Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure fornece serviços e tecnologias de segurança abrangentes em todas as camadas das suas implementações na nuvem. Este artigo apresenta os principais recursos de segurança organizados por domínio, com links para artigos de visão geral detalhados para obter mais informações.
Para obter práticas recomendadas de segurança específicas e orientações detalhadas de implementação, consulte os artigos de visão geral específicos do domínio vinculados ao longo deste documento.
Gestão de identidades e acessos
| Serviço | Descrição |
|---|---|
| Microsoft Entra ID | Serviço de gestão de identidade e acessos baseado na cloud que suporta single log-on (SSO), autenticação multifator (MFA), Acesso Condicional e autenticação sem palavra-passe. |
| Controlo de acesso baseado em funções do Azure (RBAC) | Gestão de acessos detalhada com funções incorporadas e personalizadas, atribuível em grupo de gestão, subscrição, grupo de recursos ou âmbito de recursos. |
| Gerenciamento de identidades privilegiadas do Microsoft Entra | Acesso privilegiado just-in-time a funções Azure e Microsoft Entra com fluxos de trabalho de aprovação, revisões de acesso e histórico de auditorias. |
| Análises de acesso do Microsoft Entra | Revisões agendadas de pertença a grupos, acesso a aplicações e atribuição de papéis, com recomendações automáticas e remediação. |
| Proxy de aplicativo Microsoft Entra | Acesso remoto seguro a aplicações web locais sem VPN, utilizando autenticação Microsoft Entra e Acesso Condicional. |
| Microsoft Entra Connect / Cloud Sync | Sincronização híbrida de identidade entre o Active Directory local e o Microsoft Entra ID para gestão unificada de identidades. |
Para obter recursos detalhados de segurança de identidade e práticas recomendadas, consulte Visão geral da segurança do gerenciamento de identidades do Azure.
Segurança de rede
| Serviço | Descrição |
|---|---|
| Rede Virtual do Azure | Rede privada isolada com subredes, tabelas de rotas e definições DNS. Fundação para toda a segurança de rede Azure. |
| Grupos de Segurança de Rede (NSGs) | Filtragem de pacotes com estado com regras de 5 tuplas, etiquetas de serviço e grupos de segurança de aplicações para controlo de acesso granular. |
| Azure Firewall | Firewall com estado nativo na cloud com alta disponibilidade incorporada. O SKU Standard oferece filtragem L3-L7; O SKU Premium adiciona inspeção IDPS e TLS. |
| Firewall de aplicativos Web (WAF) | Proteção centralizada contra as 10 principais vulnerabilidades do OWASP, injeção SQL, scripting cross-site e ataques de bots. |
| Proteção contra DDoS do Azure | Monitorização de tráfego sempre ativa com ajuste adaptativo, mitigação em tempo real e análise de ataques para ataques volumétricos e de protocolo. |
| Azure Private Link | Conectividade privada aos serviços Azure PaaS através de um endpoint privado na sua rede virtual, eliminando a exposição pública à internet. |
| Pontos de extremidade de serviço de rede virtual | Conectividade direta aos serviços Azure através da rede backbone Azure, restringindo o acesso apenas às suas redes virtuais. |
| Gateway de VPN do Azure | Conectividade encriptada entre instalações usando túneis VPN IPsec/IKE para ligações site-to-site e point-to-site. |
| Azure ExpressRoute | Ligação WAN privada dedicada aos serviços cloud da Microsoft, contornando a internet pública para maior segurança e fiabilidade. |
| Gateway de Aplicações do Azure | Balanceador de carga da Camada 7 com terminação TLS, afinidade de sessão baseada em cookies, encaminhamento baseado em URL e WAF integrado. |
| Azure Front Door | Balanceador de carga global HTTP com aceleração de borda, WAF integrado, proteção DDoS ao nível da plataforma e origens de backend de Link Privado. |
| Observador de Rede do Azure | Monitorização da rede, diagnóstico e análise de segurança, incluindo registos de fluxo NSG, captura de pacotes e resolução de problemas de ligação. |
Para obter orientações abrangentes sobre segurança de rede e práticas recomendadas, consulte Visão geral da segurança de rede do Azure.
