Proteger os recursos de rede
O Microsoft Defender for Cloud analisa continuamente o estado de segurança dos seus recursos do Azure para obter as melhores práticas de segurança de rede. Quando o Defender for Cloud identifica potenciais vulnerabilidades de segurança, cria recomendações que o guiam através do processo de configuração dos controlos necessários para proteger os seus recursos.
Analise as recomendações de rede do Defender for Cloud.
Este artigo aborda as recomendações que se aplicam aos seus recursos do Azure de uma perspetiva de segurança de rede. As recomendações de rede centram-se em firewalls de próxima geração, grupos de segurança de rede, acesso a VM JIT, regras de tráfego de entrada excessivamente permissivas e muito mais. Para obter uma lista de recomendações de rede e ações de correção, consulte Gerenciando recomendações de segurança no Microsoft Defender for Cloud.
Os recursos de rede do Defender for Cloud incluem:
- Mapa de rede (requer o Microsoft Defender for Servers Plan 2)
- Recomendações de segurança de rede
Veja seus recursos de rede e suas recomendações
Na página de inventário de ativos, use o filtro de tipo de recurso para selecionar os recursos de rede que você deseja investigar:
Mapa de rede
O mapa de rede interativo fornece uma visão gráfica com sobreposições de segurança, fornecendo recomendações e informações para proteger seus recursos de rede. Usando o mapa, você pode ver a topologia de rede de suas cargas de trabalho do Azure, conexões entre suas máquinas virtuais e sub-redes e a capacidade de detalhar do mapa em recursos específicos e as recomendações para esses recursos.
Para abrir o mapa de rede:
No menu do Defender for Cloud, abra o painel Proteções de carga de trabalho.
Selecione Mapa de rede.
- Selecione o menu Camadas, escolha Topologia.
A visualização padrão do mapa de topologia exibe:
- Subscrições atualmente selecionadas - O mapa está otimizado para as subscrições selecionadas no portal. Se você modificar sua seleção, o mapa será regenerado com as novas seleções.
- VMs, sub-redes e VNets do tipo de recurso Resource Manager ("recursos clássicos do Azure não são suportados)
- VNets emparelhadas
- Apenas recursos com recomendações de rede com uma severidade alta ou média
- Recursos voltados para a Internet
Compreender o mapa da rede
O mapa de rede pode mostrar seus recursos do Azure em um modo de exibição de Topologia e um modo de exibição de Tráfego .
A visualização da topologia
Na visualização Topologia do mapa de rede, você pode exibir as seguintes informações sobre seus recursos de rede:
- No círculo interno, você pode ver todas as redes virtuais dentro de suas assinaturas selecionadas, o próximo círculo é todas as sub-redes, o círculo externo é todas as máquinas virtuais.
- As linhas que conectam os recursos no mapa permitem que você saiba quais recursos estão associados uns aos outros e como sua rede do Azure está estruturada.
- Use os indicadores de gravidade para obter rapidamente uma visão geral de quais recursos têm recomendações abertas do Defender for Cloud.
- Você pode selecionar qualquer um dos recursos para detalhar neles e exibir os detalhes desse recurso e suas recomendações diretamente, e no contexto do mapa de rede.
- Se houver muitos recursos sendo exibidos no mapa, o Microsoft Defender for Cloud usa seu algoritmo proprietário para "agrupar inteligentemente" seus recursos, destacando aqueles que estão no estado mais crítico e têm as recomendações de gravidade mais alta.
Como o mapa é interativo e dinâmico, cada nó é clicável e a exibição pode mudar com base nos filtros:
Você pode modificar o que vê no mapa de rede usando os filtros na parte superior. Você pode focar o mapa com base em:
- Integridade da segurança: você pode filtrar o mapa com base na Severidade (Alta, Média, Baixa) dos seus recursos do Azure.
- Recomendações: você pode selecionar quais recursos são exibidos com base em quais recomendações estão ativas nesses recursos. Por exemplo, você pode exibir apenas recursos para os quais o Defender for Cloud recomenda que você habilite os Grupos de Segurança de Rede.
- Zonas de rede: Por padrão, o mapa exibe apenas recursos voltados para a Internet, você também pode selecionar VMs internas.
Você pode selecionar Redefinir no canto superior esquerdo a qualquer momento para retornar o mapa ao seu estado padrão.
Para detalhar um recurso:
- Quando você seleciona um recurso específico no mapa, o painel direito é aberto e fornece informações gerais sobre o recurso, soluções de segurança conectadas, se houver, e as recomendações relevantes para o recurso. É o mesmo tipo de comportamento para cada tipo de recurso selecionado.
- Ao passar o mouse sobre um nó no mapa, você pode exibir informações gerais sobre o recurso, incluindo assinatura, tipo de recurso e grupo de recursos.
- Use o link para ampliar a dica de ferramenta e refocalizar o mapa nesse nó específico.
- Para desviar o mapa de um nó específico, reduza o zoom.
A vista Tráfego
A vista Tráfego fornece-lhe um mapa de todo o tráfego possível entre os seus recursos. Isso fornece um mapa visual de todas as regras que você configurou que definem quais recursos podem se comunicar com quem. Isso permite que você veja a configuração existente dos grupos de segurança de rede, bem como identifique rapidamente possíveis configurações arriscadas em suas cargas de trabalho.
Descubra conexões indesejadas
A força dessa visão está em sua capacidade de mostrar essas conexões permitidas juntamente com as vulnerabilidades existentes, para que você possa usar essa seção transversal de dados para executar a proteção necessária em seus recursos.
Por exemplo, você pode detetar duas máquinas que você não sabia que poderiam se comunicar, permitindo isolar melhor as cargas de trabalho e as sub-redes.
Investigar recursos
Para detalhar um recurso:
- Quando você seleciona um recurso específico no mapa, o painel direito é aberto e fornece informações gerais sobre o recurso, soluções de segurança conectadas, se houver, e as recomendações relevantes para o recurso. É o mesmo tipo de comportamento para cada tipo de recurso selecionado.
- Selecione Tráfego para ver a lista de possíveis tráfego de entrada e saída no recurso - esta é uma lista abrangente de quem pode se comunicar com o recurso e com quem ele pode se comunicar, e através de quais protocolos e portas. Por exemplo, quando você seleciona uma VM, todas as VMs com as quais ela pode se comunicar são mostradas e, quando você seleciona uma sub-rede, todas as sub-redes com as quais ela pode se comunicar são mostradas.
Esses dados são baseados na análise dos Grupos de Segurança de Rede, bem como algoritmos avançados de aprendizado de máquina que analisam várias regras para entender seus cruzamentos e interações.
Próximos passos
Para saber mais sobre recomendações que se aplicam a outros tipos de recursos do Azure, consulte o seguinte: