Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo apresenta uma visão geral da política de segurança DNS e do feed de inteligência de ameaças.
Para mais informações sobre a configuração da política de segurança DNS e do feed de inteligência de ameaças, consulte os seguintes guias práticos:
O que é a política de segurança do DNS?
A política de segurança DNS oferece a capacidade de filtrar e registrar consultas DNS no nível da rede virtual (VNet). A política aplica-se ao tráfego DNS público e privado dentro de uma rede virtual. Os registos DNS podem ser enviados para uma conta de armazenamento, espaço de trabalho do Log Analytics ou hubs de eventos. Você pode optar por permitir, alertar ou bloquear consultas DNS.
Com a política de segurança de DNS, você pode:
- Crie regras para proteger contra ataques baseados em DNS bloqueando a resolução de nomes de domínios conhecidos ou mal-intencionados.
- Guarde e visualize registos DNS detalhados para obter informações sobre o seu tráfego DNS.
Uma política de segurança DNS tem os seguintes elementos e propriedades associados:
- Local: a região do Azure onde a política de segurança é criada e implantada.
- Regras de tráfego DNS: regras que permitem, bloqueiam ou alertam com base em listas de prioridade e domínio.
- Links de rede virtual: um link que associa a política de segurança a uma VNet.
- Listas de domínios DNS: listas de domínios DNS baseadas na localização.
A política de segurança de DNS pode ser configurada usando o Azure PowerShell ou o portal do Azure.
O que é a Inteligência de Ameaças DNS?
A política de segurança DNS do Azure com feed de Inteligência de Ameaças permite a deteção precoce e prevenção de incidentes de segurança em redes virtuais de clientes onde domínios maliciosos conhecidos provenientes do Centro de Resposta de Segurança da Microsoft (MSRC) podem ser bloqueados na resolução de nomes.
Para além das funcionalidades já fornecidas pela política de segurança DNS, o feed está disponível como uma lista de domínios gerida e permite a proteção de cargas de trabalho contra domínios maliciosos conhecidos através do próprio feed Threat Intelligent gerido da Microsoft.
Seguem-se os benefícios de utilizar a política de segurança DNS com o feed de Inteligência de Ameaças:
Proteção inteligente:
- Quase todos os ataques começam com uma consulta DNS. A lista de domínios gerida por Inteligência de Ameaças permite a deteção e prevenção precoce de incidentes de segurança.
Atualizações contínuas:
- A Microsoft atualiza automaticamente o feed para proteger contra domínios maliciosos recentemente detetados.
Monitorização e bloqueio maliciosos de domínios:
A flexibilidade de observar a atividade apenas em modo de alerta ou bloquear a atividade suspeita em modo de bloqueio.
A ativação do registo dá visibilidade de todo o tráfego DNS na rede virtual.
Casos de uso
Configure a Threat Intelligence como uma lista de domínios gerida nas políticas de segurança do DNS para uma camada adicional de proteção contra domínios maliciosos conhecidos.
Ganhe visibilidade de hosts comprometidos que tentam resolver domínios maliciosos conhecidos a partir de redes virtuais.
Registe e configure alertas quando domínios maliciosos forem resolvidos em redes virtuais onde o feed de Inteligência de Ameaças esteja configurado.
Integre-se de forma fluida com redes virtuais e outros serviços, como Azure Private DNS Zones, Private Resolver e outros serviços na rede virtual.
Localização
Uma política de segurança só pode ser aplicada a redes virtuais na mesma região. No exemplo a seguir, duas políticas são criadas em cada uma das duas regiões diferentes (Leste dos EUA e Centro dos EUA).
Importante
A relação policy:VNet é 1:N. Quando uma rede virtual é associada a uma diretiva de segurança (por meio de links de rede virtual), essa rede virtual não pode ser associada a outra diretiva de segurança sem primeiro remover o link de rede virtual existente. Uma única diretiva de segurança DNS pode ser associada a várias redes virtuais na mesma região.
Regras de tráfego DNS
As regras de tráfego DNS determinam a ação que é executada para uma consulta DNS.
Para exibir regras de tráfego DNS no portal do Azure, selecione uma política de segurança DNS e, em Configurações, selecione Regras de Tráfego DNS. Veja o seguinte exemplo:
- As regras são processadas em ordem de Prioridade no intervalo 100-65000. Números mais baixos são mais prioritários.
- Se um nome de domínio for bloqueado em uma regra de prioridade mais baixa e o mesmo domínio for permitido em uma regra de prioridade mais alta, o nome de domínio será permitido.
- As regras seguem a hierarquia DNS. Se contoso.com for permitido em uma regra de prioridade mais alta, sub.contoso.com será permitido, mesmo que sub.contoso.com seja bloqueado em uma regra de prioridade mais baixa.
- Você pode configurar uma política em todos os domínios criando uma regra que se aplique ao domínio "." Tenha cuidado ao bloquear domínios para não bloquear os serviços necessários do Azure.
- Você pode adicionar e excluir regras dinamicamente da lista. Certifique-se de Salvar depois de editar as regras no portal.
- Várias Listas de Domínio DNS são permitidas por regra. Você deve ter pelo menos uma lista de domínios DNS.
- Cada regra está associada a uma das três Ações de Tráfego: Permitir, Bloquear ou Alertar.
- Permitir: permita a consulta para as listas de domínios associadas e registre a consulta.
- Bloquear: bloqueie a consulta nas listas de domínios associadas e registre a ação de bloqueio.
- Alerta: permita a consulta às listas de domínios associadas e registre um alerta.
- As regras podem ser ativadas ou desativadas individualmente.
Ligações de rede virtual
As políticas de segurança DNS só se aplicam a VNets que estão ligadas à política de segurança. Você pode vincular uma única diretiva de segurança a várias VNets, no entanto, uma única VNet só pode ser vinculada a uma diretiva de segurança DNS.
O exemplo a seguir mostra uma diretiva de segurança DNS vinculada a duas redes virtuais (myeastvnet-40, myeastvnet-50):
- Você só pode vincular VNets que estejam na mesma região que a diretiva de segurança.
- Quando você vincula uma rede virtual a uma diretiva de segurança DNS usando um link de rede virtual, a diretiva de segurança DNS se aplica a todos os recursos dentro da rede virtual.
Listas de domínios DNS
As listas de domínios DNS são listas de domínios DNS que você associa às regras de tráfego.
Selecione Listas de Domínios DNS em Configurações de uma diretiva de segurança DNS para exibir as listas de domínios atuais associadas à política.
Nota
As cadeias CNAME são examinadas ("perseguidas") para determinar se as regras de tráfego associadas a um domínio devem ser aplicadas. Por exemplo, uma regra que se aplica a malicious.contoso.com também se aplica a adatum.com se adatum.com mapeia para malicious.contoso.com ou se malicious.contoso.com aparece em qualquer lugar em uma cadeia CNAME para adatum.com.
O exemplo a seguir mostra as listas de domínio DNS associadas à diretiva de segurança DNS myeast-secpol:
Você pode associar uma lista de domínios a várias regras de tráfego DNS em diferentes diretivas de segurança. Uma diretiva de segurança deve conter pelo menos uma lista de domínios. Segue-se um exemplo de uma lista de domínios DNS (blocklist-1) que contém dois domínios (malicious.contoso.com, exploit.adatum.com):
- Uma lista de domínios DNS deve conter pelo menos um domínio. Domínios coringa são permitidos.
Importante
Tenha cuidado ao criar listas de domínios coringa. Por exemplo, se criar uma lista de domínios que se aplica a todos os domínios (inserindo . como domínio DNS) e em seguida configurar uma regra de tráfego DNS para bloquear consultas a essa lista de domínios, poderá impedir que os serviços necessários funcionem.
Ao exibir uma lista de domínios DNS no portal do Azure, você também pode selecionar Configurações>Regras de Tráfego DNS Associadas para ver uma lista de todas as regras de tráfego e as políticas de segurança DNS associadas que fazem referência à lista de domínios DNS.
Requisitos e restrições
| Tipo de restrição | Limite / Regra |
|---|---|
| Restrições da rede virtual | - As políticas de segurança DNS só podem ser aplicadas a redes virtuais na mesma região que a política de segurança DNS. - Você pode vincular uma política de segurança por VNet. |
| Restrições da política de segurança | 1000 |
| Restrições de regras de tráfego DNS | 100 |
| Restrições da lista de domínios | 2,000 |
| Restrições de grandes listas de domínios | 100,000 |
| Restrições de domínio | 100,000 |