Encriptação de dados
| Serviço | Descrição |
|---|---|
| Criptografia do Serviço de Armazenamento do Azure | Encriptação automática AES 256 para todos os dados em repouso no armazenamento Azure Blob, Azure Files, armazenamento em fila e armazenamento em tabelas. |
| Azure SQL Database Transparent Data Encryption (TDE) | Encriptação em tempo real de bases de dados, backups e registos de transações em repouso. Ativado por defeito com suporte para chaves geridas pelo cliente. |
| Sempre criptografado | Encriptação do lado do cliente para Azure SQL Database garante que os dados permaneçam encriptados ao longo de todo o seu ciclo de vida, mesmo por parte dos administradores de bases de dados. |
| Azure Disk Encryption | Encriptação para sistemas operativos e discos de dados usando chaves geridas pela plataforma, chaves geridas pelo cliente, ou dupla encriptação com ambos. |
| Azure Cosmos DB encryption | Encriptação automática em repouso usando chaves geridas pelo serviço com suporte opcional de chave gerida pelo cliente (CMK). |
| Azure Data Lake encryption | Encriptação transparente em repouso ativada por defeito, com opções para chaves geridas pela Microsoft ou pelo cliente. |
| Encriptação TLS em trânsito | Segurança da Camada de Transporte (TLS 1.2+) para todas as comunicações de serviços Azure com Perfect Forward Secrecy (PFS). |
| Encriptação por ligação de dados MACsec | Encriptação ponto a ponto usando IEEE 802.1AE para todo o tráfego Azure entre datacenters. |
Para obter opções de criptografia detalhadas e práticas recomendadas, consulte Visão geral da criptografia do Azure.
Gestão de chaves e segredos
| Serviço | Descrição |
|---|---|
| Azure Key Vault | Armazenamento seguro para chaves, segredos e certificados com validação FIPS 140-2 Nível 1 (nível Standard) ou FIPS 140-3 Nível 3 (Nível Premium com HSM). |
| Azure Key Vault Managed HSM | Serviço HSM de locatário único, validado pelo FIPS 140-3 Nível 3, oferecendo controlo total ao cliente com suporte para chaves confidenciais. Integra com os serviços Azure PaaS. |
| Azure Cloud HSM | Cluster HSM totalmente gerido, de inquilino único, validado por FIPS 140-3 de Nível 3, que suporta cenários de migração PKCS#11, descarregamento SSL/TLS e migração no local. Só IaaS. |
| Azure Payment HSM | HSM de inquilino único, validado FIPS 140-2 Nível 3, compatível com PCI HSM v3 para operações de processamento de pagamentos. |
Para opções abrangentes de gestão de chaves, consulte gestão de chaves no Azure.
Deteção e resposta a ameaças
| Serviço | Descrição |
|---|---|
| Microsoft Defender para Cloud | Segurança unificada na cloud com gestão de postura (CSPM), proteção de carga de trabalho (CWP) e deteção avançada de ameaças em ambientes Azure, AWS, GCP e híbridos. Integrado com o portal Microsoft Defender. |
| Sentinela da Microsoft | Solução SIEM e SOAR nativa da cloud com aprendizagem automática, análise de comportamento de utilizadores e entidades (UEBA), integração de inteligência de ameaças e manuais automatizados. |
| Microsoft Entra ID Proteção | Proteção de identidade baseada em risco que detetou comportamentos anómalos de início de sessão e contas comprometidas usando machine learning. |
| Aplicativos do Microsoft Defender para Nuvem | Cloud Access Security Broker (CASB), que fornece visibilidade, controlo de dados e proteção contra ameaças para aplicações na cloud, incluindo a descoberta de TI paralela. |
| Microsoft Antimalware for Azure | Proteção em tempo real, varredura programada e remediação automática de malware para Serviços Cloud Azure e Máquinas Virtuais. |
Para obter informações abrangentes sobre recursos de deteção de ameaças e práticas recomendadas, consulte Proteção contra ameaças do Azure.
