Recursos técnicos de segurança do Azure

Este artigo fornece uma introdução aos serviços de segurança no Azure que ajudam você a proteger seus dados, recursos e aplicativos na nuvem e atender às necessidades de segurança de sua empresa.

Plataforma Azure

O Microsoft Azure é uma plataforma de nuvem composta por infraestrutura e serviços de aplicativos, com serviços de dados integrados e análises avançadas, e ferramentas e serviços de desenvolvedor, hospedados nos data centers de nuvem pública da Microsoft. Os clientes usam o Azure para muitos recursos e cenários diferentes, desde computação básica, rede e armazenamento, até serviços de aplicativos móveis e Web, até cenários de nuvem completa, como a Internet das Coisas, e podem ser usados com tecnologias de código aberto e implantados como nuvem híbrida ou hospedados no datacenter de um cliente. O Azure fornece tecnologia de nuvem como blocos de construção para ajudar as empresas a economizar custos, inovar rapidamente e gerenciar sistemas de forma proativa. Quando você cria ou migra ativos de TI para um provedor de nuvem, confia nas habilidades dessa organização para proteger seus aplicativos e dados com os serviços e os controles que eles fornecem para gerenciar a segurança de seus ativos baseados em nuvem.

O Microsoft Azure é o único provedor de computação em nuvem que oferece uma plataforma de aplicativos segura e consistente e infraestrutura como serviço para que as equipes trabalhem em seus diferentes conjuntos de habilidades em nuvem e níveis de complexidade de projeto, com serviços de dados integrados e análises que revelam inteligência de dados onde quer que existam, em plataformas Microsoft e não Microsoft, estruturas e ferramentas abertas, oferecendo opções para integrar a nuvem com a nuvem local, bem como implantar a nuvem do Azure serviços em datacenters locais. Como parte da Microsoft Trusted Cloud, os clientes confiam no Azure para segurança, confiabilidade, conformidade, privacidade e a vasta rede de pessoas, parceiros e processos líderes do setor para dar suporte às organizações na nuvem.

Com o Microsoft Azure, você pode:

• Acelere a inovação com a nuvem

• Potencialize decisões de negócios e aplicativos com insights

• Crie livremente e implante em qualquer lugar

• Proteja os seus negócios

Gerenciar e controlar a identidade e o acesso do usuário

O Azure ajuda-o a proteger informações empresariais e pessoais, permitindo-lhe gerir identidades e credenciais de utilizador e controlar o acesso.

Microsoft Entra ID (um serviço de identificação da Microsoft)

As soluções de gerenciamento de identidade e acesso da Microsoft ajudam a TI a proteger o acesso a aplicativos e recursos no datacenter corporativo e na nuvem, permitindo níveis adicionais de validação, como autenticação multifator e políticas de Acesso Condicional. O monitoramento de atividades suspeitas por meio de relatórios de segurança avançados, auditorias e alertas ajuda a mitigar possíveis problemas de segurança. O Microsoft Entra ID P1 ou P2 fornece logon único para milhares de aplicativos na nuvem e acesso a aplicativos Web que você executa localmente.

Os benefícios de segurança do Microsoft Entra ID incluem a capacidade de:

• Crie e gerencie uma única identidade para cada usuário em sua empresa híbrida, mantendo usuários, grupos e dispositivos sincronizados.

• Forneça acesso de logon único aos seus aplicativos, incluindo milhares de aplicativos SaaS pré-integrados.

• Habilite a segurança de acesso ao aplicativo impondo a autenticação multifator baseada em regras para aplicativos locais e na nuvem.

• Provisione acesso remoto seguro a aplicativos Web locais por meio do proxy de aplicativo Microsoft Entra.

A seguir estão os principais recursos de gerenciamento de identidade do Azure:

• Autenticação única

• Autenticação com múltiplos fatores

• Monitoramento de segurança, alertas e relatórios baseados em aprendizado de máquina

• Gerenciamento de identidade e acesso do consumidor

• Registo de dispositivos

• Gestão de Identidades Privilegiadas

• Proteção de identidade

Autenticação única

Logon único (SSO) significa ser capaz de acessar todos os aplicativos e recursos que você precisa para fazer negócios, entrando apenas uma vez usando uma única conta de usuário. Uma vez conectado, você pode acessar todos os aplicativos de que precisa sem ser obrigado a autenticar (por exemplo, digitar uma senha) uma segunda vez.

