Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece uma visão geral dos principais recursos de segurança do Azure para máquinas virtuais.
As Máquinas Virtuais do Azure permitem-lhe implementar uma vasta gama de soluções de computação de forma ágil. O serviço suporta Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Azure BizTalk Services. Você pode implantar qualquer carga de trabalho e qualquer idioma em praticamente qualquer sistema operacional.
As VMs do Azure fornecem a flexibilidade da virtualização sem comprar e manter hardware físico. Você pode criar e implantar aplicativos com a garantia de que seus dados estão protegidos em datacenters altamente seguros.
Com o Azure, você pode criar soluções compatíveis com segurança aprimorada que:
- Proteja máquinas virtuais contra vírus e malware
- Criptografar dados confidenciais
- Tráfego de rede seguro
- Identificar e detetar ameaças
- Cumprir requisitos de conformidade
Lançamento confiável
Arranque confiável é o padrão para VMs do Azure de Geração 2 recém-criadas e Conjuntos de Escala de Máquina Virtual. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes, incluindo kits de inicialização, rootkits e malware no nível do kernel.
O lançamento confiável fornece:
- Inicialização Segura: Protege contra a instalação de rootkits e kits de inicialização baseados em malware, garantindo que apenas sistemas operacionais e drivers assinados possam inicializar
- vTPM (virtual Trusted Platform Module): Um cofre seguro dedicado para chaves e medições que permite o atestado e a verificação da integridade da inicialização
- Monitoramento de integridade de inicialização: usa atestado por meio do Microsoft Defender for Cloud para verificar a integridade da cadeia de inicialização e alertar sobre falhas
A inicialização confiável pode ser habilitada em VMs existentes e Conjuntos de Dimensionamento de Máquina Virtual. Para obter mais informações, consulte Início confiável para máquinas virtuais do Azure.
Computação confidencial
A computação confidencial do Azure protege os dados enquanto estão em uso por meio de ambientes de execução confiáveis baseados em hardware. VMs confidenciais usam a tecnologia AMD SEV-SNP para criar um limite imposto por hardware entre seu aplicativo e a pilha de virtualização.
As VMs confidenciais fornecem:
- Isolamento baseado em hardware: entre máquinas virtuais, hipervisor e código de gerenciamento de host
- Criptografia de disco confidencial do sistema operacional: vincula chaves de criptografia de disco ao TPM da VM, tornando o conteúdo do disco acessível apenas à VM
- Liberação segura de chave: vinculação criptográfica entre o atestado da plataforma e as chaves de criptografia da VM
- Atestado: políticas personalizáveis para garantir a conformidade do host antes da implantação
Para obter mais informações, consulte VMs confidenciais do Azure.
Azure Backup
O Backup do Azure é uma solução escalável que protege os dados do seu aplicativo com investimento de capital zero e custos operacionais mínimos. Os erros das aplicações podem danificar os dados e os erros humanos podem introduzir erros nas suas aplicações. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.
O Backup do Azure fornece backups independentes e isolados para proteger contra a destruição acidental de dados. As cópias de segurança são armazenadas num cofre dos Serviços de Recuperação com gestão de pontos de recuperação incorporada.
Para obter mais informações, consulte O que é o Backup do Azure? e Perguntas frequentes sobre o serviço de Backup do Azure.
Azure Site Recovery
O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que fiquem disponíveis em um local secundário se o local principal ficar inativo.
Recuperação de Site
- Simplifica a estratégia BCDR: facilita o tratamento da replicação, failover e recuperação de várias cargas de trabalho e aplicativos de negócios a partir de um único local
- Fornece replicação flexível: replique cargas de trabalho em execução em VMs Hyper-V, VMs VMware e servidores físicos Windows/Linux
- Suporta failover e recuperação: fornece failovers de teste para simulações de recuperação de desastres sem afetar os ambientes de produção
- Elimina datacenters secundários: replicar para o Azure, eliminando o custo e a complexidade de manter um site secundário
Para obter mais informações, consulte O que é o Azure Site Recovery?, Como funciona o Azure Site Recovery?, e Quais cargas de trabalho são protegidas pelo Azure Site Recovery?.
Redes virtuais
As máquinas virtuais requerem conectividade de rede. O Azure requer que as máquinas virtuais estejam conectadas a uma rede virtual do Azure.
Uma rede virtual do Azure é uma construção lógica criada sobre a malha de rede física do Azure. Cada rede virtual lógica do Azure é isolada de todas as outras redes virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Para obter mais informações, consulte Visão geral da segurança de rede do Azure e Visão geral da Rede Virtual.
Gestão de políticas de segurança
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças. O Defender for Cloud dá-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure.
O Defender for Cloud ajuda você a otimizar e monitorar a segurança da VM:
- Fornecendo recomendações de segurança para máquinas virtuais
- Monitorando o estado de suas máquinas virtuais
- Fornecendo ao Microsoft Defender for Servers proteção avançada contra ameaças
O Microsoft Defender for Servers inclui:
- Integração do Microsoft Defender for Endpoint para deteção e resposta de pontos finais
- Avaliação de vulnerabilidades para identificar falhas de segurança
- Acesso just-in-time a máquinas virtuais para reduzir a superfície de ataque
- Monitoramento da integridade de arquivos para detetar alterações em arquivos críticos
- Controles adaptativos para aplicações aprovadas
Para obter mais informações, consulte Introdução ao Microsoft Defender for Cloud, Microsoft Defender for Servers e Microsoft Defender for Cloud perguntas frequentes.
Conformidade
As Máquinas Virtuais do Azure são certificadas para FISMA, FedRAMP, HIPAA, PCI DSS Nível 1 e outros programas de conformidade importantes. Essa certificação torna mais fácil para seus aplicativos do Azure atender aos requisitos de conformidade e para sua empresa atender aos requisitos regulatórios nacionais e internacionais.
Para obter mais informações, consulte Central de Confiabilidade da Microsoft: documentação de conformidade e conformidade do Azure.
Módulo de segurança de hardware
O Azure Key Vault fornece armazenamento seguro para chaves e segredos. O Key Vault oferece a opção de armazenar suas chaves em módulos de segurança de hardware (HSMs) certificados de acordo com os padrões validados pelo FIPS 140.
Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados por meio do Microsoft Entra ID.
Para obter mais informações sobre o gerenciamento de chaves do Azure, consulte Gerenciamento de chaves no Azure.
Próximos passos
Saiba mais sobre as práticas recomendadas de segurança para VMs e sistemas operacionais.