaças para servidores Windows e Linux
- Defender para Contêineres – Segurança para aplicativos em contêineres e Kubernetes
- Defender para Armazenamento – Detecção de ameaças com verificação de malware e descoberta de dados confidenciais
- Defender para Bancos de Dados – Proteção para SQL do Azure, Banco de Dados do Azure para MySQL e PostgreSQL
- Defender para Serviços de IA – proteção de runtime para serviços de IA do Azure contra tentativas de jailbreak, exposição de dados e padrões de acesso suspeitos
- Defender CSPM – Gerenciamento de Postura de Segurança de Nuvem com análise de caminho de ataque, governança de segurança e gerenciamento de postura de segurança de IA
Além disso, o Defender para Nuvem ajuda nas operações de segurança, fornecendo um único painel que apresenta alertas e recomendações que podem ser executadas imediatamente. A integração do Copilot de Segurança fornece resumos gerados por IA, scripts de correção e recursos de delegação para acelerar a correção de risco.
Para obter recursos abrangentes de detecção de ameaças no Azure, consulte a proteção contra ameaças do Azure.
Azure Resource Manager
O Azure Resource Manager permite trabalhar com os recursos da sua solução como um grupo. Você pode implantar, atualizar ou excluir todos os recursos da sua solução em uma única operação coordenada. Use um modelo do Azure Resource Manager para a implantação, e esse modelo pode ser útil para diferentes ambientes, como teste, preparação e produção. O Gerenciador de Recursos fornece recursos de segurança, auditoria e marcação para ajudá-lo a gerenciar seus recursos após a implantação.
As implantações baseadas em modelos do Azure Resource Manager ajudam a melhorar a segurança das soluções implantadas no Azure devido às configurações de controle de segurança padrão, e podem ser integradas às implantações baseadas em modelo padronizadas. Os modelos reduzem o risco de erros de configuração de segurança que podem ocorrer durante implantações manuais.
Application Insights
O Application Insights é um serviço flexível de Gerenciamento de Desempenho de Aplicativos (APM) projetado para desenvolvedores Web. Ele permite que você monitore seus aplicativos Web dinâmicos e detecte automaticamente problemas de desempenho. Com ferramentas de análise avançadas, você pode diagnosticar problemas e obter insights sobre as interações do usuário com seus aplicativos. O Application Insights monitora seu aplicativo continuamente, desde o desenvolvimento até o teste e a produção.
O Application Insights gera gráficos e tabelas perspicazes que revelam os horários de pico de atividade do usuário, a capacidade de resposta do aplicativo e o desempenho de todos os serviços externos dos quais ele depende.
Se houver falhas, falhas ou problemas de desempenho, você poderá pesquisar detalhadamente os dados para diagnosticar a causa. E o serviço enviará a você emails se houver alterações na disponibilidade e no desempenho de seu aplicativo. Assim, o Application Insight torna-se uma ferramenta de segurança importante, pois ajuda com a disponibilidade na tríade de segurança de disponibilidade, integridade e confidencialidade.
Azure Monitor
O Azure Monitor oferece visualização, consulta, roteamento, alertas, dimensionamento automático e automação em dados da assinatura do Azure (Log de Atividades) e de cada recurso individual do Azure (Logs de Recursos). Use o Azure Monitor para receber alertas sobre eventos relacionados à segurança que são gerados nos logs do Azure.
Logs do Azure Monitor
Os logs do Azure Monitor fornecem uma solução de gerenciamento de TI para infraestrutura baseada em nuvem local e de terceiros (como o Amazon Web Services), além dos recursos do Azure. Os dados do Azure Monitor podem ser roteados diretamente para os logs do Azure Monitor para que você possa ver métricas e logs de todo o ambiente em um único lugar.
Os logs do Azure Monitor podem ser uma ferramenta útil na análise forense e em outras análises de segurança, pois a ferramenta permite que você pesquise rapidamente grandes quantidades de entradas relacionadas à segurança com uma abordagem de consulta flexível. Além disso, os logs de firewall e de proxy locais podem ser exportados para o Azure e disponibilizados para análise usando os logs do Azure Monitor.