Muitas organizações dependem de aplicativos SaaS (software como serviço), como Microsoft 365, Box e Salesforce, para produtividade do usuário final. Historicamente, a equipe de TI precisava criar e atualizar individualmente contas de usuário em cada aplicativo SaaS, e os usuários tinham que lembrar uma senha para cada aplicativo SaaS.

O Microsoft Entra ID estende o Ative Directory local para a nuvem, permitindo que os usuários usem sua conta organizacional principal para não apenas entrar em seus dispositivos associados ao domínio e recursos da empresa, mas também todos os aplicativos Web e SaaS necessários para seu trabalho.

Os usuários não apenas não precisam gerenciar vários conjuntos de nomes de usuário e senhas, como o acesso ao aplicativo pode ser automaticamente provisionado ou desprovisionado com base em grupos organizacionais e seu status como funcionário. O Microsoft Entra ID introduz controles de segurança e governança de acesso que permitem gerenciar centralmente o acesso dos usuários em aplicativos SaaS.

Autenticação com múltiplos fatores

A autenticação multifator (MFA) do Microsoft Entra é um método de autenticação que requer o uso de mais de um método de verificação e adiciona uma segunda camada crítica de segurança às entradas e transações do usuário. O MFA ajuda a proteger o acesso a dados e aplicativos e, ao mesmo tempo, atende à demanda do usuário por um processo de entrada simples. Ele oferece autenticação forte por meio de uma variedade de opções de verificação: chamada telefônica, mensagem de texto ou notificação ou código de verificação de aplicativo móvel e tokens OAuth de terceiros.

Monitoramento de segurança, alertas e relatórios baseados em aprendizado de máquina

Monitoramento e alertas de segurança e relatórios baseados em aprendizado de máquina que identificam padrões de acesso inconsistentes podem ajudá-lo a proteger sua empresa. Você pode usar os relatórios de acesso e uso do Microsoft Entra ID para obter visibilidade sobre a integridade e a segurança do diretório da sua organização. Com essas informações, um administrador de diretório pode determinar melhor onde podem estar possíveis riscos de segurança para que possa planejar adequadamente para mitigar esses riscos.

No portal do Azure, os relatórios são categorizados das seguintes maneiras:

• Relatórios de anomalias – contêm sinais em eventos que descobrimos serem anómalos. Nosso objetivo é conscientizá-lo sobre tal atividade e permitir que você seja capaz de decidir se um evento é suspeito.

• Relatórios de aplicativos integrados – fornecem informações sobre como os aplicativos em nuvem estão sendo usados em sua organização. O Microsoft Entra ID oferece integração com milhares de aplicativos em nuvem.

• Relatórios de erros – indicam erros que podem ocorrer ao provisionar contas para aplicativos externos.

• Relatórios específicos do usuário – exibem dados de atividade do dispositivo e do login de um usuário específico.

• Logs de atividades – contêm um registro de todos os eventos auditados nas últimas 24 horas, últimos 7 dias ou últimos 30 dias, e alterações de atividades de grupo, redefinição de senha e atividade de registro.

Gerenciamento de identidade e acesso do consumidor

O Microsoft Entra External ID é um serviço de gerenciamento de identidades global e altamente disponível para aplicativos voltados para o consumidor que pode ser dimensionado para centenas de milhões de identidades. Pode ser integrado em plataformas móveis e web. Seus consumidores podem fazer logon em todos os seus aplicativos por meio de experiências personalizáveis usando suas contas sociais existentes ou criando novas credenciais.

No passado, os desenvolvedores de aplicações que queriam inscrever e autenticar utilizadores nas suas aplicações teriam escrito o seu próprio código. E eles teriam usado bancos de dados ou sistemas locais para armazenar nomes de usuário e senhas. O Azure Microsoft Entra External ID oferece à sua organização uma maneira melhor de integrar o gerenciamento de identidade do consumidor em aplicativos com a ajuda de uma plataforma segura baseada em padrões e um grande conjunto de políticas extensíveis.

Quando você usa o Microsoft Entra External ID, seus consumidores podem se inscrever em seus aplicativos usando suas contas sociais existentes (Facebook, Google, Amazon, LinkedIn) ou criando novas credenciais (endereço de email e senha, ou nome de usuário e senha).