Integridade da plataforma
| Serviço | Descrição |
|---|---|
| Segurança do firmware | Verificação segura da cadeia de abastecimento e da integridade do firmware para hardware Azure, desde a fabricação até à implementação. |
| UEFI Inicialização Segura | Garante que apenas sistemas operativos e drivers assinados podem arrancar, protegendo contra malware ao nível do firmware. |
| Integridade do código da plataforma | Políticas de integridade de código que validam todo o código antes da execução na infraestrutura Azure. |
| Arranque medido e atestado de anfitrião | Verificação criptográfica da sequência de arranque para garantir que os hosts estão num estado seguro e confiável. |
| Projeto Cerberus | Raiz de confiança em hardware que fornece verificação da identidade e integridade da plataforma. |
| Segurança do hipervisor | Hipervisor reforçado com forte isolamento entre máquinas virtuais e o ambiente anfitrião. |
Para obter uma arquitetura de segurança de plataforma detalhada, consulte Visão geral da integridade e segurança da plataforma Azure.
Segurança da máquina virtual
| Serviço | Descrição |
|---|---|
| Lançamento confiável | Padrão para VMs Gen2 com Secure Boot, vTPM e Monitorização da Integridade de Arranque, que protegem contra bootkits, rootkits e malware ao nível do kernel. |
| Computação confidencial do Azure | Ambientes de execução de confiança (TEE) baseados em hardware que utilizam AMD SEV-SNP ou Intel TDX para proteção de dados durante o uso. |
| VMs confidenciais | Encriptação total da memória VM com isolamento imposto por hardware do hipervisor e do código de gestão do host. |
| Microsoft Defender para servidores | Deteção de ameaças com Microsoft Defender para integração com endpoints, avaliação de vulnerabilidades, acesso just-in-time a VMs e monitorização da integridade dos ficheiros. |
| Acesso à VM just-in-time (JIT) | Reduz a superfície de ataque ao bloquear o tráfego de entrada e permitir acesso limitado no tempo às portas de gestão sob demanda. |
| Controles de aplicativos adaptáveis | Aplicação com lista de permissões baseada em aprendizagem automática para controlar quais aplicações podem correr nas suas VMs. |
| Azure Backup | Backups independentes e isolados com proteção contra ransomware, soft delete e gestão de cofres de Recovery Services. |
| Azure Site Recovery | Orquestração de recuperação de desastres para replicação, failover e recuperação para Azure ou um site secundário. |
Para obter orientações e recursos de segurança de VM abrangentes, consulte Visão geral de segurança de Máquinas Virtuais do Azure.
Segurança de contentores
| Serviço | Descrição |
|---|---|
| Microsoft Defender para contêineres | Proteção em tempo de execução, avaliação de vulnerabilidades e deteção de ameaças Kubernetes em clusters AKS, EKS, GKE e locais. |
| Azure Container Registry | Registo de contentores gerido com análise de vulnerabilidades, confiança de conteúdo (assinatura de imagens), geo-replicação e endpoints privados. |
| Azure Kubernetes Service (AKS) security | Kubernetes gerido com integração com Microsoft Entra, Azure RBAC, políticas de rede, segurança de pods e gestão de segredos. |
| Contentores confidenciais na ACI | Proteção TEE baseada em hardware usando SEV-SNP AMD com políticas de execução verificáveis e atestação remota. |
| Implantação controlada do Kubernetes | Controlo de admissão que impede a implementação de imagens de contentores que violem regras de segurança em modo de auditoria ou recusa. |
| Digitalização de imagens de contêineres | Avaliação de vulnerabilidades sem necessidade de agentes para imagens de contentores em registos e contentores em execução em clusters AKS. |
Para orientações abrangentes sobre segurança de contentores, consulte Segurança de contentores no Microsoft Defender for Cloud.
Segurança de bases de dados
| Serviço | Descrição |
|---|---|
| Segurança do Banco de Dados SQL do Azure | Segurança abrangente com isolamento de rede, autenticação Microsoft Entra, encriptação TDE, Always Encrypted e auditoria. |
| Microsoft Defender para SQL | Proteção avançada contra ameaças que deteta injeção SQL, ataques de força bruta, atividades anómalas e explorações de vulnerabilidades. |
| Avaliação de vulnerabilidade do SQL | Descobre, acompanha e ajuda a remediar vulnerabilidades de bases de dados com recomendações de segurança acionáveis. |
| Row-Level Segurança (RLS) | Restringe o acesso às linhas com base na identidade do utilizador, função ou contexto de execução para controlo de acesso a dados detalhado. |
| Mascaramento dinâmico de dados | Oculta dados sensíveis a utilizadores não privilegiados sem alterar os dados subjacentes, reduzindo o risco de exposição. |
| Azure SQL Database Ledger | Capacidades à prova de adulteração com registos de transações imutáveis para verificação da integridade dos dados e conformidade. |
| Segurança do Azure Cosmos DB | Encriptação em repouso e em trânsito, isolamento de rede, RBAC e registo de auditoria para cargas de trabalho do tipo NoSQL e multi-modelo. |
Para obter uma lista de verificação de segurança de banco de dados abrangente, consulte Lista de verificação de segurança do banco de dados do Azure.
