Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure fornece serviços e tecnologias de segurança abrangentes em todas as camadas de suas implantações de nuvem. Este artigo apresenta os principais recursos de segurança organizados pelo domínio, com links para artigos de visão geral detalhados para obter mais informações.
Para obter práticas recomendadas de segurança específicas e diretrizes detalhadas de implementação, consulte os artigos de visão geral específicos do domínio vinculados ao longo deste documento.
Gerenciamento de identidade e de acesso
| Serviço | Descrição |
|---|---|
| Microsoft Entra ID | Serviço de gerenciamento de acesso e identidade baseado em nuvem que dá suporte ao SSO (logon único), MFA (autenticação multifator), acesso condicional e autenticação sem senha. |
| Controle de acesso baseado em função (RBAC) do Azure | Gerenciamento de acesso refinado com funções internas e personalizadas, atribuíveis no grupo de gerenciamento, assinatura, grupo de recursos ou escopo de recurso. |
| Microsoft Entra Privileged Identity Management | Acesso privilegiado just-in-time às funções do Azure e do Microsoft Entra, com fluxos de trabalho de aprovação, revisões de acesso e histórico de auditoria. |
| Revisões de acesso do Microsoft Entra | Revisões agendadas de associações de grupo, acesso a aplicativos e atribuições de função com recomendações e correção automatizadas. |
| Proxy do aplicativo do Microsoft Entra | Proteger o acesso remoto a aplicativos Web locais sem VPN, usando a autenticação do Microsoft Entra e o Acesso Condicional. |
| Microsoft Entra Connect/Cloud Sync | Sincronização de identidade híbrida entre o Active Directory local e a ID do Microsoft Entra para gerenciamento unificado de identidade. |
Para obter recursos detalhados de segurança de identidade e práticas recomendadas, consulte a visão geral de segurança de gerenciamento de identidades do Azure.
Segurança de rede
| Serviço | Descrição |
|---|---|
| Rede Virtual do Azure | Rede privada isolada com sub-redes, tabelas de rotas e configurações de DNS. Base para toda a segurança de rede do Azure. |
| NSGs (Grupos de Segurança de Rede) | Filtragem de pacotes com estado, com regras de 5-tupla, tags de serviço e grupos de segurança de aplicativos para controle de acesso granular. |
| Firewall do Azure | Firewall com estado nativo de nuvem com alta disponibilidade interna. O SKU Standard oferece L3-L7 filtragem; O SKU Premium adiciona inspeção de IDPS e TLS. |
| WAF (Firewall de Aplicativo Web) | Proteção centralizada contra vulnerabilidades do OWASP Top 10, injeção de SQL, scripts entre sites e ataques de bot. |
| Proteção contra DDoS do Azure | Monitoramento de tráfego sempre ativo com ajuste adaptável, mitigação em tempo real e análise de ataque para ataques volumétricos e de protocolo. |
| Link Privado do Azure | Conectividade privada com os serviços de PaaS do Azure em um ponto de extremidade privado em sua rede virtual, eliminando a exposição pública à Internet. |
| Pontos de extremidade de serviço de Rede Virtual | Conectividade direta com os serviços do Azure pela rede de backbone do Azure, restringindo o acesso somente às redes virtuais. |
| Gateway de VPN do Azure | Conectividade entre locais criptografada usando túneis VPN IPsec/IKE para conexões site a site e ponto a site. |
| Azure ExpressRoute | Conexão wan privada dedicada aos serviços de nuvem da Microsoft, ignorando a Internet pública para maior segurança e confiabilidade. |
| Gateway de Aplicativo do Azure | Balanceador de carga de camada 7 com terminação TLS, afinidade de sessão baseada em cookie, roteamento baseado em URL e WAF integrado. |
| Azure Front Door | Balanceador de carga HTTP global com aceleração de borda, WAF integrado, proteção DDoS no nível da plataforma e origens de backend do Private Link. |
| Observador de Rede do Azure | Monitoramento de rede, diagnóstico e análise de segurança, incluindo logs de fluxo NSG, captura de pacotes e solução de problemas de conexão. |
Para obter diretrizes abrangentes de segurança de rede e práticas recomendadas, consulte a visão geral de segurança de rede do Azure.
