Especificar linhas de base de segurança para serviços SaaS, PaaS e IaaS
Esta unidade fornecerá uma visão geral das melhores práticas gerais para segurança IaaS e PaaS.
Segurança de IaaS
Proteja VMs usando autenticação e controle de acesso
A primeira etapa para proteger suas VMs é garantir que apenas usuários autorizados possam configurar novas VMs e acessar VMs.
Use as políticas do Azure para estabelecer convenções para recursos em sua organização e criar políticas personalizadas. Aplique essas políticas a recursos, como grupos de recursos. As VMs que pertencem a um grupo de recursos herdam suas políticas.
Use várias VMs para melhor disponibilidade
Se sua VM executa aplicativos críticos que precisam ter alta disponibilidade, é altamente recomendável que você use várias VMs. Para melhor disponibilidade, use um conjunto de disponibilidade ou zonas de disponibilidade.
Um conjunto de disponibilidade é um agrupamento lógico que você pode usar no Azure para garantir que os recursos de VM que você coloca nele sejam isolados uns dos outros quando são implantados em um datacenter do Azure. O Azure garante que as VMs que você coloca em um conjunto de disponibilidade sejam executadas em vários servidores físicos, racks de computação, unidades de armazenamento e comutadores de rede. Se ocorrer uma falha de hardware ou software do Azure, apenas um subconjunto de suas VMs será afetado e seu aplicativo geral continuará disponível para seus clientes. Os conjuntos de disponibilidade são um recurso essencial quando você deseja criar soluções de nuvem confiáveis.
Proteção contra software maligno
Você deve instalar a proteção antimalware para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados. Você pode instalar o Microsoft Antimalware ou a solução de proteção de ponto final de um parceiro da Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender e System Center Endpoint Protection).
Gerenciar suas atualizações de VM
As VMs do Azure, como todas as VMs locais, devem ser gerenciadas pelo usuário. O Azure não emite atualizações do Windows para as VMs. Você precisa gerenciar suas atualizações de VM.
Use a solução de Gerenciamento de Atualizações na Automação do Azure para gerenciar atualizações do sistema operacional para seus computadores Windows e Linux implantados no Azure, em ambientes locais ou em outros provedores de nuvem. Pode rapidamente avaliar o estado das atualizações disponíveis em todos os computadores agente e gerir o processo de instalação de atualizações necessárias para os servidores.
Gerencie sua postura de segurança de VM
As ciberameaças estão a evoluir. Proteger suas VMs requer um recurso de monitoramento que possa detetar ameaças rapidamente, impedir o acesso não autorizado aos seus recursos, disparar alertas e reduzir falsos positivos.
Para monitorar a postura de segurança de suas VMs Windows e Linux, use o Microsoft Defender for Cloud.
Monitorar o desempenho da VM
O abuso de recursos pode ser um problema quando os processos de VM consomem mais recursos do que deveriam. Problemas de desempenho com uma VM podem levar à interrupção do serviço, o que viola o princípio de segurança da disponibilidade. Isso é particularmente importante para VMs que hospedam o IIS ou outros servidores Web, porque o alto uso de CPU ou memória pode indicar um ataque de negação de serviço (DoS). É imperativo monitorar o acesso à VM não apenas reativamente enquanto um problema está ocorrendo, mas também proativamente em relação ao desempenho da linha de base, medido durante a operação normal.
Criptografar seus arquivos de disco rígido virtual
Recomendamos que você criptografe seus discos rígidos virtuais (VHDs) para ajudar a proteger o volume de inicialização e os volumes de dados em repouso no armazenamento, juntamente com suas chaves de criptografia e segredos.
O Azure Disk Encryption para VMs Linux e o Azure Disk Encryption para VMs Windows ajudam você a criptografar seus discos de máquina virtual IaaS Linux e Windows. A Criptografia de Disco do Azure usa o recurso DM-Crypt padrão do setor do Linux e o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco em sua assinatura do cofre de chaves. A solução também garante que todos os dados nos discos de máquina virtual sejam criptografados em repouso no Armazenamento do Azure.
Restringir a conectividade direta com a Internet
Monitore e restrinja a conectividade direta da VM com a Internet. Os atacantes verificam constantemente os intervalos de IP da nuvem pública em busca de portas de gerenciamento abertas e tentam ataques "fáceis", como senhas comuns e vulnerabilidades conhecidas não corrigidas.
