Visão geral – Aplicar princípios de Confiança Zero à rede do Azure
Esta série de artigos ajuda você a aplicar os princípios da Confiança Zero à sua infraestrutura de rede no Microsoft Azure com base em uma abordagem multidisciplinar. Confiança Zero é uma estratégia de segurança. Não se trata de um produto ou serviço, mas de uma abordagem para projetar e implementar o seguinte conjunto de princípios de segurança:
- Verificação explícita
- Usar o acesso de privilégio mínimo
- Pressupor a violação
A implementação da mentalidade de Confiança Zero para "presumir a violação, nunca confiar, sempre verificar" exige mudanças na infraestrutura de nuvem, na estratégia de implantação e na implementação.
Os seguintes artigos mostram como aplicar a abordagem de Confiança Zero à rede para serviços de infraestrutura do Azure implantados frequentemente:
- Criptografia
- Segmentação
- Obtenha visibilidade do tráfego de sua rede
- Descontinuar a tecnologia de segurança de rede herdada
Importante
Esta orientação de Confiança Zero descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:
Para descrever as instruções de como aplicar a abordagem Confiança Zero, esta diretriz tem como meta um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, o que às vezes é chamado de "lift-and-shift".
Proteção contra ameaças com o Microsoft Defender para Nuvem
Para o princípio de Confiança Zero de presumir a violação para a rede do Azure, o Microsoft Defender para Nuvem é uma solução de detecção e resposta estendida (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, de ameaça e de alerta de todo o seu ambiente. O Defender para Nuvem destina-se a ser usado com o Microsoft Defender XDR para fornecer maior alcance de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.
No diagrama:
- O Defender para Nuvem está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
- O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais do AD DS (Active Directory Domain Services).
Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender para Nuvem, veja:
- Organizar assinaturas em grupos de gerenciamento e atribuir funções aos usuários
- Habilitar o Defender para Nuvem em todas as assinaturas de um grupo de gerenciamento
Recursos adicionais
Consulte estes artigos adicionais para aplicar princípios de Confiança Zero ao IaaS do Azure: