Criar uma Linha de base de rede

  • 5 minutos

Por design, os serviços de rede do Azure maximizam a flexibilidade, disponibilidade, resiliência, segurança e integridade. A conectividade de rede é possível entre recursos localizados no Azure, entre recursos locais e hospedados no Azure, e de e para a Internet e o Azure.

Recomendações de segurança da rede do Azure

As seções a seguir descrevem as recomendações de rede do Azure que estão no CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. Incluídas em cada recomendação estão as etapas básicas a serem concluídas no portal do Azure. Deve concluir estes passos para a sua própria subscrição e utilizando os seus próprios recursos para validar cada recomendação de segurança. Tenha em atenção que as opções de Nível 2 podem restringir algumas funcionalidades ou atividades, pelo que deve considerar cuidadosamente quais as opções de segurança a aplicar.

Restringir o acesso RDP e SSH a partir da Internet - Nível 1

Você pode acessar VMs do Azure usando o protocolo RDP (Remote Desktop Protocol) e o protocolo SSH (Secure Shell). Você pode usar esses protocolos para gerenciar VMs de locais remotos. Os protocolos são padrão na computação de datacenter.

O possível problema de segurança com o uso de RDP e SSH pela Internet é que os invasores podem usar técnicas de força bruta para obter acesso às VMs do Azure. Depois que os invasores obtiverem acesso, eles poderão usar sua VM como uma plataforma de inicialização para comprometer outras máquinas em sua rede virtual ou até mesmo atacar dispositivos em rede fora do Azure.

Recomendamos que você desabilite o acesso direto RDP e SSH da Internet para suas VMs do Azure. Conclua as etapas a seguir para cada VM em sua assinatura do Azure.

  1. Inicie sessão no portal do Azure. Procure e selecione Máquinas Virtuais.

  2. Selecione uma máquina virtual.

  3. No menu à esquerda, em Rede, selecione Configurações de rede.

  4. Verifique se a seção Regras de porta de entrada não tem uma regra para RDP, por exemplo: port=3389, protocol = TCP, Source = Any or Internet. Você pode usar o ícone Excluir para remover a regra.

  5. Verifique se a seção Regras de porta de entrada não tem uma regra para SSH, por exemplo: port=22, protocol = TCP, Source = Any or Internet. Você pode usar o ícone Excluir para remover a regra.

Captura de tela do painel de configurações de rede da VM.

Quando o RDP direto e o acesso SSH da Internet estão desativados, você tem outras opções que pode usar para acessar essas VMs para gerenciamento remoto:

  • VPN ponto a site
  • VPN site a site
  • Azure ExpressRoute
  • Anfitrião do Azure Bastion

Restringir o acesso ao SQL Server a partir da Internet - Nível 1

Os sistemas de firewall ajudam a prevenir o acesso não autorizado a recursos do computador. Se um firewall estiver ativado, mas não estiver configurado corretamente, as tentativas de conexão com o SQL Server poderão ser bloqueadas.

Para acessar uma instância do SQL Server por meio de um firewall, você deve configurar o firewall no computador que está executando o SQL Server. Permitir a entrada para o intervalo 0.0.0.0/0 de IP (IP inicial de e IP final de0.0.0.0) permite acesso aberto a todo e qualquer tráfego, potencialmente tornando o banco de 0.0.0.0 dados do SQL Server vulnerável a ataques. Certifique-se de que nenhum banco de dados do SQL Server permita a entrada pela Internet. Conclua as etapas a seguir para cada instância do SQL Server.

  1. Inicie sessão no portal do Azure. Procure e selecione servidores SQL.

  2. No painel de menus em Segurança, selecione Rede.

  3. No painel Rede, na guia Acesso público, verifique se existe uma regra de firewall. Certifique-se de que nenhuma regra tenha um IP inicial e 0.0.0.0 um IP final de 0.0.0.0 ou outra combinação que permita o acesso a intervalos de IP públicos mais amplos.

  4. Se você alterar alguma configuração, selecione Salvar.

Captura de ecrã que mostra o painel Firewalls e redes virtuais.

Ativar o Observador de Rede – Nível 1

Os logs de fluxo do NSG são um recurso do Observador de Rede do Azure que fornece informações sobre o tráfego de entrada e saída de IP por meio de um NSG. Os logs de fluxo são escritos no formato JSON e mostram:

  • Fluxos de saída e de entrada por regra.
  • A interface de rede (NIC) à qual o fluxo se aplica.
  • 5-tupla informações sobre o fluxo: endereços IP de origem e destino, portas de origem e destino e o protocolo que foi usado.
  • Se o tráfego foi permitido ou negado.
  • Na versão 2, informações de taxa de transferência, como bytes e pacotes.

  1. Inicie sessão no portal do Azure. Procure e selecione Observador de Rede.

  2. Selecione Observador de Rede para a sua subscrição e localização.

  3. Se não existirem logs de fluxo NSG para sua assinatura, crie um log de fluxo NSG.

Definir o período de retenção do log de fluxo NSG para mais de 90 dias - Nível 2

Quando cria ou atualiza uma rede virtual na sua subscrição, o Observador de Rede é automaticamente ativado na região da sua rede virtual. Os seus recursos não são afetados e nenhum custo é avaliado quando o Observador de Rede é ativado automaticamente.

Você pode usar os logs de fluxo NSG para verificar anomalias e obter informações sobre suspeitas de violações.

  1. Inicie sessão no portal do Azure. Procure e selecione Observador de Rede.

  2. No menu à esquerda, em Logs, selecione Logs de fluxo NSG.

    Captura de tela que mostra o painel de log de fluxo N S G.

  3. Selecione um log de fluxo NSG.

  4. Certifique-se de que a retenção (dias) é superior a 90 dias.

  5. Se você alterar alguma configuração, selecione Salvar na barra de menus.