Assistente do Azure
O Assistente do Azure é um consultor de nuvem personalizado que ajuda você a otimizar suas implantações do Azure. Ele analisa a configuração de recursos e os dados de uso. Em seguida, recomenda soluções para ajudar a melhorar o desempenho, a segurança e a confiabilidade de seus recursos, ao mesmo tempo em que procura oportunidades para reduzir seus gastos gerais do Azure. O Assistente do Azure fornece recomendações de segurança, o que pode melhorar consideravelmente sua postura de segurança geral para soluções implantadas no Azure. Essas recomendações são obtidas da análise de segurança executada pelo Microsoft Defender para nuvem.
Gerenciamento de identidade e de acesso
A identidade é o perímetro de segurança principal na computação em nuvem. Proteger identidades e controlar o acesso aos recursos é fundamental para proteger seu ambiente do Azure. A ID do Microsoft Entra fornece funcionalidades abrangentes de gerenciamento de identidade e acesso. Para obter informações detalhadas, consulte a visão geral do gerenciamento de identidades do Azure. Para obter as práticas recomendadas de gerenciamento de identidade, consulte as práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure. Para obter diretrizes sobre como proteger a infraestrutura de identidade, consulte cinco etapas para proteger sua infraestrutura de identidade.
Microsoft Entra ID
O Microsoft Entra ID é o serviço de gerenciamento de acesso e identidade baseado em nuvem da Microsoft. Ele fornece:
- SSO (Sign-On único):: permitir que os usuários acessem vários aplicativos com um conjunto de credenciais
- MFA (Autenticação Multifator): exigir várias formas de verificação para entrar
- Acesso Condicional: Controlar o acesso a recursos com base no usuário, dispositivo, localização e risco
- Proteção de Identidade: detectar e responder a riscos baseados em identidade
- PIM (Privileged Identity Management): fornecer acesso privilegiado just-in-time aos recursos do Azure
- Governança de Identidade: gerenciar o ciclo de vida de identidade e os direitos de acesso
RBAC (Controle de Acesso Baseado em Função)
O RBAC (controle de acesso baseado em função) do Azure ajuda você a gerenciar quem tem acesso aos recursos do Azure, o que eles podem fazer com esses recursos e a quais áreas eles têm acesso. O RBAC fornece gerenciamento de acesso refinado para recursos do Azure, permitindo que você conceda aos usuários apenas os direitos necessários para executar seus trabalhos.
Microsoft Entra Privileged Identity Management
O PIM (Microsoft Entra Privileged Identity Management) permite que você gerencie, controle e monitore o acesso a recursos importantes em sua organização. O PIM fornece ativação de função baseada em tempo e aprovação para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas.
Identidades gerenciadas para recursos do Azure
As identidades gerenciadas para recursos do Azure fornecem aos serviços do Azure uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use essa identidade para autenticar qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter as credenciais no código.
As atualizações de patch fornecem a base para encontrar e corrigir problemas em potencial e simplificam o processo de gerenciamento de atualizações de software, tanto reduzindo o número de atualizações de software que você deve implantar em sua empresa quanto aumentando a capacidade de monitorar a conformidade.
Gerenciamento de política de segurança e emissão de relatórios
O Defender para nuvem ajuda você a impedir, detectar e responder a ameaças, e fornece maior visibilidade e controle sobre a segurança dos seus recursos do Azure. Ela permite o gerenciamento de políticas e o monitoramento da segurança integrada entre suas assinaturas do Azure, ajuda a detectar ameaças que poderiam passar despercebidas e funciona com uma enorme variedade de soluções de segurança.
Identidade Segura
A Microsoft usa várias tecnologias e práticas de segurança em seus produtos e serviços para gerenciar a identidades e o acesso.
A autenticação multifator exige que os usuários usem vários métodos para acesso, local e na nuvem. Ela fornece uma autenticação forte com uma gama de opções de verificação simples, e proporciona ao usuários um processo de logon simples.