Registo de dispositivos

O registro de dispositivo Microsoft Entra é a base para cenários de Acesso Condicional baseados em dispositivo. Quando um dispositivo é registrado, o registro de dispositivo do Microsoft Entra fornece ao dispositivo uma identidade que é usada para autenticar o dispositivo quando o usuário entra. O dispositivo autenticado e os atributos do dispositivo podem ser usados para impor políticas de Acesso Condicional para aplicativos hospedados na nuvem e no local.

Quando combinado com uma solução de gerenciamento de dispositivo móvel (MDM), como o Intune, os atributos de dispositivo no Microsoft Entra ID são atualizados com informações adicionais sobre o dispositivo. Isso permite que você crie regras de Acesso Condicional que impõem o acesso de dispositivos para atender aos seus padrões de segurança e conformidade.

Gestão de Identidades Privilegiadas

O Microsoft Entra Privileged Identity Management permite-lhe gerir, controlar e monitorizar as suas identidades privilegiadas e o acesso a recursos no Microsoft Entra ID, bem como a outros serviços online da Microsoft, como o Microsoft 365 ou o Microsoft Intune.

Às vezes, os usuários precisam realizar operações privilegiadas em recursos do Azure ou do Microsoft 365 ou em outros aplicativos SaaS. Isso geralmente significa que as organizações precisam conceder acesso privilegiado permanente no Microsoft Entra ID. Esse é um risco de segurança crescente para recursos hospedados na nuvem porque as organizações não podem monitorar suficientemente o que esses usuários estão fazendo com seus privilégios de administrador. Além disso, se uma conta de usuário com acesso privilegiado for comprometida, essa violação poderá afetar a segurança geral na nuvem. O Microsoft Entra Privileged Identity Management ajuda a resolver esse risco.

O Microsoft Entra Privileged Identity Management permite:

• Veja quais usuários são administradores do Microsoft Entra

• Habilite o acesso administrativo sob demanda e "just in time" ao Microsoft Online Services, como o Microsoft 365 e o Intune

• Obter relatórios sobre o histórico de acesso de administrador e alterações nas atribuições de administrador

• Receba alertas sobre o acesso a uma função privilegiada

Proteção de identidade

O Microsoft Entra ID Protection é um serviço de segurança que fornece uma visão consolidada das deteções de risco e potenciais vulnerabilidades que afetam as identidades da sua organização. A Proteção de Identidade usa os recursos existentes de deteção de anomalias do Microsoft Entra ID (disponíveis por meio dos Relatórios de Atividades Anômalas do Microsoft Entra ID) e introduz novos tipos de deteção de risco que podem detetar anomalias em tempo real.

Acesso seguro aos recursos

O controlo de acesso no Azure começa de uma perspetiva de faturação. O proprietário de uma conta do Azure, acessada visitando o portal do Azure, é o Administrador de Conta (AA). As assinaturas são um contêiner para cobrança, mas também atuam como um limite de segurança: cada assinatura tem um Administrador de Serviço (SA) que pode adicionar, remover e modificar recursos do Azure nessa assinatura usando o portal do Azure. A SA padrão de uma nova assinatura é a AA, mas a AA pode alterar a SA no portal do Azure.

As subscrições também estão associadas a um diretório. O diretório define um conjunto de usuários. Eles podem ser usuários do trabalho ou da escola que criou o diretório ou podem ser usuários externos (ou seja, Contas da Microsoft). As assinaturas são acessíveis por um subconjunto dos usuários do diretório que foram atribuídos como Administrador de Serviço (SA) ou Co-Administrator (CA); a única exceção é que, por motivos herdados, as Contas da Microsoft (anteriormente Windows Live ID) podem ser atribuídas como SA ou CA sem estarem presentes no diretório.

As empresas orientadas para a segurança devem concentrar-se em dar aos funcionários as permissões exatas de que necessitam. Muitas permissões podem expor uma conta a invasores. Poucas permissões significam que os funcionários não podem fazer seu trabalho de forma eficiente. O controle de acesso baseado em função do Azure (Azure RBAC) ajuda a resolver esse problema oferecendo gerenciamento de acesso refinado para o Azure.

Com o RBAC do Azure, pode fazer a segregação de deveres na sua equipa e conceder aos utilizadores apenas a quantidade de acesso de que precisam para desempenhar as suas funções. Em vez de conceder a todos permissões irrestritas em sua assinatura ou recursos do Azure, você pode permitir apenas determinadas ações. Por exemplo, use o RBAC do Azure para permitir que um funcionário gerencie máquinas virtuais em uma assinatura, enquanto outro pode gerenciar bancos de dados SQL dentro da mesma assinatura.

Segurança e encriptação de dados

Uma das chaves para a proteção de dados na nuvem é contabilizar os possíveis estados em que seus dados podem ocorrer e quais controles estão disponíveis para esse estado. Para as práticas recomendadas de criptografia e segurança de dados do Azure, as recomendações estão relacionadas aos seguintes estados de dados.

• Em repouso: inclui todos os objetos de armazenamento de informações, contêineres e tipos que existem estaticamente em mídia física, seja disco magnético ou ótico.
• Em trânsito: quando os dados estão sendo transferidos entre componentes, locais ou programas, como pela rede, através de um barramento de serviço (do local para a nuvem e vice-versa, incluindo conexões híbridas, como a Rota Expressa), ou durante um processo de entrada/saída, eles são considerados como estando em movimento.

Encriptação em repouso

A criptografia em repouso é discutida em detalhes na Criptografia de Dados do Azure em repouso.

Encriptação em trânsito

Proteger os dados em trânsito deve ser parte essencial da sua estratégia de proteção de dados. Como os dados estão se movendo para frente e para trás de muitos locais, a recomendação geral é que você sempre use protocolos SSL/TLS para trocar dados entre locais diferentes. Em algumas circunstâncias, convém isolar todo o canal de comunicação entre sua infraestrutura local e de nuvem usando uma rede virtual privada (VPN).

Para a movimentação de dados entre sua infraestrutura local e o Azure, você deve considerar proteções apropriadas, como HTTPS ou VPN.

Para organizações que precisam proteger o acesso de várias estações de trabalho nas instalações ao Azure, use a Azure Site-to-Site VPN.

Para organizações que precisam proteger o acesso de uma estação de trabalho localizada no local ao Azure, use a VPN Ponto a Site.

Conjuntos de dados maiores podem ser movidos através de um link WAN de alta velocidade dedicado, como o ExpressRoute. Se você optar por usar a Rota Expressa, também poderá criptografar os dados no nível do aplicativo usando SSL/TLS ou outros protocolos para proteção adicional.

Se estiver a interagir com o Armazenamento do Azure através do portal do Azure, todas as transações ocorrem através de HTTPS. A API REST de armazenamento sobre HTTPS também pode ser usada para interagir com o Armazenamento do Azure e o Banco de Dados SQL do Azure.

Você pode saber mais sobre a opção VPN do Azure lendo o artigo Planejamento e design para o Gateway de VPN.

Impor criptografia de dados no nível de arquivo

O Azure Rights Management (Azure RMS) utiliza políticas de encriptação, identidade e autorização para ajudar a proteger os seus ficheiros e e-mail. O Azure RMS funciona em vários dispositivos — telefones, tablets e PCs, protegendo dentro e fora da organização. Esse recurso é possível porque o Azure RMS adiciona um nível de proteção que permanece com os dados, mesmo quando eles saem dos limites da sua organização.

Proteja a sua aplicação

Embora o Azure seja responsável por proteger a infraestrutura e a plataforma em que seu aplicativo é executado, é sua responsabilidade proteger seu próprio aplicativo. Em outras palavras, você precisa desenvolver, implantar e gerenciar o código e o conteúdo do aplicativo de forma segura. Sem isso, o código ou o conteúdo do seu aplicativo ainda pode ficar vulnerável a ameaças.

Firewall de aplicações Web

O firewall de aplicativos Web (WAF) é um recurso do Application Gateway e do Azure Front Door que fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns.

O firewall do aplicativo Web é baseado em regras dos conjuntos de regras principais do OWASP. Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns. Dentre esses exploits, são frequentes os ataques de injeção de SQL e os ataques de cross-site scripting, entre outros. A prevenção desses ataques no código do aplicativo pode ser um desafio e pode exigir manutenção, aplicação de patches e monitoramento rigorosos em várias camadas da topologia do aplicativo. Uma firewall de aplicações Web centralizada ajuda a simplificar em muito a gestão da segurança e confere aos administradores de aplicações uma maior garantia de proteção contra as ameaças ou intrusões. Uma solução WAF também pode reagir mais rapidamente a uma ameaça de segurança ao corrigir uma vulnerabilidade conhecida numa localização central, em vez de proteger cada uma das aplicações Web individualmente. As portas de aplicação existentes podem ser facilmente convertidas em portas de aplicação com suporte para firewall de aplicação web.

Algumas das vulnerabilidades comuns contra as quais o firewall de aplicativos da Web protege incluem:

• Proteção contra injeção de SQL

• Proteção de scripts entre sites

• Proteção contra ataques comuns na Web, como injeção de comando, contrabando de solicitações HTTP, divisão de resposta HTTP e ataque de inclusão remota de arquivos

• Proteção contra violações de protocolo HTTP

• Proteção contra anomalias do protocolo HTTP, como host ausente, agente do usuário e cabeçalhos de aceitação

• Prevenção contra bots, crawlers e scanners

• Deteção de configurações incorretas comuns de aplicativos (ou seja, Apache, IIS, etc.)

O Azure fornece vários recursos fáceis de usar para ajudar a proteger o tráfego de entrada e de saída para seu aplicativo. O Azure ajuda os clientes a proteger o código do aplicativo fornecendo funcionalidade fornecida externamente para verificar seu aplicativo Web em busca de vulnerabilidades. Consulte Serviços de Aplicativos do Azure para saber mais.

O Serviço de Aplicativo do Azure usa a mesma solução Antimalware usada pelos Serviços de Nuvem do Azure e Máquinas Virtuais. Para saber mais sobre isso, consulte nossa documentação Antimalware.

Proteja a sua rede

O Microsoft Azure inclui uma infraestrutura de rede robusta para dar suporte aos seus requisitos de conectividade de aplicativos e serviços. A conectividade de rede é possível entre recursos localizados no Azure, entre recursos locais e recursos hospedados no Azure e de e para a Internet e o Azure.

A infraestrutura de rede do Azure permite que você conecte com segurança os recursos do Azure uns aos outros com redes virtuais (VNets). Uma VNet é uma representação da sua própria rede na nuvem. Uma VNet é um isolamento lógico da rede de nuvem do Azure dedicada à sua assinatura. Você pode conectar VNets às suas redes locais.

Se você precisar de controle de acesso básico no nível de rede (com base no endereço IP e nos protocolos TCP ou UDP), poderá usar os Grupos de Segurança de Rede. Um Grupo de Segurança de Rede (NSG) é um firewall básico de filtragem de pacotes com estado ativo que permite controlar o acesso.

O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com estado integralmente mantido como um serviço, com elevada disponibilidade incorporada e escalabilidade em nuvem sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.

O Firewall do Azure é oferecido em três SKUs: Basic, Standard e Premium. O Firewall do Azure Basic oferece segurança simplificada semelhante à SKU padrão, mas sem recursos avançados. O Azure Firewall Standard fornece filtragem L3-L7 e feeds de inteligência de ameaças diretamente do Microsoft Cyber Security. O Firewall Premium do Azure fornece recursos avançados, incluindo IDPS baseados em assinatura para permitir a deteção rápida de ataques procurando padrões específicos.

A rede do Azure suporta a capacidade de personalizar o comportamento de roteamento para o tráfego de rede em suas Redes Virtuais do Azure. Você pode fazer isso configurando User-Defined Rotas no Azure.

O túnel forçado é um mecanismo que você pode usar para garantir que seus serviços não tenham permissão para iniciar uma conexão com dispositivos na Internet.

O Azure dá suporte à conectividade de link WAN dedicada entre a sua rede local e uma Rede Virtual do Azure com ExpressRoute. O link entre o Azure e seu site usa uma conexão dedicada que não passa pela Internet pública. Se seu aplicativo do Azure estiver sendo executado em vários datacenters, você poderá usar o Gerenciador de Tráfego do Azure para rotear solicitações de usuários de forma inteligente entre instâncias do aplicativo. Também pode encaminhar tráfego para serviços que não estão em execução no Azure se estiverem acessíveis a partir da Internet.

O Azure também suporta conectividade privada e segura para os seus recursos PaaS (por exemplo, Armazenamento do Azure e Base de Dados SQL) a partir da sua Rede Virtual do Azure com o Azure Private Link. O recurso PaaS é mapeado para um ponto de extremidade privado na sua rede virtual. O link entre o ponto de extremidade privado em sua rede virtual e seu recurso PaaS usa a rede de backbone da Microsoft e não passa pela Internet pública. Expor o seu serviço à Internet pública já não é necessário. Você também pode usar o Azure Private Link para acessar os serviços de propriedade do cliente e parceiros hospedados pelo Azure em sua rede virtual. Além disso, o Azure Private Link permite que você crie seu próprio serviço de link privado em sua rede virtual e o entregue aos seus clientes de forma privada em suas redes virtuais. A configuração e o consumo através do Azure Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros partilhados.

