Introdução ao design da arquitetura de segurança

A Segurança é um dos aspectos mais importantes de qualquer arquitetura. Medidas de segurança eficazes protegem a confidencialidade, a integridade e a disponibilidade de seus dados e sistemas contra ataques e abusos deliberados.

Azure fornece muitas ferramentas de segurança e recursos, incluindo os seguintes serviços principais:

• Microsoft Defender para Nuvem fornece CSPM (gerenciamento de postura de segurança de nuvem) e CWP (proteção de carga de trabalho na nuvem). Ele avalia seus recursos quanto à conformidade de segurança, fornece uma pontuação segura para acompanhar sua postura e oferece proteção contra ameaças em cargas de trabalho Azure, locais e multinuvem.

• Microsoft Entra ID é o Microsoft serviço IAM (gerenciamento de acesso e identidade baseado em nuvem). Ele fornece SSO (logon único), MFA (autenticação multifator) e acesso condicional para se proteger contra ataques baseados em identidade.

• Azure Front Door é um ponto de entrada global para aplicativos Web. Ele fornece um WAF (firewall de aplicativo Web) integrado para proteger contra explorações e vulnerabilidades comuns, proteção contra DDoS e terminação de TLS (Transport Layer Security) na borda da rede.

• Firewall do Azure é um firewall de rede nativo de nuvem que dá suporte à filtragem baseada em inteligência contra ameaças, IDPS (detecção e prevenção de intrusões) na camada Premium, inspeção do TLS e regras baseadas em FQDN (nome de domínio totalmente qualificado).

• Azure Key Vault fornece gerenciamento centralizado de segredos, gerenciamento de chaves e gerenciamento de certificados. A camada Premium oferece chaves protegidas por HSM (módulo de segurança de hardware) validadas para o FIPS (Federal Information Processing Standards) 140-3 nível 3.

• Link Privado do Azure permite acessar as soluções de PaaS do Azure em um ponto de extremidade privado em sua rede virtual. Essa abordagem mantém o tráfego na rede de backbone Microsoft e elimina a exposição à Internet pública.

• Gateway de Aplicativo do Azure é um balanceador de carga de tráfego da Web regional que inclui um WAF que protege contra as 10 principais vulnerabilidades, mitigação de bot e regras personalizadas do Open Worldwide Application Security Project (OWASP).

• Azure Policy permite impor padrões organizacionais, avaliar a conformidade em escala e aplicar guardrails que impedem configurações de recursos não compatíveis.

Para obter mais informações sobre Azure ferramentas e funcionalidades de segurança, consulte Segurança de ponta a ponta no Azure.

Arquitetura

Carrege um arquivo Visio desta arquitetura.

O diagrama anterior demonstra uma implementação de segurança de linha de base típica. A arquitetura mostra como os serviços de segurança Azure funcionam juntos para proteger cargas de trabalho entre camadas de identidade, rede, dados e aplicativos. Para obter soluções reais que você pode criar em Azure, consulte Example solutions.

Saiba mais sobre segurança no Azure

Microsoft Learn fornece treinamento online gratuito para tecnologias de segurança Azure. A plataforma oferece vídeos, tutoriais e laboratórios interativos para produtos e serviços específicos, juntamente com roteiros de aprendizagem organizados por função de trabalho.

Os recursos a seguir fornecem conhecimento fundamental para implementações de segurança em Azure.

Security fundamentals: Os seguintes roteiros de aprendizagem abrangem os principais conceitos de segurança e os recursos de segurança do Azure:

• Introdução aos conceitos de segurança, conformidade e identidade
• Introdução ao Microsoft Entra
• Introdução às soluções de segurança da Microsoft

Segurança de rede: O seguinte roteiro de aprendizagem abrange segurança de rede virtual, segmentação de rede e conectividade segura:

• Configurar acesso seguro às suas cargas de trabalho usando Azure rede virtual

Proteção de dados: O seguinte roteiro de aprendizagem abrange criptografia, gerenciamento de chaves e segurança de aplicativo:

• Secure seus aplicativos de nuvem no Azure

Proteção contra ameaças: O seguinte roteiro de aprendizagem aborda detecção, investigação e resposta de ameaças:

• Mitigar ameaças usando o Microsoft Defender para Nuvem

Roteiros de aprendizagem por função

Microsoft Learn oferece caminhos de certificação baseados em função para profissionais de segurança:

• Microsoft Certified: Azure Security Engineer Associate (AZ-500)

  Observação

  A certificação AZ-500 será desativada em 31 de agosto de 2026. Verifique a página de certificação para obter as informações mais recentes.

• Microsoft Certified: Analista de Operações de Segurança Associado (SC-200)

• Microsoft Certified: Cybersecurity Architect Expert (SC-100)

Preparação organizacional

As organizações que iniciam a adoção da nuvem podem usar o Cloud Adoption Framework para o Azure para acessar diretrizes comprovadas que aceleram a adoção da nuvem. A metodologia Cloud Adoption Framework Secure fornece uma abordagem estruturada para proteger sua propriedade de nuvem Azure. Ele fornece diretrizes de segurança entre estratégia, planejamento, preparação, adoção, governança e operações.

A governança do Azure estabelece as ferramentas necessárias para dar suporte à governança de nuvem, à auditoria de conformidade e a proteções automatizadas. Para obter mais informações, consulte Diretrizes da área de design de governança do Azure.

Para ajudar a garantir a qualidade da sua solução de segurança no Azure, siga o Azure Well-Architected Framework. O Well-Architected Framework fornece diretrizes prescritivas para organizações que buscam excelência arquitetônica e descreve como projetar, provisionar e monitorar soluções de Azure com otimização de custo. Para obter mais informações, consulte o pilar de Segurança do Well-Architected Framework.

Para obter diretrizes específicas de segurança, consulte os seguintes guias de serviço do Well-Architected Framework:

• Firewall do Azure
• Gateway de Aplicativo do Azure
• Azure Front Door

Práticas recomendadas

Siga estas práticas recomendadas para melhorar a segurança, a confiabilidade, o desempenho e a qualidade operacional das cargas de trabalho de segurança no Azure:

• Princípios de design de segurança: princípios orientadores para ajudá-lo a projetar cargas de trabalho seguras no Azure, com base no modelo Confiança Zero e na tríade da CIA de confidencialidade, integridade e disponibilidade.

• Links rápidos de segurança: uma página de hub para o pilar Well-Architected Framework Security que fornece links para diretrizes de segurança, padrões de design e práticas recomendadas.

• Lista de verificação de revisão de design para Segurança: uma lista de verificação de recomendações para revisão de design de segurança que abrange identidade, rede, proteção de dados e governança.

• Firewall do Azure e Gateway de Aplicativo do Azure para redes virtuais: diretrizes para ajudá-lo a proteger cargas de trabalho de aplicativos Azure usando camadas de segurança de rede, autenticação e criptografia com Firewall do Azure e Gateway de Aplicativo do Azure.

• Implementar uma rede Confiança Zero para aplicativos Web usando Firewall do Azure e Gateway de Aplicativo do Azure: uma abordagem proativa e integrada à segurança em todas as camadas usando princípios de Confiança Zero e a criptografia e inspeção TLS de ponta a ponta.

• Microsoft Cloud Security Benchmark: práticas prescritivas recomendadas para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços em Azure e em ambientes multicloud.

Mantenha-se atualizado com a segurança

Os serviços de segurança do Azure evoluem para enfrentar os desafios de segurança modernos. Mantenha-se informado sobre as atualizações e os recursos mais recentes.

Para se manter atualizado com os principais serviços de segurança, consulte os seguintes artigos:

• Novidades no Microsoft Defender para a Cloud
• Comunicados e versões do Microsoft Entra
• O que há de novo para Azure Key Vault
• Novidades no Microsoft Sentinel
• O que há de novo no Firewall do Azure
• O que há de novo no Gateway de Aplicativo do Azure

Outros recursos

A categoria de segurança abrange uma variedade de soluções. Os recursos a seguir podem ajudá-lo a descobrir mais sobre Azure.

Soluções de exemplo

As seguintes soluções de arquitetura demonstram padrões de segurança e implementações em Azure:

• Acesso com segurança aprimorada a aplicativos web do Serviço de Aplicativo do Azure a partir de uma rede local
• Aplicativos web gerenciados com segurança
• Aplicativo Web de linha de base altamente disponível e redundante em zona
• Navegar por todas as arquiteturas de segurança

Documentação do produto

• Segurança de ponta a ponta no Azure: uma introdução aos serviços de segurança em Azure, organizados por recursos de proteção, detecção e resposta.

• Microsoft Arquiteturas de Referência de Segurança Cibernética: diagramas que descrevem como os recursos de segurança da Microsoft se integram a plataformas da Microsoft e de parceiros usando princípios Confiança Zero.

Híbrido e multinuvem

A maioria das organizações precisa de uma abordagem híbrida para a segurança porque suas cargas de trabalho, identidades e dados abrangem datacenters locais, Azure e outras plataformas de nuvem. As políticas de segurança, a detecção de ameaças e os controles de conformidade devem se estender por todos esses ambientes para evitar lacunas que os invasores podem explorar. As organizações normalmente expandem soluções de segurança locais para a nuvem e usam Azure Arc para projetar recursos não-Azure no plano de controle do Azure para governança centralizada. Para conectar ambientes, as organizações devem escolher uma arquitetura de rede híbrida.

Examine os seguintes principais cenários de segurança híbrida e multinuvem:

• Implementar uma rede híbrida segura: uma arquitetura de referência que estende uma rede local para Azure. Ele usa uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede protegida) e Firewall do Azure para controlar o tráfego de entrada e saída entre os ambientes locais e o Azure.

• Conectar uma rede local para Azure: uma comparação das opções de conectividade de rede híbrida, incluindo Gateway de VPN do Azure, Azure ExpressRoute e Azure ExpressRoute com failover de VPN, que estabelecem a base de rede segura para implantações híbridas.

• Design de arquitetura híbrida: uma página de hub para arquiteturas híbridas no Azure que abrange conectividade de rede híbrida, práticas recomendadas e arquiteturas de referência para executar cargas de trabalho em ambientes locais e no Azure.

• Design uma solução DNS híbrida usando Azure: uma arquitetura de referência que implementa uma solução DNS (Sistema de Nomes de Domínio) híbrida que resolve nomes para cargas de trabalho hospedadas localmente e em Azure. Essa arquitetura usa DNS do Azure Resolvedor Privado e Firewall do Azure.

• Implementar a adoção híbrida e multinuvem usando Azure Arc e Azure Landing Zones: Orientação para integrar servidores locais, clusters Kubernetes e serviços multinuvem ao plano de controle do Azure usando Azure Arc. Esta arquitetura utiliza o Microsoft Defender para Nuvem para habilitar a imposição centralizada de políticas, o monitoramento e a proteção contra ameaças.

• Integrate Azure e serviços de segurança Microsoft Defender XDR: uma ideia de solução que integra Microsoft Sentinel, Microsoft Defender para Nuvem e Microsoft Defender XDR para unificar o monitoramento de segurança e a resposta a ameaças em ambientes locais e de nuvem.

Gerenciamento de identidade e acesso

A identidade é o perímetro de segurança principal em ambientes de nuvem. Em Azure, o IAM centra-se em Microsoft Entra ID como o provedor de identidade baseado em nuvem. Acesso condicional do Microsoft Entra serve como o mecanismo de política Confiança Zero. As arquiteturas e guias a seguir abordam padrões de design de IAM para ambientes Azure e multinuvem:

• Integrar domínios Active Directory locais com o Microsoft Entra ID: uma arquitetura de referência que integra o Active Directory local com o Microsoft Entra ID para fornecer autenticação de identidade baseada em nuvem, incluindo Microsoft Entra Connect Sync, proxy de aplicativo Microsoft Entra e Acesso condicional do Microsoft Entra.

• Identity architecture design: uma página de hub para arquitetura de identidade em Azure que abrange roteiros de aprendizagem, opções de design, diretrizes de implementação e implementações de identidade de linha de base.

• Criar uma floresta de recursos de Active Directory Domain Services (AD DS) em Azure: uma arquitetura de referência que cria um domínio Active Directory separado no Azure em que os domínios na floresta do Active Directory local confiam.

• Deploy AD DS em uma rede virtual Azure: uma arquitetura de referência que estende um domínio Active Directory local para Azure para fornecer serviços de autenticação distribuída.

• Extend AD FS local para Azure: uma arquitetura de referência que implementa a autorização do AD FS (Serviços de Federação do Active Directory (AD FS)) em Azure como parte de uma rede híbrida segura.

Proteção contra ameaças

A proteção contra ameaças abrange as ferramentas, padrões e práticas que detectam, impedem e respondem a ameaças de segurança em cargas de trabalho Azure. Azure fornece proteção contra ameaças em camadas por meio de serviços como Microsoft Defender para Nuvem, Microsoft Sentinel e Microsoft Entra ID Protection. Esses serviços usam análise comportamental, aprendizado de máquina e inteligência contra ameaças para detectar ameaças em camadas de computação, armazenamento, rede, identidade e aplicativo.

As arquiteturas e guias a seguir abordam padrões de proteção contra ameaças em Azure:

• Multilayered protection for Azure virtual machine (VM) access: uma solução de defesa em profundidade que combina Microsoft Entra Privileged Identity Management (PIM), acesso JIT (just-in-time) a VMs no Microsoft Defender para Cloud, Azure Bastion e funções personalizadas do controle de acesso baseado em função (Azure RBAC) para minimizar a superfície de ataque do gerenciamento de VMs.

• Construa a primeira camada de defesa usando os serviços de segurança do Azure: uma ideia de solução que mapeia os recursos e tipos de ameaças usando a estrutura MITRE ATT&CK. Este artigo organiza Azure serviços de segurança por camadas de rede, infraestrutura, aplicativo, dados e identidade.

• Mapear ameaças ao seu ambiente de TI: diretrizes que ajudam você a diagramar seu ambiente de TI e criar um mapa de ameaças usando a estrutura MITRE ATT&CK. Ele abrange ambientes locais, Azure e Microsoft 365.

• Integrate Azure e serviços de segurança Microsoft Defender XDR: uma ideia de solução que demonstra como integrar Microsoft Sentinel, Microsoft Defender para Nuvem e Microsoft Defender XDR para monitoramento de segurança unificado e resposta a ameaças em ambientes locais e de nuvem.

• Microsoft Sentinel respostas automatizadas: uma proposta de solução que usa playbooks do Microsoft Sentinel e Aplicativos Lógicos do Azure para automatizar a resposta a ameaças, incluindo o bloqueio de usuários comprometidos e o isolamento de dispositivos finais.

• Aplicar princípios de Confiança Zero às VMs no Azure: Diretrizes passo a passo para aplicar os princípios de Confiança Zero às VMs no Azure, incluindo isolamento lógico, RBAC, inicialização segura, criptografia, acesso seguro usando o Azure Bastion e detecção avançada de ameaças usando o Microsoft Defender para Servidores.

• Azure proteção contra ameaças: uma visão geral dos serviços de proteção Azure contra ameaças, incluindo Microsoft Defender para Nuvem, Microsoft Sentinel, Microsoft Entra ID Protection, Microsoft Defender para Aplicativos de Nuvem e Firewall do Azure.

Profissionais do Amazon Web Services (AWS) ou do Google Cloud

Para ajudá-lo a começar rapidamente, os artigos a seguir comparam Azure opções de segurança com outros serviços de nuvem.

Comparação de serviço

• Compare AWS e soluções de gerenciamento de identidade Azure: uma comparação detalhada dos serviços de identidade do AWS e Azure, incluindo identidade principal, autenticação, controle de acesso, gerenciamento de acesso privilegiado e padrões de identidade do aplicativo.

• AWS para Azure comparação de serviços – Segurança, identidade e acesso: uma comparação dos serviços de segurança do AWS e Azure, incluindo IAM, criptografia, firewalls, detecção de ameaças, SIEM (gerenciamento de eventos e informações de segurança) e proteção contra DDoS.

• Google Cloud para Azure comparação de serviços – Segurança e identidade: uma comparação dos serviços de segurança do Google Cloud e Azure. Ele abrange autenticação, criptografia, gerenciamento de chaves, detecção de ameaças, SIEM, segurança de contêiner e prevenção contra perda de dados (DLP).

• Microsoft Entra gerenciamento de identidade e gerenciamento de acesso para AWS: diretrizes para implantar soluções de IAM Microsoft Entra para a AWS, incluindo SSO, MFA, Acesso condicional do Microsoft Entra e Microsoft Entra PIM para contas do AWS.

Diretrizes de migração

Se você estiver migrando de outra plataforma de nuvem, consulte os seguintes artigos:

• Migrate serviços de segurança da AWS: diretrizes para migrar os serviços de segurança do AWS para Azure, incluindo a migração do SIEM para Microsoft Sentinel e a migração de identidade do cliente para ID externa do Microsoft Entra.

• Gerenciar cargas de trabalho para Azure de outras plataformas de nuvem: uma visão geral do processo de migração de carga de trabalho de ponta a ponta da AWS e do Google Cloud para Azure, incluindo fases de planejamento, preparação e execução.