Definir as configurações de firewall em recursos do Azure

Esta unidade discute uma coleção de práticas recomendadas do Azure para aprimorar a segurança de rede. Essas práticas recomendadas são derivadas de nossa experiência com a rede do Azure e as experiências de clientes como você.

Para cada prática recomendada, este artigo explica:

• Qual é a melhor prática
• Por que você deseja habilitar essa prática recomendada
• Qual pode ser o resultado se você não habilitar a prática recomendada
• Possíveis alternativas à prática recomendada
• Como você pode aprender a habilitar a prática recomendada

Essas práticas recomendadas são baseadas em uma opinião de consenso e recursos e conjuntos de recursos da plataforma do Azure, como existem no momento em que este artigo foi escrito. As opiniões e as tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas alterações.

Usar controles de rede fortes

Você pode conectar VMs (máquinas virtuais) do Azure e dispositivos a outros dispositivos em rede, colocando-os em redes virtuais do Azure. Ou seja, você pode conectar cartões de interface de rede virtual a uma rede virtual para permitir comunicações baseadas em TCP/IP entre dispositivos habilitados para rede. Máquinas virtuais conectadas a uma rede virtual do Azure podem se conectar a dispositivos na mesma rede virtual, redes virtuais diferentes, internet ou suas próprias redes locais.

Ao planejar sua rede e a segurança da rede, recomendamos que você centralize:

• Gerenciamento de funções de rede principais, como ExpressRoute, provisionamento de rede virtual e sub-rede e endereçamento IP.
• Governança de elementos de segurança de rede, como funções de dispositivo virtual de rede, como ExpressRoute, provisionamento de rede virtual e sub-rede e endereçamento IP.

Se você usar um conjunto comum de ferramentas de gerenciamento para monitorar sua rede e a segurança de sua rede, você obterá uma visibilidade clara em ambas. Uma estratégia de segurança simples e unificada reduz erros porque aumenta a compreensão humana e a confiabilidade da automação.

Sub-redes de segmento lógico

As redes virtuais do Azure são semelhantes às LANs em sua rede local. A ideia por trás de uma rede virtual do Azure é que você crie uma rede, com base em um único espaço de endereço IP privado, no qual você pode colocar todas as suas máquinas virtuais do Azure. Os espaços de endereço IP privado disponíveis estão nos intervalos classe A (10.0.0.0/8), Classe B (172.16.0.0/12) e Classe C (192.168.0.0/16).

As práticas recomendadas para segmentação lógica de sub-redes incluem:

Prática recomendada: não atribua regras de permissão com intervalos amplos (por exemplo, permitir 0.0.0.0 a 255.255.255.255.255).
Detalhe: verifique se os procedimentos de solução de problemas desencorajam ou proíbem a configuração desses tipos de regras. Essas regras permitem que as regras levem a uma falsa sensação de segurança e são frequentemente encontradas e exploradas por equipes vermelhas.

Prática recomendada: segmente o espaço de endereço maior em sub-redes.
Detalhe: use princípios de sub-rede baseados em CIDR para criar suas sub-redes.

Prática recomendada: criar controles de acesso à rede entre sub-redes. O roteamento entre sub-redes ocorre automaticamente e você não precisa configurar manualmente tabelas de roteamento. Por padrão, não há controles de acesso à rede entre as sub-redes que você cria em uma rede virtual do Azure.
Detalhe: use um grupo de segurança de rede para proteger contra tráfego não solicitado em sub-redes do Azure. Os NSGs (grupos de segurança de rede) são dispositivos de inspeção de pacotes simples e com estado. Os NSGs usam a abordagem de 5 tuplas (IP de origem, porta de origem, IP de destino, porta de destino e protocolo) para criar regras de permissão/negação para o tráfego de rede. Você permite ou nega o tráfego de e para um único endereço IP, de e para vários endereços IP, ou de e para sub-redes inteiras.

Ao usar grupos de segurança de rede para o controle de acesso à rede entre sub-redes, você pode colocar recursos que pertencem à mesma zona de segurança ou função em suas próprias sub-redes.

