Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A segurança é fundamental no ambiente de nuvem atual. As ameaças cibernéticas estão em constante evolução, e proteger seus dados, aplicativos e infraestrutura requer uma abordagem abrangente e em várias camadas. Sabemos que a segurança é um trabalho na nuvem e como é importante que você encontre informações precisas e oportunas sobre a segurança do Azure.
Este artigo fornece uma visão abrangente da segurança disponível com o Azure. Para obter uma exibição de ponta a ponta da segurança do Azure organizada por recursos de proteção, deteção e resposta, consulte Segurança de ponta a ponta no Azure.
Abordagem de segurança de defesa em profundidade do Azure
O Azure emprega uma estratégia de defesa profunda, fornecendo várias camadas de proteção de segurança em toda a pilha, desde datacenters físicos até computação, armazenamento, rede, aplicativos e identidade. Essa abordagem em várias camadas garante que, se uma camada for comprometida, camadas adicionais continuarão a proteger seus recursos.
A infraestrutura do Azure é meticulosamente trabalhada desde o início, abrangendo tudo, desde instalações físicas a aplicativos, para hospedar com segurança milhões de clientes simultaneamente. Essa base robusta permite que as empresas atendam com confiança aos seus requisitos de segurança. Para obter informações sobre como a Microsoft protege a própria plataforma Azure, consulte Segurança da infraestrutura do Azure. Para obter detalhes sobre a segurança do datacenter físico, consulte Segurança física do Azure.
O Azure é uma plataforma de serviço de nuvem pública que suporta uma ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Ele pode executar contêineres Linux com integração Docker; criar aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js; criar back-ends para dispositivos iOS, Android e Windows. Os serviços de nuvem pública do Azure suportam as mesmas tecnologias nas quais milhões de programadores e profissionais de TI já confiam.
Segurança de plataforma integrada
O Azure fornece proteções de segurança predefinidas incorporadas na plataforma que ajudam a proteger os seus recursos a partir do momento em que são implementados. Para obter informações abrangentes sobre os recursos de segurança da plataforma Azure, consulte Visão geral da segurança da plataforma Azure.
- Proteção de Rede: a Proteção contra DDoS do Azure protege automaticamente os seus recursos contra ataques distribuídos de negação de serviço
- Criptografia por padrão: a criptografia de dados em repouso é habilitada por padrão para o Armazenamento do Azure, Banco de Dados SQL e muitos outros serviços
- Segurança de identidade: o Microsoft Entra ID fornece autenticação e autorização seguras para todos os serviços do Azure
- Deteção de ameaças: monitores internos de deteção de ameaças para atividades suspeitas em seus recursos do Azure
- Conformidade: o Azure mantém o maior portfólio de conformidade do setor, ajudando-o a cumprir os requisitos regulamentares
Esses controles de segurança fundamentais trabalham continuamente em segundo plano para proteger sua infraestrutura de nuvem, sem necessidade de configuração adicional para proteção básica.
Responsabilidade partilhada na cloud
Embora o Azure forneça segurança de plataforma robusta, a segurança na nuvem é uma responsabilidade compartilhada entre a Microsoft e nossos clientes. A divisão de responsabilidades depende do seu modelo de implantação (IaaS, PaaS ou SaaS):
- Responsabilidade da Microsoft: o Azure protege a infraestrutura subjacente, incluindo datacenters físicos, hardware, infraestrutura de rede e o sistema operacional host
- Sua responsabilidade: você é responsável por proteger seus dados, aplicativos, identidades e gerenciamento de acesso
Cada carga de trabalho e aplicativo é diferente, com requisitos de segurança exclusivos baseados em regulamentações do setor, sensibilidade de dados e necessidades de negócios. É aqui que os serviços avançados de segurança do Azure entram em jogo. Para obter mais informações sobre o modelo de responsabilidade compartilhada, consulte Responsabilidade compartilhada na nuvem.
Note
O foco principal deste documento são os controles voltados para o cliente que você pode usar para personalizar e aumentar a segurança de seus aplicativos e serviços.
Serviços de segurança avançados para cada carga de trabalho
Para atender aos seus requisitos de segurança exclusivos, o Azure fornece um conjunto abrangente de serviços de segurança avançados que você pode configurar e personalizar para suas necessidades específicas. Esses serviços são organizados em seis áreas funcionais: Operações, Aplicativos, Armazenamento, Rede, Computação e Identidade. Para obter um catálogo abrangente de serviços e tecnologias de segurança, consulte Serviços e tecnologias de segurança do Azure.
Além disso, o Azure fornece uma ampla variedade de opções de segurança configuráveis e a capacidade de controlá-las para que você possa personalizar a segurança para atender aos requisitos exclusivos das implantações da sua organização. Este documento ajuda você a entender como os recursos de segurança do Azure podem ajudá-lo a atender a esses requisitos.
Para obter uma vista estruturada dos controlos de segurança e linhas de base do Azure, consulte o benchmark de segurança na nuvem da Microsoft, que fornece orientações de segurança abrangentes para os serviços do Azure. Para obter informações sobre os recursos técnicos de segurança do Azure, consulte Recursos técnicos de segurança do Azure.
Segurança computacional
Proteger suas máquinas virtuais e recursos de computação é fundamental para proteger suas cargas de trabalho no Azure. O Azure fornece várias camadas de segurança de computação, desde proteções baseadas em hardware até deteção de ameaças baseada em software. Para obter informações detalhadas sobre a segurança da máquina virtual, consulte Visão geral da segurança das Máquinas Virtuais do Azure.
Lançamento confiável
Arranque confiável é o padrão para VMs do Azure de Geração 2 recém-criadas e Conjuntos de Escala de Máquina Virtual. O lançamento confiável protege contra técnicas de ataque avançadas e persistentes, incluindo kits de inicialização, rootkits e malware no nível do kernel.
O lançamento confiável fornece:
- Inicialização Segura: Protege contra a instalação de rootkits e kits de inicialização baseados em malware, garantindo que apenas sistemas operacionais e drivers assinados possam inicializar
- vTPM (virtual Trusted Platform Module): Um cofre seguro dedicado para chaves e medições que permite o atestado e a verificação da integridade da inicialização
- Monitoramento de integridade de inicialização: usa atestado por meio do Microsoft Defender for Cloud para verificar a integridade da cadeia de inicialização e alertar sobre falhas
A inicialização confiável pode ser habilitada em VMs existentes e Conjuntos de Dimensionamento de Máquina Virtual.
