Microsoft Azure Security Best Practices

O Microsoft Azure é a base da infraestrutura em nuvem para muitas empresas em todo o mundo. Cargas de trabalho de missão crítica, desde clusters Kubernetes distribuídos até aplicativos .NET e produtos de software como serviço (SaaS), são executadas no Azure. Como resultado, conhecer os meandros das práticas recomendadas de segurança do Azure é essencial para as empresas que dependem da plataforma de nuvem da Microsoft.

Aqui, forneceremos uma visão geral sobre a segurança do Azure, analisaremos em profundidade as melhores práticas para a nuvem do Azure e discutiremos como a Check Point pode ajudá-lo a melhorar sua postura geral de segurança do Azure.

Saiba mais Azure Security Blueprint

Práticas recomendadas de segurança do Microsoft Azure para 2021

Como existe uma grande variedade de serviços do Azure, nenhuma “receita” de segurança que sirva para todos garantirá que você otimizou sua postura de segurança. No entanto, ao dividir os diferentes aspectos do Azure em categorias mais específicas, você descobrirá práticas recomendadas que podem ser implementadas. Vejamos essas categorias e as melhores práticas de segurança do Azure resultantes.

Mas primeiro, os pré-requisitos: o modelo de responsabilidade compartilhada e o princípio do menor privilégio

Antes de mergulhar nas melhores práticas específicas de segurança do Azure, certifique-se de compreender o paradigma básico de segurança na plataforma: o modelo de responsabilidade partilhada do Azure.

 

Resumindo, o modelo de responsabilidade partilhada significa que a Microsoft é responsável pela segurança da nuvem, enquanto você é responsável pela segurança na nuvem. O ponto de demarcação entre os dois varia dependendo do tipo específico de produto. Por exemplo, com um aplicativo SaaS, a Microsoft é responsável pela segurança do sistema operacional. No entanto, com um produto de infraestrutura como serviço (IaaS), você é responsável pela segurança do sistema operacional. Compreender onde está essa linha divisória para a sua infraestrutura do Azure é essencial.

 

Além disso, em todos os casos, você deve seguir o princípio do menor privilégio. Embora a forma como você implementa o princípio do menor privilégio varie dependendo de suas cargas de trabalho e aplicativos, a ideia permanece a mesma: conceder aos usuários, dispositivos, aplicativos e serviços apenas o acesso de que precisam e nada mais. Por exemplo, com uma base de dados Azure, em vez de conceder a todos acesso de leitura a toda a base de dados, pode e deve utilizar a segurança ao nível da linha para restringir o acesso às linhas da base de dados.

Lista de verificação de práticas recomendadas de segurança do Azure

Com os pré-requisitos resolvidos, vamos mergulhar na lista de verificação. Analisaremos aspectos individuais do Azure e forneceremos itens acionáveis específicos que sua equipe pode auditar.

criptografia e segurança de dados

As violações de dados são uma das maiores ameaças à sua postura de segurança. Portanto, acertar na criptografia e na segurança dos dados é fundamental. Esta lista de verificação ajudará você a garantir que está no caminho certo e se aplica a qualquer área do Azure que consuma, transmita ou armazene dados confidenciais.

  • Identifique todas as informações confidenciais. Do ponto de vista operacional e de Conformidade, você deve identificar todos os dados sensíveis transmitidos ou armazenados em sua infraestrutura. Isso permite que você decida adequadamente como obter segurança e conformidade adequadas.
  • Criptografe dados em repouso. Este é segurança de dados 101. Use protocolos de criptografia modernos e métodos seguros de armazenamento de dados para todos os dados em repouso.
  • Criptografe dados em trânsito. Assim como criptografar dados em repouso é obrigatório, criptografar dados em trânsito também o é. Mesmo que os dados não estejam atravessando a Internet, criptografe-os.
  • Tenha um plano de backup e recuperação de desastres (DR). Caso você seja vítima de ransomware ou outro malware, os backups e um plano de recuperação de desastres podem fazer uma grande diferença. Um plano robusto de backup e DR é essencial para a segurança do Azure.
  • Use uma solução de gerenciamento de chaves. Soluções como o Azure Key Vault permitem-lhe gerir com segurança as suas chaves, segredos e certificados.
  • Fortaleça suas estações de trabalho de gerenciamento. Acessar dados confidenciais de uma estação de trabalho insegura é um grande risco. Certifique-se de que apenas estações de trabalho reforçadas possam acessar e gerenciar sistemas que armazenam dados confidenciais.
  • Use a Proteção de Informações do Azure. A Proteção de Informações do Azure facilita a obtenção de visibilidade total sobre seus dados confidenciais, a implementação de controles e a colaboração segura. Usá-lo pode tornar seus esforços gerais de segurança de dados mais fáceis e eficazes.

Segurança de armazenamento e banco de dados

Proteger seus bancos de dados é um elemento crítico de sua postura geral de segurança. Além disso, em muitos casos é uma obrigação do ponto de vista da Conformidade. É aqui que você deve começar com a segurança do banco de dados no Azure.

  • Restrinja o acesso ao banco de dados e ao armazenamento. Utilize firewall e controlos de acesso para limitar o nível de acesso que os utilizadores, dispositivos e serviços têm às suas bases de dados e blobs de armazenamento.
  • Aproveite a auditoria. Ative a auditoria para seus bancos de dados do Azure. Isso permite que você obtenha visibilidade de todas as alterações do banco de dados.
  • Configure a detecção de ameaças para Azure SQL. Se você usa o Azure SQL, ativar a detecção de ameaças ajuda a identificar problemas de segurança com mais rapidez e a limitar o tempo de permanência.
  • Defina alertas de log no Azure Monitor. Não basta simplesmente registrar eventos. Certifique-se de estar alertando contra eventos relacionados à segurança no Azure Monitor para que possa remediar problemas rapidamente (e automaticamente, quando possível).
  • Habilite o Azure Defender para suas contas de armazenamento. O Azure Defender fornece proteção e proteção às suas contas de armazenamento do Azure.
  • Use exclusões suaves. As exclusões suaves ajudam a garantir que os dados ainda possam ser recuperados (por 14 dias) caso um agente mal-intencionado (ou erro do usuário) faça com que os dados que você deseja manter sejam excluídos.
  • Use assinaturas de acesso compartilhado (SAS). O SAS permite implementar controles de acesso granulares e limites de tempo no acesso do cliente aos dados.

Proteção de cargas de trabalho e máquina virtual (máquina virtual, VM)

Esta seção da nossa lista de verificação de práticas recomendadas de segurança do Azure trata de máquina virtual (máquina virtual, VM) e outras cargas de trabalho. Existem algumas outras práticas recomendadas que o ajudarão a proteger os seus recursos no Azure:

 

  • Aplique Autenticação multifatorial (MFA) e senhas complexas. A MFA pode ajudar a limitar a ameaça de credenciais comprometidas. Senhas complexas ajudam a reduzir a eficácia dos ataques de força bruta a senhas.
  • Use acesso à máquina virtual (máquina virtual, VM) just-in-time (JIT). O acesso JIT funciona com NSGs e o firewall do Azure e ajuda você a aplicar controles de acesso baseados em funções (RBAC) e vinculações de tempo no acesso à máquina virtual (máquina virtual, VM).
  • Tenha um processo de patch em vigor. Se você não estiver corrigindo suas cargas de trabalho, todos os seus outros esforços poderão ser em vão. Uma única vulnerabilidade não corrigida pode levar a uma violação. Um processo de patch para manter seus sistemas operacionais e aplicativos atualizados ajuda a mitigar esse risco.
  • Bloqueie as portas administrativas. A menos que seja absolutamente necessário, restrinja o acesso a SSH, RDP, WinRM e outras portas administrativas.
  • Use o firewall do Azure e os grupos de segurança de rede (NGSs) para limitar o acesso às cargas de trabalho. Consistente com o princípio do menor privilégio, utilize NSGs e a firewall Azure para restringir o acesso à carga de trabalho.

Serviço de segurança de rede

A segurança da rede é um aspecto importante para manter seguras as cargas de trabalho do Azure. Aqui estão as práticas recomendadas de segurança do Azure que você deve ter em mente na sua rede na nuvem:

 

  • Criptografe dados em trânsito. Como mencionamos na seção sobre criptografia e segurança de dados: a criptografia de dados em trânsito (e em repouso) é obrigatória. Aproveite protocolos de criptografia modernos para todo o tráfego de rede.
  • Implemente confiança zero. Por padrão, as políticas de rede devem negar o acesso, a menos que haja uma regra de permissão explícita.
  • Limite as portas abertas e endpointvoltado para a Internet. A menos que haja um motivo comercial bem definido para uma porta estar aberta ou uma carga de trabalho voltada para a Internet, não deixe que isso aconteça.
  • Monitore o acesso ao dispositivo. Monitorar o acesso às suas cargas de trabalho e dispositivos (por exemplo, usando um SIEM ou Azure Monitor) ajuda a detectar ameaças proativamente
  • Segmente sua rede. A segmentação lógica da rede pode ajudar a melhorar a visibilidade, facilitar o gerenciamento das redes e limitar o movimento leste-oeste em caso de violação.

Conformidade

Manter a Conformidade é um dos aspectos mais importantes da segurança na nuvem Azure. Aqui estão nossas recomendações para ajudá-lo a fazer exatamente isso.

 

  • Defina os seus objectivos de Conformidade. Quais dados e cargas de trabalho estão no escopo na perspectiva da Conformidade? Quais padrões e regulamentos (por exemplo PCI-DSS, ISO 27001, HIPAA) são relevantes para sua organização? Responder claramente a essas perguntas e definir os objetivos da Conformidade é fundamental.
  • Use o Painel de Conformidade regulatório do Azure Security Center e Azure Security Benchmark. O painel Conformidade na Central de Segurança do Azure pode ajudá-lo a identificar o quão perto você está de alcançar a Conformidade com base em uma ampla variedade de padrões. O Azure Security Benchmark fornece recomendações que você pode seguir para se aproximar da Conformidade total. O uso dessas ferramentas ajuda a simplificar a Conformidade na nuvem.

Melhorando a segurança do Azure com a abordagem unificada de segurança de nuvem da Check Point

Como você pode ver, é preciso muita coisa para alcançar a segurança na nuvem do Azure. Para ajudar as empresas a simplificar o processo e implementar as melhores práticas de Segurança de nuvem em escala, desenvolvemos a Abordagem Unificada de Segurança de Nuvem da Check Point. Com base nos princípios dessa abordagem unificada, o Check Point CloudGuard é a ferramenta ideal para ajudá-lo a implementar essas práticas recomendadas de segurança de nuvem.

 

Para saber mais sobre a segurança do Azure e como a Check Point pode ajudá-lo, baixe o whitepaper gratuito Alcançando a nuvem com confiança na era das ameaças avançadas, onde você aprenderá:

 

  • Como proteger ambientes multi-nuvem em escala
  • Como melhorar a visibilidade da nuvem
  • Como manter a Conformidade em diferentes implantações

 

Alternativamente, se você quiser avaliar sua postura atual de Segurança de nuvem, inscreva-se para uma verificação de segurança gratuita. Após a verificação, você receberá um relatório abrangente detalhando itens como número de infecções por malware, ameaças a endpoint e dispositivos inteligentes, ataques de bots e tentativas de intrusão, uso de aplicativos de alto risco e perda de dados confidenciais.

Iniciar

Azure Security Solutions

Soluções de segurança na nuvem

Serviço de segurança de rede

Gerenciamento de postura do Cloud Security 

Proteção de workload na nuvem

Inteligência de nuvem no Azure

Segurança de aplicativo

Tópicos relacionados

Qual é o modelo de responsabilidade compartilhada

O que é segurança de nuvem?

O que são DevSecOps?

Grupos de segurança da AWS

O que é segurança sem servidor? 

What is Shift Left? 

O que é segurança de aplicativos (AppSec)?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK