Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A segurança da rede protege os recursos contra acesso não autorizado ou ataques, controlando o tráfego da rede. O Azure fornece uma infraestrutura de rede robusta para dar suporte aos seus requisitos de conectividade de aplicativos e serviços, com controles de segurança em todas as camadas.
Este artigo aborda os principais recursos de segurança de rede no Azure:
- Controlo de acesso à rede
- Azure Firewall
- Acesso remoto seguro e conectividade entre locais
- Disponibilidade e balanceamento de carga
- Resolução de nomes
- proteção contra DDoS
- Azure Front Door
- Monitorização e deteção de ameaças
Nota
Para cargas de trabalho da Web, recomendamos o uso da Proteção contra DDoS do Azure e um firewall de aplicativo Web para proteger contra ataques DDoS. O Azure Front Door com um firewall de aplicativo Web fornece proteção no nível da plataforma contra ataques DDoS no nível da rede.
Rede Virtual do Azure
A Rede Virtual do Azure é o bloco de construção fundamental para a sua rede privada no Azure. Cada rede virtual é isolada de outras redes virtuais, ajudando a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Azure. As redes virtuais permitem que os recursos do Azure se comuniquem com segurança entre si, com a Internet e com as redes locais.
Saiba mais:
Controlo de acesso à rede
O controle de acesso à rede limita a conectividade de e para dispositivos ou sub-redes específicos dentro de uma rede virtual. O objetivo é restringir o acesso às suas máquinas virtuais e serviços a usuários e dispositivos aprovados.
Grupos de Segurança de Rede
Os Grupos de Segurança de Rede (NSGs) fornecem filtragem de pacotes básica e com monitorização de estado com base no endereço IP e nos protocolos TCP/UDP. Os NSGs controlam o acesso usando um quinteto (IP de origem, porta de origem, IP de destino, porta de destino, protocolo).
Os NSGs incluem recursos para simplificar o gerenciamento:
- Regras de segurança aumentadas: crie regras complexas em vez de várias regras simples para obter o mesmo resultado
- Tags de serviço: rótulos gerenciados pela Microsoft que representam grupos de endereços IP que são atualizados dinamicamente
- Grupos de segurança de aplicativos: organize recursos em grupos de aplicativos e controle o acesso com base nesses grupos
Saiba mais:
Pontos finais de serviço
Os pontos de extremidade do serviço de Rede Virtual (Virtual Network) estendem o espaço de endereços privados da sua rede virtual para os serviços da Azure por meio de uma conexão direta. Os pontos de extremidade de serviço mantêm o tráfego na rede de backbone do Azure e restringem a comunicação com os serviços suportados apenas às suas redes virtuais.
Saiba mais:
Azure Private Link
O Azure Private Link fornece conectividade privada de uma rede virtual para serviços PaaS do Azure, serviços de propriedade do cliente ou serviços de parceiros da Microsoft. O tráfego de Link Privado permanece na rede de backbone do Microsoft Azure, eliminando a exposição à Internet pública.
Saiba mais:
Azure Firewall
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente nativo da nuvem que fornece proteção contra ameaças para cargas de trabalho na nuvem. É uma firewall com estado integralmente mantido como um serviço, com elevada disponibilidade incorporada e escalabilidade em nuvem sem restrições.
O Firewall do Azure está disponível em três SKUs:
- Azure Firewall Basic: Segurança simplificada para pequenas e médias empresas
- Azure Firewall Standard: filtragem L3-L7 e inteligência de ameaças do Microsoft Cyber Security
- Azure Firewall Premium: recursos avançados, incluindo IDPS baseados em assinatura para deteção rápida de ataques
Saiba mais:
- O que é o Firewall do Azure?
- Escolha o SKU do Firewall do Azure certo
- Visão geral da deteção e proteção contra ameaças
Acesso remoto seguro e conectividade entre locais
O Azure dá suporte a vários cenários de acesso remoto seguro para gerenciar recursos do Azure e implantar soluções de TI híbridas.
VPN ponto a site
As conexões VPN ponto a site permitem que usuários individuais estabeleçam conexões privadas e seguras com uma rede virtual. Os usuários podem acessar máquinas virtuais e serviços no Azure após a autenticação. VPN ponto a site suporta:
- Secure Socket Tunneling Protocol (SSTP): protocolo VPN proprietário baseado em SSL (dispositivos Windows)
- IKEv2 VPN: Solução VPN IPsec baseada em padrões (dispositivos Mac)
- Protocolo OpenVPN: protocolo VPN baseado em SSL/TLS (dispositivos Android, iOS, Windows, Linux e Mac)
Saiba mais:
VPN site a site
As conexões de gateway VPN de site para site estabelecem conectividade segura entre a sua rede on-premises e as redes virtuais no Azure. As VPNs site-a-site usam o protocolo VPN IPsec altamente seguro em modo túnel.
O Gateway VPN é essencial para cenários de TI híbridos em que partes de um serviço são hospedadas no Azure e no local.
Saiba mais:
ExpressRoute
O ExpressRoute fornece links WAN dedicados entre sua rede local e os serviços de nuvem da Microsoft. As ligações ExpressRoute não atravessam a Internet pública, oferecendo maior segurança, fiabilidade, velocidade e latência mais baixa em comparação com as ligações à Internet.
O ExpressRoute suporta:
- ExpressRoute Direct: conectividade direta com a rede global da Microsoft
- Alcance Global da Rota Expressa: Conectividade entre seus sites locais por meio de circuitos de Rota Expressa
Saiba mais:
Peering de VNet (conexão de redes virtuais)
O emparelhamento de Rede Virtual conecta duas redes virtuais do Azure, permitindo que os recursos em ambas as redes se comuniquem entre si. O emparelhamento VNet usa a infraestrutura de backbone da Microsoft, ignorando a Internet pública. O emparelhamento dá suporte a conexões dentro da mesma região do Azure ou entre regiões diferentes (emparelhamento VNet global).
Saiba mais:
Disponibilidade e balanceamento de carga
O balanceamento de carga distribui conexões entre vários dispositivos para aumentar a disponibilidade e o desempenho. O Azure fornece várias opções de balanceamento de carga.
Azure Load Balancer
O Azure Load Balancer fornece balanceamento de carga de Camada 4 de alto desempenho e baixa latência para todos os protocolos UDP e TCP. O Load Balancer distribui o tráfego de entrada para instâncias de back-end de acordo com regras configuradas e testes de integridade.
Os recursos do Balanceador de Carga incluem:
- Suporte para cenários de balanceamento de carga internos e externos
- Redundância de zona e implantações zonais
- Suporte a aplicativos TCP e UDP
- Testes de integridade para determinar a disponibilidade da instância de back-end
Saiba mais:
Gateway de Aplicação do Azure
O Gateway de Aplicativo do Azure é um balanceador de carga de tráfego da Web (Camada 7) que gerencia o tráfego para seus aplicativos Web. O Application Gateway toma decisões de roteamento com base em atributos de solicitação HTTP, como caminho de URI ou cabeçalhos de host.
Os recursos do Application Gateway incluem:
- Web Application Firewall (WAF) para proteção centralizada
- Terminação TLS para reduzir a sobrecarga de criptografia em servidores Web
- Afinidade de sessão baseada em cookies
- Roteamento de conteúdo baseado em URL
- Dimensionamento automático e redundância de zona
Saiba mais:
Gestor de Tráfego do Azure
O Azure Traffic Manager é um balanceador de carga de tráfego baseado em DNS que distribui o tráfego de forma otimizada para serviços em regiões globais do Azure. O Traffic Manager fornece alta disponibilidade e capacidade de resposta roteando solicitações de clientes para o ponto de extremidade de serviço mais apropriado com base no método de roteamento de tráfego e na integridade do ponto de extremidade.
O Traffic Manager suporta vários métodos de roteamento, incluindo roteamento de prioridade, ponderado, desempenho, geográfico, multivalor e sub-rede.
Saiba mais:
Resolução de nomes
A resolução segura de nomes é crucial para todos os serviços hospedados na nuvem. As funções de resolução de nomes comprometidas podem redirecionar solicitações para sites mal-intencionados.
DNS do Azure
O DNS do Azure fornece resolução de nomes altamente disponível e de alto desempenho usando a infraestrutura do Microsoft Azure. O DNS do Azure suporta:
- Domínios DNS públicos hospedados na infraestrutura global do Azure
- Zonas DNS privadas para resolução de nomes dentro e entre redes virtuais
- Cenários DNS de horizonte dividido em que o mesmo nome de domínio é resolvido de forma diferente para consultas públicas e privadas
Saiba mais:
proteção contra DDoS
Os ataques distribuídos de negação de serviço (DDoS) estão entre as maiores preocupações de disponibilidade e segurança para os clientes que movem aplicativos para a nuvem. A Proteção contra DDoS do Azure protege os recursos do Azure contra ataques DDoS.
SKUs de proteção contra DDoS do Azure:
- Proteção de infraestrutura DDoS: proteção básica habilitada por padrão em todas as propriedades do Azure sem custo adicional
- Proteção de rede DDoS: Proteção avançada para recursos em redes virtuais com ajuste adaptável, políticas de mitigação e monitoramento
Os recursos de Proteção de Rede DDoS incluem:
- Integração da plataforma nativa com a configuração através do portal do Azure
- Monitoramento de tráfego sempre ativo e mitigação em tempo real
- Análise de ataques, incluindo relatórios de mitigação e logs de fluxo
- Ajuste adaptável com base em padrões de tráfego de aplicativos
- Garantia de custo, incluindo transferência de dados e créditos de serviço de expansão de aplicativos
Saiba mais:
Azure Front Door
O Azure Front Door é um ponto de entrada global e escalável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escaláveis. O Front Door fornece balanceamento de carga de camada 7, terminação TLS, roteamento baseado em URL e segurança integrada.
As capacidades da porta frontal incluem:
- Balanceamento de carga HTTP global com "failover" instantâneo
- Terminação TLS na periferia
- Roteamento baseado em caminho de URL
- Afinidade de sessão baseada em cookies
- Proteção por firewall de aplicativos Web
- Proteção contra DDoS no nível da plataforma
- Integração de Link Privado para proteger origens de back-end
Saiba mais:
Monitorização e deteção de ameaças
O Azure fornece ferramentas para monitorizar a segurança da rede e detetar ameaças.
Observador de Rede do Azure
O Azure Network Watcher fornece ferramentas para monitorizar, diagnosticar e obter informações sobre a sua rede no Azure.
Os recursos do Inspetor de Rede incluem:
- Monitor de Conexão: Monitora a conectividade entre recursos e pontos de extremidade do Azure
- Logs de fluxo NSG: registra informações sobre o tráfego IP que flui através de grupos de segurança de rede
- Captura de pacotes: captura o tráfego de rede de e para máquinas virtuais
- Solução de problemas de VPN: diagnostica problemas com gateways e conexões VPN
- Diagnóstico de rede: valida a configuração da rede e identifica problemas de segurança
Saiba mais:
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. O Defender for Cloud fornece recomendações de segurança de rede, monitoriza a configuração de segurança de rede e alerta-o para ameaças baseadas na rede.
Saiba mais:
- Introdução ao Microsoft Defender for Cloud
- Proteger os recursos de rede
- Visão geral da deteção de ameaças