Prática recomendada: evite pequenas redes virtuais e sub-redes para garantir a simplicidade e a flexibilidade. Detalhe: a maioria das organizações adiciona mais recursos do que o planejado inicialmente, e a realocação de endereços é trabalhoso. O uso de sub-redes pequenas adiciona um valor de segurança limitado e o mapeamento de um grupo de segurança de rede para cada sub-rede adiciona sobrecarga. Defina as sub-redes amplamente para garantir que você tenha flexibilidade para o crescimento.

Prática recomendada: simplificar o gerenciamento de regras do grupo de segurança de rede definindo Grupos de Segurança do Aplicativo.
Detalhe: defina um Grupo de Segurança de Aplicativo para listas de endereços IP que você acha que podem ser alterados no futuro ou usados em muitos grupos de segurança de rede. Certifique-se de nomear claramente os Grupos de Segurança do Aplicativo para que outras pessoas possam entender seu conteúdo e sua finalidade.

Adotar uma abordagem de Confiança Zero

As redes baseadas em perímetro operam com a suposição de que todos os sistemas dentro de uma rede podem ser confiáveis. Mas os funcionários de hoje acessam os recursos de sua organização de qualquer lugar em vários dispositivos e aplicativos, o que torna os controles de segurança de perímetro irrelevantes. As políticas de controle de acesso que se concentram apenas em quem pode acessar um recurso não são suficientes. Para dominar o equilíbrio entre segurança e produtividade, os administradores de segurança também precisam considerar como um recurso está sendo acessado.

As redes precisam evoluir de defesas tradicionais porque as redes podem ser vulneráveis a violações: um invasor pode comprometer um único ponto de extremidade dentro do limite confiável e expandir rapidamente uma base em toda a rede. As redes de Confiança Zero eliminam o conceito de confiança com base no local da rede dentro de um perímetro. Em vez disso, as arquiteturas de Confiança Zero usam declarações de confiança do dispositivo e do usuário para permitir o acesso de portabilidade a dados e recursos organizacionais. Para novas iniciativas, adote abordagens de Confiança Zero que validem a confiança no momento do acesso.

As práticas recomendadas são:

Prática recomendada: conceder acesso condicional a recursos com base no dispositivo, identidade, garantia, localização da rede e muito mais.
Detalhe: o Acesso Condicional do Microsoft Entra permite aplicar os controles de acesso corretos implementando decisões automatizadas de controle de acesso com base nas condições necessárias. Para obter mais informações, consulte Gerenciar o acesso ao gerenciamento do Azure com acesso condicional.

Prática recomendada: habilitar o acesso à porta somente após a aprovação do fluxo de trabalho.
Detalhe: você pode usar o acesso just-in-time à VM no Microsoft Defender para Nuvem para bloquear o tráfego de entrada para suas VMs do Azure, reduzindo a exposição a ataques e fornecendo acesso fácil para se conectar às VMs quando necessário.

Prática recomendada: conceda permissões temporárias para executar tarefas privilegiadas, o que impede que usuários mal-intencionados ou não autorizados obtenham acesso após a expiração das permissões. O acesso é concedido somente quando os usuários precisam dele.
Detalhe: use o acesso just-in-time no Microsoft Entra Privileged Identity Management ou em uma solução de terceiros para conceder permissões para executar tarefas privilegiadas.

Confiança Zero é a próxima evolução na segurança de rede. O estado dos ataques cibernéticos leva as organizações a adotar a mentalidade de "assumir violação", mas essa abordagem não deve ser limitada. As redes de Confiança Zero protegem dados e recursos corporativos, garantindo que as organizações possam criar um local de trabalho moderno usando tecnologias que capacitam os funcionários a serem produtivos a qualquer momento, em qualquer lugar, de qualquer forma.

Controlar o comportamento de roteamento

Quando você coloca uma máquina virtual em uma rede virtual do Azure, a VM pode se conectar a qualquer outra VM na mesma rede virtual, mesmo que as outras VMs estejam em sub-redes diferentes. Isso é possível porque uma coleção de rotas do sistema habilitadas por padrão permite esse tipo de comunicação. Essas rotas padrão permitem que as VMs na mesma rede virtual iniciem conexões entre si e com a Internet (apenas para comunicações de saída com a Internet).

Embora as rotas do sistema padrão sejam úteis para muitos cenários de implantação, há momentos em que você deseja personalizar a configuração de roteamento para suas implantações. Você pode configurar o endereço do próximo salto para alcançar destinos específicos.

Recomendamos que você configure rotas definidas pelo usuário ao implantar um dispositivo de segurança para uma rede virtual. Falamos sobre essa recomendação em uma seção posterior intitulada Proteja seus recursos de serviço críticos do Azure somente para suas redes virtuais.

Usar dispositivos de rede virtual

Grupos de segurança de rede e roteamento definido pelo usuário podem fornecer uma determinada medida de segurança de rede nas camadas de rede e transporte do modelo OSI. Mas, em algumas situações, você deseja ou precisa habilitar a segurança em altos níveis da pilha. Nessas situações, recomendamos que você implante dispositivos de segurança de rede virtual fornecidos por parceiros do Azure.

Os dispositivos de segurança de rede do Azure podem fornecer melhor segurança do que os controles de nível de rede fornecem. Os recursos de segurança de rede dos dispositivos de segurança de rede virtual incluem:

• Firewalling
• Detecção de intrusão/prevenção de intrusão
• Gerenciamento de vulnerabilidades
• Controle do aplicativo
• Detecção de anomalias baseada em rede
• Filtragem de sites
• Antivírus
• Proteção do Botnet

Para localizar os dispositivos de segurança de rede virtual do Azure disponíveis, acesse o Azure Marketplace e procure "segurança" e "segurança de rede".

Implantar redes de perímetro para zonas de segurança

Uma rede de perímetro (também conhecida como DMZ) é um segmento de rede física ou lógica que fornece uma camada extra de segurança entre seus ativos e a Internet. Dispositivos de controle de acesso de rede especializados na borda de uma rede de perímetro permitem apenas o tráfego desejado em sua rede virtual.

As redes de perímetro são úteis porque você pode concentrar o gerenciamento de controle de acesso à rede, o monitoramento, o registro em log e os relatórios nos dispositivos na borda da rede virtual do Azure. Uma rede de perímetro é onde você normalmente habilita a proteção contra DDoS (negação distribuída de serviço), IDS/IPS (sistemas de prevenção de intrusão/detecção de intrusão), regras e políticas de firewall, filtragem da Web, antimalware de rede e muito mais. Os dispositivos de segurança de rede ficam entre a Internet e sua rede virtual do Azure e têm uma interface em ambas as redes.

Embora esse seja o design básico de uma rede de perímetro, há muitos designs diferentes, como back-to-back, tri-homed e multi-homed.

Com base no conceito de Confiança Zero mencionado anteriormente, recomendamos que você considere usar uma rede de perímetro para todas as implantações de alta segurança para aprimorar o nível de segurança de rede e controle de acesso para seus recursos do Azure. Você pode usar o Azure ou uma solução de terceiros para fornecer uma camada extra de segurança entre seus ativos e a Internet:

• Controles nativos do Azure. O Firewall do Azure e o Firewall de Aplicativo Web do Azure oferecem vantagens básicas de segurança. As vantagens são um firewall totalmente com estado como um serviço, alta disponibilidade interna, escalabilidade de nuvem irrestrita, filtragem de FQDN, suporte para conjuntos de regras principais OWASP e configuração e instalação simples.
• Ofertas de terceiros. Pesquise no Azure Marketplace o NGFW (firewall de última geração) e outras ofertas de terceiros que fornecem ferramentas de segurança familiares e níveis aprimorados de segurança de rede. A configuração pode ser mais complexa, mas uma oferta de terceiros pode permitir que você use recursos e conjuntos de habilidades existentes.

Evitar exposição à Internet com links de WAN dedicados

Muitas organizações escolheram a rota de TI híbrida. Com a TI híbrida, alguns dos ativos de informações da empresa estão no Azure e outros permanecem no local. Em muitos casos, alguns componentes de um serviço estão em execução no Azure, enquanto outros componentes permanecem no local.

Em um cenário de TI híbrida, geralmente há algum tipo de conectividade entre locais. A conectividade entre locais permite que a empresa conecte suas redes locais às redes virtuais do Azure. Duas soluções de conectividade entre locais estão disponíveis:

• VPN de site a site. É uma tecnologia confiável, confiável e estabelecida, mas a conexão ocorre pela Internet. A largura de banda é restrita a um máximo de cerca de 1,25 Gbps. A VPN site a site é uma opção desejável em alguns cenários.
• Azure ExpressRoute. Recomendamos que você use o ExpressRoute para sua conectividade entre locais. O ExpressRoute permite que você estenda as redes locais para a nuvem da Microsoft em uma conexão privada facilitada por um provedor de conectividade. Com o ExpressRoute, você pode estabelecer conexões com serviços de nuvem da Microsoft, como Azure, Microsoft 365 e Dynamics 365. O ExpressRoute é um link WAN dedicado entre sua localização local ou um provedor de hospedagem do Microsoft Exchange. Como essa é uma conexão de telecomunicações, seus dados não viajam pela Internet, portanto, não são expostos aos riscos potenciais de comunicações com a Internet.

O local da conexão do ExpressRoute pode afetar a capacidade do firewall, a escalabilidade, a confiabilidade e a visibilidade do tráfego de rede. Você precisará identificar onde terminar o ExpressRoute em redes existentes (locais). É possível:

• Termine fora do firewall (o paradigma de rede de perímetro). Use essa recomendação se você precisar de visibilidade do tráfego, se precisar continuar uma prática existente de isolar datacenters ou se estiver colocando apenas recursos de extranet no Azure.
• Termine dentro do firewall (o paradigma de extensão de rede). Essa é a recomendação padrão. Em todos os outros casos, recomendamos tratar o Azure como outro datacenter.

Otimizar o tempo de atividade e o desempenho

Se um serviço estiver inativo, as informações não poderão ser acessadas. Se o desempenho for tão ruim que os dados são inutilizáveis, você pode considerar os dados inacessíveis. Do ponto de vista de segurança, você precisa fazer o que puder para garantir que seus serviços tenham o melhor tempo de atividade e desempenho.

Um método popular e eficaz para melhorar a disponibilidade e o desempenho é o balanceamento de carga. O balanceamento de carga é um método de distribuição de tráfego de rede entre servidores que fazem parte de um serviço. Por exemplo, se você tiver servidores Web front-end como parte de seu serviço, poderá usar o balanceamento de carga para distribuir o tráfego entre seus vários servidores Web front-end.

Essa distribuição de tráfego aumenta a disponibilidade porque, se um dos servidores Web ficar indisponível, o balanceador de carga interromperá o envio de tráfego para esse servidor e o redirecionará para os servidores que ainda estão online. O balanceamento de carga também ajuda o desempenho, pois o processador, a rede e a sobrecarga de memória para atender solicitações são distribuídos entre todos os servidores com balanceamento de carga.

Recomendamos que você empregue o balanceamento de carga sempre que possível e conforme apropriado para seus serviços. A seguir estão cenários no nível da rede virtual do Azure e no nível global, juntamente com opções de balanceamento de carga para cada um.

Cenário: você tem um aplicativo que:

• Requer solicitações da mesma sessão de usuário/cliente para alcançar a mesma máquina virtual de back-end. Exemplos disso são aplicativos de carrinho de compras e servidores de email da Web.
• Aceita apenas uma conexão segura, portanto, a comunicação não criptografada com o servidor não é uma opção aceitável.
• Requer que várias solicitações HTTP na mesma conexão TCP de execução longa sejam roteadas ou balanceadas de carga para diferentes servidores de back-end.

Opção de balanceamento de carga: use o Gateway de Aplicativo do Azure, um balanceador de carga para tráfego Web HTTP. O Gateway de Aplicativo dá suporte à criptografia TLS de ponta a ponta e a terminação TLS no gateway. Em seguida, os servidores Web podem ser desembolsados da sobrecarga de criptografia e descriptografia e do tráfego que flui sem criptografia para os servidores de back-end.

Cenário: você precisa balancear a carga de conexões de entrada da Internet entre seus servidores localizados em uma rede virtual do Azure. Os cenários são quando você:

• Tenha aplicativos sem estado que aceitam solicitações de entrada da Internet.
• Não exija sessões autoadesivas ou descarregamento de TLS. As sessões autoadesivas são um método usado com o Balanceamento de Carga do Aplicativo para obter afinidade de servidor.

Opção de balanceamento de carga: use o portal do Azure para criar um balanceador de carga externo que espalhe solicitações de entrada em várias VMs para fornecer um nível mais alto de disponibilidade.

Cenário: você precisa balancear a carga de conexões de VMs que não estão na Internet. Na maioria dos casos, as conexões aceitas para balanceamento de carga são iniciadas por dispositivos em uma rede virtual do Azure, como instâncias do SQL Server ou servidores Web internos.
Opção de balanceamento de carga: use o portal do Azure para criar um balanceador de carga interno que espalhe solicitações de entrada em várias VMs para fornecer um nível mais alto de disponibilidade.

Cenário: você precisa de balanceamento de carga global porque:

• Tenha uma solução de nuvem que seja amplamente distribuída em várias regiões e exija o nível mais alto de tempo de atividade (disponibilidade) possível.
• Precisa do nível mais alto de tempo de atividade possível para garantir que seu serviço esteja disponível mesmo se um datacenter inteiro ficar indisponível.

Opção de balanceamento de carga: use o Gerenciador de Tráfego do Azure. O Gerenciador de Tráfego possibilita o balanceamento de carga de conexões com seus serviços com base na localização do usuário.

Por exemplo, se o usuário fizer uma solicitação ao seu serviço da UE, a conexão será direcionada para seus serviços localizados em um datacenter da UE. Essa parte do balanceamento de carga global do Gerenciador de Tráfego ajuda a melhorar o desempenho porque a conexão com o datacenter mais próximo é mais rápida do que conectar-se a datacenters que estão distantes.

Desabilitar o acesso RDP/SSH a máquinas virtuais

É possível acessar máquinas virtuais do Azure usando o RDP (Protocolo de Área de Trabalho Remota) e o protocolo Secure Shell (SSH). Esses protocolos permitem o gerenciamento de VMs de locais remotos e são padrão na computação de data center.

O possível problema de segurança com o uso desses protocolos pela Internet é que os invasores podem usar técnicas de força bruta para obter acesso às máquinas virtuais do Azure. Depois que os invasores tiverem acesso, eles poderão usar sua VM como ponto de partida para comprometer outras máquinas em sua rede virtual ou até mesmo atacar dispositivos em rede fora do Azure.

Recomendamos desabilitar o acesso direto de RDP e SSH às máquinas virtuais do Azure da Internet. Depois que o acesso direto de RDP e SSH da Internet estiver desabilitado, você terá outras opções que pode usar para acessar essas VMs para gerenciamento remoto.

Cenário: permitir que um único usuário se conecte a uma rede virtual do Azure pela Internet.
Opção: VPN ponto a site é outro termo para uma conexão cliente/servidor VPN de acesso remoto. Depois que a conexão ponto a site for estabelecida, o usuário poderá usar RDP ou SSH para se conectar a todas as VMs localizadas na rede virtual do Azure à qual o usuário se conectou por meio de VPN ponto a site. Isso pressupõe que o usuário está autorizado a acessar essas VMs.