Criptografia de dados
| Serviço | Descrição |
|---|---|
| Criptografia do serviço de armazenamento do Azure | Criptografia automática do AES 256 para todos os dados em repouso no Armazenamento de Blobs do Azure, nos Arquivos do Azure, no Armazenamento de Filas e no Armazenamento de Tabelas. |
| TDE (Transparent Data Encryption) do Banco de Dados SQL do Azure | Criptografia em tempo real de bancos de dados, backups e logs de transações em repouso. Habilitado por padrão com suporte para chaves gerenciadas pelo cliente. |
| Always Encrypted | Criptografia do lado do cliente para o Banco de Dados SQL do Azure, garantindo que os dados permaneçam criptografados durante todo o ciclo de vida, mesmo para os administradores de banco de dados. |
| Criptografia de Disco do Azure | Criptografia para discos de dados e sistema operacional usando chaves gerenciadas pela plataforma, chaves gerenciadas pelo cliente ou criptografia dupla com ambos. |
| Criptografia do Azure Cosmos DB | Criptografia automática em repouso usando chaves gerenciadas pelo serviço com suporte opcional de CMK (chave gerenciada pelo cliente). |
| Criptografia do Azure Data Lake | Criptografia transparente em repouso habilitada por padrão com opções para chaves gerenciadas pela Microsoft ou gerenciadas pelo cliente. |
| Criptografia TLS em trânsito | Segurança da Camada de Transporte (TLS 1.2+) para todas as comunicações de serviço do Azure com PFS (Segredo de Encaminhamento Perfeito). |
| Criptografia de vínculo de dados do MACsec | Criptografia ponto a ponto usando o IEEE 802.1AE para todo o tráfego do Azure entre datacenters. |
Para obter opções de criptografia detalhadas e práticas recomendadas, consulte a visão geral da criptografia do Azure.
Gerenciamento de chaves e segredos
| Serviço | Descrição |
|---|---|
| Azure Key Vault | Armazenamento seguro para chaves, segredos e certificados com validação FIPS 140-2 Nível 1 (camada Standard) ou FIPS 140-3 Nível 3 (camada Premium com HSM). |
| Sobre o HSM Gerenciado do Azure Key Vault | Serviço de HSM single-tenant validado no nível 3 da FIPS 140-3, oferecendo controle total ao cliente com suporte para gerenciamento de chaves confidenciais. Integra-se aos serviços de PaaS do Azure. |
| HSM do Azure Cloud | O cluster HSM de locatário único totalmente gerenciado e validado FIPS 140-3 de nível 3 dá suporte a PKCS#11, descarregamento de SSL/TLS, e cenários de migração no local. Somente IaaS. |
| HSM de Pagamento do Azure | Um único locatário, FIPS 140-2 Nível 3 validado, HSM compatível com PCI HSM v3 para operações de processamento de pagamento. |
Para obter opções abrangentes de gerenciamento de chaves, consulte o gerenciamento de chaves no Azure.
Detecção e resposta de ameaças
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Nuvem | Segurança de nuvem unificada com gerenciamento de postura (CSPM), proteção de carga de trabalho (CWP) e detecção avançada de ameaças em Azure, AWS, GCP e ambientes híbridos. Integrado ao portal do Microsoft Defender. |
| Microsoft Sentinel | Solução SIEM e SOAR nativa da nuvem com UEBA (análise do comportamento de usuários e entidades), aprendizado de máquina, integração de inteligência de ameaças e playbooks automatizados. |
| Proteção do Microsoft Entra ID | Proteção de identidade baseada em risco detectando comportamentos anômalos de entrada e contas comprometidas usando machine learning. |
| Microsoft Defender para Aplicativos de Nuvem | O CASB (Cloud Access Security Broker) fornece visibilidade, controle de dados e proteção contra ameaças para aplicativos de nuvem, incluindo a descoberta de TI de sombra. |
| Microsoft Antimalware para Azure | Proteção em tempo real, verificação agendada e correção automática de malware para Serviços de Nuvem do Azure e Máquinas Virtuais. |
Para obter informações abrangentes sobre recursos de detecção de ameaças e práticas recomendadas, consulte a proteção contra ameaças do Azure.
