Comece com o design de arquitetura de segurança

A segurança é um dos aspetos mais importantes de qualquer arquitetura. Medidas de segurança eficazes protegem a confidencialidade, integridade e disponibilidade dos seus dados e sistemas contra ataques deliberados e abusos.

O Azure oferece muitas ferramentas e capacidades de segurança, incluindo os seguintes serviços-chave:

• Microsoft Defender para a Cloud fornece gestão da postura de segurança na cloud (CSPM) e proteção de cargas de trabalho na cloud (CWP). Avalia os seus recursos para conformidade de segurança, fornece uma pontuação segura para acompanhar a sua postura e oferece proteção contra ameaças em Azure, on-premises e cargas de trabalho multicloud.

• Microsoft Entra ID é o Microsoft serviço de gestão de identidade e acesso (IAM) baseado na cloud. Fornece login único (SSO), autenticação multifator (MFA) e acesso condicional para proteger contra ataques baseados em identidade.

• Azure Front Door é um ponto de entrada global para aplicações web. Fornece um firewall de aplicações web (WAF) incorporado para proteger contra exploits e vulnerabilidades comuns, proteção DDoS e terminação da Segurança da Camada de Transporte (TLS) na extremidade.

• Azure Firewall é um firewall de rede nativo na cloud que suporta filtragem baseada em inteligência de ameaças, deteção e prevenção de intrusões (IDPS) no nível Premium, inspeção TLS e regras baseadas em nomes de domínio totalmente qualificados (FQDN).

• Azure Key Vault fornece gestão centralizada de segredos, gestão de chaves e gestão de certificados. O nível Premium oferece chaves protegidas por módulos de segurança de hardware (HSM), validadas segundo as Normas Federais de Processamento de Informação (FIPS) 140-3 nível 3.

• Azure Private Link permite-lhe aceder a soluções Azure plataforma como serviço (PaaS) através de um endpoint privado na sua rede virtual. Esta abordagem mantém o tráfego na rede principal da Microsoft e elimina a exposição à internet pública.

• Gateway de Aplicação do Azure é um balanceador regional de tráfego web que inclui um WAF que protege contra as 10 principais vulnerabilidades do Open Worldwide Application Security Project (OWASP), mitigação de bots e regras personalizadas.

• Azure Policy permite-lhe aplicar normas organizacionais, avaliar a conformidade em larga escala e aplicar mecanismos de proteção que impedem configurações de recursos não conformes.

Para mais informações sobre ferramentas e capacidades de segurança Azure, consulte Segurança de ponta a ponta em Azure.

Arquitetura

Descarregue um ficheiro Visio desta arquitetura.

O diagrama anterior demonstra uma implementação típica de segurança de base. A arquitetura mostra como os serviços de segurança do Azure trabalham em conjunto para proteger cargas de trabalho entre as camadas de identidade, rede, dados e aplicação. Para soluções do mundo real que pode construir em Azure, veja Exemplos de soluções.

Aprenda sobre segurança no Azure

Microsoft Learn oferece formação online gratuita em tecnologias de segurança Azure. A plataforma oferece vídeos, tutoriais e laboratórios interativos para produtos e serviços específicos, juntamente com percursos de aprendizagem organizados por função profissional.

Os seguintes recursos fornecem conhecimento fundamental para implementações de segurança no Azure.

Fundamentos de segurança: Os seguintes percursos de aprendizagem abrangem conceitos centrais de segurança e Azure funcionalidades de segurança:

• Introdução aos conceitos de segurança, conformidade e identidade
• Introdução ao Microsoft Entra
• Introdução às soluções de segurança Microsoft

Segurança de rede: O seguinte percurso de aprendizagem abrange segurança virtual de rede, segmentação de rede e conectividade segura:

• Configure o acesso seguro às suas cargas de trabalho usando Azure rede virtual

Proteção de dados: O seguinte percurso de aprendizagem abrange encriptação, gestão de chaves e segurança de aplicações:

• Proteja as suas aplicações cloud em Azure

Proteção contra ameaças: O seguinte percurso de aprendizagem abrange a deteção, investigação e resposta de ameaças:

• Mitigar ameaças usando Microsoft Defender para a Cloud

Percursos de aprendizagem por função

A Microsoft Learn oferece percursos de certificação baseados em funções para profissionais de segurança:

• Microsoft Certificado: Associado de Engenheiro de Segurança Azure (AZ-500)

  Note

  A certificação AZ-500 será retirada a 31 de agosto de 2026. Consulte a página de certificação para as informações mais recentes.

• Microsoft Certificado: Analista de Operações de Segurança Associado (SC-200)

• Microsoft Certificado: Especialista em Arquiteto de Cibersegurança (SC-100)

Preparação organizativa

As organizações que iniciam a adoção da cloud podem usar o Cloud Adoption Framework para Azure para aceder a orientações comprovadas que aceleram a adoção da cloud. A metodologia Cloud Adoption Framework Secure oferece uma abordagem estruturada para proteger o seu património cloud Azure. Fornece orientação de segurança em estratégia, planeamento, prontidão, adoção, governação e operações.

A governança do Azure estabelece as ferramentas necessárias para dar suporte à governança de nuvem, auditoria de conformidade e guardrails automatizados. Para mais informações, consulte as orientações para a área de design de governação do Azure.

Para ajudar a garantir a qualidade da sua solução de segurança em Azure, siga o Framework Azure Well-Architected. O Well-Architected Framework fornece orientações prescritivas para organizações que procuram excelência arquitetónica e descreve como desenhar, fornecer e monitorizar soluções Azure otimizadas para custos. Para mais informações, consulte o pilar de Segurança do Well-Architected Framework.

Para orientações específicas de segurança, consulte os seguintes guias de serviço Well-Architected Framework:

• Azure Firewall
• Gateway de Aplicação do Azure
• Azure Front Door

Melhores práticas

Siga estas melhores práticas para melhorar a segurança, fiabilidade, desempenho e qualidade operacional das suas cargas de trabalho de segurança no Azure:

• Princípios de design de segurança: Princípios orientadores para ajudar a conceber cargas de trabalho seguras em Azure, baseadas no modelo Confiança Zero e na tríade da CIA de confidencialidade, integridade e disponibilidade.

• Links rápidos de segurança: Uma página central para o pilar de segurança Well-Architected Framework que fornece ligações para orientações de segurança, padrões de design e melhores práticas.

• Checklist de revisão de design para Segurança: Uma lista de recomendações para revisão de design de segurança que abrange identidade, redes, proteção de dados e governação.

• Azure Firewall e Gateway de Aplicação do Azure para redes virtuais: Orientações para ajudar a proteger cargas de trabalho Azure aplicações utilizando camadas de autenticação, encriptação e segurança de rede com Azure Firewall e Gateway de Aplicação do Azure.

• Implementar uma rede Confiança Zero para aplicações web utilizando Azure Firewall e Gateway de Aplicação do Azure: Uma abordagem proativa e integrada à segurança em todas as camadas, utilizando princípios Confiança Zero e encriptação e inspeção TLS de ponta a ponta.

• Microsoft Cloud Security Benchmark: Melhores práticas prescritivas e recomendações para ajudar a melhorar a segurança de cargas de trabalho, dados e serviços em ambientes Azure e multicloud.

Mantenha-se atualizado sobre segurança

Os serviços de segurança do Azure evoluem para responder aos desafios modernos de segurança. Mantenha-se informado sobre as últimas atualizações e funcionalidades.

Para se manter atualizado com os principais serviços de segurança, consulte os seguintes artigos:

• Novidades no Microsoft Defender para a Cloud
• Lançamentos e anúncios do Microsoft Entra
• O que há de novo para Azure Key Vault
• O que há de novo no Microsoft Sentinel
• O que há de novo em Azure Firewall
• O que há de novo em Gateway de Aplicação do Azure

Outros recursos

A categoria de segurança abrange uma variedade de soluções. Os seguintes recursos podem ajudá-lo a descobrir mais sobre a Azure.

Exemplos de soluções

As seguintes soluções de arquitetura demonstram padrões de segurança e implementações no Azure:

• Acesso com segurança melhorada a aplicações web do Serviço de Aplicações do Azure a partir de uma rede on-premises
• Aplicações Web geridas com segurança
• Aplicação web básica, altamente disponível e com redundância de zona
• Navegue por todas as arquiteturas de segurança

Documentação do produto

• Segurança de ponta a ponta em Azure: Uma introdução aos serviços de segurança em Azure, organizada por capacidades de proteção, deteção e resposta.

• Microsoft Arquiteturas de Referência em Cibersegurança: Diagramas que descrevem como as capacidades de segurança Microsoft se integram com plataformas Microsoft e plataformas parceiras utilizando princípios Confiança Zero.

Híbrido e multicloud

A maioria das organizações necessita de uma abordagem híbrida à segurança porque as suas cargas de trabalho, identidades e dados abrangem datacenters on-premises, Azure e outras plataformas cloud. As políticas de segurança, a deteção de ameaças e os controlos de conformidade devem abranger-se em todos estes ambientes para evitar lacunas que os atacantes possam explorar. As organizações normalmente estendem soluções de segurança no local para a cloud e utilizam Azure Arc para projetar recursos não-Azure no plano de controlo do Azure para a governação centralizada. Para conectar ambientes, as organizações devem escolher uma arquitetura de rede híbrida.

Analise os seguintes cenários chave de segurança híbrida e multicloud:

• Implementar uma rede híbrida segura: Uma arquitetura de referência que estende uma rede local até Azure. Utiliza uma rede perimetral (também conhecida como DMZ, zona desmilitarizada e sub-rede protegida) e Azure Firewall para controlar o tráfego de entrada e saída entre ambientes locais e Azure.

• Ligar uma rede local a Azure: Uma comparação das opções de conectividade de rede híbrida, incluindo Gateway de VPN do Azure, Azure ExpressRoute e Azure ExpressRoute com failover VPN, que estabelece a base de rede segura para implementações híbridas.

• Hybrid architecture design: Uma página hub para arquiteturas híbridas em Azure que cobre conectividade de rede híbrida, boas práticas e arquiteturas de referência para executar cargas de trabalho em ambientes on-premises e Azure.

• Projete uma solução DNS híbrida utilizando Azure: Uma arquitetura de referência que implementa uma solução híbrida de Sistema de Nomes de Domínio (DNS) que resolve nomes de cargas de trabalho alojadas localmente e em Azure. Esta arquitetura utiliza o DNS do Azure Private Resolver e o Azure Firewall.

• Implementar a adoção híbrida e multicloud utilizando zonas de aterragem Azure Arc e Azure: Orientação para integrar servidores on-premises, clusters Kubernetes e serviços multicloud no plano de controlo Azure usando Azure Arc. Esta arquitetura utiliza o Microsoft Defender para a Cloud para permitir a aplicação centralizada de políticas, monitorização e proteção contra ameaças.

• Integrar os serviços de segurança do Azure e do Microsoft Defender XDR: Uma ideia de solução que integra o Microsoft Sentinel, o Microsoft Defender para a Cloud e o Microsoft Defender XDR para unificar a monitorização de segurança e a resposta a ameaças em ambientes on-premises e cloud.

Gestão de identidades e acessos

A identidade é o principal perímetro de segurança em ambientes cloud. No Azure, o IAM centra-se no Microsoft Entra ID como fornecedor de identidade baseado na cloud. O Acesso Condicional do Microsoft Entra serve como o motor de políticas Confiança Zero. As seguintes arquiteturas e guias abordam padrões de design IAM para ambientes Azure e multicloud:

• Integrar domínios do Active Directory on-premises com o Microsoft Entra ID: Uma arquitetura de referência que integra o Active Directory on-premises com o Microsoft Entra ID para fornecer autenticação de identidade baseada na cloud, incluindo o Microsoft Entra Connect Sync, o proxy de aplicação do Microsoft Entra e o Acesso Condicional do Microsoft Entra.

• Design da arquitetura de identidade: Uma página hub para arquitetura de identidade em Azure que cobre caminhos de aprendizagem, opções de design, orientações de implementação e implementações de identidade base.

• Criar uma floresta de recursos do Active Directory Domain Services (AD DS) no Azure: Uma arquitetura de referência que cria um domínio do Active Directory separado no Azure, que é confiável pelas florestas on-premises do Active Directory.

• Deploy AD DS numa rede virtual Azure: Uma arquitetura de referência que estende um domínio Active Directory no local para Azure fornecer serviços de autenticação distribuída.

• Extend on-premises AD FS para Azure: Uma arquitetura de referência que implementa a autorização Serviços de Federação do Active Directory (AD FS) (AD FS) em Azure como parte de uma rede híbrida segura.

Proteção contra ameaças

A proteção contra ameaças abrange as ferramentas, padrões e práticas que detetam, previnem e respondem a ameaças de segurança em cargas de trabalho do Azure. O Azure oferece proteção contra ameaças em camadas através de serviços como Microsoft Defender para a Cloud, Microsoft Sentinel e Microsoft Entra ID Protection. Estes serviços utilizam análise comportamental, aprendizagem automática e inteligência de ameaças para detetar ameaças nas camadas de computação, armazenamento, redes, identidade e aplicação.

As seguintes arquiteturas e guias abordam padrões de proteção contra ameaças no Azure:

• Proteção Multicamadas para o acesso a máquinas virtuais (VM) do Azure: Uma solução de defesa em profundidade que combina Microsoft Entra Privileged Identity Management (PIM), acesso à VM just-in-time (JIT) no Microsoft Defender para a Cloud, Azure Bastion e funções personalizadas de controle de acesso baseado em função do Azure (Azure RBAC) para minimizar a superfície de ataque na gestão de VMs.

• Construa a primeira camada de defesa utilizando os serviços de segurança Azure: Uma ideia de solução que mapeia os serviços de segurança Azure para recursos e tipos de ameaça, utilizando a estrutura ATT&CK do MITRE. Este artigo organiza os serviços de segurança do Azure por camadas de rede, infraestrutura, aplicação, dados e identidade.

• Mapeie ameaças para o seu ambiente de TI: Orientações que o ajudam a diagramar o seu ambiente de TI e criar um mapa de ameaças utilizando o framework MITRE ATT&CK. Abrange ambientes on-premises, Azure e Microsoft 365.

• Integrar Azure e Microsoft Defender XDR serviços de segurança: Uma ideia de solução que demonstra como integrar Microsoft Sentinel, Microsoft Defender para a Cloud e Microsoft Defender XDR para monitorização unificada de segurança e resposta a ameaças em ambientes on-premises e cloud.

• Microsoft Sentinel respostas automatizadas: Uma ideia de solução que utiliza Microsoft Sentinel playbooks e Azure Logic Apps para automatizar a resposta a ameaças, incluindo o bloqueio de utilizadores comprometidos e o isolamento de endpoints.

• Aplicar princípios de Confiança Zero a VMs em Azure: Orientação passo a passo para aplicar princípios de Confiança Zero a VMs Azure, incluindo isolamento lógico, RBAC, arranque seguro, encriptação, acesso seguro usando Azure Bastion e deteção avançada de ameaças usando Microsoft Defender para Servidores.

• Azure proteção contra ameaças: Uma visão geral dos serviços de proteção contra ameaças Azure, incluindo Microsoft Defender para a Cloud, Microsoft Sentinel, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps e Azure Firewall.

Profissionais da Amazon Web Services (AWS) ou Google Cloud

Para o ajudar a começar rapidamente, os artigos seguintes comparam as opções de segurança do Azure com outros serviços cloud.

Comparação de serviços

• Compare as soluções AWS e Azure de gestão de identidade: Uma comparação detalhada dos serviços de identidade AWS e Azure, incluindo identidade central, autenticação, controlo de acessos, gestão de acessos privilegiados e padrões de identidade de aplicação.

• Comparação de serviços AWS para Azure - Segurança, identidade e acesso: Comparação dos serviços de segurança AWS e Azure, incluindo IAM, encriptação, firewalls, deteção de ameaças, gestão de informação e eventos de segurança (SIEM) e proteção DDoS.

• Comparação de serviços do Google Cloud com os do Azure - Segurança e identidade: Uma comparação entre os serviços de segurança e identidade do Google Cloud e do Azure. Abrange autenticação, encriptação, gestão de chaves, deteção de ameaças, SIEM, segurança de contentores e prevenção de perda de dados (DLP).

• Microsoft Entra gestão de identidade e gestão de acessos para AWS: Orientação para implementar soluções Microsoft Entra IAM para AWS, incluindo SSO, MFA, Acesso Condicional do Microsoft Entra e Microsoft Entra PIM para contas AWS.

Orientações em matéria de migração

Se estiver a migrar de outra plataforma cloud, consulte os seguintes artigos:

• Migrar serviços de segurança da AWS: Orientações para migrar serviços de segurança AWS para Azure, incluindo migração de SIEM para Microsoft Sentinel e migração de identidade do cliente para ID externo Microsoft Entra.

• Migrar cargas de trabalho para Azure de outras plataformas cloud: Uma visão geral do processo de migração de cargas de trabalho de ponta a ponta da AWS e Google Cloud para Azure, incluindo fases de planeamento, preparação e execução.