Segurança do DevOps
| Serviço | Descrição |
|---|---|
| Microsoft Defender para DevOps | Segurança DevOps Unificada que liga Azure DevOps e GitHub com análise de código, análise de infraestrutura como código (IaC) e detecção de segredos. |
| Integração Avançada de Segurança no GitHub | Rastreio de vulnerabilidades de código-para-nuvem com priorização do contexto de execução e remediação a partir do Copilot Autofix, impulsionada por IA. |
| Varredura de contentores dentro do pipeline | A varredura de vulnerabilidades de contentores baseada em CLI durante fluxos de trabalho CI/CD com feedback em tempo real antes do push do registo. |
| Varredura de vulnerabilidades em dependências | Deteção impulsada por Trivy de vulnerabilidades do sistema operativo e da biblioteca em repositórios GitHub e Azure DevOps. |
Para as melhores práticas de segurança DevOps, consulte segurança DevOps no Defender for Cloud.
Acompanhamento e governação
| Serviço | Descrição |
|---|---|
| Azure Monitor | Monitorização abrangente com métricas, registos, espaços de trabalho de Log Analytics, Application Insights, alertas e relatórios. |
| Política do Azure | Serviço de governação que faz cumprir os padrões organizacionais com definições de políticas, iniciativas, relatórios de conformidade e remediação automática. |
| Conformidade regulatória do Microsoft Defender for Cloud | Avaliações de conformidade incorporadas e personalizadas alinhadas com o Microsoft Cloud Security Benchmark, ISO 27001, NIST, PCI DSS e outras normas. |
| Log de atividades do Azure | Registo de auditoria ao nível de subscrição que regista operações administrativas, eventos de saúde do serviço e alterações de recursos com retenção de 90 dias. |
| Azure Update Manager | Gestão unificada de patches para VMs Windows e Linux em Azure, on-premises e multicloud com patches e hotpatchs agendados. |
| Azure Resource Graph | Consulta rápida entre subscrições para identificar recursos com configurações específicas ou posturas de segurança em escala. |
| Gerenciamento de custos da Microsoft | Monitorização de custos, orçamentos e deteção de anomalias para identificar implementações não autorizadas de recursos que possam indicar incidentes de segurança. |
Para obter recursos detalhados de gerenciamento de segurança e práticas recomendadas, consulte Visão geral de gerenciamento e monitoramento de segurança do Azure.
Cópia de segurança e recuperação após desastre
| Serviço | Descrição |
|---|---|
| Azure Backup | Backups independentes e isolados sem investimento de capital, proteção contra ransomware, soft delete e restauração entre regiões. |
| Azure Site Recovery | Continuidade do negócio e orquestração de recuperação em caso de desastres (BCDR) para replicação, failover e recuperação para Azure ou para um site secundário. |
Para orientações completas sobre backups, consulte a documentação do Azure Backup.
Segurança de implantação de PaaS
Para obter orientação sobre como proteger implantações de plataforma como serviço, incluindo Serviço de Aplicativo, Azure Functions e serviços de contêiner, consulte Protegendo implantações de PaaS.
Próximos passos
- Segurança de ponta a ponta no Azure - Visão geral abrangente da arquitetura e dos recursos de segurança do Azure
- Práticas recomendadas e padrões de segurança do Azure - Coleção de práticas recomendadas de segurança para vários cenários
- Benchmark de segurança na nuvem da Microsoft - Orientações de segurança abrangentes para os serviços do Azure
- Responsabilidade partilhada na nuvem - Compreender as responsabilidades de segurança partilhadas entre si e a Microsoft