Segurança da máquina virtual

As Máquinas Virtuais do Azure permitem-lhe implementar uma vasta gama de soluções de computação de forma ágil. Com suporte para Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Azure BizTalk Services, você pode implantar qualquer carga de trabalho e qualquer idioma em praticamente qualquer sistema operacional.

Com o Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro e Kaspersky para proteger suas máquinas virtuais contra arquivos mal-intencionados, adware e outras ameaças.

O Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais é um recurso de proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware fornece alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure.

O Backup do Azure é uma solução escalável que protege os dados do seu aplicativo com investimento de capital zero e custos operacionais mínimos. Os erros das aplicações podem danificar os dados e os erros humanos podem introduzir erros nas suas aplicações. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.

O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal ficar inativo.

Garanta a conformidade: lista de verificação de diligência devida de serviços na nuvem

A Microsoft desenvolveu a Lista de verificação de diligência prévia de serviços de nuvem para ajudar as organizações a exercer a devida diligência enquanto consideram uma mudança para a nuvem. Ele fornece uma estrutura para uma organização de qualquer tamanho e tipo — empresas privadas e organizações do setor público, incluindo governo em todos os níveis e organizações sem fins lucrativos — para identificar seus próprios objetivos e requisitos de desempenho, serviço, gerenciamento de dados e governança. Tal permite-lhes comparar as ofertas de diferentes prestadores de serviços de computação em nuvem, constituindo, em última análise, a base para um acordo de serviços de computação em nuvem.

A lista de verificação fornece uma estrutura que alinha cláusula por cláusula com uma nova norma internacional para acordos de serviços de nuvem, a ISO/IEC 19086. Esse padrão oferece um conjunto unificado de considerações para as organizações para ajudá-las a tomar decisões sobre a adoção da nuvem e criar um terreno comum para comparar ofertas de serviços de nuvem.

A lista de verificação promove uma mudança cuidadosamente examinada para a nuvem, fornecendo orientação estruturada e uma abordagem consistente e repetível para escolher um provedor de serviços de nuvem.

A adoção da nuvem não é mais apenas uma decisão tecnológica. Como os requisitos da lista de verificação abrangem todos os aspetos de uma organização, eles servem para reunir todos os principais tomadores de decisão internos — o CIO e o CISO, bem como profissionais jurídicos, de gerenciamento de riscos, de compras e de conformidade. Isto aumenta a eficiência do processo de tomada de decisão e fundamenta as decisões em raciocínio sólido, reduzindo assim a probabilidade de obstáculos imprevistos à adoção.

Além disso, a lista de verificação:

• Expõe os principais tópicos de discussão para os tomadores de decisão no início do processo de adoção da nuvem.

• Suporta discussões comerciais completas sobre regulamentos e os próprios objetivos da organização para privacidade, informações pessoais e segurança de dados.

• Ajuda as organizações a identificar quaisquer problemas potenciais que possam afetar um projeto de nuvem.

• Fornece um conjunto consistente de perguntas, com os mesmos termos, definições, métricas e resultados para cada provedor, para simplificar o processo de comparação de ofertas de diferentes provedores de serviços de nuvem.

Validação de segurança de aplicativos e infraestrutura do Azure

A Segurança Operacional do Azure refere-se aos serviços, controlos e funcionalidades disponíveis para os utilizadores protegerem os seus dados, aplicações e outros ativos no Microsoft Azure.

A Segurança Operacional do Azure baseia-se numa estrutura que incorpora o conhecimento adquirido através de várias capacidades exclusivas da Microsoft, incluindo o Microsoft Security Development Lifecycle (SDL), o programa Microsoft Security Response Center e uma profunda consciência do cenário de ameaças de cibersegurança.

Microsoft Azure Monitor

O Azure Monitor é a solução de gerenciamento de TI para a nuvem híbrida. Usados sozinhos ou para estender sua implantação existente do System Center, os logs do Azure Monitor oferecem a máxima flexibilidade e controle para o gerenciamento baseado em nuvem de sua infraestrutura.

Com o Azure Monitor, você pode gerenciar qualquer instância em qualquer nuvem, incluindo local, Azure, AWS, Windows Server, Linux, VMware e OpenStack, a um custo mais baixo do que as soluções da concorrência. Criado para o mundo que prioriza a nuvem, o Azure Monitor oferece uma nova abordagem para gerenciar sua empresa que é a maneira mais rápida e econômica de enfrentar novos desafios de negócios e acomodar novas cargas de trabalho, aplicativos e ambientes de nuvem.

