Proteger seus recursos do Azure contra ataques cibernéticos destrutivos

Este artigo fornece etapas para aplicar os princípios da Confiança Zero para proteger seus recursos do Microsoft Azure contra ataques cibernéticos destrutivos das seguintes maneiras:

Princípio de Confiança Zero	Definição
Verificação explícita	Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis.
Usar o acesso de privilégio mínimo	Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.
Pressupor a violação	Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, impulsionar a detecção de ameaças e melhorar as defesas. Aprimore as defesas com bloqueios de recursos, backups e recuperação de desastre para máquinas virtuais, serviços de proteção de dados e disponibilidade de dados, proteção da sua infraestrutura de recuperação, serviços baseados em configuração e automação de plataforma e ferramentas de DevOps. Para detecção de ameaças, use o Microsoft Sentinel e a detecção avançada de vários estágios e prepare seus planos de resposta a incidentes para recursos do Azure.

Este artigo inclui diretrizes sobre como:

• Proteja seus recursos do Microsoft Azure contra ataques cibernéticos destrutivos.
• Detecte ataques cibernéticos quando eles ocorrem.
• Como responder a eles.

Este artigo destina-se aos implementadores técnicos para dar suporte ao cenário de negócios de Confiança Zero Implementar a infraestrutura de recuperação e prevenção de violações de segurança.

Arquitetura de referência

A figura a seguir mostra a arquitetura de referência para esta orientação de Confiança Zero com agrupamentos para cada categoria de proteção.

Este ambiente do Azure inclui:

Componente	Descrição
Um	Máquinas virtuais e seus arquivos
B	Serviços de dados e seus dados
C	Infraestrutura de recuperação, incluindo arquivos e modelos e scripts de automação
D	Serviços baseados em configuração
E	Automação de plataforma e ferramentas de DevOps (não mostradas)

As tarefas para proteger cada tipo de ativo são descritas detalhadamente na Etapa 1 deste artigo.

O que você encontrará neste artigo?

Este artigo passa pelas etapas da aplicação dos princípios de Confiança Zero em toda a arquitetura de referência.

Etapa	Tarefa
1	Configure a proteção contra ataques cibernéticos.
2	Configure a detecção de ataques cibernéticos.
3	Prepare seus planos de resposta a incidentes.

Etapa 1: Configurar a proteção contra ataques cibernéticos

Muitas organizações implementam soluções de backup e recuperação de desastre para suas máquinas virtuais do Azure como parte de um esforço de migração. Por exemplo, você pode usar soluções nativas do Azure ou optar por usar suas próprias soluções de terceiros para o seu ecossistema de nuvem.

Embora a proteção de máquinas virtuais e seus aplicativos e dados seja importante, também é fundamental expandir o escopo da proteção além das máquinas virtuais. Esta seção fornece um detalhamento de considerações e recomendações sobre como proteger diferentes tipos de recursos no Azure contra um ataque cibernético destrutivo.

Além das considerações específicas do serviço, você deve considerar o uso de Bloqueios de Recursos para evitar a exclusão de serviços protegendo o seu plano de gerenciamento. Você também pode usar bloqueios de recursos para renderizar recursos somente leitura. Os bloqueios de recursos funcionam com acesso controlado para reduzir a chance de recursos do Azure serem destruídos em um ataque cibernético, impedindo sua modificação ou destruição.

Para impedir que os bloqueios de recursos produzam resultados inesperados, você deve examinar as considerações antes de aplicar os bloqueios para garantir que você esteja aplicando os bloqueios aos recursos apropriados de uma maneira que ainda permita que eles operem. Por exemplo, bloquear uma rede virtual (VNet) em vez de um grupo de recursos inteiro pode impedir que o bloqueio seja muito restritivo em outros recursos dentro do grupo de recursos. Devido a essas considerações, você deve priorizar o bloqueio de recursos que, se alterados ou excluídos, causariam a maior interrupção.

Os bloqueios também podem ter algumas considerações sobre o failover dos Objetivos de Tempo de Recuperação para cargas de trabalho. Seu plano de recuperação de desastre deve levar em conta os bloqueios, e você deve ter um procedimento testado para a remoção de bloqueios de maneira controlada. Você precisará treinar seus administradores e a equipe de SecOps sobre como gerenciar bloqueios como parte de operações diárias e cenários de emergência.

