Gestão de segurança no Azure
Os subscritores do Azure poderão gerir os respetivos ambientes de nuvem a partir de vários dispositivos, incluindo estações de trabalho de gestão, PCs de programadores e, até mesmo, dispositivos de utilizador final com privilégios que tenham permissões específicas de tarefas. Em alguns casos, as funções administrativas são efetuadas através das consolas baseadas na Web, como o Portal do Azure. Em outros casos, pode haver conexões diretas com o Azure de sistemas locais por meio de VPNs (Redes Virtuais Privadas), Serviços de Terminal, protocolos de aplicativo cliente ou (programaticamente) o modelo de implantação clássico do Azure. Além disso, os pontos finais de cliente podem ser um domínio associado ou isolado e não gerido, como tablets ou smartphones.
Apesar de estas diversas capacidades de gestão e acesso fornecerem um conjunto avançado de opções, esta variabilidade pode acarretar um risco significativo para uma implementação de nuvem. Pode ser difícil gerir, controlar e auditar as ações administrativas. Este variabilidade também poderá acarretar ameaças de segurança através do acesso não regulado para os pontos finais de cliente que são utilizados para gerir os Cloud Services. A utilização das estações de trabalho gerais ou pessoais para desenvolver e gerir a infraestrutura abre vetores de ameaças imprevisíveis, como navegação na Web (por exemplo, ataques de tipo “watering hole”) ou e-mail (engenharia social e phishing).
O potencial de ataques aumenta nesse tipo de ambiente porque é difícil construir políticas e mecanismos de segurança para gerenciar adequadamente o acesso às interfaces do Azure (como SMAPI) a partir de pontos de extremidade muito variados.
Ameaças da gestão remota
Os atacantes frequentemente tentam obter acesso privilegiado comprometendo as credenciais da conta (por exemplo, através de ataque de força bruta às palavras-passe, phishing e recolha de credenciais) ou ludibriando os utilizadores na execução de código prejudicial (por exemplo, em sites prejudiciais conduzidos através de transferências ou em anexos de e-mail prejudiciais). Num ambiente de nuvem gerido remotamente, as falhas da conta podem levar a um maior risco devido a um acesso em qualquer lugar e em qualquer altura.
Mesmo com controles rígidos nas contas de administrador principal, as contas de usuário de nível inferior podem ser usadas para explorar fraquezas na estratégia de segurança. A falta de formação apropriada em segurança também pode levar a falhas através de divulgação ou exposição acidental das informações da conta.
Quando uma estação de trabalho do utilizador também é utilizada para tarefas administrativas, pode ficar comprometida em muitos pontos diferentes. Quer um utilizador esteja a navegar na Web, utilizando ferramentas open source de terceiros, ou a abrir um ficheiro de documento prejudicial que contém um trojan.
Em geral, a maior parte dos ataques direcionados que resultam em falhas de dados pode dever-se a explorações do browser, plug-ins (por exemplo, Flash, PDF, Java) e spear phishing (e-mail) em computadores. Nestes computadores poderão ter permissões de nível administrativo ou nível de serviço para aceder aos servidores em direto ou aos dispositivos de rede de operações, quando utilizados para a programação ou para a gestão de outros recursos.
Noções básicas da segurança operacional
Para um gerenciamento e operações mais seguros, você pode minimizar a superfície de ataque de um cliente reduzindo o número de possíveis pontos de entrada. Isto pode ser feito através de princípios de segurança: "separação de funções" e "segregação de ambientes".
Isole as funções sensíveis umas das outras para diminuir a probabilidade de um erro num nível conduzir a uma violação noutro. Exemplos:
- As tarefas administrativas não devem ser combinadas com atividades que possam levar a um comprometimento (por exemplo, malware no e-mail de um administrador que, em seguida, infeta um servidor de infraestrutura).
- Uma estação de trabalho usada para operações de alta sensibilidade não deve ser o mesmo sistema usado para fins de alto risco, como navegar na Internet.
Reduza a superfície de ataque do sistema removendo software desnecessário. Exemplo:
- A estação de trabalho administrativa, de suporte ou de desenvolvimento padrão não deve exigir a instalação de um cliente de e-mail ou outros aplicativos de produtividade se o objetivo principal do dispositivo for gerenciar serviços em nuvem.
Os sistemas de cliente que têm acesso de administrador aos componentes da infraestrutura devem estar sujeitos à política mais estrita possível para reduzir riscos de segurança. Exemplos:
- As políticas de segurança podem incluir definições da Política de Grupo que negam o acesso aberto à Internet a partir do dispositivo e utilizar uma configuração de firewall restritiva.
- Utilize VPNs com segurança IPsec seo acesso direto for necessário.
- Configure domínios do Active Directory de gestão e de desenvolvimento separados.
- Isole e filtre o tráfego de rede da estação de trabalho de gestão.
- Utilize software antimalware.
- Implemente o Multi-Factor Authentication para reduzir o risco de credenciais roubadas.
Consolidar os recursos de acesso e eliminar os pontos finais não geridos também simplifica as tarefas de gestão.
Fornecer segurança para gestão remota do Azure
O Azure oferece mecanismos de segurança para ajudar os administradores que gerem Virtual Machines e Cloud Services do Azure. Estes mecanismos incluem:
- Autenticação e controle de acesso baseado em função do Azure (Azure RBAC).
- Monitorização, registo e auditoria.
- Certificados e comunicações encriptadas.
- Um portal de gestão Web.
- Filtragem de pacotes de rede.
Com a configuração de segurança do lado do cliente e a implantação do datacenter de um gateway de gerenciamento, é possível restringir e monitorar o acesso do administrador a aplicativos e dados em nuvem.
Nota
Algumas recomendações neste artigo poderão resultar numa maior utilização de dados, de rede ou de utilização de recursos de computação e poderão aumentar os custos de licenciamento ou de subscrição.
Estação de trabalho protegida para gestão
O objetivo da proteção de uma estação de trabalho consiste em eliminar todas as funções, exceto as mais críticas, necessárias para que funcione, tornando a possível superfície de ataque tão reduzida quanto possível. A proteção do sistema inclui minimizar o número de aplicações e serviços instalados, limitar a execução das aplicações, restringir o acesso à rede apenas ao necessário e manter o sistema sempre atualizado. Além disso, utilizar uma estação de trabalho para gestão protegida segrega as ferramentas e as atividades administrativas de outras tarefas do utilizador final.
Num ambiente de empresa no local, pode limitar a superfície de ataque da sua infraestrutura física através de redes de gestão dedicadas, salas de servidores com acesso por cartão e estações de trabalho executadas em áreas protegidas da rede. Num modelo de TI híbrido ou na nuvem, ser diligente relativamente aos serviços de gestão protegidos pode ser mais complexo devido à falta de acesso físico aos recursos de TI. Implementar soluções de proteção requer uma cuidada configuração do software, processos centrados na segurança e políticas abrangentes.
O uso de uma pegada de software minimizada com privilégios mínimos em uma estação de trabalho bloqueada para gerenciamento de nuvem e desenvolvimento de aplicativos pode reduzir o risco de incidentes de segurança padronizando os ambientes de gerenciamento e desenvolvimento remotos. Uma configuração da estação de trabalho protegida pode ajudar a evitar que as contas utilizadas para gerir recursos de nuvem críticos fiquem comprometidas fechando muitas vias comuns utilizadas pelo software maligno e pelos exploits. Especificamente, pode utilizar o Windows AppLocker e a tecnologia Hyper-V para controlar e isolar o comportamento do sistema cliente e mitigar as ameaças, incluindo e-mail ou navegação na Internet.
Em uma estação de trabalho protegida, o administrador executa uma conta de usuário padrão (que bloqueia a execução em nível administrativo) e os aplicativos associados são controlados por uma lista de permissões. Os elementos básicos de uma estação de trabalho protegida são os seguintes:
- Análise ativa e aplicação de patches. Implemente o software antimalware, efetue análises de vulnerabilidade regulares e atualize todas as estações de trabalho utilizando a atualização de segurança mais recente atempadamente.
- Funcionalidade limitada. Desinstale todas as aplicações que não são necessárias e desative serviços (de arranque) desnecessários.
- Proteção da rede. Utilize as regras de Firewall do Windows para permitir apenas endereços IP, portas e URLs válidos relacionados com a gestão do Azure. Certifique-se de que as ligações remotas de entrada para a estação de trabalho também estão bloqueadas.
- Restrição de execução. Permita apenas um conjunto de arquivos executáveis predefinidos que são necessários para a execução do gerenciamento (referido como "default-deny"). Por padrão, os usuários devem ter permissão negada para executar qualquer programa, a menos que esteja explicitamente definido na lista de permissões.
- Menor privilégio. Os usuários da estação de trabalho de gerenciamento não devem ter nenhum privilégio administrativo na própria máquina local. Desta forma, eles não podem alterar a configuração do sistema ou os arquivos do sistema, intencionalmente ou não.
Pode impor tudo isto através de Objetos de Política de Grupo (GPOs) no Active Directory Domain Services (AD DS) e aplicá-los através do seu domínio de gestão (local) a todas as contas de gestão.
Gerir serviços, aplicações e dados
A configuração dos Cloud Services do Azure é efetuada através do Portal do Azure ou do SMAPI, através da interface de linha de comandos do Windows PowerShell ou de uma aplicação personalizada que tira partido destas interfaces RESTful. Os serviços que usam esses mecanismos incluem o Microsoft Entra ID, o Armazenamento do Azure, os Sites do Azure e a Rede Virtual do Azure, entre outros.
Os aplicativos implantados na Máquina Virtual fornecem suas próprias ferramentas e interfaces de cliente, conforme necessário, como o MMC (Console de Gerenciamento Microsoft), um console de gerenciamento corporativo (como o Microsoft System Center ou o Windows Intune) ou outro aplicativo de gerenciamento Microsoft SQL Server Management Studio, por exemplo. Estas ferramentas normalmente residem num ambiente empresarial ou numa rede do cliente e podem depender de protocolos de rede específicos, como o protocolo RDP (Remote Desktop Protocol), que necessitam de ligações diretas com monitorização de estado. Alguns podem ter interfaces habilitadas para a Web que não devem ser publicadas abertamente ou acessíveis através da Internet.
Você pode restringir o acesso ao gerenciamento de serviços de infraestrutura e plataforma no Azure usando autenticação multifator, certificados de gerenciamento X.509 e regras de firewall. O Portal do Azure e o SMAPI requerem TLS (Transport Layer Security). No entanto, os serviços e as aplicações que implementa no Azure exigem que tome as medidas de proteção adequadas com base na sua aplicação. Estes mecanismos podem ser ativados frequentemente de modo mais fácil através de uma configuração da estação de trabalho protegida normalizada.
Diretrizes de segurança
Em geral, ajudar a proteger estações de trabalho de administrador para uso com a nuvem é semelhante às práticas usadas para qualquer estação de trabalho local. Por exemplo, permissões de compilação e restritivas minimizadas. Alguns aspetos exclusivos da gestão de nuvem são mais comparáveis à gestão empresarial remota ou sem rede IP. Estes incluem a utilização e auditoria de credenciais, acesso remoto com segurança avançada e deteção de ameaças e resposta.
Autenticação
Pode utilizar as restrições de início de sessão do Azure para restringir os endereços IP de origem de acederem às ferramentas administrativas e aos pedidos de acesso de auditoria. Para ajudar o Azure a identificar clientes de gerenciamento (estações de trabalho e/ou aplicativos), você pode configurar o SMAPI (por meio de ferramentas desenvolvidas pelo cliente, como cmdlets do Windows PowerShell) e o portal do Azure para exigir que certificados de gerenciamento do lado do cliente sejam instalados, além de certificados TLS/SSL. Recomendamos também que o acesso de administrador exija uma autenticação multifator.
Alguns aplicativos ou serviços que você implanta no Azure podem ter seus próprios mecanismos de autenticação para acesso de usuário final e administrador, enquanto outros aproveitam ao máximo a ID do Microsoft Entra. Dependendo se você está federando credenciais por meio dos Serviços de Federação do Ative Directory (AD FS), usando a sincronização de diretórios ou mantendo contas de usuário somente na nuvem, o uso do Microsoft Identity Manager (parte do Microsoft Entra ID P1 ou P2) ajuda a gerenciar os ciclos de vida de identidade entre os recursos.