Integridade da plataforma
| Serviço | Descrição |
|---|---|
| Segurança do firmware | Proteger a cadeia de suprimentos e a verificação de integridade do firmware para hardware do Azure desde a fabricação até a implantação. |
| UEFI - Inicialização Segura | Garante que somente os sistemas operacionais assinados e os drivers possam ser inicializados, protegendo contra malware no nível do firmware. |
| Integridade do código da plataforma | Políticas de integridade de código que validam todo o código antes da execução na infraestrutura do Azure. |
| Atestado de inicialização e host medidos | Verificação criptográfica da sequência de inicialização para garantir que os hosts estejam em um estado seguro e confiável. |
| Projeto Cerberus | Raiz de confiança de hardware, fornecendo identidade de plataforma e verificação de integridade. |
| Segurança do hipervisor | Hipervisor protegido com forte isolamento entre máquinas virtuais e o ambiente de host. |
Para obter uma arquitetura de segurança de plataforma detalhada, consulte a visão geral de integridade e segurança da plataforma do Azure.
Segurança da máquina virtual
| Serviço | Descrição |
|---|---|
| Inicialização confiável | Padrão para VMs Gen2 com Inicialização Segura, vTPM e Monitoramento de Integridade de Inicialização protegidos contra kits de inicialização, rootkits e malware no nível do kernel. |
| Computação confidencial do Azure | Tee (ambientes de execução confiáveis) baseados em hardware usando AMD SEV-SNP ou Intel TDX para proteção de dados enquanto estiver em uso. |
| VMs confidenciais | Criptografia de memória de VM completa com isolamento imposto por hardware do hipervisor e do código de gerenciamento de host. |
| Microsoft Defender para Servidores | Detecção de ameaças com a integração com o Microsoft Defender para Endpoint, a avaliação de vulnerabilidade, o acesso just-in-time à VM e o monitoramento de integridade do arquivo. |
| Acesso à VM just-in-time (JIT) | Reduz a superfície de ataque bloqueando o tráfego de entrada e habilitando o acesso limitado a portas de gerenciamento sob demanda. |
| Controles de aplicativo adaptáveis | A permissão de aplicativos baseada em machine learning controla quais aplicativos podem ser executados em suas VMs. |
| Serviço de Backup do Azure | Backups independentes e isolados com proteção contra ransomware, exclusão suave e gerenciamento do cofre dos Serviços de Recuperação. |
| Azure Site Recovery | Orquestração de recuperação de desastre para replicação, failover e recuperação para o Azure ou um site secundário. |
Para obter diretrizes e recursos de segurança de VM abrangentes, consulte a visão geral de segurança das Máquinas Virtuais do Azure.
Segurança do contêiner
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Contêineres | Proteção de tempo de execução, avaliação de vulnerabilidade e detecção de ameaças em Kubernetes em clusters locais, AKS, EKS e GKE. |
| Registro de Contêiner do Azure | Registro de contêiner gerenciado com verificação de vulnerabilidades, confiança no conteúdo (assinatura de imagem), replicação geográfica e pontos de extremidade privados. |
| Segurança do AKS (Serviço de Kubernetes do Azure) | Kubernetes gerenciado com integração do Microsoft Entra, RBAC do Azure, políticas de rede, segurança de pod e gerenciamento de segredos. |
| Contêineres confidenciais na ACI | Proteção tee baseada em hardware usando o AMD SEV-SNP com políticas de execução verificáveis e atestado remoto. |
| Implantação fechada do Kubernetes | Controle de entrada impedindo a implantação de imagens de contêiner que quebram regras de segurança no modo de auditoria ou de negação. |
| Escaneamento de imagem de contêiner | Avaliação de vulnerabilidade sem agente para imagens de contêiner em registros e contêineres de runtime em clusters do AKS. |
Para obter diretrizes abrangentes de segurança de contêiner, consulte Segurança de contêiner no Microsoft Defender para Nuvem.
Segurança de banco de dados
| Serviço | Descrição |
|---|---|
| Segurança do Banco de Dados SQL do Azure | Segurança abrangente com isolamento de rede, autenticação do Microsoft Entra, criptografia TDE, Always Encrypted e auditoria. |
| Microsoft Defender para SQL | Proteção avançada contra ameaças detectando injeção de SQL, ataques de força bruta, atividades anômalas e explorações de vulnerabilidade. |
| Avaliação de vulnerabilidades do SQL | Descobre, rastreia e ajuda a corrigir vulnerabilidades de banco de dados com recomendações de segurança acionáveis. |
| Segurança em nível de linha (RLS) | Restringe o acesso a linhas com base na identidade do usuário, função ou contexto de execução para controle de acesso a dados refinados. |
| Máscara de Dados Dinâmicos | Mascara dados confidenciais para usuários não privilegiados sem alterar dados subjacentes, reduzindo o risco de exposição. |
| Razão do Banco de Dados SQL do Azure | Funcionalidades de detecção de adulterações com registros de transação imutáveis para verificação e conformidade de integridade dos dados. |
| Segurança do Azure Cosmos DB | Criptografia em repouso e em trânsito, isolamento de rede, RBAC e registros de auditoria para cargas de trabalho NoSQL e multimodelo. |
Para obter uma lista de verificação de segurança de banco de dados abrangente, consulte a lista de verificação de segurança do banco de dados do Azure.