Computação confidencial do Azure
A computação confidencial do Azure fornece a peça final, que falta, do quebra-cabeça de proteção de dados. Ele permite que você mantenha seus dados criptografados sempre. Enquanto em repouso, quando em movimento através da rede, e agora, mesmo enquanto carregado na memória e em uso. Além disso, ao possibilitar o Atestado Remoto , ele permite que você verifique criptograficamente se a VM implantada foi inicializada com segurança e está configurada corretamente, antes de desbloquear seus dados.
O leque de opções vai desde a possibilidade de cenários de "elevação e deslocação" das aplicações existentes, até ao controlo total dos elementos de segurança. Para IaaS (infraestrutura como serviço), você pode usar:
- Máquinas virtuais confidenciais com tecnologia AMD SEV-SNP: criptografia de memória baseada em hardware com até 256 GB de memória criptografada
- VMs confidenciais com Intel TDX: extensões de domínio Intel Trust que oferecem desempenho e segurança aprimorados
- VMs confidenciais com GPUs NVIDIA H100: computação confidencial acelerada por GPU para cargas de trabalho de IA/ML
- Enclaves de aplicativos confidenciais com Intel SGX: isolamento no nível do aplicativo para código e dados confidenciais
Para a Plataforma como Serviço (PaaS), o Azure oferece várias opções de computação confidencial baseadas em contêiner, incluindo integrações com o Serviço Kubernetes do Azure (AKS).
Antimalware & Antivírus
Com a IaaS do Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro, McAfee e Kaspersky para proteger suas máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças. O Microsoft Antimalware para Máquinas Virtuais do Azure é um recurso de proteção que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware fornece alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure. O Microsoft Antimalware também pode ser implantado usando o Microsoft Defender for Cloud.
Note
Para obter proteção moderna, considere o Microsoft Defender for Servers , que fornece proteção avançada contra ameaças, incluindo EDR (endpoint detection and response) por meio da integração com o Microsoft Defender for Endpoint.
Módulo de Segurança de Hardware
A criptografia e a autenticação não melhoram a segurança, a menos que as próprias chaves estejam protegidas. Você pode simplificar o gerenciamento e a segurança de seus segredos e chaves críticos armazenando-os no Cofre de Chaves do Azure. O Key Vault oferece a opção de armazenar suas chaves em módulos de segurança de hardware (HSMs) certificados de acordo com os padrões FIPS 140-3 Nível 3 . Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados por meio do Microsoft Entra ID.
Para obter informações abrangentes sobre opções de gerenciamento de chaves, incluindo Azure Key Vault, HSM gerenciado e HSM de pagamento, consulte Gerenciamento de chaves no Azure.
Cópia de segurança da máquina virtual
O Backup do Azure é uma solução que protege os dados do seu aplicativo com investimento de capital zero e custos operacionais mínimos. Erros de aplicativos podem corromper seus dados, e erros humanos podem introduzir bugs em seus aplicativos que podem levar a problemas de segurança. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.
Azure Site Recovery
Uma parte importante da estratégia de continuidade de negócios/recuperação de desastres (BCDR) da sua organização é descobrir como manter as cargas de trabalho e os aplicativos corporativos em funcionamento quando ocorrem interrupções planejadas e não planejadas. O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal ficar inativo.
SQL VM TDE
A criptografia de dados transparente (TDE) e a criptografia no nível da coluna (CLE) são recursos de criptografia do SQL Server. Essa forma de criptografia exige que os clientes gerenciem e armazenem as chaves criptográficas que você usa para criptografia.
O serviço Azure Key Vault (AKV) foi projetado para melhorar a segurança e o gerenciamento dessas chaves em um local seguro e altamente disponível. O SQL Server Connector permite que o SQL Server use essas chaves do Cofre de Chaves do Azure.
Se você estiver executando o SQL Server com máquinas locais, há etapas que você pode seguir para acessar o Cofre de Chaves do Azure a partir de sua instância local do SQL Server. Mas para o SQL Server em VMs do Azure, você pode economizar tempo usando o recurso de Integração do Cofre da Chave do Azure. Com alguns cmdlets do Azure PowerShell para habilitar esse recurso, você pode automatizar a configuração necessária para que uma VM SQL acesse seu cofre de chaves.
Para obter uma lista abrangente das práticas recomendadas de segurança de banco de dados, consulte Lista de verificação de segurança do banco de dados do Azure.
Criptografia de disco VM
Importante
O Azure Disk Encryption está programado para ser descontinuado a 15 de setembro de 2028. Até essa data, pode continuar a usar o Azure Disk Encryption sem interrupções. A 15 de setembro de 2028, cargas de trabalho com ADE continuarão a funcionar, mas os discos encriptados não conseguirão desbloquear após o reinício da VM, resultando em interrupção do serviço.
Use encriptação no host para novas VMs. Todas as VMs habilitadas por ADE (incluindo backups) devem migrar para encriptação no host antes da data de desativação para evitar interrupções do serviço. Consulte Migrar de Encriptação de Disco Azure para Encriptação no Host para mais detalhes.
Para criptografia de máquina virtual moderna, o Azure oferece:
- Criptografia no host: fornece criptografia de ponta a ponta para dados de VM, incluindo discos temporários e caches de SO/disco de dados
- Criptografia de disco confidencial: disponível com VMs confidenciais para criptografia baseada em hardware
- Criptografia do lado do servidor com chaves gerenciadas pelo cliente: gerencie suas próprias chaves de criptografia por meio do Cofre de Chaves do Azure
Para obter mais informações, consulte Visão geral das opções de criptografia de disco gerenciado.
Redes virtuais
As máquinas virtuais precisam de conectividade de rede. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais estejam conectadas a uma Rede Virtual do Azure. Uma Rede Virtual do Azure é uma construção lógica criada sobre a malha de rede física do Azure. Cada Rede Virtual do Azure lógica é isolada de todas as outras Redes Virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Atualizações de patches
As atualizações de patch fornecem a base para encontrar e corrigir possíveis problemas e simplificam o processo de gerenciamento de atualizações de software, reduzindo o número de atualizações de software que você deve implantar em sua empresa e aumentando sua capacidade de monitorar a conformidade.
Gerenciamento e relatórios de políticas de segurança
O Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças e proporciona-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Segurança de aplicações
A segurança de aplicativos se concentra em proteger seus aplicativos contra ameaças durante todo o ciclo de vida — do desenvolvimento à implantação e tempo de execução. O Azure fornece ferramentas abrangentes para desenvolvimento, teste e proteção seguros de aplicativos. Para obter diretrizes de desenvolvimento de aplicativos seguros, consulte Desenvolver aplicativos seguros no Azure. Para obter as práticas recomendadas de segurança específicas de PaaS, consulte Protegendo implantações de PaaS. Para segurança de implantação de IaaS, consulte Práticas recomendadas de segurança para cargas de trabalho IaaS no Azure.