Conectividade
Estão disponíveis diversos mecanismos para o ajudar a efetuar ligações de cliente seguras às suas Azure Virtual Networks. Dois desses mecanismos, VPN site a site (S2S) e VPN ponto a site (P2S), permitem o uso de IPsec padrão do setor (S2S) para criptografia e tunelamento. Quando o Azure está a ligar à gestão de serviços do Azure destinados ao público, como o portal do Azure, o Azure requer HTTPS (Hypertext Transfer Protocol Secure).
Uma estação de trabalho protegida autônoma que não se conecta ao Azure por meio de um Gateway de Área de Trabalho Remota deve usar a VPN ponto a site baseada em SSTP para criar a conexão inicial com a Rede Virtual do Azure e, em seguida, estabelecer conexão RDP com máquinas virtuais individuais a partir do túnel VPN.
Auditoria de gestão versus aplicação de políticas
Normalmente, existem duas abordagens para ajudar a proteger os processos de gestão: a auditoria e a aplicação de políticas. Utilizar as duas abordagens proporciona controlos abrangentes, mas pode não ser possível em todas as situações. Além disso, cada abordagem tem diferentes níveis de risco, custos e esforços associados à gestão da segurança, especialmente porque estão relacionados ao nível de confiança colocados nos indivíduos e nas arquiteturas do sistema.
A monitorização, o registo e a auditoria fornecem uma base para controlar e compreender as atividades administrativas, mas podem nem sempre ser viáveis para auditar todas as ações em detalhe devido à quantidade de dados gerados. A auditoria da eficácia das políticas de gestão é a melhor prática.
A aplicação de políticas que inclui os controlos de acesso restritos estabelece os mecanismos programáticos que podem reger as ações do administrador e ajuda a garantir que todas as medidas de proteção possíveis estão a ser utilizadas. O registo fornece uma prova da aplicação, para além de um registo de quem fez o quê, a partir de onde e quando. O registo também permite auditar e verificar as informações sobre a forma como os administradores seguem as políticas, além de fornecer uma evidência das atividades
Configuração do cliente
Recomendamos três configurações primárias para uma estação de trabalho protegida. Os maiores diferenciadores entre essas configurações são o custo, a utilização e a acessibilidade, embora mantendo um perfil de segurança semelhante em todas as opções. A tabela seguinte fornece uma breve análise dos benefícios e riscos de cada uma. (Observe que "PC corporativo" refere-se a uma configuração padrão de PC desktop que seria implantada para todos os usuários do domínio, independentemente das funções.)
| Configuração | Benefícios | Contras |
|---|---|---|
| Estação de trabalho autónoma protegida | Estação de trabalho controlada de forma apertada | Custo mais elevado para os computadores dedicados |
| - | Risco reduzido de explorações de aplicações | Esforço de gestão aumentado |
| - | Clara separação das funções | - |
| PC empresarial como máquina virtual | Custos de hardware reduzidos | - |
| - | Segregação da função e das aplicações | - |
É importante que a estação de trabalho protegida seja o host e não o convidado, sem nada entre o sistema operacional host e o hardware. Seguir o "princípio de fonte limpa" (também conhecido como "origem segura") significa que o hospedeiro deve ser o mais endurecido. Caso contrário, a estação de trabalho protegida (convidado) está sujeita a ataques ao sistema no qual está hospedada.
Pode segregar mais as funções administrativas através de imagens dedicadas do sistema para cada estação de trabalho protegida que tenha apenas as ferramentas e as permissões necessárias para gerir o Azure e as aplicações em nuvem, com GPOs do DS AD local específicos para as tarefas necessárias.
Para ambientes de TI que não tenham nenhuma infraestrutura no local (por exemplo, sem acesso a uma instância local do AD DS para GPOs, porque todos os servidores estão na nuvem), um serviço como o Microsoft Intune pode simplificar a implementação e a gestão das configurações das estação de trabalho.
Estação de trabalho autónoma protegida para gestão
Com uma estação de trabalho autónoma protegida, os administradores têm um PC ou portátil que podem utilizar para as tarefas administrativas e outro PC ou portátil separado para as tarefas não administrativas. No cenário de estação de trabalho autónoma protegida (mostrado abaixo), a instância local do Firewall do Windows (ou uma firewall para cliente que não seja da Microsoft) está configurada para bloquear as ligações de entrada, tais como RDP. O administrador pode fazer logon na estação de trabalho protegida e iniciar uma sessão RDP que se conecta ao Azure depois de estabelecer uma conexão VPN com uma Rede Virtual do Azure, mas não pode fazer logon em um PC corporativo e usar RDP para se conectar à própria estação de trabalho protegida.
PC empresarial como máquina virtual
Nos casos em que uma estação de trabalho autónoma protegida separada tem custos proibitivos ou impraticáveis, a estação de trabalho protegida pode alojar uma máquina virtual para efetuar as tarefas não administrativas.
Para evitar várias riscos de segurança que podem surgir da utilização de uma estação de trabalho para gestão de sistemas e outras tarefas de trabalho diárias, pode implementar uma máquina virtual de Hyper-V do Windows para a estação de trabalho protegida. Esta máquina virtual pode ser utilizada como PC empresarial. O ambiente do PC corporativo pode permanecer isolado do host, o que reduz sua superfície de ataque e remove as atividades diárias do usuário (como e-mail) da coexistência com tarefas administrativas confidenciais.
A máquina virtual do PC empresarial é executada num espaço protegido e fornece as aplicações de utilizador. O host permanece uma "fonte limpa" e impõe políticas de rede rígidas no sistema operacional raiz (por exemplo, bloqueando o acesso RDP da máquina virtual).
Melhores práticas
Considere as seguintes diretrizes adicionais ao gerenciar aplicativos e dados no Azure.
O que deve fazer e o que não deve fazer
Não assuma que, como uma estação de trabalho foi bloqueada, outros requisitos de segurança comuns não precisam ser atendidos. O risco potencial é superior devido aos níveis de acesso elevados que geralmente as contas de administrador possuem. Os exemplos de riscos e as respetivas práticas de segurança alternativas são apresentados na tabela abaixo.
| O que não deve fazer | O que deve fazer |
|---|---|
| Não envie credenciais de administrador por e-mail para acesso de administrador ou outros segredos (por exemplo, TLS/SSL ou certificados de gerenciamento) | Mantenha a confidencialidade entregando os nomes de conta e as palavras-passe pessoalmente ou por telefone (mas não os armazenando num voice mail); efetue uma instalação remota dos certificados de cliente/servidor (através de uma sessão encriptada); transfira a partir de uma partilha de rede protegida ou distribua manualmente através do suporte de dados amovível. |
| - | A gestão dos ciclos de vida dos certificados de gestão deve ser feita de forma pró-ativa. |
| Não armazene palavras-passe da conta não encriptadas ou sem hash no armazenamento de aplicações (como folhas de cálculo, sites do SharePoint ou partilhas de ficheiros). | Estabeleça princípios de gestão de segurança e políticas de proteção do sistema e aplique-os ao ambiente de desenvolvimento. |
| Não partilhe as contas ou as palavras-passe entre administradores nem reutilize palavras-passe em várias contas de utilizador ou serviços, especialmente nas redes sociais ou para outras atividades não administrativas. | Crie uma conta Microsoft dedicada para gerir a sua subscrição do Azure, uma conta que não é utilizada para correio eletrónico pessoal. |
| Não envie por e-mail os ficheiros de configuração. | Os perfis e ficheiros de configuração devem ser instalados a partir de uma origem fidedigna (por exemplo, uma pen USB encriptada) e não a partir de um mecanismo que possa ficar facilmente comprometido, como o e-mail. |
| Não utilize palavras-passe de início de sessão fracas ou simples. | Imponha políticas de senhas fortes, ciclos de expiração (alteração na primeira utilização), tempos limite do console e bloqueios automáticos de contas. Utilize um sistema de gestão de palavras-passe cliente com Multi-Factor Authentication para acesso ao cofre de palavras-passe. |
| Não exponha as portas de gestão à Internet. | Bloqueie as portas e os endereços IP do Azure para restringir o acesso de gestão. |
| - | Utilize firewalls, VPNs e NAP para todas as ligações de gestão. |
Operações do Azure
Dentro da operação do Azure da Microsoft, os engenheiros de operações e o pessoal de suporte que acessam os sistemas de produção do Azure usam PCs de estação de trabalho protegidos com VMs provisionadas neles para acesso à rede corporativa interna e aplicativos (como email, intranet, etc.). Todos os computadores da estação de trabalho de gerenciamento têm TPMs, a unidade de inicialização do host é criptografada com o BitLocker e eles são associados a uma unidade organizacional (UO) especial no domínio corporativo principal da Microsoft.
A proteção do sistema é aplicada através da Política de Grupo, com a atualização de software centralizada. Para auditoria e análise, os registos de eventos (por exemplo, segurança e AppLocker) são recolhidos a partir das estações de trabalho de gestão e guardados numa localização central.
Além disso, jump-boxes dedicados na rede da Microsoft que exigem autenticação de dois fatores são usados para se conectar à rede de produção do Azure.
Lista de verificação de segurança do Azure
Minimizar o número de tarefas que os administradores podem realizar numa estação de trabalho protegida ajuda a minimizar a superfície de ataque no ambiente de gestão e desenvolvimento. Utilize as seguintes tecnologias para ajudar a proteger a estação de trabalho protegida:
- Um navegador da Web é um ponto de entrada chave para códigos nocivos devido às suas extensas interações com servidores externos. Revise suas políticas de cliente e imponha a execução no modo protegido, desativando complementos e desativando downloads de arquivos. Certifique-se de que os avisos de segurança são apresentados. Tire partido das zonas de Internet e crie uma lista de sites fidedignos para os quais configurou uma proteção razoável. Bloqueie todos os outros sites e códigos no browser, tal como ActiveX e Java.
- Utilizador padrão. A execução como utilizador normal proporciona um número de benefícios, fazendo com que o roubo de credenciais de administrador através de software maligno se torne mais difícil. Além disso, uma conta de usuário padrão não tem privilégios elevados no sistema operacional raiz e muitas opções de configuração e APIs são bloqueadas por padrão.
- Assinatura de código. A assinatura de código de todas as ferramentas e scripts utilizadas por administradores fornece um mecanismo gerível para a implementação de políticas de bloqueio de aplicações. Os hashes não são dimensionados com alterações rápidas no código e os caminhos de arquivo não fornecem um alto nível de segurança. Defina as políticas de execução do PowerShell para computadores Windows.
- Política de Grupo. Crie uma política administrativa global que seja aplicada a qualquer estação de trabalho do domínio utilizada para gestão (e bloqueie o acesso de todos os outros utilizadores) e às contas de utilizador autenticadas nessas estações de trabalho.
- Aprovisionamento de segurança melhorada. Salvaguarde a imagem da estação de trabalho protegida de linha de base para ajudar a proteger contra adulteração. Utilize medidas de segurança, como a encriptação e o isolamento, para armazenar imagens, máquinas virtuais e scripts e restringir o acesso (utilize talvez um processo auditável de entrada/saída).
- Aplicação de patches. Mantenha uma compilação consistente (ou tenha imagens separadas para desenvolvimento, operações e outras tarefas administrativas), verifique alterações e malware rotineiramente, mantenha a compilação atualizada e ative as máquinas apenas quando forem necessárias.
- Governação. Use GPOs do AD DS para controlar todas as interfaces do Windows dos administradores, como o compartilhamento de arquivos. Inclua estações de trabalho de gestão nos processos de auditoria, monitorização e de registo. Controle todos os acessos e utilizações de administrador e programador.
Resumo
Utilizar uma configuração de estação de trabalho protegida para administrar os Cloud Services, as Virtual Machines e as aplicações do Azure pode ajudar a evitar vários riscos e ameaças que podem resultar da gestão remota de uma infraestrutura de TI crítica. Tanto o Azure como o Windows fornecem mecanismos que pode utilizar para ajudar a proteger e controlar as comunicações, a autenticação e o comportamento do cliente.
Próximos passos
Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre o Azure e os serviços relacionados da Microsoft:
- Protegendo o Acesso Privilegiado - obtenha os detalhes técnicos para projetar e criar uma estação de trabalho administrativa segura para o gerenciamento do Azure
- Centro de Confiança da Microsoft – saiba mais acerca das capacidades da plataforma Azure que protegem os recursos de infraestrutura do Azure e as cargas de trabalho que são executadas no Azure
- Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com