Registos do Azure Monitor

Os logs do Azure Monitor fornecem serviços de monitoramento coletando dados de recursos gerenciados em um repositório central. Estes dados podem incluir dados de eventos ou de desempenho ou dados personalizados fornecidos através da API. Depois de recolhidos, os dados estão disponíveis para alertas, análises e exportação.

Esse método permite que você consolide dados de uma variedade de fontes, para que você possa combinar dados de seus serviços do Azure com seu ambiente local existente. Também separa claramente a recolha dos dados das ações tomadas em relação aos mesmos, para que todas as ações estejam disponíveis para todos os tipos de dados.

Sentinela da Microsoft

O Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de informações e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa, fornecendo uma solução única para deteção de ataques, visibilidade de ameaças, caça proativa e resposta a ameaças.

Microsoft Defender para Cloud

O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure, ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e funciona com um amplo ecossistema de soluções de segurança.

O Defender for Cloud analisa o estado de segurança dos seus recursos do Azure para identificar potenciais vulnerabilidades de segurança. Uma lista de recomendações orienta você pelo processo de configuração dos controles necessários.

Os exemplos incluem:

• Provisionamento de antimalware para ajudar a identificar e remover software mal-intencionado

• Configurando regras e grupos de segurança de rede para controlar o tráfego para VMs

• Provisionamento de firewalls de aplicativos Web para ajudar a se defender contra ataques que visam seus aplicativos Web

• Implantando atualizações do sistema ausentes

• Abordar configurações de Sistema Operativo que não correspondem aos padrões de referência recomendados

O Defender for Cloud recolhe, analisa e integra automaticamente dados de registo dos seus recursos do Azure, da rede e de soluções de parceiros, como programas antimalware e firewalls. Quando as ameaças são detetadas, um alerta de segurança é criado. Os exemplos incluem a deteção de:

• VMs comprometidas que se comunicam com endereços IP mal-intencionados conhecidos

• Malware avançado detetado usando o relatório de erros do Windows

• Ataques de força bruta contra VMs

• Alertas de segurança de programas antimalware e firewalls integrados

Azure Monitor

O Azure Monitor fornece ponteiros para informações sobre tipos específicos de recursos. Ele oferece visualização, consulta, roteamento, alerta, dimensionamento automático e automação em dados da infraestrutura do Azure (Log de Atividades) e de cada recurso individual do Azure (Logs de Diagnóstico).

As aplicações na nuvem são complexas com muitas partes móveis. O monitoramento fornece dados para garantir que seu aplicativo permaneça ativo e em execução em um estado íntegro. Também o ajuda a evitar potenciais problemas ou a resolver problemas anteriores.

Além disso, você pode usar dados de monitoramento para obter informações detalhadas sobre seu aplicativo. Esse conhecimento pode ajudá-lo a melhorar o desempenho ou a capacidade de manutenção do aplicativo ou automatizar ações que, de outra forma, exigiriam intervenção manual.

Auditar a segurança da sua rede é vital para detetar vulnerabilidades de rede e garantir a conformidade com o seu modelo de governança regulatória e de segurança de TI. Com o modo de exibição Grupo de Segurança, você pode recuperar o Grupo de Segurança de Rede configurado e as regras de segurança, bem como as regras de segurança efetivas. Com a lista de regras aplicadas, pode-se determinar as portas que estão abertas e avaliar a vulnerabilidade da rede.

Observador de rede

O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de rede no, para e do Azure. As ferramentas de diagnóstico e visualização de rede disponíveis com o Observador de Rede ajudam-no a compreender, diagnosticar e obter informações sobre a sua rede no Azure. Este serviço inclui captura de pacotes, verificação de fluxo IP, próximo salto, visualização de grupo de segurança, logs de fluxo NSG. O monitoramento em nível de cenário fornece uma visão de ponta a ponta dos recursos de rede, em contraste com o monitoramento de recursos de rede individuais.

Análise de armazenamento

O Storage Analytics pode armazenar métricas que incluem estatísticas de transações agregadas e dados de capacidade sobre solicitações a um serviço de armazenamento. As transações são relatadas no nível de operação da API, bem como no nível de serviço de armazenamento, e a capacidade é relatada no nível de serviço de armazenamento. Os dados de métricas podem ser usados para analisar o uso do serviço de armazenamento, diagnosticar problemas com solicitações feitas em relação ao serviço de armazenamento e melhorar o desempenho de aplicativos que usam um serviço.

Informações sobre aplicativos

Application Insights é um serviço extensível de Gestão de Desempenho de Aplicações (APM) para desenvolvedores web em várias plataformas. Use-o para monitorar seu aplicativo web ao vivo. Ele detetará automaticamente anomalias de desempenho. Ele inclui poderosas ferramentas de análise para ajudá-lo a diagnosticar problemas e entender o que os usuários fazem com seu aplicativo. Ele foi projetado para ajudá-lo a melhorar continuamente o desempenho e a usabilidade. Ele funciona para aplicativos em uma ampla variedade de plataformas, incluindo .NET, Node.js e Java EE, hospedados no local ou na nuvem. Ele se integra ao seu processo de DevOps e tem pontos de conexão com várias ferramentas de desenvolvimento.

Monitoriza:

• Taxas de pedidos, tempos de resposta e taxas de falhas - saiba quais são as páginas mais populares, em que alturas do dia e onde estão localizados os seus utilizadores. Veja quais páginas têm o melhor desempenho. Se seus tempos de resposta e taxas de falha forem altos quando houver mais solicitações, talvez você tenha um problema de recursos.

• Taxas de dependência, tempos de resposta e taxas de falhas - veja se os serviços externos o estão a atrasar.

• Exceções - Analise as estatísticas agregadas ou escolha instâncias específicas para aprofundar-se no rastreamento de pilha e nas solicitações relacionadas. São reportadas exceções do servidor e do browser.

• Vistas de página e desempenho de carga - reportados pelos browsers dos utilizadores.

• Chamadas AJAX de páginas da Web - taxas, tempos de resposta e taxas de falha.

• Contagens de usuários e sessões.

• Contadores de desempenho dos computadores de servidor Windows ou Linux, como CPU, memória e utilização de rede.

• Diagnóstico do anfitrião do Docker ou do Azure.

• Registos de rastreio de diagnóstico da sua aplicação - para que possa correlacionar eventos de rastreio a pedidos.

• Eventos e métricas personalizados que você mesmo escreve no código do cliente ou servidor, para acompanhar eventos de negócios, como itens vendidos ou jogos ganhos.

A infraestrutura do seu aplicativo geralmente é composta por muitos componentes – talvez uma máquina virtual, uma conta de armazenamento e uma rede virtual, ou um aplicativo Web, banco de dados, servidor de banco de dados e serviços de terceiros. Você não vê esses componentes como entidades separadas, em vez disso, você os vê como partes relacionadas e interdependentes de uma única entidade. Você deseja implantá-los, gerenciá-los e monitorá-los como um grupo. O Azure Resource Manager permite que você trabalhe com os recursos em sua solução como um grupo.

Pode implementar, atualizar ou eliminar todos os recursos da sua solução numa operação única e coordenada. Você usa um modelo para implantação e esse modelo pode funcionar para ambientes diferentes, como teste, preparo e produção. O Resource Manager fornece funcionalidades de segurança, auditoria e etiquetagem para o ajudar a gerir os recursos após a implementação.

Os benefícios de usar o Resource Manager

O Resource Manager oferece vários benefícios:

• Você pode implantar, gerenciar e monitorar todos os recursos para sua solução como um grupo, em vez de lidar com esses recursos individualmente.

• Você pode implantar repetidamente sua solução durante todo o ciclo de vida de desenvolvimento e ter confiança de que seus recursos serão implantados em um estado consistente.

• Você pode gerenciar sua infraestrutura por meio de modelos declarativos em vez de scripts.

• Você pode definir as dependências entre recursos, para que eles sejam implantados na ordem correta.

• Você pode aplicar o controle de acesso a todos os serviços em seu grupo de recursos porque o controle de acesso baseado em função do Azure (Azure RBAC) é integrado nativamente à plataforma de gerenciamento.

• Você pode aplicar tags a recursos para organizar logicamente todos os recursos em sua assinatura.

• Você pode esclarecer o faturamento da sua organização exibindo os custos de um grupo de recursos que compartilham a mesma tag.

Próximo passo

O benchmark de segurança na nuvem da Microsoft inclui uma coleção de recomendações de segurança que você pode usar para ajudar a proteger os serviços que você usa no Azure.