Segurança de DevOps
| Serviço | Descrição |
|---|---|
| Microsoft Defender para DevOps | Segurança unificada de DevOps conectando o Azure DevOps e o GitHub com verificação de código, verificação de infraestrutura como código (IaC) e detecção de segredos. |
| Integração de Segurança Avançada do GitHub | Acompanhamento de vulnerabilidades do código à nuvem com priorização baseada no contexto de execução e correção automática impulsionada por IA através do Copilot. |
| Verificação de contêiner no pipeline | Verificação de vulnerabilidades de contêiner baseada em CLI durante fluxos de trabalho de CI/CD com feedback em-tempo-real antes do envio para o registro. |
| Verificação de vulnerabilidade de dependência | Detecção de vulnerabilidades de sistema operacional e biblioteca nos repositórios do GitHub e Azure DevOps movida por Trivy. |
Para obter as melhores práticas de segurança do DevOps, consulte a segurança do DevOps no Defender para Nuvem.
Monitoramento e governança
| Serviço | Descrição |
|---|---|
| Azure Monitor | Monitoramento abrangente com métricas, logs, espaços de trabalho do Log Analytics, Application Insights, alertas e pastas de trabalho. |
| Azure Policy | Serviço de governança que impõe padrões organizacionais com definições de política, iniciativas, relatórios de conformidade e correção automática. |
| Conformidade regulatória do Microsoft Defender para Nuvem | Avaliações de conformidade internas e personalizadas alinhadas com o parâmetro de comparação de segurança na nuvem da Microsoft, ISO 27001, NIST, PCI DSS e outros padrões. |
| Log de atividades do Azure | Log de auditoria no nível da assinatura registrando operações administrativas, eventos de saúde do serviço e alterações de recursos com retenção por 90 dias. |
| Gerenciador de Atualizações do Azure | Gerenciamento unificado de patches para VMs Windows e Linux no Azure, em ambientes locais e multinuvem, com aplicação de patches agendados e hotpatching. |
| Gráfico de Recursos do Azure | Consulta entre assinaturas rápida para identificar recursos com configurações específicas ou posturas de segurança em larga escala. |
| Gerenciamento de Custos da Microsoft | Monitoramento de custos, orçamentos e detecção de anomalias para identificar implantações de recursos não autorizadas que podem indicar incidentes de segurança. |
Para obter recursos detalhados de gerenciamento de segurança e práticas recomendadas, consulte a visão geral de gerenciamento e monitoramento de segurança do Azure.
Backup e recuperação de desastres
| Serviço | Descrição |
|---|---|
| Serviço de Backup do Azure | Backups independentes e isolados com investimento de capital zero, proteção contra ransomware, exclusão reversível e restauração entre regiões. |
| Azure Site Recovery | Orquestração de continuidade de negócios e recuperação de desastre (BCDR) para replicação, failover e recuperação para o Azure ou um site secundário. |
Para obter diretrizes abrangentes de backup, consulte a documentação do Backup do Azure.
Segurança de implantação de PaaS
Para obter diretrizes sobre como proteger implantações de plataforma como serviço, incluindo Serviço de Aplicativo, Azure Functions e serviços de contêiner, consulte Como proteger implantações de PaaS.
Próximas etapas
- Segurança de ponta a ponta no Azure – Visão geral abrangente da arquitetura e dos recursos de segurança do Azure
- Melhores práticas e padrões de segurança do Azure – coleção de práticas recomendadas de segurança para vários cenários
- Parâmetro de comparação de segurança na nuvem da Microsoft – Diretrizes abrangentes de segurança para os serviços do Azure
- Responsabilidade compartilhada na nuvem – Noções básicas sobre as responsabilidades de segurança compartilhadas entre você e a Microsoft