Segurança de ponta a ponta no Azure
Uma das melhores razões para utilizar o Azure para as suas aplicações e serviços é tirar partido da sua vasta gama de ferramentas e capacidades de segurança. Essas ferramentas e recursos ajudam a tornar possível criar soluções seguras na plataforma segura do Azure. O Microsoft Azure fornece confidencialidade, integridade e disponibilidade dos dados dos clientes, ao mesmo tempo que permite uma responsabilização transparente.
O diagrama e a documentação a seguir apresentam os serviços de segurança no Azure. Estes serviços de segurança ajudam-no a satisfazer as necessidades de segurança da sua empresa e a proteger os seus utilizadores, dispositivos, recursos, dados e aplicações na nuvem.
Mapa dos serviços de segurança da Microsoft
O mapa de serviços de segurança organiza os serviços pelos recursos que protegem (coluna). O diagrama também agrupa serviços nas seguintes categorias (linha):
- Proteger e proteger - Serviços que permitem implementar uma estratégia de defesa em camadas e aprofundada em identidade, hosts, redes e dados. Esta coleção de serviços e recursos de segurança fornece uma maneira de entender e melhorar sua postura de segurança em seu ambiente do Azure.
- Detetar ameaças – Serviços que identificam atividades suspeitas e facilitam a mitigação da ameaça.
- Investigar e responder – Serviços que extraem dados de registro para que você possa avaliar uma atividade suspeita e responder.
Controlos de segurança e bases de referência
O benchmark de segurança na nuvem da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que você pode usar para ajudar a proteger os serviços que você usa no Azure:
- Controlos de segurança - Estas recomendações são geralmente aplicáveis ao seu inquilino do Azure e aos serviços do Azure. Cada recomendação identifica uma lista de detentores de interesse que normalmente estão envolvidos no planejamento, aprovação ou implementação do benchmark.
- Linhas de base de serviço - Aplicam os controles a serviços individuais do Azure para fornecer recomendações sobre a configuração de segurança desse serviço.
Proteja e proteja
| Serviço | Description |
|---|---|
| Microsoft Defender para Cloud | Um sistema unificado de gerenciamento de segurança de infraestrutura que fortalece a postura de segurança de seus data centers e fornece proteção avançada contra ameaças em suas cargas de trabalho híbridas na nuvem - estejam elas no Azure ou não - bem como no local. |
| Gerenciamento de identidade e acesso | |
| Microsoft Entra ID | Serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. |
| O Acesso Condicional é a ferramenta usada pelo Microsoft Entra ID para reunir sinais de identidade, tomar decisões e aplicar políticas organizacionais. | |
| Os Serviços de Domínio são a ferramenta usada pelo Microsoft Entra ID para fornecer serviços de domínio gerenciados, como ingresso no domínio, política de grupo, protocolo LDAP (lightweight directory access protocol) e autenticação Kerberos/NTLM. | |
| O Privileged Identity Management (PIM) é um serviço no Microsoft Entra ID que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização. | |
| A autenticação multifator é a ferramenta usada pelo Microsoft Entra ID para ajudar a proteger o acesso a dados e aplicativos, exigindo uma segunda forma de autenticação. | |
| Proteção de ID do Microsoft Entra | Uma ferramenta que permite às organizações automatizar a deteção e a correção de riscos baseados em identidade, investigar riscos usando dados no portal e exportar dados de deteção de risco para utilitários de terceiros para análise posterior. |
| Infraestrutura e Rede | |
| Gateway de VPN | Um gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública e para enviar tráfego criptografado entre redes virtuais do Azure pela rede da Microsoft. |
| Azure DDoS Protection | Fornece recursos aprimorados de mitigação de DDoS para defesa contra ataques DDoS. É automaticamente otimizado para ajudar a proteger os seus recursos do Azure específicos numa rede virtual. |
| Azure Front Door | Um ponto de entrada global e escalável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escaláveis. |
