Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A segurança operacional Azure refere-se aos serviços, controlos e funcionalidades disponíveis para os utilizadores protegerem os seus dados, aplicações e outros ativos no Microsoft Azure. É uma estrutura que incorpora o conhecimento adquirido por meio de uma variedade de recursos exclusivos da Microsoft. Esses recursos incluem o Microsoft Security Development Lifecycle (SDL), o programa Microsoft Security Response Center e conhecimento profundo do cenário de ameaças de segurança cibernética.
Serviços de gerenciamento do Azure
Uma equipe de operações de TI é responsável por gerenciar a infraestrutura, os aplicativos e os dados do datacenter, incluindo a estabilidade e a segurança desses sistemas. No entanto, obter informações de segurança em ambientes de TI cada vez mais complexos geralmente exige que as organizações reúnam dados de vários sistemas de segurança e gerenciamento.
Os logs do Microsoft Azure Monitor são uma solução de gerenciamento de TI baseada em nuvem que ajuda você a gerenciar e proteger sua infraestrutura local e na nuvem. Sua funcionalidade principal é fornecida pelos seguintes serviços executados no Azure. O Azure inclui vários serviços que o ajudam a gerir e proteger a sua infraestrutura local e na nuvem. Cada serviço fornece uma função de gestão específica. Você pode combinar serviços para alcançar diferentes cenários de gerenciamento.
Azure Monitor
O Azure Monitor coleta dados de fontes gerenciadas em armazenamentos de dados centrais. Esses dados podem incluir eventos, dados de desempenho ou dados personalizados fornecidos por meio da API. Depois que os dados são coletados, eles ficam disponíveis para alerta, análise e exportação.
Você pode consolidar dados de várias fontes e combinar dados de seus serviços do Azure com seu ambiente local existente. Os logs do Azure Monitor também separam claramente a coleta dos dados da ação executada nesses dados, para que todas as ações estejam disponíveis para todos os tipos de dados.
Automatização
A Automação do Azure fornece uma maneira de automatizar as tarefas manuais, de longa execução, propensas a erros e repetidas com frequência que são comumente executadas em um ambiente de nuvem e corporativo. Poupa tempo e aumenta a fiabilidade das tarefas administrativas. Ele ainda agenda essas tarefas para serem executadas automaticamente em intervalos regulares. Você pode automatizar processos usando runbooks ou automatizar o gerenciamento de configuração usando a Configuração de Estado Desejado.
Backup
O Backup do Azure é o serviço baseado no Azure que você pode usar para fazer backup (ou proteger) e restaurar seus dados na Microsoft Cloud. O Backup do Azure substitui sua solução de backup local ou externa existente por uma solução baseada em nuvem que é confiável, segura e competitiva em termos de custos.
O Backup do Azure oferece componentes que você baixa e implanta no computador ou servidor apropriado ou na nuvem. O componente ou o agente que implementar depende do que pretende proteger. Todos os componentes do Backup do Azure (quer você esteja protegendo dados no local ou na nuvem) podem ser usados para fazer backup de dados em um cofre dos Serviços de Recuperação do Azure no Azure.
Para obter mais informações, consulte a tabela de componentes do Backup do Azure.
Recuperação de Sites
O Azure Site Recovery fornece continuidade de negócios orquestrando a replicação de máquinas virtuais e físicas locais para o Azure ou para um site secundário. Se o site principal não estiver disponível, faça failover para o local secundário para que os usuários possam continuar trabalhando. Você faz failback quando os sistemas retornam à ordem de funcionamento. Use o Microsoft Defender for Cloud para executar uma deteção de ameaças mais inteligente e eficaz.
Microsoft Entra ID
O Microsoft Entra ID é um serviço de identidade abrangente que:
- Permite o gerenciamento de identidade e acesso (IAM) como um serviço de nuvem.
- Fornece gerenciamento de acesso central, logon único (SSO) e emissão de relatórios.
- Suporta a gestão de acesso integrada para milhares de aplicações no Azure Marketplace, incluindo Salesforce, Google Apps, Box e Concur.
O Microsoft Entra ID também inclui um conjunto completo de recursos de gerenciamento de identidade, incluindo estes:
- Autenticação multifator
- Gerenciamento de senhas de autoatendimento
- Gerenciamento de grupo de autoatendimento
- Gestão privilegiada de contas
- Controlo de acesso baseado em funções do Azure (RBAC do Azure)
- Monitoramento do uso do aplicativo
- Auditoria rica
- Monitorização e alertas de segurança
Com o Microsoft Entra ID, todos os aplicativos que você publica para seus parceiros e clientes (empresas ou consumidores) têm os mesmos recursos de gerenciamento de identidade e acesso. Isso permite que você reduza significativamente seus custos operacionais.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade (e controlo sobre) a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em todas as suas assinaturas. Ele ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e trabalha com um amplo ecossistema de soluções de segurança.
Proteja os dados da máquina virtual (VM) no Azure fornecendo visibilidade sobre as configurações de segurança da máquina virtual e o monitoramento de ameaças. O Defender for Cloud pode monitorar suas máquinas virtuais para:
- Configurações de segurança do sistema operacional com as regras de configuração recomendadas.
- Segurança do sistema e atualizações críticas que estão faltando.
- Recomendações de proteção de endpoint.
- Validação de criptografia de disco.
- Ataques baseados em rede.
O Defender for Cloud usa o controle de acesso baseado em função do Azure (Azure RBAC). O RBAC do Azure fornece funções internas que podem ser atribuídas a usuários, grupos e serviços no Azure.
O Defender for Cloud avalia a configuração dos seus recursos para identificar problemas de segurança e vulnerabilidades. No Defender for Cloud, você vê informações relacionadas a um recurso somente quando lhe é atribuída a função de proprietário, colaborador ou leitor para a assinatura ou grupo de recursos ao qual um recurso pertence.
Nota
Para saber mais sobre funções e ações permitidas no Defender for Cloud, consulte Permissões no Microsoft Defender for Cloud.
O Defender for Cloud usa o Microsoft Monitoring Agent. Este é o mesmo agente que o serviço Azure Monitor usa. Os dados coletados desse agente são armazenados em um espaço de trabalho existente do Log Analytics associado à sua assinatura do Azure ou em um novo espaço de trabalho, levando em consideração a geolocalização da VM.
Azure Monitor
Problemas de desempenho em seu aplicativo na nuvem podem afetar sua empresa. Com vários componentes interconectados e lançamentos frequentes, degradações podem acontecer a qualquer momento. E se você estiver desenvolvendo um aplicativo, seus usuários geralmente descobrem problemas que você não encontrou nos testes. Você deve saber sobre esses problemas imediatamente, e você deve ter ferramentas para diagnosticar e corrigir os problemas.
O Azure Monitor é uma ferramenta básica para monitorar serviços em execução no Azure. Ele fornece dados no nível de infraestrutura sobre a taxa de transferência de um serviço e o ambiente ao redor. Se você estiver gerenciando seus aplicativos todos no Azure e decidindo se deseja aumentar ou reduzir os recursos, o Azure Monitor é o lugar para começar.
Você também pode usar dados de monitoramento para obter informações detalhadas sobre seu aplicativo. Esse conhecimento pode ajudá-lo a melhorar o desempenho ou a capacidade de manutenção do aplicativo ou automatizar ações que, de outra forma, exigiriam intervenção manual.
O Azure Monitor inclui os seguintes componentes.
Log de atividades do Azure
O Log de Atividades do Azure fornece informações sobre as operações que foram executadas em recursos em sua assinatura. Anteriormente, era conhecido como "Log de auditoria" ou "Log operacional", porque relata eventos do plano de controle para suas assinaturas.
Registos de diagnóstico do Azure
Os logs de diagnóstico do Azure são emitidos por um recurso e fornecem dados avançados e frequentes sobre a operação desse recurso. O conteúdo destes registos varia consoante o tipo de recurso.
Os logs do sistema de eventos do Windows são uma categoria de logs de diagnóstico para VMs. Os logs de blob, tabela e fila são categorias de logs de diagnóstico para contas de armazenamento.
Os logs de diagnóstico diferem do log de atividades. O registro de atividades fornece informações sobre as operações que foram executadas em recursos em sua assinatura. Os logs de diagnóstico fornecem informações sobre as operações que seu recurso executou por conta própria.
Métricas
O Azure Monitor fornece telemetria que lhe dá visibilidade sobre o desempenho e a integridade de suas cargas de trabalho no Azure. O tipo mais importante de dados de telemetria do Azure são as métricas (também chamadas de contadores de desempenho) emitidas pela maioria dos recursos do Azure. O Azure Monitor fornece várias maneiras de configurar e consumir essas métricas para monitoramento e solução de problemas.
Diagnósticos do Azure
O Diagnóstico do Azure permite a coleta de dados de diagnóstico em um aplicativo implantado. Você pode usar a extensão de Diagnósticos de diversas fontes. Atualmente, há suporte para funções de serviço de nuvem do Azure, máquinas virtuais do Azure que executam o Microsoft Windows e Azure Service Fabric.
Observador de Rede do Azure
Os clientes criam uma rede de ponta a ponta no Azure orquestrando e compondo recursos de rede individuais, como redes virtuais, Azure ExpressRoute, Azure Application Gateway e balanceadores de carga. O monitoramento está disponível em cada um dos recursos da rede.
A rede de ponta a ponta pode ter configurações complexas e interações entre recursos. O resultado são cenários complexos que precisam de monitoramento baseado em cenários por meio do Azure Network Watcher.
O Inspetor de Rede simplifica o monitoramento e o diagnóstico de sua rede do Azure. Você pode usar as ferramentas de diagnóstico e visualização no Network Watcher para:
- Faça capturas remotas de pacotes em uma máquina virtual do Azure.
- Obtenha informações sobre o tráfego da sua rede usando logs de fluxo.
- Diagnostique o Gateway de VPN do Azure e as conexões.
Atualmente, o Network Watcher tem os seguintes recursos:
- Topologia: fornece uma exibição das várias interconexões e associações entre recursos de rede em um grupo de recursos.
- Captura de pacotes variáveis: captura dados de pacotes dentro e fora de uma máquina virtual. As opções de filtragem avançadas e os controlos otimizados, como a possibilidade de definir limites de tempo e tamanho, proporcionam versatilidade. Os dados do pacote podem ser armazenados em um armazenamento de blob ou no disco local no formato .cap.
- Verificação de fluxo IP: verifica se um pacote é permitido ou negado com base em parâmetros de pacote de 5 tuplas para informações de fluxo (IP de destino, IP de origem, porta de destino, porta de origem e protocolo). Se um grupo de segurança negar o pacote, a regra e o grupo que negou o pacote serão retornados.
- Próximo salto: determina o próximo salto para pacotes que estão sendo roteados na malha de rede do Azure, para que você possa diagnosticar quaisquer rotas definidas pelo usuário mal configuradas.
- Vista de grupo de segurança: Obter as regras de segurança efetivas e aplicadas que são aplicadas numa VM.
- Registos de fluxo NSG para grupos de segurança de rede: permitem-lhe capturar registos relacionados com o tráfego autorizado ou negado pelas regras de segurança no grupo. O fluxo é definido por uma tupla de 5 elementos: IP de origem, IP de destino, porta de origem, porta de destino e protocolo.
- Gateway de rede virtual e resolução de problemas de conexão: permite solucionar problemas em gateways e conexões de redes virtuais.
- Limites de subscrição de rede: permite-lhe visualizar a utilização de recursos de rede em relação aos limites.
- Logs de diagnóstico: fornece uma interface centralizada para habilitar ou desabilitar logs de diagnóstico para recursos de rede num grupo de recursos.
Para obter mais informações, consulte Configurar o Inspetor de Rede.
Transparência do acesso aos fornecedores de serviços cloud
O Customer Lockbox for Microsoft Azure é um serviço integrado no portal do Azure que lhe dá controlo explícito na rara instância em que um Engenheiro de Suporte da Microsoft pode precisar de acesso aos seus dados para resolver um problema.
Há muito poucos casos, como um problema de depuração de acesso remoto, em que um engenheiro de suporte da Microsoft necessita de permissões elevadas para o resolver. Nesses casos, os engenheiros da Microsoft usam o serviço de acesso just-in-time que fornece autorização limitada e limitada por tempo com acesso limitado ao serviço.
Embora a Microsoft sempre tenha obtido o consentimento do cliente para o acesso, o Customer Lockbox agora oferece a capacidade de revisar e aprovar ou negar essas solicitações do portal do Azure. Os engenheiros de suporte da Microsoft não terão acesso até que você aprove a solicitação.
Implementações padronizadas e em conformidade
Os Azure Blueprints permitem que arquitetos de nuvem e grupos centrais de tecnologia da informação definam um conjunto repetível de recursos do Azure que implementam e aderem aos padrões, padrões e requisitos de uma organização.
Isso possibilita que as equipes de DevOps criem e levantem rapidamente novos ambientes e confiem que os estão construindo com uma infraestrutura que mantém a conformidade organizacional.
Os blueprints fornecem uma maneira declarativa de orquestrar a implantação de vários modelos de recursos e outros artefatos, como:
- Atribuições de Funções
- Atribuições de Política
- Modelos do Azure Resource Manager
- Grupos de Recursos
DevOps
Antes do desenvolvimento de aplicativos Developer Operations (DevOps), as equipes eram responsáveis por reunir os requisitos de negócios para um programa de software e escrever código. Em seguida, uma equipe de controle de qualidade separada testou o programa em um ambiente de desenvolvimento isolado. Se os requisitos fossem atendidos, a equipe de controle de qualidade liberava o código para as operações serem implantadas. As equipes de implantação foram ainda mais fragmentadas em grupos como rede e banco de dados. Sempre que um programa de software era passado para uma equipa independente, isso gerava gargalos.
O DevOps permite que as equipes forneçam soluções mais seguras e de maior qualidade de forma mais rápida e barata. Os clientes esperam uma experiência dinâmica e confiável ao consumir software e serviços. As equipes devem iterar rapidamente as atualizações de software e medir o impacto das atualizações. Eles devem responder rapidamente com novas iterações de desenvolvimento para resolver problemas ou fornecer mais valor.
Plataformas de nuvem como o Microsoft Azure removeram gargalos tradicionais e ajudaram a mercantilizar a infraestrutura. O software reina em todos os negócios como o principal diferenciador e fator nos resultados do negócio. Nenhuma organização, desenvolvedor ou trabalhador de TI pode ou deve evitar o movimento de DevOps.
Profissionais maduros de DevOps adotam várias das seguintes práticas. Essas práticas envolvem pessoas para formar estratégias baseadas nos cenários de negócios. As ferramentas podem ajudar a automatizar as várias práticas.
- Técnicas ágeis de planejamento e gerenciamento de projetos são usadas para planejar e isolar o trabalho em sprints, gerenciar a capacidade da equipe e ajudar as equipes a se adaptarem rapidamente às necessidades de negócios em constante mudança.
- O controle de versão, geralmente com o Git, permite que equipes localizadas em qualquer lugar do mundo compartilhem fontes e se integrem a ferramentas de desenvolvimento de software para automatizar o pipeline de lançamento.
- A integração contínua impulsiona a fusão e os testes contínuos de código, o que leva a encontrar defeitos precocemente. Outros benefícios incluem menos tempo perdido no combate a problemas de fusão e feedback rápido para as equipes de desenvolvimento.
- O fornecimento contínuo de soluções de software para ambientes de produção e teste ajuda as organizações a corrigir rapidamente bugs e responder aos requisitos de negócios em constante mudança.
- O monitoramento de aplicativos em execução - incluindo ambientes de produção para integridade de aplicativos, bem como o uso do cliente - ajuda as organizações a formar uma hipótese e validar ou refutar estratégias rapidamente. Dados ricos são capturados e armazenados em vários formatos de registro.
- Infrastructure as Code (IaC) é uma prática que permite a automação e validação da criação e desmontagem de redes e máquinas virtuais para ajudar a fornecer plataformas de hospedagem de aplicativos seguras e estáveis.
- A arquitetura de microsserviços é usada para isolar casos de uso de negócios em pequenos serviços reutilizáveis. Essa arquitetura permite escalabilidade e eficiência.
Próximos passos
Para saber mais sobre a solução de Segurança e Auditoria, consulte os seguintes artigos: