Descrição geral de segurança das Máquinas Virtuais do Azure
Este artigo fornece uma visão geral dos principais recursos de segurança do Azure que podem ser usados com máquinas virtuais.
Você pode usar as Máquinas Virtuais do Azure para implantar uma ampla gama de soluções de computação de forma ágil. O serviço suporta Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Azure BizTalk Services. Assim, você pode implantar qualquer carga de trabalho e qualquer idioma em praticamente qualquer sistema operacional.
Uma máquina virtual do Azure fornece-lhe a flexibilidade de virtualização sem ter de comprar e manter o hardware físico que executa a máquina virtual. Você pode criar e implantar seus aplicativos com a garantia de que seus dados estão protegidos e seguros em datacenters altamente seguros.
Com o Azure, você pode criar soluções compatíveis com segurança aprimorada que:
- Proteja suas máquinas virtuais contra vírus e malware.
- Criptografe seus dados confidenciais.
- Tráfego de rede seguro.
- Identificar e detetar ameaças.
- Atenda aos requisitos de conformidade.
Antimalware
Com o Azure, você pode usar software antimalware de fornecedores de segurança como Microsoft, Symantec, Trend Micro e Kaspersky. Este software ajuda a proteger as suas máquinas virtuais contra ficheiros maliciosos, adware e outras ameaças.
O Microsoft Antimalware para Serviços de Nuvem do Azure e Máquinas Virtuais é um recurso de proteção em tempo real que ajuda a identificar e remover vírus, spyware e outros softwares mal-intencionados. O Microsoft Antimalware para Azure fornece alertas configuráveis quando softwares mal-intencionados ou indesejados conhecidos tentam se instalar ou executar em seus sistemas do Azure.
O Microsoft Antimalware para Azure é uma solução de agente único para aplicativos e ambientes de locatário. Ele foi projetado para ser executado em segundo plano sem intervenção humana. Você pode implantar a proteção com base nas necessidades das cargas de trabalho do seu aplicativo, com configuração básica segura por padrão ou personalizada avançada, incluindo monitoramento antimalware.
Saiba mais sobre o Microsoft Antimalware para Azure e os principais recursos disponíveis.
Saiba mais sobre o software antimalware para ajudar a proteger suas máquinas virtuais:
- Implementar Soluções Antimalware em Máquinas Virtuais do Azure
- Como instalar e configurar o Trend Micro Deep Security como um serviço em uma VM do Windows
- Soluções de segurança no Azure Marketplace
Para uma proteção ainda mais poderosa, considere usar o Microsoft Defender for Endpoint. Com o Defender for Endpoint, você obtém:
- Redução da superfície de ataque
- Proteção de última geração
- Proteção e resposta do endpoint
- Investigação e remediação automatizadas
- Classificação de segurança
- Caça avançada
- Gestão e APIs
- Proteção contra ameaças da Microsoft
Saiba mais: Introdução ao Microsoft Defender for Endpoint
Módulo de segurança de hardware
Melhorar a segurança das chaves pode melhorar as proteções de criptografia e autenticação. Você pode simplificar o gerenciamento e a segurança de seus segredos e chaves críticos armazenando-os no Cofre de Chaves do Azure.
O Key Vault oferece a opção de armazenar suas chaves em módulos de segurança de hardware (HSMs) certificados de acordo com os padrões validados pelo FIPS 140. Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Cofre de Chaves com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados por meio do Microsoft Entra ID.
Saiba mais:
Criptografia de disco de máquina virtual
O Azure Disk Encryption é um novo recurso para criptografar seus discos de máquina virtual Windows e Linux. A Criptografia de Disco do Azure usa o recurso BitLocker padrão do setor do Windows e o recurso dm-crypt do Linux para fornecer criptografia de volume para o sistema operacional e os discos de dados.
A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves de criptografia de disco e os segredos em sua assinatura do cofre de chaves. Ele garante que todos os dados nos discos da máquina virtual sejam criptografados em repouso no Armazenamento do Azure.
Saiba mais:
- Azure Disk Encryption para VMs Linux e Azure Disk Encryption para VMs do Windows
- Guia de início rápido: criptografar uma VM IaaS Linux com o Azure PowerShell
Cópia de segurança da máquina virtual
O Backup do Azure é uma solução escalável que ajuda a proteger os dados do seu aplicativo com investimento de capital zero e custos operacionais mínimos. Os erros das aplicações podem danificar os dados e os erros humanos podem introduzir erros nas suas aplicações. Com o Backup do Azure, suas máquinas virtuais que executam Windows e Linux são protegidas.
Saiba mais:
Azure Site Recovery
Uma parte importante da estratégia BCDR da sua organização é descobrir como manter as cargas de trabalho corporativas e os aplicativos em execução quando ocorrem interrupções planejadas e não planejadas. O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal ficar inativo.
Recuperação do local:
- Simplifica sua estratégia BCDR: o Site Recovery facilita o processamento da replicação, failover e recuperação de várias cargas de trabalho e aplicativos de negócios a partir de um único local. O Site Recovery orquestra a replicação e o failover, mas não interceta os dados do aplicativo nem tem informações sobre eles.
- Fornece replicação flexível: usando o Site Recovery, você pode replicar cargas de trabalho em execução em máquinas virtuais Hyper-V, máquinas virtuais VMware e servidores físicos Windows/Linux.
- Suporta failover e recuperação: o Site Recovery fornece failovers de teste para dar suporte a exercícios de recuperação de desastres sem afetar os ambientes de produção. Também pode executar as ativações pós-falha planeadas sem nenhuma perda de dados para as falhas esperadas ou as ativações pós-falha não planeadas com perda mínima de dados (dependendo da frequência de replicação) perante desastres inesperados. Após o failover, você pode fazer failover de volta para seus sites primários. O Site Recovery fornece planos de recuperação que podem incluir scripts e pastas de trabalho da Automação do Azure para que você possa personalizar o failover e a recuperação de aplicativos de várias camadas.
- Elimina datacenters secundários: você pode replicar para um site local secundário ou para o Azure. Usar o Azure como destino para recuperação de desastres elimina o custo e a complexidade da manutenção de um site secundário. Os dados replicados são armazenados no Armazenamento do Azure.
- Integra-se com tecnologias BCDR existentes: o Site Recovery faz parceria com os recursos BCDR de outros aplicativos. Por exemplo, você pode usar a Recuperação de Site para ajudar a proteger o back-end do SQL Server de cargas de trabalho corporativas. Isso inclui suporte nativo para SQL Server Always On para gerenciar o failover de grupos de disponibilidade.
Saiba mais:
- O que é o Azure Site Recovery?
- Como funciona o Azure Site Recovery?
- Quais cargas de trabalho são protegidas pelo Azure Site Recovery?
Redes virtuais
As máquinas virtuais precisam de conectividade de rede. Para dar suporte a esse requisito, o Azure exige que as máquinas virtuais estejam conectadas a uma rede virtual do Azure.
Uma rede virtual do Azure é uma construção lógica criada sobre a malha de rede física do Azure. Cada rede virtual lógica do Azure é isolada de todas as outras redes virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego de rede em suas implantações não esteja acessível a outros clientes do Microsoft Azure.
Saiba mais:
- Descrição geral da segurança de rede do Azure
- Descrição Geral da Rede Virtual
- Recursos de rede e parcerias para cenários empresariais
Gerenciamento e relatórios de políticas de segurança
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças. O Defender for Cloud dá-lhe maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Ele fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure. Ele ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas e trabalha com um amplo ecossistema de soluções de segurança.
O Defender for Cloud ajuda você a otimizar e monitorar a segurança de suas máquinas virtuais:
- Fornecendo recomendações de segurança para as máquinas virtuais. Exemplos de recomendações incluem: aplicar atualizações do sistema, configurar pontos de extremidade ACLs, habilitar antimalware, habilitar grupos de segurança de rede e aplicar criptografia de disco.
- Monitorando o estado de suas máquinas virtuais.
Saiba mais:
- Introdução ao Microsoft Defender for Cloud
- Perguntas frequentes sobre o Microsoft Defender for Cloud
- Planejamento e operações do Microsoft Defender for Cloud
Conformidade
As Máquinas Virtuais do Azure são certificadas para FISMA, FedRAMP, HIPAA, PCI DSS Nível 1 e outros programas de conformidade importantes. Essa certificação torna mais fácil para seus próprios aplicativos do Azure atender aos requisitos de conformidade e para sua empresa atender a uma ampla gama de requisitos regulatórios nacionais e internacionais.
Saiba mais:
- Central de Confiabilidade da Microsoft: Conformidade
- Nuvem confiável: segurança, privacidade e conformidade do Microsoft Azure
Computação Confidencial
Embora a computação confidencial não seja tecnicamente parte da segurança da máquina virtual, o tópico da segurança da máquina virtual pertence ao assunto de nível superior da segurança "computacional". A computação confidencial pertence à categoria de segurança "computacional".
A computação confidencial garante que, quando os dados estão "no claro", o que é necessário para um processamento eficiente, os dados são protegidos dentro de um Ambiente https://en.wikipedia.org/wiki/Trusted_execution_environment de Execução Confiável (TEE - também conhecido como enclave), um exemplo do qual é mostrado na figura abaixo.
Os TEEs garantem que não há como visualizar os dados ou as operações internas do lado de fora, mesmo com um depurador. Eles ainda garantem que apenas o código autorizado tem permissão para acessar os dados. Se o código for alterado ou adulterado, as operações serão negadas e o ambiente desativado. O TEE aplica essas proteções durante toda a execução do código dentro dele.
Saiba mais:
Próximos passos
Saiba mais sobre as práticas recomendadas de segurança para VMs e sistemas operacionais.