Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.
Você pode usar vários serviços do Azure para criar uma infraestrutura de TI completa para sua organização. O Azure também fornece serviços de segurança que podem ajudá-lo a proteger sua infraestrutura. Usando as soluções de segurança do Azure, você pode aprimorar a postura de segurança do seu ambiente de TI, mitigar vulnerabilidades e proteger contra violações por meio de uma solução bem arquitetada baseada nas práticas recomendadas da Microsoft.
Embora alguns serviços de segurança incorram em custos associados, muitos estão disponíveis sem custo adicional. Os serviços gratuitos incluem NSGs (grupos de segurança de rede), criptografia de armazenamento, TLS/SSL, tokens de assinatura de acesso compartilhado e mais. Este artigo se concentra nesses serviços gratuitos.
Este artigo é o terceiro de uma série de cinco. Para revisar os dois artigos anteriores desta série, incluindo a introdução e uma revisão de como você pode mapear ameaças contra um ambiente de TI, consulte os seguintes artigos:
- Usar o monitoramento do Azure para integrar componentes de segurança
- Mapear ameaças ao seu ambiente de TI
Possíveis casos de uso
Este artigo organiza os serviços de segurança do Azure por recurso do Azure para que você possa se concentrar em ameaças específicas direcionadas a recursos como VMs (máquinas virtuais), sistemas operacionais, redes do Azure ou aplicativos, além de ataques que podem comprometer usuários e senhas. O diagrama a seguir pode ajudá-lo a identificar os serviços de segurança do Azure que ajudam a proteger recursos e identidades de usuário contra esses tipos de ameaças.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
©2021 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.
A camada de segurança do Azure neste diagrama é baseada no ASB (Azure Security Benchmark.) v3, que é um conjunto de regras de segurança implementadas por meio de políticas do Azure. O ASB é baseado em uma combinação de regras do CIS Center for Internet Security e do National Institute of Standards and Technology. Para obter mais informações sobre o ASB, consulte Visão geral do Azure Security Benchmark v3.
O diagrama não inclui todos os serviços de segurança do Azure disponíveis, mas destaca os serviços usados com mais frequência. Todos os serviços de segurança mostrados no diagrama de arquitetura podem ser combinados e configurados para trabalhar em conjunto com seu ambiente de TI e as necessidades de segurança específicas de sua organização.
Workflow
Esta seção descreve os componentes e serviços que aparecem no diagrama. Muitos deles são rotulados com seus códigos de controle ASB, além de seus rótulos abreviados. Os códigos de controle correspondem aos domínios de controle listados em Controles.
Azure Security Benchmark
Cada controle de segurança refere-se a um ou mais serviços de segurança específicos do Azure. A referência de arquitetura neste artigo mostra alguns deles e seus números de controle de acordo com a documentação do ASB. Os controles incluem:
- Segurança de rede
- Gerenciamento de identidades
- Acesso privilegiado
- Proteção de dados
- Gerenciamento de ativos
- Registro em log e detecção de ameaças
- Resposta a incidentes
- Gerenciamento de vulnerabilidades e postura
- Segurança do ponto de extremidade
- Backup e recuperação
- Segurança de DevOps
- Governança e estratégia
Para obter mais informações sobre os controles de segurança, consulte Visão geral do Azure Security Benchmark (v3).
Rede
A tabela a seguir descreve os serviços de rede no diagrama.
Etiqueta Descrição Documentação NSG Um serviço gratuito que você anexa a uma interface de rede ou sub-rede. Um NSG permite filtrar o tráfego do protocolo TCP ou UDP usando intervalos de endereços IP e portas para conexões de entrada e saída. Grupos de segurança de rede VPN Um gateway de VPN (rede virtual privada) que fornece um túnel com proteção IPSEC (IKE v1/v2). Gateway de VPN Firewall do Azure Uma PaaS (plataforma como serviço) que oferece proteção na camada 4 e está conectada a uma rede virtual inteira. O que é o Firewall do Azure? Aplicativo GW + WAF Gateway de Aplicativo do Azure com WAF (Firewall do Aplicativo Web) O Gateway de Aplicativo é um balanceador de carga para tráfego da Web que funciona na camada 7 e adiciona WAF para proteger aplicativos que usam HTTP e HTTPS. O que é o Gateway de Aplicativo do Azure? NVA NVA (solução de virtualização de rede). Um serviço de segurança virtual do marketplace provisionado em VMs no Azure. Soluções de virtualização de rede DDOS Proteção contra DDoS implementada na rede virtual para ajudar você a mitigar diferentes tipos de ataques contra DDoS. Visão geral da Proteção de Rede contra DDoS do Azure TLS/SSL O TLS/SSL fornece criptografia em trânsito para a maioria dos serviços do Azure que trocam informações, como o Armazenamento do Azure e os Aplicativos Web. Configurar o TLS de ponta a ponta usando o Gateway de Aplicativo com o PowerShell Link privado Serviço que permite criar uma rede privada para um serviço do Azure que inicialmente é exposto à Internet. O que é o Link Privado do Azure? Ponto de extremidade privado Cria uma interface de rede e a anexa ao serviço do Azure. O Ponto de Extremidade Privado faz parte do Link Privado. Essa configuração permite que o serviço, usando um ponto de extremidade privado, faça parte da sua rede virtual. O que é um ponto de extremidade privado? Infraestrutura e endpoints
A tabela a seguir descreve a infraestrutura e os serviços de ponto de extremidade mostrados no diagrama.
Etiqueta Descrição Documentação Bastion O Bastion fornece funcionalidade de servidor de salto. Esse serviço permite que você acesse suas VMs por meio de protocolo RDP (Remote Desktop Protocol) ou SSH sem expor suas VMs à Internet. O que é o Azure Bastion? Antimalware O Microsoft Defender fornece serviço antimalware e faz parte do Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Microsoft Defender Antivirus no Windows Criptografia de disco A Criptografia de Disco permite criptografar o disco de uma VM. Azure Disk Encryption para VMs do Windows Keyvault Key Vault, um serviço para armazenar chaves, segredos e certificados com FIPS 140-2 Nível 2 ou 3. Conceitos básicos do Azure Key Vault RDP Curto Shortpath RDP da Área de Trabalho Virtual do Azure Esse recurso permite que usuários remotos se conectem ao serviço de Área de Trabalho Virtual de uma rede privada. Shortpath de RDP da Área de Trabalho Virtual do Azure para redes gerenciadas Conexão reversa Um recurso de segurança interno da Área de Trabalho Virtual do Azure. A conexão reversa garante que os usuários remotos recebam apenas fluxos de pixels e não alcancem as VMs do host. Noções básicas sobre a conectividade de rede da Área de Trabalho Virtual do Azure Aplicação e dados
A tabela a seguir descreve o aplicativo e os serviços de dados mostrados no diagrama.
Etiqueta Descrição Documentação Porta de frente + WAF Uma CDN (rede de distribuição de conteúdo). O Front Door combina vários pontos de presença para oferecer uma melhor conexão para os usuários que acessam o serviço e adiciona WAF. O que é o Azure Front Door? Gerenciamento da API Um serviço que fornece segurança para chamadas de API e gerencia APIs em ambientes. Sobre o Gerenciamento de API PenTest Um conjunto de práticas recomendadas para executar um teste de penetração em seu ambiente, incluindo recursos do Azure. Teste de penetração Token SAS de armazenamento Um token de acesso compartilhado para permitir que outras pessoas acessem sua conta de armazenamento do Azure. Conceder acesso limitado aos recursos de Armazenamento do Azure usando as SAS (assinaturas de acesso compartilhado) Ponto de extremidade privado Crie uma interface de rede e anexe-a à sua conta de armazenamento para configurá-la em uma rede privada no Azure. Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure Firewall de armazenamento O firewall que permite definir um intervalo de endereços IP que podem acessar sua conta de armazenamento. Configurar redes virtuais e firewalls do Armazenamento do Microsoft Azure Criptografia
(Armazenamento do Microsoft Azure)Protege sua conta de armazenamento com criptografia em repouso. Criptografia do Armazenamento do Azure para dados em repouso Auditoria SQL Rastreia eventos de banco de dados e os grava em um log de auditoria na conta de armazenamento do Azure. Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics Avaliação de vulnerabilidade Serviço que ajuda você a descobrir, rastrear e corrigir possíveis vulnerabilidades de banco de dados. A avaliação de vulnerabilidades do SQL ajuda a identificar vulnerabilidades de banco de dados Criptografia
(SQL do Azure)A TDE (Transparent Data Encryption) ajuda a proteger os serviços de banco de dados SQL do Azure ao criptografar os dados em repouso. Transparent Data Encryption para Banco de Dados SQL, Instância Gerenciada de SQL e Azure Synapse Analytics Identidade
A tabela a seguir descreve os serviços de identidade mostrados no diagrama.
Etiqueta Descrição Documentação RBAC O controle de acesso baseado em função do Azure (RBAC do Azure) ajuda você a gerenciar o acesso aos serviços do Azure usando permissões granulares baseadas nas credenciais do Microsoft Entra dos usuários. O que é o RBAC do Azure (controle de acesso baseado em função do Azure)? MFA A autenticação multifator oferece tipos adicionais de autenticação além de nomes de usuário e senhas. Como funciona: autenticação multifator do Microsoft Entra Proteção de identidade O Identity Protection, um serviço de segurança do Microsoft Entra ID, analisa trilhões de sinais por dia para identificar e proteger os usuários contra ameaças. O que é proteção de identidade? PIM PIM (Privileged Identity Management), um serviço de segurança do Microsoft Entra ID. Ele ajuda você a fornecer privilégios de superusuário temporariamente para a ID do Microsoft Entra (por exemplo, Administrador de Usuários) e assinaturas do Azure (por exemplo, Administrador de Controle de Acesso Baseado em Função ou Administrador do Key Vault). O que é o Privileged Identity Management do Microsoft Entra? Conta Cond O Acesso Condicional é um serviço de segurança inteligente que usa políticas definidas por você para várias condições para bloquear ou conceder acesso aos usuários. O que é Acesso Condicional?
Componentes
A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:
Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem. O Microsoft Entra ID ajuda seus usuários a acessar recursos externos, como o Microsoft 365, o portal do Azure e diversos outros aplicativos SaaS. Ele também os ajuda a acessar recursos internos, como aplicativos na rede de intranet corporativa.
A Rede Virtual do Microsoft Azure é o bloco de construção fundamental de sua rede privada no Azure. A Rede Virtual permite a comunicação segura entre muitos tipos de recursos do Azure, incluindo VMs, com a Internet e com as redes locais. A Rede Virtual fornece uma rede virtual que aproveita a infraestrutura do Azure, como escala, disponibilidade e isolamento.
O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho e baixa latência (entrada e saída) para todos os protocolos UDP e TCP. Ele foi criado para lidar com milhões de solicitações por segundo, garantindo que a sua solução esteja altamente disponível. O Azure Load Balancer tem redundância de zona, garantindo alta disponibilidade nas zonas de disponibilidade.
As Máquinas virtuais estão entre os diversos tipos de recursos de computação sob demanda e escalonáveis que o Azure oferece. Uma VM (máquina virtual) do Azure oferece a flexibilidade da virtualização sem precisar comprar e manter o hardware físico que as executa.
O serviço de Kubernetes do Azure (AKS) é o serviço Kubernetes totalmente gerenciado para implantar e gerenciar aplicativos conteinerizados. O AKS oferece Kubernetes sem servidor, CI/CD (integração contínua/entrega contínua), segurança em nível corporativo e governança.
A Área de Trabalho Virtual do Azure é um desktop e serviço de virtualização de aplicativos executado na nuvem para fornecer desktops para usuários remotos.
O Aplicativos Web do Serviço de Aplicativo é um serviço com base em HTTP para hospedagem de aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux.
O Armazenamento do Azure é um armazenamento altamente disponível, escalável em massa, durável e seguro para diversos objetos de dados na nuvem, incluindo armazenamento de objetos, blobs, arquivos, discos, filas e tabelas. Todos os dados gravados em uma conta de armazenamento do Azure são criptografados pelo serviço. O Armazenamento do Azure oferece um controle refinado sobre quem possui acesso aos seus dados.
O Banco de dados SQL do Azure é um mecanismo de banco de dados PaaS totalmente gerenciado que trata da maioria das funções de gerenciamento de banco de dados, como atualização, aplicação de patches, backups e monitoramento. Ele fornece essas funções sem envolver o usuário. O Banco de dados SQL fornece recursos internos de segurança e conformidade para ajudar seu aplicativo a atender a requisitos de segurança e conformidade.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Rudnei Oliveira | Engenheiro Sênior de Segurança do Azure
Outros colaboradores:
- Gary Moore | Programador/escritor
- Andrew Nathan | Gerente Sênior de Engenharia de Clientes
Próximas etapas
A Microsoft tem mais documentação que pode ajudá-lo a proteger seu ambiente de TI, e os seguintes artigos podem ser particularmente úteis:
- Segurança no Microsoft Cloud Adoption Framework para Azure. O Cloud Adoption Framework fornece diretrizes de segurança para seu percurso na nuvem ao esclarecer os processos, as melhores práticas, os modelos e a experiência.
- Microsoft Azure Well-Architected Framework. O Azure Well-Architected Framework é um conjunto de princípios de orientação que você pode usar para aprimorar a qualidade de uma carga de trabalho. A estrutura se baseia em cinco pilares: confiabilidade, segurança, otimização de custos, excelência operacional e eficiência de desempenho.
- Melhores práticas de segurança da Microsoft. As Melhores Práticas de Segurança da Microsoft (anteriormente conhecidas como Azure Security Compass ou Microsoft Security Compass) são uma coleção de melhores práticas que fornecem diretrizes acionáveis claras para decisões relacionadas à segurança.
- Arquiteturas de Referência de Segurança Cibernética da Microsoft (MCRA). MCRA é uma compilação de várias arquiteturas de referência de segurança da Microsoft.
Nos recursos a seguir, você pode encontrar mais informações sobre os serviços, tecnologias e terminologias mencionados neste artigo:
- O que são nuvens públicas, privadas e híbridas?
- Visão geral do Azure Security Benchmark (v3)
- Adotar a segurança proativa com Confiança Zero
- Informações de assinatura do Microsoft 365
- Microsoft Defender XDR
Recursos relacionados
Para saber mais sobre essa arquitetura de referência, consulte os demais artigos desta série:
- Parte 1: Usar o monitoramento do Azure para integrar componentes de segurança
- Parte 2: Mapear ameaças para seu ambiente de TI
- Parte 4: Criar a segunda camada de defesa com serviços de Segurança do Microsoft Defender XDR
- Parte 5: Integração entre serviços de segurança do Azure e do Microsoft Defender XDR