Visão geral – Aplicar princípios de Zero Trust à rede do Azure

Esta série de artigos ajuda-o a aplicar os princípios do Zero Trust à sua infraestrutura de rede no Microsoft Azure com base numa abordagem multidisciplinar. O Zero Trust é uma estratégia de segurança. Não é um produto ou um serviço, mas uma abordagem na conceção e implementação do seguinte conjunto de princípios de segurança:

• Verificar explicitamente
• Use o acesso menos privilegiado
• Assuma a violação

Implementar a mentalidade Zero Trust para "assumir violação, nunca confiar, sempre verificar" requer mudanças na infraestrutura de rede em nuvem, estratégia de implantação e implementação.

Os artigos a seguir mostram como aplicar a abordagem Zero Trust à rede para serviços de infraestrutura do Azure comumente implantados:

• Encriptação
• Segmentação
• Obtenha visibilidade do seu tráfego de rede
• Descontinuar a tecnologia de segurança de rede herdada

Importante

Esta orientação Zero Trust descreve como usar e configurar várias soluções e recursos de segurança disponíveis no Azure para uma arquitetura de referência. Vários outros recursos também fornecem orientações de segurança para essas soluções e recursos, incluindo:

• Benchmark de segurança na nuvem da Microsoft
• Linha de base do Microsoft Cloud Security

Para descrever como aplicar uma abordagem Zero Trust, esta orientação tem como alvo um padrão comum usado na produção por muitas organizações: um aplicativo baseado em máquina virtual hospedado em uma VNet (e aplicativo IaaS). Esse é um padrão comum para organizações que migram aplicativos locais para o Azure, que às vezes é chamado de "lift-and-shift".

Proteção contra ameaças com o Microsoft Defender for Cloud

Para o princípio Assumir violação Zero Trust para rede do Azure, o Microsoft Defender for Cloud é uma solução estendida de deteção e resposta (XDR) que coleta, correlaciona e analisa automaticamente dados de sinal, ameaça e alerta de todo o seu ambiente. O Defender for Cloud destina-se a ser usado em conjunto com o Microsoft Defender XDR para fornecer uma maior amplitude de proteção correlacionada do seu ambiente, conforme mostrado no diagrama a seguir.

No diagrama:

• O Defender for Cloud está habilitado para um grupo de gerenciamento que inclui várias assinaturas do Azure.
• O Microsoft Defender XDR está habilitado para aplicativos e dados do Microsoft 365, aplicativos SaaS integrados ao Microsoft Entra ID e servidores locais dos Serviços de Domínio Ative Directory (AD DS).

Para obter mais informações sobre como configurar grupos de gerenciamento e habilitar o Defender for Cloud, consulte:

• Organizar subscrições em grupos de gestão e atribuir funções aos utilizadores
• Ativar o Defender for Cloud em todas as subscrições de um grupo de gestão

Recursos adicionais

Consulte estes artigos adicionais para aplicar os princípios de Zero Trust à IaaS do Azure:

• Para IaaS do Azure:
  • Armazenamento do Azure
  • Máquinas virtuais
  • Redes virtuais faladas
  • Redes virtuais de hub
  • Redes virtuais spoke com serviços PaaS do Azure
• Azure Virtual Desktop
• WAN Virtual do Azure
• Aplicativos IaaS na Amazon Web Services
• Microsoft Sentinel e Microsoft Defender XDR