| Azure Firewall | Um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. O Firewall do Azure é oferecido em três SKUs: Standard, Premium e Basic. |
| Azure Key Vault | Um armazenamento seguro de segredos para tokens, senhas, certificados, chaves de API e outros segredos. O Cofre da Chave também pode ser usado para criar e controlar as chaves de criptografia usadas para criptografar seus dados. |
| HSM gerenciado pelo Key Vault | Um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3. |
| Azure Private Link | Permite que você acesse os Serviços PaaS do Azure (por exemplo, Armazenamento do Azure e Banco de Dados SQL) e os serviços hospedados pelo Azure de propriedade do cliente/parceiro em um ponto de extremidade privado em sua rede virtual. |
| Gateway de Aplicação do Azure | Um balanceador de carga de tráfego da Web avançado que permite gerenciar o tráfego para seus aplicativos da Web. O Application Gateway pode tomar decisões de roteamento com base em atributos adicionais de uma solicitação HTTP, por exemplo, caminho de URI ou cabeçalhos de host. |
| Azure Service Bus | Um agente de mensagens empresariais totalmente gerenciado com filas de mensagens e tópicos de publicação-assinatura. O Service Bus é usado para separar aplicativos e serviços uns dos outros. |
| Firewall de aplicativos Web | Fornece proteção centralizada de seus aplicativos da Web contra exploits e vulnerabilidades comuns. O WAF pode ser implantado com o Azure Application Gateway e o Azure Front Door. |
| Azure Policy | Ajuda a aplicar padrões organizacionais e a avaliar a conformidade em escala. Através do dashboard de conformidade, proporciona uma visão agregada para avaliar o estado geral do ambiente, com a capacidade de desagregar a granularidade por recurso e por política. Também ajuda a fazer com que os recursos fiquem em conformidade através da remediação em massa dos recursos existentes e da reparação automática dos recursos novos. |
| Dados & Aplicação | |
| Azure Backup | Fornece soluções simples, seguras e econômicas para fazer backup de seus dados e recuperá-los da nuvem do Microsoft Azure. |
| Criptografia do Serviço de Armazenamento do Azure | Encripta automaticamente os dados antes de serem armazenados e desencripta automaticamente os dados quando os recupera. |
| Azure Information Protection | Uma solução baseada na nuvem que permite às organizações descobrir, classificar e proteger documentos e e-mails aplicando etiquetas ao conteúdo. |
| Gestão de API | Uma maneira de criar gateways de API consistentes e modernos para serviços back-end existentes. |
| Computação confidencial do Azure | Permite isolar os seus dados confidenciais enquanto estão a ser processados na nuvem. |
| Azure DevOps | Seus projetos de desenvolvimento se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade quando armazenados no Azure DevOps. |
| Acesso ao Cliente | |
| ID Externo do Microsoft Entra | Com as capacidades do External Identities no Microsoft Entra ID, pode permitir que pessoas externas à sua organização acedam às aplicações e aos recursos e que iniciem sessão com a identidade que preferirem. |
| Pode partilhar as suas aplicações e recursos com utilizadores externos através da colaboração B2B do Microsoft Entra. | |
| O Azure AD B2C permite-lhe suportar milhões de utilizadores e milhares de milhões de autenticações por dia, monitorizando e lidando automaticamente com ameaças como negação de serviço, pulverização de palavra-passe ou ataques de força bruta. |
Detetar ameaças
| Serviço | Description |
|---|---|
| Microsoft Defender para Cloud | Oferece proteção avançada e inteligente de seus recursos e cargas de trabalho do Azure e híbridos. O painel de proteção de carga de trabalho no Defender for Cloud fornece visibilidade e controle dos recursos de proteção de carga de trabalho na nuvem para seu ambiente. |
| Microsoft Sentinel | Uma solução escalável, nativa da nuvem, de gerenciamento de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). O Sentinel oferece análises de segurança inteligentes e inteligência de ameaças em toda a empresa, fornecendo uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças. |
| Gerenciamento de identidade e acesso | |
| Microsoft Defender XDR | Um pacote unificado de defesa empresarial pré e pós-violação que coordena nativamente a deteção, prevenção, investigação e resposta entre endpoints, identidades, e-mail e aplicativos para fornecer proteção integrada contra ataques sofisticados. |
| O Microsoft Defender for Endpoint é uma plataforma de segurança de endpoint empresarial projetada para ajudar as redes corporativas a prevenir, detetar, investigar e responder a ameaças avançadas. | |
| O Microsoft Defender for Identity é uma solução de segurança baseada em nuvem que aproveita seus sinais do Ative Directory local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas à sua organização. | |
| Proteção de ID do Microsoft Entra | Envia dois tipos de e-mails de notificação automatizados para ajudá-lo a gerenciar o risco do usuário e as deteções de risco: e-mail detetado por usuários em risco e e-mail resumido semanalmente. |
| Infraestrutura e Rede | |
| Azure Firewall | O Firewall Premium do Azure fornece um sistema de deteção e prevenção de intrusões baseado em assinatura (IDPS) para permitir a deteção rápida de ataques procurando padrões específicos, como sequências de bytes no tráfego de rede ou sequências de instruções maliciosas conhecidas usadas por malware. |
| Microsoft Defender para IoT | Uma solução de segurança unificada para identificar dispositivos IoT/OT, vulnerabilidades e ameaças. Ele permite que você proteja todo o seu ambiente de IoT/OT, quer você precise proteger dispositivos IoT/OT existentes ou criar segurança em novas inovações de IoT. |
| Observador de Rede do Azure | Fornece ferramentas para monitorar, diagnosticar, exibir métricas e habilitar ou desabilitar logs para recursos em uma rede virtual do Azure. O Inspetor de Rede foi projetado para monitorar e reparar a integridade da rede de produtos IaaS, que incluem máquinas virtuais, redes virtuais, gateways de aplicativos e balanceadores de carga. |
| Azure Policy | Ajuda a aplicar padrões organizacionais e a avaliar a conformidade em escala. A Política do Azure usa logs de atividades, que são habilitados automaticamente para incluir a origem do evento, data, usuário, carimbo de data/hora, endereços de origem, endereços de destino e outros elementos úteis. |
| Dados & Aplicação | |
| Microsoft Defender para contêineres | Uma solução nativa da nuvem que é usada para proteger seus contêineres para que você possa melhorar, monitorar e manter a segurança de seus clusters, contêineres e seus aplicativos. |
| Aplicativos do Microsoft Defender para Nuvem | Um agente de segurança de acesso à nuvem (CASB) que opera em várias nuvens. Ele fornece visibilidade avançada, controle sobre viagens de dados e análises sofisticadas para identificar e combater ameaças cibernéticas em todos os seus serviços de nuvem. |
Investigar e responder
| Serviço | Description |
|---|---|
| Microsoft Sentinel | Poderosas ferramentas de pesquisa e consulta para procurar ameaças à segurança nas fontes de dados da sua organização. |
| Logs e métricas do Azure Monitor | Oferece uma solução abrangente para coletar, analisar e agir em telemetria de seus ambientes locais e na nuvem. O Azure Monitor recolhe e agrega dados de várias fontes numa plataforma de dados comum, onde podem ser utilizados para análise, visualização e alertas. |
| Gerenciamento de identidade e acesso | |
| Relatórios e monitoramento do Azure AD | Os relatórios do Microsoft Entra fornecem uma visão abrangente da atividade em seu ambiente. |
| O monitoramento do Microsoft Entra permite rotear seus logs de atividades do Microsoft Entra para diferentes pontos de extremidade. | |
| Histórico de auditoria do Microsoft Entra PIM | Mostra todas as atribuições e ativações de função nos últimos 30 dias para todas as funções privilegiadas. |
| Dados & Aplicação | |
| Aplicativos do Microsoft Defender para Nuvem | Fornece ferramentas para obter uma compreensão mais profunda do que está acontecendo em seu ambiente de nuvem. |
Próximos passos
Compreenda a sua responsabilidade partilhada na nuvem.
Entenda as opções de isolamento na nuvem do Azure contra usuários mal-intencionados e não mal-intencionados.