Os administradores com acesso para remover os bloqueios devem ser limitados e devem envolver acesso JIT, como o fornecido com o Microsoft Entra Privileged Identity Management. O acesso a bloqueios de alteração nos recursos é controlado com o escopo Microsoft.Authorization/locks/* e não deve ser concedido como parte do acesso permanente.

R. Proteger máquinas virtuais

Para cargas de trabalho baseadas em máquina virtual, incluindo conjuntos de dimensionamento e clusters do Kubernetes, você precisa planejar duas camadas de proteção, além do uso de bloqueios de recursos no plano de gerenciamento.

Primeiro, você precisa planejar o backup dos dados das máquinas virtuais para que possa restaurar dados perdidos se ocorrer um ataque, o que inclui o Serviço de Kubernetes do Azure (AKS). Você também precisa proteger os próprios dados de backup contra ataques usando controles de exclusão reversível. Para obter informações sobre como configurar backups, confira:

• Criar e configurar um cofre dos Serviços de Recuperação
• Fazer backup de uma máquina virtual no Azure
• Configurar o backup para um cluster do Serviço de Kubernetes do Azure
• Backup e recuperação do AKS
• Plano de backup e restauração para proteger contra ransomware
• Exclusão temporária para o Backup do Azure

Em segundo lugar, você precisa elaborar um plano para ser capaz de restaurar um servidor para um novo local quando a infraestrutura subjacente em sua região for atacada. Para obter informações sobre como configurar a replicação em máquinas virtuais, consulte Configurar a recuperação de desastre para VMs do Azure. Isso inclui a configuração de aplicativos e configurações para os recursos usados durante o failover.

Importante

Ao usar o Azure Site Recovery para máquinas virtuais que fazem parte de um conjunto de dimensionamento de máquinas virtuais, você pode replicar o estado da máquina virtual. No entanto, os dispositivos replicados não darão suporte à colocação em escala.

Para algumas cargas de trabalho baseadas em máquina virtual, como clusters do Kubernetes, o estado real dos servidores não pode ser replicado por meio do Azure Site Recovery. Talvez você precise de outras soluções, como configuração ativa/passiva.

B. Proteção de serviços de dados

Os serviços de dados são uma coleção informal de serviços que contêm dados essenciais para operações, mas o recurso em si não é tão importante. Por exemplo, há pouca diferença entre duas contas de armazenamento configuradas da mesma maneira e a hospedagem dos mesmos dados.

Os serviços de dados são diferentes das máquinas virtuais, que podem ter configurações do sistema operacional separadas dos aplicativos em execução e separadas da configuração do plano de gerenciamento. Como resultado, estes serviços:

• Geralmente, contêm suas próprias ferramentas de failover, como a capacidade de uma conta de armazenamento de replicar para outra região como parte de camadas de armazenamento com redundância geográfica (GRS).
• Têm suas próprias considerações sobre como proteger dados contra ataques e disponibilizar os dados novamente no caso de um ataque.

A tabela a seguir fornece referências de proteção de dados e disponibilidade para serviços comumente usados, mas você deve investigar a documentação do produto de cada serviço para entender as opções disponíveis.

Serviço	Proteção de dados	Disponibilidade de dados
Arquivos do Azure	Fazer backup de compartilhamentos de arquivos do Azure Impedir exclusão acidental de compartilhamentos de arquivo do Azure	Habilitar exclusão reversível nos compartilhamentos de arquivo do Azure
Armazenamento do Blobs do Azure	Habilitar a restauração pontual em dados de blob Armazenar dados de blob comercialmente críticos com armazenamento imutável	Visão geral da proteção de dados para blob do Azure Habilitar e gerenciar exclusão temporária para contêineres Habilitar exclusão reversível para blobs
Banco de dados SQL do Azure	Backups automatizados no Banco de Dados SQL do Azure	Replicação geográfica ativa Grupos de failover do Banco de Dados SQL do Azure
Instâncias Gerenciadas de SQL	Backups automatizados na Instância Gerenciada de SQL do Azure	Grupos de failover para a Instância Gerenciada de SQL do Azure
SQL em VMs do Azure	Backup e restauração do SQL Server em VMs do Azure	Instâncias de cluster de failover com o SQL Server em Máquinas Virtuais do Azure
Cofres de chaves	Backup e restauração do Azure Key Vault	Habilitar a exclusão reversível e limpar a proteção para cofres de chaves Redundância e disponibilidade de Cofre de Chaves do Azure

Aviso

Não há suporte para alguns cenários de recuperação de conta de armazenamento. Para obter mais informações, confira Recuperação de armazenamento sem suporte.

C. Proteger a infraestrutura de recuperação

Além de proteger os recursos em suas cargas de trabalho, você também precisa proteger os recursos usados para restaurar a funcionalidade após uma interrupção, como documentação de procedimentos de recuperação e scripts e modelos de configuração. Se os invasores puderem se direcionar à sua infraestrutura de recuperação e interrompê-la, todo o ambiente poderá ser comprometido, levando a atrasos substanciais na recuperação do ataque e deixando a sua organização vulnerável a cenários de ransomware.

Para dados protegidos pelo Backup do Azure, o uso de exclusão reversível para o backup do Azure permite que você recupere dados de backup mesmo se excluídos. Além disso, a exclusão reversível aprimorada impõe a atribuição de exclusão reversível e permite que você defina um período de retenção.

Para aprimorar ainda mais a segurança, implemente a autorização multiusuário (MUA) para operações críticas, o que exige que dois ou mais usuários aprovem as operações críticas antes que elas sejam executadas. Isso adiciona uma camada extra de segurança, garantindo que nenhum usuário único e, portanto, um invasor com apenas uma conta de usuário, possa comprometer a integridade do backup. Habilite e configure a MUA para proteger suas políticas de backup contra alterações e exclusões não autorizadas.

Você pode proteger o Azure Site Recovery com bloqueios de recursos e acesso JEA/JIT para evitar acesso e detecção não autorizados quando os recursos estão em risco.

Ao replicar máquinas virtuais com o Azure Site Recovery que tenham sido criptografadas com o Azure Disk Encryption (ADE) ou Chaves Gerenciadas pelo Cliente (CMK), certifique-se de que as chaves de criptografia estejam armazenadas no Azure Key Vault para a região de destino. Armazenar as chaves na região de destino facilita o acesso contínuo às chaves após o failover e mantém a continuidade da segurança de dados. Para proteger o Azure Key Vault contra ataques cibernéticos destrutivos, habilite recursos avançados de proteção contra ameaças, como exclusão reversível e proteção contra limpeza.

Para ver diretrizes de replicação passo a passo para máquinas virtuais criptografadas, confira o seguinte:

• Replicação de VMs protegidas por ADE
• Replicação de VMs com discos CMK

D. Proteger serviços baseados em configuração

Os serviços baseados em configuração são serviços do Azure que não têm dados além de sua configuração no plano de gerenciamento. Esses recursos geralmente são baseados em infraestrutura e são serviços fundamentais que dão suporte a cargas de trabalho. Exemplos incluem VNets, balanceadores de carga, gateways de rede e gateways de aplicativo.

Como esses serviços não têm estado, não há dados operacionais para proteger. A melhor opção para proteger esses serviços é ter modelos de implantação de infraestrutura como código (IaC), como o Bicep, que podem restaurar o estado desses serviços após um ataque destrutivo. Você também pode usar scripts para implantações, mas as implantações de IaC funcionam melhor para restaurar a funcionalidade em um ambiente existente em que apenas alguns serviços são afetados.

Desde que um recurso configurado da mesma maneira possa ser implantado, os serviços podem continuar operando. Em vez de tentar fazer backup e manter cópias desses recursos, você pode usar a implantação programática para se recuperar de um ataque.

Para obter mais informações sobre como usar IaC, confira Recomendações para usar a infraestrutura como código.

E. Proteger a automação da plataforma e as ferramentas de DevOps

Se você estiver usando implantações programáticas ou outros tipos de automação, a automação de plataforma e os recursos de ferramentas de DevOps também precisarão ser protegidos. Para obter exemplos para proteger sua infraestrutura de implantação, confira Proteção de pipelines de CI/CD do DevOps e Recomendações para proteger um ciclo de vida de desenvolvimento.

No entanto, você também deve planejar proteger o código em si, que varia de acordo com as ferramentas de controle do código-fonte que você está usando. Por exemplo, o GitHub tem instruções para Fazer backup de um repositório para seus repositórios de código-fonte.