Testes de penetração
Não realizamos testes de penetração de seu aplicativo para você, mas entendemos que você deseja e precisa realizar testes em seus próprios aplicativos. A notificação da Microsoft sobre atividades de teste de caneta não é mais necessária, os clientes ainda devem estar em conformidade com as Regras de Engajamento do Microsoft Cloud Penetration Testing.
Firewall de aplicativos Web
O Firewall de Aplicativo Web (WAF) no Gateway de Aplicativo do Azure fornece proteção para aplicativos Web contra ataques comuns baseados na Web, como injeção de SQL, scripts entre sites e sequestro de sessão. Ele é pré-configurado para se defender contra as 10 principais vulnerabilidades identificadas pelo Open Web Application Security Project (OWASP).
Autenticação e autorização no Serviço de Aplicações do Azure
Autenticação/Autorização do Serviço de Aplicações é uma funcionalidade que permite ao seu aplicativo fazer login de utilizadores, para que não seja necessário alterar o código no back-end da aplicação. Ele fornece uma maneira fácil de proteger seu aplicativo e trabalhar com dados por usuário.
Arquitetura de segurança em camadas
Como os Ambientes do Serviço de Aplicativo fornecem um ambiente de tempo de execução isolado implantado em uma Rede Virtual do Azure, os desenvolvedores podem criar uma arquitetura de segurança em camadas fornecendo diferentes níveis de acesso à rede para cada camada de aplicativo. É comum ocultar back-ends de API do acesso geral à Internet e permitir que apenas APIs sejam chamadas por aplicativos Web upstream. Os NSGs (grupos de Segurança de Rede) podem ser usados em sub-redes da Rede Virtual do Azure que contêm Ambientes do Serviço de Aplicativo para restringir o acesso público a aplicativos de API.
Os aplicativos Web do Serviço de Aplicativo oferecem recursos de diagnóstico robustos para capturar logs do servidor Web e do aplicativo Web. Esses diagnósticos são categorizados em diagnósticos de servidor Web e diagnósticos de aplicativos. O diagnóstico do servidor Web inclui avanços significativos para diagnosticar e solucionar problemas de sites e aplicativos.
O primeiro novo recurso são informações de estado em tempo real sobre pools de aplicativos, processos de trabalho, sites, domínios de aplicativos e solicitações em execução. As segundas novas vantagens são os eventos de rastreamento detalhados que rastreiam uma solicitação durante todo o processo completo de solicitação e resposta.
Para habilitar a coleta desses eventos de rastreamento, o IIS 7 pode ser configurado para capturar automaticamente logs de rastreamento abrangentes em formato XML para solicitações específicas. A coleção pode ser baseada no tempo decorrido ou nos códigos de erro de resposta.
Segurança de armazenamento
A segurança do armazenamento é essencial para proteger os seus dados em repouso e em trânsito. O Azure fornece várias camadas de criptografia, controles de acesso e recursos de monitoramento para garantir que seus dados permaneçam seguros. Para obter informações detalhadas sobre criptografia de dados, consulte Visão geral da criptografia do Azure. Para obter opções de gerenciamento de chaves, consulte Gerenciamento de chaves no Azure. Para obter as práticas recomendadas de criptografia de dados, consulte Práticas recomendadas de criptografia e segurança de dados do Azure.
Controlo de acesso baseado em funções do Azure (RBAC do Azure)
Você pode proteger sua conta de armazenamento com o controle de acesso baseado em função do Azure (Azure RBAC). Restringir o acesso com base na necessidade de conhecer e privilégios mínimos dos princípios de segurança é imperativo para organizações que desejam aplicar políticas de segurança para acesso a dados. Esses direitos de acesso são concedidos atribuindo a função apropriada do Azure a grupos e aplicativos em um determinado escopo. Você pode usar funções internas do Azure, como Colaborador da Conta de Armazenamento, para atribuir privilégios aos usuários. O acesso às chaves de armazenamento de uma conta de armazenamento usando o modelo do Azure Resource Manager pode ser controlado por meio do Azure RBAC.
Assinatura de Acesso Partilhado
As assinaturas de acesso partilhado (SAS) disponibilizam acesso delegado a recursos na sua conta de armazenamento. A SAS significa que você pode conceder a um cliente permissões limitadas para objetos em sua conta de armazenamento por um período especificado e com um conjunto especificado de permissões. Pode conceder estas permissões limitadas sem ter de partilhar as chaves de acesso da sua conta.
Encriptação em Trânsito
A encriptação em trânsito é um mecanismo de proteção de dados quando estes são transmitidos através de redes. Com o Armazenamento do Azure, você pode proteger os dados usando:
Criptografia no nível de transporte, como HTTPS quando você transfere dados para dentro ou para fora do Armazenamento do Azure.
Criptografia de fio, como a criptografia SMB 3.0 para compartilhamentos de arquivos do Azure.
Criptografia do lado do cliente, para criptografar os dados antes de serem transferidos para o armazenamento e para descriptografar os dados depois de serem transferidos para fora do armazenamento.
Encriptação em repouso
Para muitas organizações, a criptografia de dados em repouso é um passo obrigatório para a privacidade, conformidade e soberania de dados. Há três recursos de segurança de armazenamento do Azure que fornecem criptografia de dados em repouso:
A Criptografia do Serviço de Armazenamento permite que você solicite que o serviço de armazenamento criptografe automaticamente os dados ao gravá-los no Armazenamento do Azure.
A criptografia do lado do cliente também fornece o recurso de criptografia em repouso.
Azure Disk Encryption para VMs Linux e Azure Disk Encryption para VMs Windows permitem encriptar os discos do sistema operativo e os discos de dados usados por uma máquina virtual IaaS.
Análise de Armazenamento
O Azure Storage Analytics executa o registro em log e fornece dados de métricas para uma conta de armazenamento. Pode utilizar estes dados para rastrear pedidos, analisar tendências de utilização e diagnosticar problemas relacionados com a sua conta de armazenamento. A Análise de Armazenamento regista informações detalhadas sobre os pedidos com êxito e com falha feitos a um serviço de armazenamento. Estas informações podem ser utilizadas para monitorizar os pedidos individuais e diagnosticar problemas num serviço de armazenamento. As solicitações são registadas com o melhor esforço possível. São registados os seguintes tipos de pedidos autenticados:
- Pedidos bem-sucedidos.