O Microsoft Authenticator fornece uma experiência de autenticação multifator amigável que funciona com a ID do Microsoft Entra e contas da Microsoft e inclui suporte para wearables e aprovações baseadas em impressão digital.
A Aplicação de políticas de senha aumenta a segurança de senhas tradicionais impondo requisitos de comprimento e complexidade, rotação periódica forçada e bloqueio de conta depois de falhas nas tentativas de autenticação.
A autenticação baseada em token habilita a autenticação por meio da ID do Microsoft Entra.
O Azure RBAC (controle de acesso baseado em função do Azure) permite que você conceda acesso com base na função atribuída do usuário, facilitando a concessão apenas do acesso necessário para os usuários realizarem seus trabalhos. Você pode personalizar o Azure RBAC de acordo com o modelo de negócios e a tolerância a riscos da sua organização.
O Gerenciamento de identidade integrado (identidade híbrida) permite que você mantenha o controle do acesso dos usuários em data centers internos e plataformas de nuvem, criando uma identidade de usuário único para autenticação e autorização para todos os recursos.
Aplicativos e dados seguros
O Microsoft Entra ID, uma solução abrangente de gerenciamento de identidade e acesso na nuvem, ajuda a proteger o acesso a dados em aplicativos locais e na nuvem, além de simplificar o gerenciamento de usuários e grupos. Ele combina os principais serviços de diretório, controle de identidade avançado, segurança e gerenciamento de acesso ao aplicativo, facilitando para os desenvolvedores a compilação do gerenciamento de identidade baseado em políticas em seus aplicativos. Para aprimorar seu Microsoft Entra ID, você pode adicionar recursos pagos usando as edições Microsoft Entra Basic, Premium P1 e Premium P2.
O Cloud App Discovery é um recurso premium do Microsoft Entra ID que permite identificar os aplicativos em nuvem usados pelos funcionários em sua organização.
O Microsoft Entra ID Protection é um serviço de segurança que usa recursos de detecção de anomalias do Microsoft Entra ID para fornecer uma visão consolidada sobre detecções de riscos e possíveis vulnerabilidades que poderiam afetar as identidades de sua organização.
O Microsoft Entra Domain Services permite ingressar VMs do Azure em um domínio sem precisar implantar controladores de domínio. Os usuários entram nessas VMs usando suas credenciais corporativas do Active Directory e podem acessar tranquilamente os recursos.
O Microsoft Entra B2C é um serviço de gerenciamento de identidade global altamente disponível para aplicativos voltados para o consumidor que podem ser dimensionados para centenas de milhões de identidades e integrados em plataformas móveis e Web. Seus clientes podem entrar em todos os seus aplicativos por meio de experiências personalizáveis que usam contas de mídia social existentes, ou você pode criar novas credenciais autônomas.
A Colaboração B2B do Microsoft Entra é uma solução de integração de parceiro seguro que dá suporte a relações entre empresas, permitindo que os parceiros de negócios acessem de maneira seletiva seus aplicativos e dados corporativos usando suas identidades autogerenciadas.
O ingresso no Microsoft Entra permite estender os recursos de nuvem para dispositivos Windows 10 a fim de proporcionar um gerenciamento centralizado. Ele permite que os usuários se conectem à nuvem corporativa ou organizacional por meio do Microsoft Entra ID e simplifica o acesso a aplicativos e recursos.
O proxy de aplicativo do Microsoft Entra fornece SSO e acesso remoto seguro para aplicativos Web hospedados no local.
Próximas etapas
Entenda sua responsabilidade compartilhada na nuvem.
Saiba como o Microsoft Defender para Nuvem pode ajudá-lo a prevenir, detectar e responder a ameaças com maior visibilidade e controle sobre a segurança de seus recursos do Azure.
Explore as melhores práticas e padrões de segurança do Azure para obter recomendações de segurança adicionais.
Examine o parâmetro de comparação de segurança na nuvem da Microsoft para obter diretrizes de segurança abrangentes.
Consulte a segurança de ponta a ponta no Azure para obter uma exibição de proteção, detecção e resposta da arquitetura de segurança do Azure.