Visão geral do exemplo de blueprint do Azure Security Benchmark Foundation

Importante

Em 11 de julho de 2026, os Blueprints (Preview) serão preteridos. Migre suas definições e atribuições de blueprint existentes para Especificações de modelo e Pilhas de implantação. Os artefatos do Blueprint devem ser convertidos em modelos JSON ARM ou arquivos Bicep usados para definir pilhas de implantação. Para saber como criar um artefato como um recurso ARM, consulte:

• Política
• RBAC
• Implementações

O exemplo de blueprint do Azure Security Benchmark Foundation fornece um conjunto de padrões de infraestrutura de linha de base para ajudá-lo a criar um ambiente do Azure seguro e compatível. O plano ajuda você a implantar uma arquitetura baseada em nuvem que oferece soluções para cenários que têm requisitos de credenciamento ou conformidade. Ele implanta e configura limites de rede, monitoramento e outros recursos em alinhamento com as políticas e outros guardrails definidos no Benchmark de Segurança do Azure.

Arquitetura

O ambiente fundamental criado por este exemplo de blueprint é baseado nos princípios de arquitetura de um modelo hub and spoke. O blueprint implanta uma rede virtual de hub que contém recursos, serviços e artefatos comuns e compartilhados, como o Azure Bastion, gateway e firewall para conectividade, gerenciamento e sub-redes de caixa de salto para hospedar gerenciamento adicional/opcional, manutenção, administração e infraestrutura de conectividade. Uma ou mais redes virtuais spoke são implantadas para hospedar cargas de trabalho de aplicativos, como serviços Web e de banco de dados. As redes virtuais spoke são conectadas à rede virtual do hub usando o emparelhamento de rede virtual do Azure para conectividade contínua e segura. Raios adicionais podem ser adicionados reatribuindo o esquema de exemplo ou criando manualmente uma rede virtual do Azure e emparelhando-a com a rede virtual do hub. Toda a conectividade externa com a(s) rede(s) virtual(is) falada(s) e a(s) sub-rede(s) é configurada para rotear através da rede virtual do hub e, via firewall, gateway e caixas de salto de gerenciamento.

Este plano implanta vários serviços do Azure para fornecer uma base segura, monitorada e pronta para a empresa. Este ambiente é composto por:

• Logs do Azure Monitor e uma conta de armazenamento do Azure para garantir que logs de recursos, logs de atividades, métricas e fluxos de tráfego de redes sejam armazenados em um local central para facilitar consultas, análises, arquivamento e alertas.
• Central de Segurança do Azure (versão padrão) para fornecer proteção contra ameaças para recursos do Azure.
• Rede Virtual do Azure no hub que suporta sub-redes para conectividade de volta a uma rede local, uma pilha de entrada e saída para/para conectividade com a Internet e sub-redes opcionais para implantação de serviços administrativos ou de gerenciamento adicionais. A Rede Virtual no spoke contém sub-redes para hospedar cargas de trabalho de aplicativos. Sub-redes adicionais podem ser criadas após a implantação, conforme necessário para oferecer suporte aos cenários aplicáveis.
• Firewall do Azure para rotear todo o tráfego de saída da Internet e habilitar o tráfego de entrada da Internet por meio da caixa de atalho. (As regras de firewall padrão bloqueiam todo o tráfego de entrada e saída da Internet e as regras devem ser configuradas após a implantação, conforme aplicável.)
• NSGs (grupos de segurança de rede) atribuídos a todas as sub-redes (exceto sub-redes de propriedade do serviço, como Azure Bastion, Gateway e Firewall do Azure) configurados para bloquear todo o tráfego de entrada e saída da Internet.
• Grupos de segurança de aplicativos para habilitar o agrupamento de máquinas virtuais do Azure para aplicar políticas comuns de segurança de rede.
• Tabelas de rotas para rotear todo o tráfego de saída da Internet de sub-redes através do firewall. (As regras do Firewall do Azure e do NSG precisarão ser configuradas após a implantação para abrir a conectividade.)
• Azure Network Watcher para monitorar, diagnosticar e exibir métricas de recursos na rede virtual do Azure.
• Proteção contra DDoS do Azure para proteger os recursos do Azure contra ataques DDoS.
• Azure Bastion para fornecer conectividade contínua e segura a uma máquina virtual que não requer um endereço IP público, agente ou software cliente especial.
• Gateway de VPN do Azure para habilitar o tráfego criptografado entre uma rede virtual do Azure e um local local na Internet pública.

Nota

O Azure Security Benchmark Foundation estabelece uma arquitetura fundamental para cargas de trabalho. O diagrama de arquitetura acima inclui vários recursos nocionais para demonstrar o uso potencial de sub-redes. Você ainda precisa implantar cargas de trabalho nessa arquitetura fundamental.

Próximos passos

Você analisou a visão geral e a arquitetura do exemplo de blueprint do Azure Security Benchmark Foundation.

Azure Security Benchmark Foundation blueprint - Etapas de implantação

Artigos adicionais sobre esquemas e como os utilizar:

• Saiba mais sobre o ciclo de vida do esquema.
• Compreenda como utilizar parâmetros estáticos e dinâmicos.
• Aprenda a personalizar a ordem de sequenciação do esquema.
• Saiba como utilizar o bloqueio de recursos de esquema.
• Saiba como atualizar as atribuições existentes.