- Solicitações com falha, incluindo tempo limite, limitação, rede, autorização e outros erros.
- Solicitações usando uma Assinatura de Acesso Compartilhado (SAS), incluindo solicitações com falha e bem-sucedidas.
- Solicitações para dados analíticos.
Habilitando clientes baseados em navegador usando CORS
O Cross-Origin Resource Sharing (CORS) é um mecanismo que permite que os domínios dêem permissão uns aos outros para acessar os recursos uns dos outros. O User Agent envia cabeçalhos extras para garantir que o código JavaScript carregado de um determinado domínio tenha permissão para acessar recursos localizados em outro domínio. O último domínio então responde com cabeçalhos extras permitindo ou negando o acesso do domínio original aos seus recursos.
Os serviços de armazenamento do Azure agora oferecem suporte ao CORS para que, depois de definir as regras do CORS para o serviço, uma solicitação devidamente autenticada feita no serviço de um domínio diferente seja avaliada para determinar se ele é permitido de acordo com as regras especificadas.
Segurança de rede
A segurança de rede controla como o tráfego flui de e para seus recursos do Azure. O Azure fornece um conjunto abrangente de serviços de segurança de rede, desde firewalls básicos até proteção avançada contra ameaças e balanceamento de carga global. Para obter informações abrangentes sobre segurança de rede, consulte Visão geral da segurança de rede do Azure. Para obter as práticas recomendadas de segurança de rede, consulte Práticas recomendadas de segurança de rede do Azure.
Controles de camada de rede
O controle de acesso à rede é o ato de limitar a conectividade de e para dispositivos ou sub-redes específicos e representa o núcleo da segurança da rede. O objetivo do controle de acesso à rede é garantir que suas máquinas virtuais e serviços sejam acessíveis apenas a usuários e dispositivos aos quais você deseja que eles sejam acessíveis.
Grupos de Segurança de Rede
Um NSG (Network Security Group) é um firewall básico de filtragem de pacotes com monitoração de estado e permite controlar o acesso com base em cinco tuplas. Os NSGs não fornecem inspeção da camada de aplicativo ou controles de acesso autenticados. Eles podem ser usados para controlar o tráfego que se move entre sub-redes dentro de uma Rede Virtual do Azure e o tráfego entre uma Rede Virtual do Azure e a Internet.
Azure Firewall
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.
O Firewall do Azure é oferecido em três SKUs: Basic, Standard e Premium:
- Azure Firewall Basic - Concebido para pequenas e médias empresas, oferecendo proteção essencial a um preço acessível
- Azure Firewall Standard - Fornece filtragem L3-L7, feeds de inteligência de ameaças do Microsoft Cyber Security e pode ser dimensionado para 30 Gbps
-
Azure Firewall Premium - Proteção avançada contra ameaças para ambientes altamente sensíveis e regulamentados com:
- Inspeção TLS: descriptografa o tráfego de saída, processa-o em busca de ameaças e, em seguida, criptografa novamente antes de enviar para o destino
- IDPS (Intrusion Detection and Prevention System): IDPS baseado em assinatura com mais de 67.000 assinaturas em mais de 50 categorias, atualizado com 20-40+ novas regras diariamente
- Filtragem de URL: estende a filtragem FQDN para considerar todo o caminho da URL
- Categorias avançadas da Web: categorização aprimorada com base em URLs completas para tráfego HTTP e HTTPS
- Desempenho aprimorado: Escala até 100 Gbps com suporte a fluxo de gordura de 10 Gbps
- Conformidade com PCI DSS: atende aos requisitos do padrão de segurança de dados do setor de cartões de pagamento
O Firewall Premium do Azure é essencial para a proteção contra ransomware, pois pode detetar e bloquear a conectividade de Comando e Controle (C&C) usada por ransomware para buscar chaves de criptografia. Saiba mais sobre a proteção contra ransomware com o Firewall do Azure.
Azure DDoS Protection
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, oferece recursos aprimorados para defesa contra ataques DDoS. Ele é ajustado automaticamente para proteger seus recursos específicos do Azure em uma rede virtual. Habilitar a proteção é simples em qualquer rede virtual nova ou existente e não requer alterações em seus aplicativos ou recursos.
A Proteção contra DDoS do Azure oferece duas camadas: Proteção de Rede DDoS e Proteção IP DDoS.
Proteção de rede DDoS - Fornece recursos aprimorados para defesa contra ataques distribuídos de negação de serviço (DDoS). Ele opera nas camadas de rede 3 e 4 e inclui recursos avançados, como suporte de resposta rápida DDoS, proteção de custos e descontos no Web Application Firewall (WAF).
Proteção IP DDoS - Segue um modelo de pagamento por IP protegido. Inclui os mesmos recursos principais de engenharia que a Proteção contra DDoS na Rede, mas não oferece serviços adicionais como suporte de resposta rápida a DDoS, proteção de custos e descontos no Firewall de Aplicações Web (WAF).
Controlo de Rotas e Tunelamento Forçado
A capacidade de controlar o comportamento de roteamento em suas Redes Virtuais do Azure é um recurso crítico de segurança de rede e controle de acesso. Por exemplo, se você quiser garantir que todo o tráfego de e para sua Rede Virtual do Azure passe por esse dispositivo de segurança virtual, você precisa ser capaz de controlar e personalizar o comportamento de roteamento. Você pode fazer isso configurando Rotas Definidas pelo Usuário no Azure.
Rotas Definidas pelo Utilizador permitem personalizar os caminhos de entrada e saída para o tráfego nas máquinas virtuais ou sub-redes individuais, garantindo a rota mais segura possível. O túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet.
Isso é diferente de ser capaz de aceitar conexões de entrada e, em seguida, responder a elas. Os servidores Web front-end precisam responder a solicitações de hosts da Internet e, portanto, o tráfego originado da Internet é permitido entrar nesses servidores Web e os servidores Web podem responder.
O túnel forçado é comumente usado para forçar o tráfego de saída para a Internet a passar por proxies de segurança e firewalls locais.
Dispositivos de segurança de rede virtual
Embora os Grupos de Segurança de Rede, as Rotas Definidas pelo Usuário e o túnel forçado forneçam um nível de segurança nas camadas de rede e transporte do modelo OSI, poderá haver casos em que queira habilitar a segurança em níveis mais altos da pilha. Você pode acessar esses recursos avançados de segurança de rede usando uma solução de dispositivo de segurança de rede de parceiro do Azure. Pode encontrar as soluções de segurança de rede de parceiros do Azure mais recentes visitando o Azure Marketplace e procurando segurança e segurança de rede.