Segurança PaaS
Adotar uma política de identidade como o perímetro de segurança primário
Uma das cinco características essenciais da computação em nuvem é o amplo acesso à rede, o que torna o pensamento centrado na rede menos relevante. O objetivo de grande parte da computação em nuvem é permitir que os usuários acessem recursos independentemente da localização. Para a maioria dos usuários, sua localização será em algum lugar na Internet.
A figura a seguir mostra como o perímetro de segurança evoluiu de um perímetro de rede para um perímetro de identidade. A segurança passa a ser menos sobre a defesa da sua rede e mais sobre a defesa dos seus dados, bem como sobre a gestão da segurança das suas aplicações e utilizadores. A principal diferença é que você quer aproximar a segurança do que é importante para a sua empresa.
Inicialmente, os serviços PaaS do Azure (por exemplo, funções Web e Azure SQL) forneciam poucas ou nenhumas defesas de perímetro de rede tradicionais. Entendeu-se que o objetivo do elemento era ser exposto à Internet (função Web) e que a autenticação fornece o novo perímetro (por exemplo, BLOB ou Azure SQL).
As práticas de segurança modernas pressupõem que o adversário violou o perímetro da rede. Portanto, as práticas modernas de defesa passaram para a identidade. As organizações devem estabelecer um perímetro de segurança baseado em identidade com autenticação forte e higiene de autorização (práticas recomendadas).
Princípios e padrões para o perímetro da rede estão disponíveis há décadas. Em contraste, o setor tem relativamente menos experiência com o uso da identidade como o perímetro de segurança principal. Dito isto, acumulámos experiência suficiente para fornecer algumas recomendações gerais que são comprovadas no terreno e se aplicam a quase todos os serviços de PaaS.
Desenvolver no Serviço de Aplicativo do Azure
O Serviço de Aplicativo do Azure é uma oferta de PaaS que permite criar aplicativos Web e móveis para qualquer plataforma ou dispositivo e conectar-se a dados em qualquer lugar, na nuvem ou localmente. O Serviço de Aplicativo inclui os recursos Web e móveis que anteriormente eram fornecidos separadamente como Sites do Azure e Serviços Móveis do Azure. Também inclui novas capacidades para automatizar processos de negócio e o alojar APIs da nuvem. Como um único serviço integrado, o Serviço de Aplicativo traz um rico conjunto de recursos para cenários Web, móveis e de integração.
Instalar um firewall de aplicativo Web
Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns. Destas vulnerabilidades, são frequentes os ataques de injeção de SQL, scripting entre sites, entre muitas outras. Prevenir esses ataques no código do aplicativo pode ser um desafio e pode exigir manutenção, aplicação de patches e monitoramento rigorosos em muitas camadas da topologia do aplicativo. Uma firewall de aplicações Web centralizada ajuda a simplificar em muito a gestão da segurança e confere aos administradores de aplicações uma maior garantia de proteção contra as ameaças ou intrusões. Uma solução WAF também pode reagir mais rapidamente a uma ameaça de segurança ao corrigir uma vulnerabilidade conhecida numa localização central, em vez de proteger cada uma das aplicações Web individualmente.
O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns.
Proteção contra DDoS
A Proteção contra DDoS do Azure, combinada com as práticas recomendadas de design de aplicativos, fornece recursos aprimorados de mitigação de DDoS para fornecer mais defesa contra ataques DDoS. Você deve habilitar a Proteção DDOS do Azure em qualquer rede virtual de perímetro.
Monitore o desempenho de seus aplicativos
O monitoramento é o ato de coletar e analisar dados para determinar o desempenho, a integridade e a disponibilidade do seu aplicativo. Uma estratégia de monitorização efetiva ajuda-o a compreender o funcionamento em detalhe dos componentes da sua aplicação. Ajuda-o a aumentar o seu tempo de atividade, notificando-o de problemas críticos para que possa resolvê-los antes que se tornem problemas. Também o ajuda a detetar anomalias que possam estar relacionadas com a segurança.
Realizar testes de penetração de segurança
Validar defesas de segurança é tão importante quanto testar qualquer outra funcionalidade. Faça do teste de penetração uma parte padrão do seu processo de compilação e implantação. Agende testes de segurança regulares e varredura de vulnerabilidades em aplicativos implantados e monitore portas abertas, pontos de extremidade e ataques.