Você também deve examinar seus serviços específicos para determinar como proteger melhor seu código-fonte e pipelines contra ataques e destruição.

Para componentes como agentes de build hospedados em máquinas virtuais, você pode usar o plano de proteção baseado em máquina virtual apropriado para garantir que seus agentes estejam disponíveis quando necessário.

Etapa 2: Configurar a detecção de ataques cibernéticos

Para detecção de ataques em sua infraestrutura do Azure, comece com o Microsoft Defender para Nuvem, uma plataforma de proteção de aplicativo nativa de nuvem (CNAPP) composta por medidas e práticas de segurança projetadas para proteger aplicativos baseados em nuvem contra várias ameaças e vulnerabilidades cibernéticas.

O Defender para Nuvem, em conjunto com planos adicionais para componentes do Azure, coleta sinais de componentes do Azure e fornece proteções específicas para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho.

O diagrama a seguir mostra o fluxo de informações de evento de segurança dos serviços do Azure por meio do Defender para Nuvem e do Microsoft Sentinel.

Na figura:

• Os serviços do Azure enviam sinais para o Microsoft Defender para Nuvem.
• O Microsoft Defender para Nuvem, com planos adicionais, como o Defender para Servidores, analisa os sinais de detecção avançada de ameaças e envia dados de gerenciamento de eventos e informações de segurança (SIEM) para o Microsoft Sentinel.
• O Microsoft Sentinel usa os dados SIEM para detecção, investigação, resposta e busca proativa de ataques cibernéticos.

Depois de proteger melhor seus recursos do Azure com as recomendações na Etapa 1 deste artigo, você precisará ter um plano para detectar ataques cibernéticos destrutivos usando o Microsoft Sentinel. Um ponto de partida é usar a detecção avançada de ataque multiestágio no Microsoft Sentinel. Isso permite que você crie detecções para cenários específicos, como destruição de dados, negação de serviço, atividade administrativa mal-intencionada e muito mais.

Como parte da preparação de suas cargas de trabalho para resposta, você precisa:

• Identificar como você determinará se um recurso está sob ataque.
• Determinar como capturar e gerar um incidente como resultado.

Etapa 3: Preparar seus planos de resposta a incidentes

Você precisa ter planos de resposta a incidentes para ataques cibernéticos destrutivos bem definidos e prontos para implementar antes que os incidentes ocorram. Durante um incidente, você não terá tempo para determinar como impedir ataques em andamento ou restaurar dados e serviços danificados.

Todos os aplicativos e serviços compartilhados do Azure devem ter planos de resposta e recuperação que incluam guias estratégicos para restaurar máquinas virtuais, serviços de dados, serviços de configuração e serviços de automação/DevOps. Cada aplicativo ou área de serviço deve ter suas definições e dependências bem definidas.

Seus guias estratégicos devem:

• Incluir os seus processos para os seguintes cenários:

  • Fazer failover de VMs do Azure para uma região secundária
  • Como restaurar dados de VM do Azure no portal do Azure
  • Restaurar arquivos para uma máquina virtual no Azure
  • Recuperar dados excluídos e pontos de recuperação excluídos de forma reversível usando a exclusão reversível aprimorada no Backup do Azure
  • Restaurar o estado dos clusters do Kubernetes após um desastre
  • Recuperar uma conta de armazenamento excluída
  • Recuperar um cofre de chaves excluído de forma reversível
  • Recuperar segredos, chaves e certificados excluídos de forma reversível de um cofre de chaves
  • Diretrizes de recuperação de desastre para o Banco de Dados SQL do Azure

• Incluir o processo de restauração para todos os outros recursos que compõem este serviço.

• Ser testados periodicamente como parte dos processos de manutenção de SecOps.

Treinamento recomendado

• Implementar o Privileged Identity Management
• Criar uma solução para backup e recuperação de desastre
• Melhorar sua postura de segurança na nuvem com o Microsoft Defender para Nuvem
• Criar detecções e executar investigações usando o Microsoft Sentinel

Próximas etapas

Continue implementando a sua infraestrutura de recuperação e prevenção de violação de segurança.

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

• Bloqueios de Recursos
• Microsoft Entra Privileged Identity Management
• Exclusão reversível para o Backup do Azure
• Autorização multiusuário (MUA)
• Bicep
• Microsoft Defender para Nuvem
• Microsoft Sentinel