Rede Virtual do Azure
Uma rede virtual do Azure (VNet) é uma representação da sua própria rede na nuvem. É um isolamento lógico da malha de rede do Azure dedicada à sua assinatura. Pode controlar totalmente os blocos de endereços IP, as definições de DNS, as políticas de segurança e as tabelas de rotas dentro desta rede. Você pode segmentar sua VNet em sub-redes e colocar máquinas virtuais (VMs) IaaS do Azure em Redes Virtuais do Azure.
Além disso, você pode conectar a rede virtual à sua rede local usando uma das opções de conectividade disponíveis no Azure. Essencialmente, pode expandir a sua rede para o Azure, com controlo total sobre blocos de endereços IP com a vantagem da escala empresarial que o Azure oferece.
A rede do Azure dá suporte a vários cenários de acesso remoto seguro. Algumas delas incluem:
Conectar estações de trabalho individuais a uma Rede Virtual do Azure
Conectar a rede local a uma Rede Virtual do Azure com uma VPN
Conectar a rede local a uma Rede Virtual do Azure com um link WAN dedicado
Azure Virtual Network Manager
O Azure Virtual Network Manager fornece uma solução centralizada para gerir e proteger as suas redes virtuais em escala. Ele usa regras de administração de segurança para definir e aplicar centralmente políticas de segurança em toda a organização. As regras de administração de segurança têm precedência sobre as regras de grupo de segurança de rede (NSGs) e são aplicadas na rede virtual. Isso permite que as organizações apliquem políticas principais com regras de administração de segurança, ao mesmo tempo em que permite que as equipes downstream adaptem os NSGs de acordo com suas necessidades específicas nos níveis de sub-rede e NIC.
Dependendo das necessidades da sua organização, pode usar ações de regra Permitir, Negar ou Sempre Permitir para impor políticas de segurança.
| Ação da regra | Description |
|---|---|
| Allow | Permite o tráfego especificado por padrão. Os NSGs a jusante ainda recebem esse tráfego e podem negá-lo. |
| Permitir sempre | Sempre permita o tráfego especificado, independentemente de outras regras com prioridade mais baixa ou dos NSGs. Isso pode ser usado para garantir que o agente de monitoramento, o controlador de domínio ou o tráfego de gerenciamento não seja bloqueado. |
| Deny | Bloqueie o tráfego especificado. Os NSGs downstream não avaliarão esse tráfego depois de serem negados por uma regra de administração de segurança, garantindo que suas portas de alto risco para redes virtuais novas e existentes estejam protegidas por padrão. |
No Gerenciador de Rede Virtual do Azure, os grupos de rede permitem agrupar redes virtuais para gerenciamento centralizado e imposição de políticas de segurança. Os grupos de rede são um agrupamento lógico de redes virtuais com base nas suas necessidades do ponto de vista da topologia e da segurança. Você pode atualizar manualmente a associação de rede virtual de seus grupos de rede ou pode definir instruções condicionais com a Política do Azure para atualizar dinamicamente os grupos de rede para atualizar automaticamente sua associação de grupo de rede.
Azure Private Link
O Azure Private Link permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços de parceiros/de propriedade do cliente hospedados pelo Azure de forma privada em sua rede virtual por meio de um ponto de extremidade privado. A configuração e o consumo através do Azure Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros partilhados. O tráfego da sua rede virtual para o serviço do Azure permanece sempre na rede de backbone do Microsoft Azure.
Os Pontos de Extremidade Privados permitem que você proteja seus recursos críticos de serviço do Azure apenas para suas redes virtuais. O Ponto de Extremidade Privado do Azure usa um endereço IP privado de sua rede virtual para conectá-lo de forma privada e segura a um serviço alimentado pelo Azure Private Link, trazendo efetivamente o serviço para sua rede virtual. Expor sua rede virtual à Internet pública não é mais necessário para consumir serviços no Azure.
Você também pode criar seu próprio serviço de link privado em sua rede virtual. O serviço Azure Private Link é a referência ao seu próprio serviço que é alimentado pelo Azure Private Link. O seu serviço que atua por trás do Azure Standard Load Balancer pode ser habilitado para acesso através de Private Link, para que os utilizadores do seu serviço possam aceder-lhe de forma privada a partir das suas próprias redes virtuais. Os seus clientes podem criar um ponto de extremidade privado dentro da sua rede virtual e associá-lo a este serviço. Expor seu serviço à Internet pública não é mais necessário para renderizar serviços no Azure.
Gateway de VPN
Para enviar tráfego de rede entre sua Rede Virtual do Azure e seu site local, você deve criar um gateway VPN para sua Rede Virtual do Azure. Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego criptografado através de uma conexão pública. Também pode utilizar gateways VPN para enviar tráfego entre as Redes Virtuais do Azure através da malha de rede do Azure.
Rota Expressa
O Microsoft Azure ExpressRoute é um link WAN dedicado que permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada dedicada facilitada por um provedor de conectividade.
Com o ExpressRoute, pode estabelecer ligação aos serviços cloud da Microsoft, como o Microsoft Azure e o Microsoft 365. A conectividade pode ser feita a partir de uma rede any-to-any (VPN IP), uma rede Ethernet ponto a ponto ou uma ligação cruzada virtual através de um fornecedor de conectividade num centro de colocalização.
As conexões ExpressRoute não passam pela Internet pública e, portanto, podem ser consideradas mais seguras do que as soluções baseadas em VPN. Tal permite que as ligações do ExpressRoute ofereçam mais fiabilidade, velocidades superiores, latências inferiores e uma maior segurança do que as ligações típicas através da Internet.
Gateway de Aplicação
O Gateway de Aplicações do Microsoft Azure fornece um Application Delivery Controller (ADC) como um serviço, oferecendo várias capacidades de balanceamento de carga de camada 7 para a sua aplicação.
Ele permite otimizar a produtividade da web farm descarregando a terminação TLS intensiva da CPU para o Application Gateway (também conhecido como descarregamento TLS ou ponte TLS). Ele também fornece outros recursos de encaminhamento de Camada 7, incluindo distribuição equitativa (round-robin) de tráfego de entrada, afinidade de sessão baseada em cookies, encaminhamento baseado em caminho de URL e a capacidade de hospedar vários sites atrás de um único Gateway de Aplicação. O Application Gateway do Azure é um balanceador de carga de 7 camadas.
Fornece alternância em caso de falha e encaminhamento de desempenho de pedidos HTTP entre diversos servidores, estejam eles na nuvem ou localmente.
O aplicativo fornece muitos recursos do Application Delivery Controller (ADC), incluindo balanceamento de carga HTTP, afinidade de sessão baseada em cookie, descarregamento TLS, testes de integridade personalizados, suporte para vários locais e muitos outros.
Firewall de Aplicações Web
O Firewall de Aplicações Web é uma funcionalidade do Gateway de Aplicações do Azure que fornece proteção às aplicações web que utilizam o gateway de aplicações para funções padrão de Controlo de Entrega de Aplicações (ADC). A Firewall de aplicações Web fá-lo ao protegê-las contra a maioria das 10 principais vulnerabilidades Web da OWASP.
Proteção contra injeção de SQL
Proteção contra ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos
Proteção contra violações de protocolo HTTP
Proteção contra anomalias do protocolo HTTP, como host ausente, agente do usuário e cabeçalhos de aceitação
Prevenção contra bots, crawlers e scanners
Deteção de configurações incorretas comuns de aplicativos (por exemplo, Apache, IIS)
Um firewall centralizado de aplicativos da Web (WAF) simplifica o gerenciamento de segurança e aumenta a proteção contra ataques da Web. Ele fornece melhor garantia contra ameaças de intrusão e pode responder mais rapidamente a ameaças de segurança corrigindo vulnerabilidades conhecidas centralmente, em vez de proteger cada aplicativo Web individual. Os gateways de aplicativos existentes podem ser facilmente atualizados para incluir um firewall de aplicativo Web.
Azure Front Door
O Azure Front Door é um ponto de entrada global e escalável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escaláveis. A porta da frente oferece:
- Balanceamento de carga global: distribua o tráfego entre vários back-ends em diferentes regiões
- Integrated Web Application Firewall: Proteja-se contra vulnerabilidades e ataques comuns da Web
- Proteção contra DDoS: proteção integrada contra ataques distribuídos de negação de serviço
- Descarregamento de SSL/TLS: gerenciamento centralizado de certificados e criptografia de tráfego
- Roteamento baseado em URL: roteie o tráfego para diferentes back-ends com base em padrões de URL
O Front Door combina entrega de conteúdo, aceleração de aplicativos e segurança em um único serviço.
Gestor de Tráfego
O Gerenciador de Tráfego do Microsoft Azure permite controlar a distribuição do tráfego de usuários para pontos de extremidade de serviço em diferentes datacenters. Os pontos de extremidade de serviço suportados pelo Gerenciador de Tráfego incluem VMs do Azure, Aplicativos Web e serviços de nuvem. Também pode utilizar o Gestor de Tráfego com pontos finais externos, não pertencentes ao Azure.
O Gerenciador de Tráfego usa o DNS (Sistema de Nomes de Domínio) para direcionar as solicitações do cliente para o ponto de extremidade mais apropriado com base em um método de roteamento de tráfego e na integridade dos pontos de extremidade. O Gerenciador de Tráfego fornece uma variedade de métodos de roteamento de tráfego para atender a diferentes necessidades de aplicativos, monitoramento da integridade do endpoint e failover automático. O Gestor de Tráfego é resiliente a falhas, incluindo a falhas numa região do Azure inteira.
Azure Load Balancer
O Balanceador de Carga do Azure oferece elevada disponibilidade e elevado desempenho de rede às suas aplicações. É um balanceador de carga de Camada 4 (TCP, UDP) que distribui o tráfego de entrada pelas instâncias saudáveis de serviços definidos num conjunto balanceado. O Azure Load Balancer pode ser configurado para:
Balanceie a carga do tráfego de entrada da Internet para máquinas virtuais. Essa configuração é conhecida como balanceamento de carga pública.
Balanceie a carga do tráfego entre máquinas virtuais em uma rede virtual, entre máquinas virtuais em serviços de nuvem ou entre computadores locais e máquinas virtuais em uma rede virtual entre locais. Essa configuração é conhecida como balanceamento de carga interno.
Encaminhar tráfego externo para uma máquina virtual específica
DNS interno
Você pode gerenciar a lista de servidores DNS usados em uma rede virtual no Portal de Gerenciamento ou no arquivo de configuração de rede. O cliente pode adicionar até 12 servidores DNS para cada rede virtual. Ao especificar servidores DNS, é importante verificar se você lista os servidores DNS do cliente na ordem correta para o ambiente do cliente. As listas de servidores DNS não funcionam por rodízio. Eles são usados na ordem em que são especificados. Se o primeiro servidor DNS da lista puder ser alcançado, o cliente usará esse servidor DNS independentemente de o servidor DNS estar funcionando corretamente ou não. Para alterar a ordem do servidor DNS para a rede virtual do cliente, remova os servidores DNS da lista e adicione-os novamente na ordem desejada pelo cliente. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
DNS do Azure
O Sistema de Nomes de Domínio, ou DNS, é responsável por traduzir (ou resolver) um nome de site ou serviço para o seu endereço IP. O DNS do Azure é um serviço de hospedagem para domínios DNS, fornecendo resolução de nomes usando a infraestrutura do Microsoft Azure. Ao alojar os seus domínios no Azure, pode gerir os recursos DNS com as mesmas credenciais, APIs, ferramentas e faturação dos seus outros serviços do Azure. O DNS suporta o aspeto de disponibilidade da tríade de segurança "CIA".
Azure Monitor registra NSGs
Você pode habilitar as seguintes categorias de log de diagnóstico para NSGs:
Evento: contém entradas para as quais as regras NSG são aplicadas a VMs e funções de instância com base no endereço MAC. O status dessas regras é coletado a cada 60 segundos.
Contador de regras. Contém entradas que indicam quantas vezes cada regra NSG é aplicada para negar ou permitir tráfego.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud analisa continuamente o estado de segurança dos seus recursos do Azure para obter as melhores práticas de segurança de rede. Quando o Defender for Cloud identifica potenciais vulnerabilidades de segurança, cria recomendações que o guiam através do processo de configuração dos controlos necessários para proteger os seus recursos.
Serviços avançados de rede de contêiner (ACNS)
O ACNS (Advanced Container Networking Services) é um pacote abrangente projetado para elevar a eficiência operacional de seus clusters do Serviço Kubernetes do Azure (AKS). Ele fornece recursos avançados de segurança e observabilidade, abordando as complexidades do gerenciamento de infraestrutura de microsserviços em escala.
Estas características dividem-se em dois pilares principais:
Segurança: Para clusters que usam o Azure CNI Powered by Cilium, as políticas de rede incluem filtragem FQDN (nome de domínio totalmente qualificado) para resolver as complexidades da manutenção da configuração.
Observabilidade: Este recurso do pacote Advanced Container Networking Services traz o poder do plano de controle do Hubble para os planos de dados Cilium e não-Cilium Linux, fornecendo visibilidade aprimorada sobre a rede e o desempenho.
Gestão e operações de segurança
Gerenciar e monitorar a segurança do seu ambiente do Azure é essencial para manter uma postura de segurança forte. O Azure fornece ferramentas abrangentes para operações de segurança, deteção de ameaças e resposta a incidentes. Para obter uma cobertura detalhada do gerenciamento e monitoramento de segurança, consulte Visão geral de gerenciamento e monitoramento de segurança do Azure. Para obter as práticas recomendadas de segurança operacional, consulte Práticas recomendadas de segurança operacional do Azure. Para obter uma visão geral abrangente da segurança operacional, consulte Visão geral da segurança operacional do Azure.
Microsoft Sentinel
O Microsoft Sentinel é uma solução escalável e nativa da nuvem de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel fornece análises de segurança inteligentes e informações sobre ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, visibilidade de ameaças, investigação proativa e resposta a ameaças.
O Microsoft Sentinel agora está disponível no portal do Microsoft Defender para todos os clientes, oferecendo uma experiência unificada de operações de segurança que simplifica os fluxos de trabalho e aumenta a visibilidade. A integração com o Security Copilot permite que os analistas interajam com os dados do Microsoft Sentinel usando linguagem natural, gerem consultas de caça e automatizem investigações para uma resposta mais rápida a ameaças.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. O Microsoft Defender for Cloud fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
O Microsoft Defender for Cloud oferece proteção abrangente com planos específicos de carga de trabalho, incluindo:
- Defender for Servers - Proteção avançada contra ameaças para servidores Windows e Linux
- Defender for Containers - Segurança para aplicativos em contêineres e Kubernetes
- Defender for Storage - Deteção de ameaças com verificação de malware e descoberta de dados confidenciais
- Defender for Databases - Proteção para Azure SQL, Banco de Dados do Azure para MySQL e PostgreSQL
- Defender for AI Services - Proteção em tempo de execução para serviços de IA do Azure contra tentativas de jailbreak, exposição de dados e padrões de acesso suspeitos
- Defender CSPM - Gerenciamento de postura de segurança na nuvem com análise de caminho de ataque, governança de segurança e gerenciamento de postura de segurança de IA
Além disso, o Defender for Cloud ajuda nas operações de segurança, fornecendo um único painel que exibe alertas e recomendações que podem ser acionados imediatamente. A integração do Security Copilot fornece resumos gerados por IA, scripts de correção e recursos de delegação para acelerar a correção de riscos.
Para obter recursos abrangentes de deteção de ameaças no Azure, consulte Proteção contra ameaças do Azure.
Azure Resource Manager
O Azure Resource Manager permite que você trabalhe com os recursos em sua solução como um grupo. Pode implementar, atualizar ou eliminar todos os recursos da sua solução numa operação única e coordenada. Você usa um modelo do Azure Resource Manager para implantação e esse modelo pode funcionar para diferentes ambientes, como teste, preparo e produção. O Resource Manager fornece funcionalidades de segurança, auditoria e etiquetagem para o ajudar a gerir os recursos após a implementação.
As implantações baseadas em modelo do Azure Resource Manager ajudam a melhorar a segurança das soluções implantadas no Azure porque as configurações de controle de segurança padrão podem ser integradas em implantações padronizadas baseadas em modelos. Os modelos reduzem o risco de erros de configuração de segurança que podem ocorrer durante implantações manuais.
Application Insights
O Application Insights é um serviço flexível de Gerenciamento de Desempenho de Aplicativos (APM) projetado para desenvolvedores da Web. Ele permite que você monitore seus aplicativos da Web ao vivo e detete automaticamente problemas de desempenho. Com poderosas ferramentas de análise, pode diagnosticar problemas e obter informações sobre as interações dos utilizadores com as suas aplicações. O Application Insights monitora seu aplicativo continuamente, desde o desenvolvimento até os testes e a produção.
O Application Insights gera gráficos e tabelas perspicazes que revelam os tempos de pico de atividade do usuário, a capacidade de resposta do aplicativo e o desempenho de quaisquer serviços externos dos quais ele depende.
Se houver quedas de sistema, falhas ou problemas de desempenho, pode examinar os dados em detalhe para diagnosticar a causa. E o serviço envia e-mails se houver alguma alteração na disponibilidade e no desempenho do seu aplicativo. O Application Insight torna-se, assim, uma ferramenta de segurança valiosa porque ajuda com a disponibilidade na tríade de segurança confidencialidade, integridade e disponibilidade.
Azure Monitor
O Azure Monitor oferece visualização, consulta, roteamento, alerta, dimensionamento automático e automação em dados da assinatura do Azure (Log de Atividades) e de cada recurso individual do Azure (Logs de Recursos). Você pode usar o Azure Monitor para alertá-lo sobre eventos relacionados à segurança gerados nos logs do Azure.
Registos do Azure Monitor
Os logs do Azure Monitor fornecem uma solução de gerenciamento de TI para infraestrutura local e baseada em nuvem de terceiros (como Amazon Web Services), além dos recursos do Azure. Os dados do Azure Monitor podem ser roteados diretamente para os logs do Azure Monitor para que você possa ver métricas e logs para todo o seu ambiente em um só lugar.
Os logs do Azure Monitor podem ser uma ferramenta útil em análises forenses e outras análises de segurança, pois a ferramenta permite pesquisar rapidamente grandes quantidades de entradas relacionadas à segurança com uma abordagem de consulta flexível. Além disso, o firewall local e os logs de proxy podem ser exportados para o Azure e disponibilizados para análise usando os logs do Azure Monitor.
Assistente do Azure
O Azure Advisor é um consultor de nuvem personalizado que ajuda você a otimizar suas implantações do Azure. Ele analisa seus dados de configuração e uso de recursos. Em seguida, recomenda soluções para ajudar a melhorar o desempenho, a segurança e a fiabilidade dos seus recursos enquanto procura oportunidades para reduzir os seus gastos gerais com o Azure. O Consultor do Azure fornece recomendações de segurança, que podem melhorar significativamente sua postura geral de segurança para soluções implantadas no Azure. Essas recomendações são extraídas da análise de segurança realizada pelo Microsoft Defender for Cloud.
Gestão de identidades e acessos
A identidade é o principal perímetro de segurança na computação em nuvem. Proteger identidades e controlar o acesso a recursos é fundamental para proteger seu ambiente do Azure. O Microsoft Entra ID fornece recursos abrangentes de gerenciamento de identidade e acesso. Para obter informações detalhadas, consulte Visão geral do gerenciamento de identidades do Azure. Para obter as práticas recomendadas de gerenciamento de identidade, consulte Práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure. Para obter orientação sobre como proteger a infraestrutura de identidade, consulte Cinco etapas para proteger sua infraestrutura de identidade.
Microsoft Entra ID
O Microsoft Entra ID é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Dispõe o seguinte:
- Single Sign-On (SSO): permite que os usuários acessem vários aplicativos com um conjunto de credenciais
- Multi-Factor Authentication (MFA): Requer várias formas de verificação para iniciar sessão
- Acesso condicional: controle o acesso aos recursos com base no usuário, dispositivo, localização e risco
- Proteção de identidade: detete e responda a riscos baseados em identidade
- Gerenciamento privilegiado de identidades (PIM): fornece acesso privilegiado just-in-time aos recursos do Azure
- Governança de identidade: gerencie o ciclo de vida da identidade e os direitos de acesso
Controlo de Acesso Baseado em Funções (RBAC)
O controle de acesso baseado em função (RBAC) do Azure ajuda você a gerenciar quem tem acesso aos recursos do Azure, o que eles podem fazer com esses recursos e a quais áreas eles têm acesso. O RBAC fornece gerenciamento de acesso refinado para recursos do Azure, permitindo que você conceda aos usuários apenas os direitos de que eles precisam para executar seus trabalhos.
Gerenciamento de identidades privilegiadas do Microsoft Entra
O Microsoft Entra Privileged Identity Management (PIM) permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. O PIM fornece ativação de função baseada em tempo e aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou usadas indevidamente.
Identidades gerenciadas para recursos do Azure
As identidades gerenciadas para recursos do Azure fornecem aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Pode utilizar esta identidade para se autenticar em qualquer serviço que suporte a autenticação do Microsoft Entra sem ter credenciais no código.
As atualizações de patch fornecem a base para encontrar e corrigir possíveis problemas e simplificam o processo de gerenciamento de atualizações de software, reduzindo o número de atualizações de software que você deve implantar em sua empresa e aumentando sua capacidade de monitorar a conformidade.
Gerenciamento e relatórios de políticas de segurança
O Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças e proporciona-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.
Identidade segura
A Microsoft usa várias práticas e tecnologias de segurança em seus produtos e serviços para gerenciar identidade e acesso.
A autenticação multifator exige que os usuários usem vários métodos de acesso, no local e na nuvem. Ele fornece autenticação forte com uma variedade de opções de verificação fáceis, enquanto acomoda os usuários com um processo de login simples.
O Microsoft Authenticator fornece uma experiência de autenticação multifator amigável que funciona com o Microsoft Entra ID e contas da Microsoft e inclui suporte para wearables e aprovações baseadas em impressão digital.
A aplicação da política de senha aumenta a segurança das senhas tradicionais, impondo requisitos de comprimento e complexidade, rotação periódica forçada e bloqueio de conta após tentativas de autenticação falhadas.
A autenticação baseada em tokens permite a autenticação por meio do Microsoft Entra ID.
O controle de acesso baseado em função do Azure (Azure RBAC) permite que você conceda acesso com base na função atribuída ao usuário, facilitando dar aos usuários apenas a quantidade de acesso necessária para executar suas tarefas de trabalho. Você pode personalizar o RBAC do Azure de acordo com o modelo de negócios e a tolerância ao risco da sua organização.
O gerenciamento integrado de identidades (identidade híbrida) permite manter o controle do acesso dos usuários em datacenters internos e plataformas de nuvem, criando uma única identidade de usuário para autenticação e autorização para todos os recursos.
Aplicações e dados seguros
O Microsoft Entra ID, uma solução abrangente de nuvem de gerenciamento de identidade e acesso, ajuda a proteger o acesso a dados em aplicativos no local e na nuvem e simplifica o gerenciamento de usuários e grupos. Ele combina serviços de diretório principais, governança de identidade avançada, segurança e gerenciamento de acesso a aplicativos, e torna mais fácil para os desenvolvedores criar gerenciamento de identidade baseado em políticas em seus aplicativos. Para melhorar sua ID do Microsoft Entra, você pode adicionar recursos pagos usando as edições Microsoft Entra Basic, Premium P1 e Premium P2.
O Cloud App Discovery é um recurso premium do Microsoft Entra ID que permite identificar aplicativos em nuvem que são usados pelos funcionários em sua organização.
O Microsoft Entra ID Protection é um serviço de segurança que usa os recursos de deteção de anomalias do Microsoft Entra para fornecer uma visão consolidada das deteções de risco e vulnerabilidades potenciais que podem afetar as identidades da sua organização.
Os Serviços de Domínio do Microsoft Entra permitem que você associe VMs do Azure a um domínio sem a necessidade de implantar controladores de domínio. Os usuários entram nessas VMs usando suas credenciais corporativas do Ative Directory e podem acessar recursos sem problemas.
O Microsoft Entra B2C é um serviço de gerenciamento de identidade global altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades e integrado em plataformas móveis e da Web. Os seus clientes podem iniciar sessão em todas as suas aplicações através de experiências personalizáveis que utilizam contas de redes sociais existentes ou pode criar novas credenciais autónomas.
O Microsoft Entra B2B Collaboration é uma solução segura de integração de parceiros que suporta seus relacionamentos entre empresas, permitindo que os parceiros acessem seus aplicativos e dados corporativos seletivamente usando suas identidades autogerenciadas.
O Microsoft Entra permite estender as capacidades da nuvem para dispositivos Windows 10 para gestão centralizada. Ele possibilita que os usuários se conectem à nuvem corporativa ou organizacional por meio do Microsoft Entra ID e simplifica o acesso a aplicativos e recursos.
O proxy de aplicativo Microsoft Entra fornece SSO e acesso remoto seguro para aplicativos Web hospedados localmente.
Próximas Etapas
Compreenda a sua responsabilidade partilhada na nuvem.
Saiba como o Microsoft Defender for Cloud pode ajudá-lo a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure.
Explore as práticas recomendadas e os padrões de segurança do Azure para obter recomendações de segurança adicionais.
Analise o benchmark de segurança na nuvem da Microsoft para obter orientações de segurança abrangentes.
Consulte Segurança de ponta a ponta no Azure para obter uma exibição de proteção, deteção e resposta da arquitetura de segurança do Azure.