Proteja redes com SASE, Zero Trust e IA

A segurança da rede está evoluindo para além do perímetro tradicional, que antes estava vinculado aos limites físicos dos data centers. Hoje, o perímetro é dinâmico, estendendo-se a usuários, dispositivos e dados onde quer que estejam. Essa mudança impulsiona a adoção de políticas baseadas em risco que isolam hosts, impõem criptografia, segmentam redes e colocam os controles mais próximos de aplicativos e dados.

O Secure Access Service Edge (SASE) reflete essa evolução, redefinindo totalmente o perímetro. Ele converge a rede e a segurança em um serviço entregue na nuvem que segue usuários e dados em todos os ambientes. Esta abordagem simplifica a gestão de políticas e reforça a proteção.

Adicionar uma estratégia Zero Trust a uma estrutura SASE aumenta ainda mais a segurança, garantindo que nenhum usuário ou dispositivo seja confiável por padrão, independentemente do local. Este princípio alinha-se perfeitamente com o objetivo da SASE de proteger o acesso na borda.

A Inteligência Artificial (IA) amplifica essa abordagem analisando dados em tempo real, detetando ameaças e permitindo respostas rápidas e automatizadas. Juntos, SASE, Zero Trust e IA capacitam as organizações a proteger um mundo sem perímetro com maior agilidade, precisão e resiliência.

Princípios-chave do modelo de rede Zero Trust

Em vez de assumir que tudo por trás do firewall corporativo é seguro, uma estratégia Zero Trust de ponta a ponta reconhece que as violações são inevitáveis. Essa abordagem requer a verificação de cada solicitação como se fosse originária de uma rede não controlada, com o gerenciamento de identidade desempenhando um papel crucial. Quando as organizações incorporam os modelos e padrões Zero Trust da Cybersecurity and Infrastructure Security Agency (CISA) e do National Institute of Standards and Technology (NIST), melhoram a sua postura de segurança e protegem melhor as suas redes.

No modelo Zero Trust, proteger suas redes se concentra em três objetivos principais:

• Impeça o acesso não autorizado. Aplique autenticação forte, verificação contínua e políticas de privilégios mínimos para reduzir o risco de comprometimento inicial.
• Limitar o impacto das violações. Use segmentação de rede, microperímetros e controles adaptáveis para conter ameaças e evitar movimentos laterais.
• Melhore a visibilidade e o controlo. Use soluções como o Secure Access Service Edge (SASE) para unificar a aplicação da política de segurança, monitorar o tráfego e responder rapidamente a ameaças emergentes em ambientes híbridos e na nuvem.

Estes objetivos estão alinhados com os princípios do Zero Trust. Eles suportam soluções modernas, como o SASE, que integra funções de rede e segurança. Essa integração fornece proteção abrangente e gerenciamento centralizado.

Para que isso aconteça, siga três princípios do Zero Trust:

• Verifique explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis. Inclua identidade do usuário, rede, local, integridade do dispositivo, serviço ou carga de trabalho, risco do usuário e do dispositivo, classificação de dados e anomalias.
• Use o acesso menos privilegiado. Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados para proteger os dados e a produtividade.
• Assuma a violação. Minimize o raio de influência para violações e impeça o movimento lateral segmentando o acesso por reconhecimento de rede, usuário, dispositivos e aplicativos. Verifique se todas as sessões estão criptografadas de ponta a ponta. Use a análise para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.

Objetivos de implantação de rede Zero Trust

O Zero Trust (ZT) é um modelo de segurança que não assume confiança implícita e verifica continuamente cada solicitação de acesso. O Pilar de Rede no Zero Trust concentra-se na proteção de comunicações, na segmentação de ambientes e na imposição de acesso com privilégios mínimos aos recursos.

Ao implementar uma estrutura Zero Trust de ponta a ponta para proteger redes, recomendamos que você se concentre primeiro em:

• Network-Segmentation & Software-Defined Perímetros
• Secure Access Service Edge (SASE) & Acesso à Rede Zero Trust (ZTNA)
• Criptografia forte & comunicação segura
• Visibilidade da rede e deteção de ameaças
• Controle de acesso orientado por políticas & menor privilégio

Após a conclusão destes objetivos, concentre-se nos objetivos 6 e 7.

Guia de implantação de rede Zero Trust

Este guia orienta você pelas etapas necessárias para proteger suas redes seguindo os princípios de uma estrutura de segurança Zero Trust.

1. Segmentação da rede e perímetros definidos por software

A segmentação de rede e os perímetros Software-Defined (SDP) formam a base do modelo de segurança Zero Trust. Em vez de depender de controles estáticos baseados em perímetro, você impõe a segurança dinamicamente no nível do recurso. Ao particionar sua infraestrutura em segmentos isolados usando microssegmentação, você restringe o movimento lateral dos invasores e minimiza o efeito das violações. O SDP fortalece essa abordagem criando microperímetros sob demanda e centrados em identidade em torno de cada interação usuário-recurso e validando continuamente o contexto antes de conceder acesso. Em resumo, siga estes princípios fundamentais:

• Restrinja o movimento lateral implementando segmentação de rede refinada (segmentação Macro ou Micro).
• Utilize Software-Defined rede (SDN) e controle de acesso à rede (NAC) para aplicar políticas dinamicamente.
• Adote a segmentação baseada em identidade em relação aos métodos tradicionais baseados em IP.

1.1 Estratégia de segmentação macro

Antes de mergulhar na microssegmentação, é essencial estabelecer uma estratégia de segmentação mais ampla. A macro segmentação envolve a divisão da rede em segmentos maiores com base em requisitos funcionais ou de segurança abrangentes. Essa abordagem simplifica o gerenciamento inicial e fornece uma base sobre a qual uma granularidade mais fina, como a microssegmentação, pode ser construída.

1.2 Segmentação de rede: Muitos microperímetros de entrada/saída de nuvem com alguma microssegmentação

As organizações não devem ter apenas um único e grande tubo dentro e fora de sua rede. Em uma abordagem Zero Trust, as redes são segmentadas em ilhas menores, onde cargas de trabalho específicas são contidas. Cada segmento tem seus próprios controles de entrada e saída para minimizar o efeito do acesso não autorizado aos dados. Ao implementar perímetros definidos por software com controles granulares, você aumenta a dificuldade para atores não autorizados se propagarem pela rede e, assim, reduz o movimento lateral das ameaças.

Não há um projeto de arquitetura que atenda às necessidades de todas as organizações. Você tem a opção entre alguns padrões de design comuns para segmentar sua rede de acordo com o modelo Zero Trust.

Neste guia de implantação, orientamos você pelas etapas para alcançar um desses projetos: Microssegmentação.

Com a microssegmentação, as organizações podem ir além de simples perímetros centralizados baseados em rede para segmentação abrangente e distribuída usando microperímetros definidos por software.

1.3 Segmentação de rede: microperímetros de entrada/saída de nuvem totalmente distribuídos e microssegmentação mais profunda

Depois de atingir seus três objetivos iniciais, o próximo passo é segmentar ainda mais sua rede.

1.4 Segmentar e fazer cumprir os limites externos

Siga estas etapas, dependendo do tipo de limite:

Limite da Internet

• Para fornecer conectividade com a Internet para sua rota de aplicativo por meio do hub de rede virtual, atualize as regras do grupo de segurança de rede no hub de rede virtual.
• Para proteger o hub de rede virtual contra ataques volumétricos de camada de rede e ataques de protocolo, ative a Proteção de Rede DDoS do Azure.
• Se seu aplicativo usa protocolos HTTP/S, ative o Firewall de Aplicativo Web do Azure para proteger contra ameaças da Camada 7.

Limite local

• Se o seu aplicativo precisar de conectividade com seu data center local ou nuvem privada, use o Microsoft Entra Private Access, Azure ExpressRoute ou Azure VPN para conectividade com seu hub de rede virtual.
• Para inspecionar e controlar o tráfego no hub de rede virtual, configure o Firewall do Azure.

Limite dos serviços PaaS

• Ao usar serviços PaaS fornecidos pelo Azure, Armazenamento do Azure, Azure Cosmos DB ou Azure Web App, use a opção de conectividade PrivateLink para garantir que todas as trocas de dados estejam no espaço IP privado e que o tráfego nunca saia da rede da Microsoft.
• Se seus serviços de PaaS exigirem um limite seguro para se comunicar entre si e gerenciar o acesso à rede pública, sugerimos associá-los a um perímetro de segurança de rede. A conectividade do Private Link será respeitada para o tráfego que passa por pontos finais privados destes serviços PaaS, garantindo que todas as trocas de dados ocorram através de endereços IP privados e que o tráfego nunca saia da rede da Microsoft. Saiba mais sobre o Perímetro de Segurança de Rede e consulte a lista de serviços PaaS suportados.

Particionar componentes do aplicativo para diferentes sub-redes

Siga estes passos:

1. Dentro da rede virtual, adicione sub-redes de rede virtual para que componentes discretos de um aplicativo possam ter seus próprios perímetros.
2. Para permitir o tráfego apenas das sub-redes que têm um subcomponente de aplicativo identificado como uma contraparte legítima de comunicações, aplique regras de grupo de segurança de rede.

Como alternativa, o firewall do Azure pode ser utilizado para segmentação e para permitir o tráfego de sub-redes específicas e redes virtuais.

• Use o Firewall do Azure para filtrar o tráfego que flui entre recursos de nuvem, a Internet e recursos locais. Use o Firewall do Azure ou o Gerenciador de Firewall do Azure para criar regras ou políticas que permitam ou neguem tráfego usando controles de camada 3 a camada 7. Para saber mais, consulte as recomendações para criar uma estratégia de segmentação.

Os aplicativos são particionados para diferentes Redes Virtuais do Azure (VNets) e conectados usando um modelo hub-spoke

Siga estes passos:

1. Crie redes virtuais dedicadas para diferentes aplicações e/ou componentes de aplicações.
2. Crie uma rede virtual central para configurar a postura de segurança para a conectividade interaplicativa e conecte as VNets do aplicativo numa arquitetura de hub-and-spoke.
3. Implante o Firewall do Azure no hub de rede virtual. Use o Firewall do Azure para inspecionar e controlar o tráfego de rede.

1.5 Valide a segmentação com o Network Watcher Traffic Analytics

Para garantir que a segmentação de rede esteja funcionando como pretendido, as organizações devem implementar o Azure Network Watcher Traffic Analytics. Esse recurso fornece visibilidade no nível do fluxo analisando logs de fluxo VNET, permitindo que as equipes monitorem padrões de tráfego em ambientes segmentados.

O Traffic Analytics suporta a segmentação Zero Trust ao:

• Validação de políticas de segmentação: identifique se o tráfego está fluindo apenas entre os segmentos pretendidos e detete quaisquer violações dos limites de segmentação.

• Deteção de movimento lateral: Tráfego de superfície inesperado ou não autorizado leste-oeste que pode indicar uma violação ou configuração incorreta.

• Melhorar a visibilidade: correlacione os fluxos de tráfego com as regras do NSG e a inteligência sobre ameaças para obter informações acionáveis sobre o comportamento da rede.

• Suporte à melhoria contínua: use análises para refinar estratégias de microssegmentação e impor o acesso de privilégios mínimos dinamicamente.

Ao integrar a Análise de Tráfego em sua implantação do Zero Trust, você ganha a capacidade de avaliar e melhorar continuamente a eficácia de sua estratégia de segmentação, garantindo que seus limites de rede não sejam apenas definidos, mas ativamente monitorados e aplicados.

2. SASE (Secure Access Service Edge) e ZTNA (Zero Trust Network Access)

Para proteger efetivamente as redes modernas, as organizações devem ir além das soluções legadas e adotar abordagens avançadas e integradas. A mudança inclui a adoção de soluções Zero Trust Network Access (ZTNA) para conectividade granular e orientada por identidade, a aplicação de arquiteturas SASE para unificar recursos de rede e segurança e a implementação de validação contínua de sessão com controles de acesso baseados em risco. Essas estratégias trabalham juntas para garantir que o acesso seja sempre verificado, as ameaças sejam minimizadas e as políticas de segurança se adaptem dinamicamente aos riscos em evolução.

2.1 Acesso à rede Zero Trust (ZTNA)

O Acesso à Rede Zero Trust substitui VPNs amplas baseadas em perímetro por conectividade refinada, com reconhecimento de identidade e sensível ao contexto. As três capacidades principais do ZTNA, sendo cada uma descrita primeiro para o Microsoft Global Secure Access e, em seguida, para as opções do Gateway de VPN do Azure.

A implementação de ZTNA pela Microsoft faz parte da funcionalidade Global Secure Access, versão de pré-visualização do Microsoft Entra, construída sobre o fundamento Security Service Edge (SSE).
Saiba mais: O que é o Global Secure Access? (Microsoft Entra)

2.2 Modernize VPNs tradicionais com ZTNA com reconhecimento de identidade

Acesso Seguro Global
O Global Secure Access da Microsoft substitui amplos túneis de rede por conexões específicas do aplicativo e orientadas por identidade. Quando um utilizador solicita acesso, o Global Secure Access utiliza o Microsoft Entra ID para logon único e acesso condicional perimetralmente — não são necessárias regras de firewall de entrada. Apenas os aplicativos aprovados são visíveis no portal do usuário e as decisões de acesso são baseadas na postura do dispositivo (do Defender for Endpoint) e nos sinais de risco em tempo real.

• Visão geral do Global Secure Access
• Visão geral do Acesso Privado

Gateway de VPN do Azure
Modernize VPNs ponto a site (P2S) integrando a autenticação com o Microsoft Entra ID, aplicando políticas de Acesso Condicional (como MFA, conformidade de dispositivos e Locais Nomeados) antes de estabelecer o túnel. Nos hubs WAN Virtual do Azure, a VPN P2S e a Rota Expressa operam em escala global, com segurança e roteamento centralizados por meio do Gerenciador de Firewall do Azure. Essa abordagem mantém a conectividade VPN familiar e, ao mesmo tempo, garante acesso com privilégios mínimos e reconhecimento de identidade.

• Configurar VPN P2S com autenticação Microsoft Entra ID
• Visão geral da WAN Virtual do Azure

2.3 Use a arquitetura SASE: integre funções de rede e segurança

Integre funções de rede e segurança com o SASE

Acesso Seguro Global
O Global Secure Access traz recursos de Security Service Edge (SSE) — incluindo Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Firewall-as-a-Service (FWaaS) — em uma estrutura SASE unificada. O tráfego de utilizadores, quer se destine à Internet ou a aplicações privadas, é encaminhado através da rede de ponta global da Microsoft. Aqui, a inspeção TLS, a filtragem de URL, a prevenção contra perda de dados (DLP) e a inteligência de ameaças são aplicadas. O Defender for Cloud Apps permite o controle de sessão em linha para aplicativos SaaS, enquanto o Firewall do Azure protege o acesso a aplicativos privados.

• SWG em Global Secure Access:Microsoft Entra Internet Access
• CASB com Defender for Cloud Apps:O que é o Defender for Cloud Apps?

Esta arquitetura:

• Encaminha o tráfego do utilizador através do edge da Microsoft para inspeção e controlo centralizados.
• Reduz a complexidade unificando a aplicação da política de segurança
• Suporta direção de tráfego e tunelamento dividido para desempenho e conformidade

Integração do Gateway de VPN do Azure
Endpoints de VPN tradicionais podem ser integrados ao Firewall do Azure ou a appliances SWG de parceiros usando configurações de túnel forçado. A configuração permite que o tráfego VPN de entrada e saída seja inspecionado e controlado com o Gerenciador de Firewall do Azure, inteligência de ameaças e controles de sessão de Acesso Condicional. Você pode aplicar filtragem de URL, inspeção profunda de pacotes (DPI) e DLP a sessões VPN. As políticas de sessão do Defender for Cloud Apps podem impor controles de upload/download e descoberta de TI sombreada no tráfego encapsulado.

• Saiba mais sobre VPN de túnel forçado com o Firewall do Azure

2.4 Implementar validação de sessão contínua e acesso baseado em risco

A validação contínua da sessão garante que as decisões de autorização sejam aplicadas em tempo real, não apenas no início de sessão. Essa abordagem ajuda as organizações a responder rapidamente às mudanças nas condições de risco e a manter uma forte postura de segurança.

Acesso Seguro Global da Microsoft
O Acesso à Rede Zero Trust não é uma verificação única. O Microsoft Global Secure Access usa a Avaliação de Acesso Contínuo (CAE) para monitorar sinais de risco, como malware detetado ou locais incomuns, e pode revogar ou reavaliar tokens de acesso a aplicativos e encerrar a conectividade de rede quando o risco é detetado. O Defender for Cloud Apps impõe controles de sessão ao vivo, como bloquear downloads, colocar sessões em quarentena ou exigir autenticação multifator (MFA) extra durante uma sessão ativa. Os guias de resposta automatizada do Microsoft Sentinel ou do Microsoft Defender XDR podem isolar dispositivos comprometidos ou desativar contas em tempo real.

• Saiba mais sobre a Avaliação de Acesso Contínuo (CAE)
• Saiba mais sobre os controles de sessão do Defender for Cloud Apps
• Saiba mais sobre a Avaliação Universal de Acesso Contínuo (Pré-visualização)

Gateway de VPN do Azure Para conexões VPN utilizando autenticação do Microsoft Entra ID, a funcionalidade Avaliação Contínua de Acesso (CAE) é suportada. Se o Acesso Condicional detetar um usuário ou dispositivo arriscado, o túnel VPN poderá ser fechado ou exigir uma nova autenticação. Você pode enviar logs de VPN para o Microsoft Sentinel e usar playbooks automatizados para bloquear IPs, revogar acesso ou alertar equipes de segurança, permitindo respostas rápidas e baseadas em risco para conexões VPN.

• Autenticação do Gateway VPN com ID do Microsoft Entra
• Automatize a resposta com os playbooks do Microsoft Sentinel

3. Criptografia forte e comunicação segura

A comunicação de rede moderna deve ser fortemente criptografada e protegida em todas as etapas. As organizações devem:

• Utilize Transport Layer Security (TLS) 1.3 e garanta criptografia de ponta a ponta para todo o tráfego de rede. O TLS 1.3 oferece segurança mais forte, handshakes mais rápidos e autenticação de cliente sempre criptografada — essencial para proteger cargas de trabalho modernas.
• Imponha a autenticação mútua (mTLS) entre cargas de trabalho e dispositivos para garantir que as identidades do cliente e do servidor sejam verificadas, impedindo o acesso não autorizado, mesmo com credenciais válidas.
• Bloqueie protocolos não confiáveis ou herdados que não possuem criptografia, como TLS 1.0/1.1 ou cifras desatualizadas.

Principais recomendações

• Serviço de Aplicativo do Azure & Azure Front Door: Defina a Versão Mínima de TLS de Entrada como 1.3 para garantir que apenas pacotes de codificação seguros sejam usados para aplicativos Web. Para saber mais, consulte Impor a versão mínima do TLS para o Serviço de Aplicativo e a Front Door.
• Azure IoT Edge, Hub IoT e outros serviços PaaS: Confirme se os SDKs de dispositivo suportam TLS 1.3 ou restrinja para TLS 1.2+.
• Azure Application Gateway (v2): Suporta mTLS usando certificados validados OCP para verificação de cliente. Para saber mais, consulte Visão geral do TLS no Serviço de Aplicativo.
• Criptografe o tráfego de back-end do aplicativo entre redes virtuais.
• Criptografe o tráfego entre o local e a nuvem:
  • Configure a VPN de site a site através do peering de Microsoft ExpressRoute.
  • Use o modo de transporte IPsec para interconexão privada do ExpressRoute.
  • Configurar o mTLS entre servidores através do emparelhamento privado do ExpressRoute.

Bloquear protocolos não confiáveis ou herdados

• Pontos de extremidade do Azure (Serviço de Aplicativo, Armazenamento, SQL, Hubs de Eventos, etc.): Aceite apenas o TLS 1.2+ e, idealmente, aplique o 1.3, desativando as versões herdadas.
• Máquinas Virtuais e Dispositivos de Rede: Use a Política do Azure e o Microsoft Defender for Cloud para verificar protocolos desatualizados (como SMBv1 ou TLS <1.2 personalizado) e impor a correção.
• Higiene operacional: Desabilite cifras e protocolos herdados no nível do sistema operacional ou do aplicativo (por exemplo, desabilite o TLS 1.0/1.1 no Windows Server ou no SQL Server).

Prepare-se para a criptografia pós-quântica (PQC)

Os algoritmos criptográficos tradicionais de chave pública (como RSA e ECC) são vulneráveis a futuros computadores quânticos. A Microsoft integrou algoritmos resistentes ao quântico (LMS e ML-DSA, FIPS 204) em sua plataforma, com suporte mais amplo a PQC em breve. Comece a transição para o TLS 1.3 e prepare-se para a integração PQC à medida que os padrões são finalizados.

3.1 Encriptação: O tráfego interno de utilizador para aplicação é encriptado

Adicione criptografia para garantir que o tráfego interno de usuário para aplicativo seja criptografado.

Siga estes passos:

1. Imponha a comunicação somente HTTPS para seus aplicativos Web voltados para a Internet redirecionando o tráfego HTTP para HTTPS usando o Azure Front Door.
2. Conecte funcionários/parceiros remotos ao Microsoft Azure usando o Gateway de VPN do Azure.
3. Ative a criptografia para qualquer tráfego ponto a site no serviço Gateway de VPN do Azure.
4. Acesse suas máquinas virtuais do Azure com segurança usando comunicação criptografada por meio do Azure Bastion.
5. Conecte-se usando SSH a uma máquina virtual Linux.
6. Conecte-se usando o protocolo RDP (Remote Desktop Protocol) a uma máquina virtual do Windows.

3.2 Encriptação: Todo o tráfego

Finalmente, complete sua proteção de rede, garantindo que todo o tráfego seja criptografado.

Siga estes passos:

1. Criptografe o tráfego de back-end do aplicativo entre redes virtuais.
2. Criptografe o tráfego entre o local e a nuvem:
   1. Configure uma VPN site a site sobre o emparelhamento da Microsoft da Rota Expressa.
   2. Configure o modo de transporte IPsec para emparelhamento privado da Rota Expressa.
   3. Configure mTLS entre servidores no emparelhamento privado do ExpressRoute.

4. Visibilidade da rede e deteção de ameaças

Em um modelo de segurança Zero Trust, o princípio de "nunca confiar, sempre verificar" se aplica não apenas a usuários e dispositivos, mas também ao tráfego de rede. O monitoramento e o registro da atividade da rede são essenciais para a aplicação do Zero Trust porque ele fornece visibilidade contínua sobre como os recursos são acessados, garante a conformidade com as políticas de segurança e permite a deteção rápida de comportamentos suspeitos ou não autorizados. Abaixo estão os elementos-chave, que esta seção irá cobrir:

• Implante a Deteção de Rede e a Resposta (NDR) para monitorar e analisar o tráfego de rede.
• Use DPI (Deep Packet Inspection) e deteção de anomalias orientada por IA para caçar ameaças em tempo real.
• Mantenha um registro centralizado e integração SIEM/SOAR para análise de rede.
• Implante XDR (Extended Detection and Response) para analisar padrões de tráfego, identificar anomalias e evitar violações.
• Integre análises orientadas por IA para melhorar as respostas rápidas a ameaças emergentes.
• Habilite a deteção e a resposta aprimoradas a ameaças adotando a restauração de IP de origem do Acesso Seguro Global.
• Utilize logs e monitorização de Acesso Seguro Global.

4.1 Proteção contra ameaças: Proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados no contexto

Para obter mais proteção contra ameaças, ative a Proteção de Rede DDoS do Azure para monitorar constantemente o tráfego de aplicativos hospedados no Azure, usar estruturas baseadas em ML para linha de base e detetar inundações volumétricas de tráfego, detetar ataques de protocolo e aplicar mitigações automáticas.

Siga estes passos:

1. Configurar e gerenciar Proteção de Rede DDoS do Azure.
2. Configure alertas para métricas de proteção contra DDoS.
3. Usar o Microsoft Sentinel com o Azure Web Application Firewall
4. Usar o Firewall do Azure com o Microsoft Sentinel

4.2 Proteção contra ameaças: filtragem nativa da nuvem e proteção contra ameaças conhecidas

Os aplicativos em nuvem que abrem pontos de extremidade para ambientes externos, como a internet ou o seu ambiente local, estão em risco de sofrer ataques provenientes desses ambientes. Portanto, é imperativo que se analise o tráfego para procurar cargas ou lógica maliciosas.

Estes tipos de ameaças dividem-se em duas grandes categorias:

• Ataques conhecidos. Ameaças descobertas pelo seu fornecedor de software ou pela comunidade em geral. Nesses casos, a assinatura de ataque está disponível e você precisa garantir que cada solicitação seja verificada em relação a essas assinaturas. A chave é ser capaz de atualizar rapidamente seu mecanismo de deteção com quaisquer ataques recém-identificados.

• Ataques desconhecidos. Esses ataques são ameaças que não correspondem a nenhuma assinatura conhecida. Esses tipos de ameaças incluem vulnerabilidades de dia zero e padrões incomuns no tráfego de solicitações. A capacidade de detetar tais ataques depende de quão bem suas defesas sabem o que é normal e o que não é. Suas defesas devem estar constantemente aprendendo e atualizando padrões à medida que seu negócio (e tráfego associado) evolui.

Considere estas etapas para se proteger contra ameaças conhecidas:

• Implemente recursos do Microsoft Entra Internet Access, como filtragem de conteúdo da Web e inspeção TLS. Para saber mais, consulte Saiba mais sobre o Microsoft Entra Internet Access para todos os aplicativos.

• Proteja os pontos de extremidade usando o Firewall de Aplicativo Web do Azure (WAF) ao fazer:

  1. Ativando o conjunto de regras padrão ou o conjunto de 10 principais regras de proteção do OWASP para proteger contra ataques conhecidos da camada da Web
  2. Ativar o conjunto de regras de proteção de bot para impedir que bots mal-intencionados raspem informações, realizem preenchimento de credenciais, etc.
  3. Adicionar regras personalizadas para proteger contra ameaças específicas da sua empresa.

  Você pode usar uma das duas opções:

  • Azure Front Door
    • Crie uma política de Firewall de Aplicativo Web no Azure Front Door.
    • Configure a proteção de bot para o Web Application Firewall.
    • Regras personalizadas para o Web Application Firewall.
  • Gateway de Aplicação do Azure
    • Crie um gateway de aplicativo com um Web Application Firewall.
    • Configure a proteção de bot para o Web Application Firewall.
    • Crie e use regras personalizadas do Web Application Firewall v2..

• Endpoints frontais com Azure Firewall para filtragem baseada em inteligência de ameaças e IDPS na Camada 4.

  • Implementar e configurar o Azure Firewall com o portal do Azure.
  • Habilite a filtragem baseada em inteligência de ameaças para o seu tráfego.

    Gorjeta

    Saiba mais sobre como implementar uma estratégia Zero Trust de ponta a ponta para endpoints.

  • O IDPS do Firewall do Azure deteta e previne ameaças no tráfego de rede quando habilitado

4.3 Acompanhamento e visibilidade

Análise de Tráfego

O Network Watcher Traffic Analytics desempenha um papel crítico na segmentação do Zero Trust, analisando logs de fluxo de VNET para detetar tráfego anômalo, validar políticas de segmentação e descobrir TI sombra ou caminhos de acesso mal configurados. Ele permite que as equipes de segurança visualizem o tráfego entre segmentos e apliquem controles adaptáveis com base na telemetria em tempo real.

Análise de Log

Deteção e resposta estendida (XDR) do Microsoft Defender

O Microsoft Defender Extended Detection and Response (XDR) é um pacote unificado de defesa empresarial que você usa antes e depois de uma violação. O pacote coordena deteção, prevenção, investigação e resposta nativamente em endpoints, identidades, e-mail e aplicativos. Use o Defender XDR para proteger e responder a ataques sofisticados.

• Investigar alertas
• Saiba mais sobre o Zero Trust com o Defender XDR
• Saiba mais sobre o Defender XDR para o governo dos EUA

Sentinela da Microsoft

Desenvolva consultas analíticas personalizadas e visualize os dados coletados usando pastas de trabalho.

• Detete ameaças com regras de análise personalizadas
• Visualize os dados coletados
• Usar livros de trabalho com Acesso Seguro Global

AI-Enabled Acesso à rede

Sentinela da Microsoft

Use o Firewall do Azure para visualizar atividades de firewall, detetar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta.

• Firewall do Azure com o Microsoft Sentinel

O Microsoft Entra ID Protection usa algoritmos de aprendizado de máquina (ML) para detetar usuários e risco de entrada. Use condições de risco em políticas de Acesso Condicional para acesso dinâmico, com base no nível de risco.

• Proteção do Entra ID da Microsoft
• Deteções de risco
• Políticas de acesso baseadas no risco

Acesso Seguro Global

Ao aproveitar os logs do Microsoft Entra Global Secure Access, as organizações podem rastrear tentativas de acesso, monitorar fluxos de dados e identificar anomalias em tempo real. Esse monitoramento granular ajuda a validar que apenas identidades e dispositivos autorizados estão acessando recursos confidenciais, oferece suporte à resposta a incidentes e fornece evidências vitais para auditorias e investigações. O registro de tráfego abrangente é, portanto, um elemento fundamental para manter e provar a eficácia de uma arquitetura Zero Trust. Além dos logs de tráfego, estão disponíveis registos suplementares para sinais extra.

• Logs e monitoramento de Acesso Seguro Global
• Registos de auditoria de Acesso Seguro Global
• Logs do Microsoft 365 enriquecidos pelo Global Secure Access
• Logs de tráfego do Global Secure Access
• Registos de saúde da rede remota

4.4 Automação e orquestração

A automação e a orquestração são essenciais para aplicar os princípios do Zero Trust em toda a infraestrutura de rede. Ao aproveitar a aplicação, a resposta e a governança automáticas, as organizações podem alcançar uma conectividade segura e resiliente.

Rede do Azure

Os serviços de rede do Azure, incluindo Firewall do Azure, NSGs (Grupos de Segurança de Rede), WAN Virtual e Proteção contra DDoS, podem ser implantados, controlados e monitorados usando ferramentas de Infraestrutura como Código (IaC), como modelos ARM, Bicep, Terraform e Política do Azure.

Principais capacidades:

• Implantação automatizada: Use pipelines de IaC para implantar automaticamente a segmentação de rede (NSGs, Firewall do Azure) e controles de filtragem.
• Conformidade contínua: Aplique e corrija automaticamente padrões de segurança (por exemplo, bloqueie IPs públicos, exija criptografia) com a Política do Azure.
• Integração com DevOps: Integre com fluxos de trabalho GitOps/DevOps para configurações de rede declarativas e controladas por versão.

Exemplo: Implante automaticamente as regras do NSG e as políticas do Firewall do Azure quando uma nova sub-rede for provisionada usando o Bicep e o Azure DevOps.

• Guia de início rápido: criar um Firewall do Azure e uma política de firewall - Bicep
• Proteger o tráfego de pods com políticas de rede - Serviço de Kubernetes do Azure

Microsoft Entra (Acesso Seguro Global com Governança de Identidade)

O Microsoft Entra Global Secure Access combina acesso com reconhecimento de identidade com controles de rede, indo além das VPNs herdadas. A Governança de Identidade amplia isso com a automação de direitos.

Principais capacidades:

• Integração automatizada: Integre aplicativos/serviços no Private Access ou no App Proxy usando APIs e modelos de política do Microsoft Graph.
• Gestão dos direitos: Defina pacotes de acesso à rede com fluxos de trabalho de aprovação, expirações e revisões de acesso.
• Desprovisionamento dinâmico: Remova automaticamente os direitos de rede com base em alterações de função ou eventos do ciclo de vida.

Exemplo: Atribua um pacote de acesso que conceda acesso privado a aplicativos específicos quando um usuário ingressa em um projeto, com expiração imposta e revisão de acesso.

• Automatize as atribuições de pacotes de acesso com o Gerenciamento de Direitos

Microsoft Sentinel

O Microsoft Sentinel fornece playbooks (Aplicativos Lógicos) para automatizar a deteção e a resposta a ameaças de rede.

Principais capacidades:

• Resposta automatizada: Atualize as regras do NSG ou do Firewall do Azure para bloquear IPs/domínios mal-intencionados.
• Quarentena de recursos: Desative sessões ou recursos de quarentena ajustando o Acesso Condicional.
• Enriquecimento de alerta: Correlacione alertas de rede com logs de fluxo, DNS, identidade e telemetria do dispositivo.

Exemplo: O Sentinel deteta a comunicação com um IP malicioso conhecido; um playbook atualiza os grupos IP do Firewall do Azure e notifica o SecOps.

• Exemplo de Playbook: bloquear IP malicioso em NSG do Azure
• Automatize a resposta a ameaças com os livros de estratégia do Sentinel

Microsoft Defender XDR

O Microsoft Defender XDR automatiza a deteção, a investigação e a resposta coordenada em sinais de identidade, de rede e de endpoints.

Principais capacidades:

• Correlação: Deteta movimentos laterais ou padrões de rede anômalos usando identidade e contexto do dispositivo.
• Isolamento automatizado: Isola dispositivos comprometidos e aciona ações de fiscalização em todas as plataformas.
• Integração: Trabalha com o Sentinel e o Entra para resposta a incidentes de ponta a ponta.

Exemplo: O Defender for Endpoint deteta tráfego de comando-e-controle (C2), o XDR isola o dispositivo e aciona um livro de estratégias do Sentinel para bloquear o destino na Firewall Azure.

• Investigação e resposta automatizadas no Defender XDR

5. Controle de acesso orientado por políticas e privilégios mínimos

As redes Zero Trust modernas exigem controles de acesso granulares e adaptáveis que imponham privilégios mínimos e respondam dinamicamente ao risco. O acesso orientado por políticas garante que os usuários e dispositivos obtenham apenas as permissões mínimas necessárias, pelo menor tempo necessário e somente sob as condições certas.

5.1 Implementar políticas de acesso sensíveis ao contexto

• Use o Acesso Condicional do Microsoft Entra para definir políticas com base em sinais de usuário, dispositivo, local, aplicativo e risco.
• Comece planejando sua implantação de Acesso Condicional para alinhar as políticas com seus requisitos organizacionais.
• Acelere a implantação com modelos de política de Acesso Condicional para cenários comuns.

5.2 Aplicar controlos adaptativos e baseados no risco

• Exija autenticação multifator (MFA) quando o risco for detetado, como entradas desconhecidas ou dispositivos arriscados.
• Use MFA baseada em risco de autenticação para solicitar automaticamente MFA com base na avaliação de risco em tempo real.
• Entenda as deteções de risco no Microsoft Entra ID Protection para informar decisões de política e automatizar a correção.

5.3 Aplicar Just-in-Time (JIT) e acesso privilegiado

• Imponha o acesso Just-in-Time (JIT) usando o Privileged Identity Management (PIM) para conceder permissões elevadas somente quando necessário.
• Proteja o acesso a aplicativos privados com PIM e Global Secure Access para reduzir os privilégios permanentes e limitar a exposição.

5.4 Acesso híbrido e específico da aplicação

• Para ambientes híbridos, configure políticas de acesso por aplicativo usando Aplicativos de Acesso Seguro Global.
• Habilite a administração remota segura usando SSH com o Microsoft Entra Private Access para acesso granular ao servidor orientado por políticas.

5.5 Negação por defeito e avaliação contínua

• Aplique princípios de negação por padrão em todas as camadas de rede, concedendo acesso somente quando explicitamente permitido pela política.
• Avalie continuamente o risco da sessão e imponha alterações de política em tempo real para minimizar a superfície de ataque.

Use políticas sensíveis ao contexto, baseadas em riscos e com privilégios mínimos para reduzir o acesso não autorizado e limitar o movimento lateral em sua rede.

6. Segurança da nuvem e da rede híbrida

A proteção de ambientes híbridos e de nuvem requer uma combinação de controles modernos e nativos da nuvem e uma aplicação consistente de políticas em todas as plataformas. À medida que as organizações adotam arquiteturas híbridas e multicloud, é essencial estender os princípios de Zero Trust além dos data centers tradicionais para cargas de trabalho em nuvem, SaaS e ambientes PaaS.

6.1 Proteja cargas de trabalho na nuvem com microperímetros e firewalls nativos da nuvem

• Micro-perímetros: Use a micro-segmentação para criar limites de segurança granulares em torno de cargas de trabalho, aplicações ou serviços individuais. Isso limita o movimento lateral e contém possíveis brechas dentro de segmentos isolados.
• Firewalls nativos da nuvem: Implante soluções como o Firewall do Azure para inspecionar e controlar o tráfego entre cargas de trabalho na nuvem, impor filtragem baseada em inteligência de ameaças e aplicar regras de aplicativo e rede em escala.
• Grupos de Segurança de Rede (NSGs): Utilize Grupos de Segurança de Rede (NSGs) e Grupos de Segurança de Aplicação para definir e aplicar controles de acesso refinados para recursos em redes virtuais.
• Pontos finais privados: Use o Azure Private Link para restringir o acesso a serviços PaaS em endereços IP privados, garantindo que o tráfego permaneça dentro do backbone confiável da Microsoft.

6.2 Integrar proxies com reconhecimento de identidade para segurança SaaS e PaaS

• Proxies com reconhecimento de identidade: Implemente soluções como o Microsoft Entra Private Access para intermediar o acesso a aplicativos SaaS e PaaS. Esses proxies impõem autenticação, conformidade de dispositivo e políticas de Acesso Condicional antes de conceder acesso. Considere o Microsoft Entra Internet Access para acesso à Internet com reconhecimento de identidade.
• Agente de Segurança de Acesso à Nuvem (CASB): Use o Microsoft Defender for Cloud Apps para descobrir, monitorar e controlar o uso de SaaS, impor a prevenção contra perda de dados (DLP) e aplicar controles de sessão para aplicativos em nuvem.
• Validação contínua da sessão: Aplique a aplicação de políticas em tempo real e baseada em risco para acesso a SaaS e PaaS, incluindo controles adaptáveis baseados no contexto do usuário, dispositivo e sessão.

6.3 Garantir a aplicação consistente da política de segurança em ambientes híbridos e multicloud

• Gerenciamento unificado de políticas: Use plataformas como o Acesso Condicional do Microsoft Entra e a Política do Azure para definir e aplicar políticas de segurança consistentes no local, no Azure e em outros provedores de nuvem.
• Conectividade híbrida: Proteja conexões híbridas usando o Gateway de VPN do Azure, a Rota Expressa e imponha criptografia e controles de acesso para todo o tráfego entre ambientes.
• Monitorização e resposta centralizadas: Integre logs e eventos de segurança de todos os ambientes no Microsoft Sentinel ou em sua plataforma SIEM/SOAR para visibilidade unificada, deteção de ameaças e resposta automatizada.
• Gestão da postura de segurança multicloud: Use ferramentas como o Microsoft Defender for Cloud para avaliar, monitorar e melhorar a postura de segurança dos recursos no Azure e em outros provedores de nuvem.

As organizações que implementam essas estratégias podem alcançar uma segurança robusta de ponta a ponta para redes híbridas e em nuvem. A abordagem garante que os princípios de Zero Trust sejam aplicados de forma consistente, independentemente de onde as cargas de trabalho e os dados residam.

7. Descontinuar a tecnologia de segurança de rede herdada

O Zero Trust rejeita a confiança implícita em qualquer segmento de rede ou dispositivo. Os controles legados centrados no perímetro — como túneis VPN planos, inspeção de tráfego "hair-pin", listas de controle de acesso (ACLs) codificadas e firewalls de rede estáticos — não fornecem mais a proteção adaptativa, com reconhecimento de identidade e sensível ao contexto necessária para ambientes híbridos modernos e nativos da nuvem. Para realizar plenamente o Zero Trust, as organizações devem aposentar essas tecnologias desatualizadas em favor de serviços de segurança orientados por identidade e definidos por software.

7.1 Âmbito da reforma

As tecnologias legadas para se aposentar incluem:

• VPNs tradicionais que concedem amplo acesso à rede com base apenas em certificados de dispositivo ou chaves compartilhadas.
• Firewalls de rede rígidos com conjuntos de regras estáticas e visibilidade limitada no nível do aplicativo.
• Proxies da Web herdados que não possuem inspeção de ameaças em linha ou controle de sessão.
• ACLs de rede ou segmentação baseada em rota sem integração com sinais de identidade ou de postura do dispositivo.

7.2 Princípios de substituição

Para cada controle preterido, adote uma alternativa moderna de Zero Trust que:

• Impõe o acesso de privilégios mínimos na camada de aplicativo ou carga de trabalho usando o Acesso à Rede Zero Trust.
• Integra a identidade e a postura do dispositivo (usando o Microsoft Entra ID e o Microsoft Defender for Endpoint) em todas as decisões de acesso.
• Fornece validação contínua com Avaliação de Acesso Contínuo e reavaliação de sessão.
• Oferece visibilidade e controle definidos por software por meio de soluções SASE (Secure Access Service Edge) e Security Service Edge (SSE), como Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall-as-a-Service (FWaaS) e Network Detection and Response (NDR).

7.3 Estratégia de transição

1. Inventariar e priorizar

   • Cataloge todos os dispositivos legados e perfis VPN.
   • Classifique por criticidade (aplicativos voltados para o público, conectividade de parceiros, administração remota).

2. Pilotar e validar

   • Estabeleça pilotos ZTNA usando o Microsoft Global Secure Access ou o Azure VPN Gateway com autenticação pelo Microsoft Entra ID para conjuntos de aplicações de baixo risco.
   • Valide a conectividade, o desempenho e a aplicação de políticas.

3. Redução gradual faseada

   • Migre grupos de usuários e grupos de aplicativos em ondas, monitorando métricas de sucesso (como tempo de acesso, tíquetes de helpdesk e alertas de segurança).
   • Redirecione simultaneamente o tráfego através da pilha SASE ou SSE escolhida.

4. Descomissionamento formal

   • Desative os dispositivos de hardware e revogue as configurações de VPN herdadas.
   • Atualize diagramas de rede e runbooks operacionais para remover a tecnologia obsoleta.

Produtos abrangidos por este guia

Azure Networking

Redes Virtuais e Sub-redes

Grupos de segurança de rede e grupos de segurança de aplicativos

Azure Firewall

Proteção contra DDoS do Azure

Firewall de Aplicativo Web do Azure

Gateway de VPN do Azure

Azure ExpressRoute

Observador de Rede do Azure

Microsoft Entra Acesso Privado

Microsoft Entra Acesso à Internet

Conclusão

Proteger as redes é fundamental para uma estratégia Zero Trust bem-sucedida. Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success ou continue a ler os outros capítulos deste guia, que abrange todos os pilares do Zero Trust.