A VPN ponto a site é mais segura do que as conexões RDP ou SSH diretas, pois o usuário precisa autenticar duas vezes antes de se conectar a uma VM. Primeiro, o usuário precisa autenticar (e ser autorizado) para estabelecer a conexão VPN ponto a site. Em segundo lugar, o usuário precisa autenticar (e ser autorizado) para estabelecer a sessão RDP ou SSH.

Cenário: permitir que os usuários em sua rede local se conectem a VMs em sua rede virtual do Azure.
Opção: uma VPN site a site conecta uma rede inteira a outra rede pela Internet. Você pode usar uma VPN site a site para conectar sua rede local a uma rede virtual do Azure. Os usuários em sua rede local se conectam usando o protocolo RDP ou SSH pela conexão VPN site a site. Você não precisa permitir acesso direto a RDP ou SSH pela Internet.

Cenário: use um link WAN dedicado para fornecer funcionalidade semelhante à VPN site a site.
Opção: usar o ExpressRoute. Ele fornece funcionalidade semelhante à VPN site a site. As principais diferenças são:

• O link WAN dedicado não atravessa a Internet.
• Os links de WAN dedicados normalmente são mais estáveis e têm um desempenho melhor.

Proteja seus recursos críticos do serviço do Azure apenas para suas redes virtuais

Use o Link Privado do Azure para acessar os Serviços de PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) em um ponto de extremidade privado em sua rede virtual. Os pontos de extremidade privados permitem que você proteja seus recursos críticos do serviço do Azure apenas para suas redes virtuais. O tráfego da rede virtual para o serviço do Azure sempre permanece na rede de backbone do Microsoft Azure. Expor sua rede virtual à Internet pública não é mais necessário para consumir os Serviços de PaaS do Azure.

O Link Privado do Azure fornece os seguintes benefícios:

• Segurança aprimorada para seus recursos de serviço do Azure: com o Link Privado do Azure, os recursos de serviço do Azure podem ser protegidos para sua rede virtual usando o ponto de extremidade privado. Proteger recursos de serviço para um ponto de extremidade privado na rede virtual fornece segurança aprimorada removendo totalmente o acesso público à Internet aos recursos e permitindo o tráfego somente do ponto de extremidade privado em sua rede virtual.
• Acesse os recursos de serviço do Azure privadamente na plataforma do Azure: conecte sua rede virtual aos serviços no Azure usando pontos de extremidade privados. Não há necessidade de um endereço IP público. A plataforma Link Privado lidará com a conectividade entre o consumidor e os serviços pela rede de backbone do Azure.
• Acesso de redes locais e emparelhadas: acessar serviços em execução no Azure localmente por meio de emparelhamento privado do ExpressRoute, túneis VPN e redes virtuais emparelhadas usando pontos de extremidade privados. Não é necessário configurar o peering da Microsoft no ExpressRoute nem utilizar a Internet para acessar o serviço. O Link Privado fornece uma forma segura de migrar cargas de trabalho para o Azure.
• Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço é bloqueado. Esse mecanismo fornece proteção contra riscos de vazamento de dados.
• Alcance global: conecte-se privadamente aos serviços em execução em outras regiões. A rede virtual do consumidor pode estar na região A e pode se conectar aos serviços na região B.
• Simples de configurar e gerenciar: você não precisa mais de endereços IP públicos reservados em suas redes virtuais para proteger os recursos do Azure por meio de um firewall de IP. Não há dispositivos NAT ou gateway necessários para configurar os pontos de extremidade privados. Os pontos de extremidade privados são configurados por meio de um fluxo de trabalho simples. No lado do serviço, você também pode gerenciar as solicitações de conexão no recurso de serviço do Azure com facilidade. O Link Privado do Azure também funciona para consumidores e serviços pertencentes a diferentes locatários do Microsoft Entra.

Para saber mais sobre pontos de extremidade privados e os serviços e regiões do Azure para os quais os pontos de extremidade privados estão disponíveis, consulte o Link Privado do Azure.