 Segurança, responsabilidade e confiança no Azure

Os Hubs de Eventos do Azure permitem receber e processar milhões de eventos de dados em

tempo real a cada segundo por meio de pipelines de dados dinâmicos. Os Hubs de Eventos
também integram-se perfeitamente a outros serviços do Azure.

Central de Segurança do Azure

é um serviço de monitoramento que fornece proteção contra ameaças em todos os serviços
no Azure e localmente. A Central de Segurança pode:

 Fornecer recomendações de segurança com base nas configurações, nos recursos

e nas redes.
 Monitorar as configurações de segurança entre as cargas de trabalho locais e de
nuvem e aplicar automaticamente a segurança necessária aos novos serviços
conforme eles são colocados online.
 Monitorar todos os serviços continuamente e realizar avaliações de segurança
automáticas para identificar possíveis vulnerabilidades antes que elas possam ser
exploradas.
 Usar o aprendizado de máquina para detectar e bloquear a instalação de malware
em suas máquinas virtuais e serviços. Você também pode definir uma lista de
aplicativos permitidos para garantir que apenas os aplicativos validados tenham
permissão para serem executados.
 Analisar e identificar possíveis ataques de entrada e ajudar a investigar ameaças
e qualquer atividade pós-violação que possa ter ocorrido.
 Forneça controle de acesso just-in-time às portas, reduzindo a superfície de
ataque, garantindo que a rede só permita o tráfego necessário.

Autenticação e autorização

 Autenticação é o processo de estabelecer a identidade de uma pessoa ou serviço

que busca acessar um recurso. Envolve o ato de solicitar credenciais legítimas de
alguém e fornece a base para criar uma entidade de segurança para uso de
controle de acesso e identidade. Estabelece se a pessoa ou serviço é quem afirma
ser.
 Autorização é o processo de estabelecer que nível de acesso uma pessoa ou
serviço autenticado tem. Especifica quais dados podem ser acessados e que a
pessoa ou serviço pode fazer com eles.
O que é o Azure Active Directory?

O Azure AD é um serviço de identidade baseado em nuvem. Ele tem suporte interno

para sincronização com o Azure Active Directory local existente ou pode ser usado de
forma autônoma.

Privileged Identity Management

Além de gerenciar o acesso aos recursos do Azure com o RBAC (controle de acesso
baseado em função), uma abordagem abrangente da proteção da infraestrutura deve
considerar a inclusão de auditorias contínuas dos membros da função, a fim de
acompanhar as mudanças e evoluções da organização. O Azure AD PIM (Privileged
Identity Management) é uma oferta paga adicional que oferece a supervisão de
atribuições de função, autoatendimento, ativação de função Just-In-Time e revisões de
acesso aos recursos do Azure AD e do Azure.

Criptografia no Azure

Vamos examinar algumas maneiras em que o Azure permite criptografar dados nos
serviços.

Criptografar o armazenamento bruto

A Criptografia do Serviço de Armazenamento do Azure para dados em repouso

ajuda a proteger os dados para atender aos compromissos de segurança e conformidade
organizacionais. Com esse recurso, a plataforma de armazenamento do Azure
criptografa automaticamente os dados antes de persisti-los no Azure Managed Disks, no
Armazenamento de Blobs, de Arquivos ou de Filas do Azure e descriptografa os dados
antes da recuperação. A manipulação de criptografia, criptografia em repouso,
descriptografia e gerenciamento de chaves na Criptografia do Serviço de
Armazenamento é transparente para aplicativos que usam os serviços.
Criptografar discos de máquina virtual

A Criptografia do Serviço de Armazenamento fornece proteção de criptografia de baixo

nível para os dados gravados no disco físico, mas como os VHDs (discos rígidos
virtuais) de máquinas virtuais são protegidos? E se invasores mal-intencionados
obtiverem acesso à sua assinatura do Azure e obtiverem VHDs das máquinas virtuais,
como você garantirá que eles não conseguirão acessar os dados armazenados?

A Azure Disk Encryption é uma funcionalidade que ajuda a criptografar seus discos de
máquina virtual de IaaS do Windows e do Linux. A Azure Disk Encryption utiliza o
recurso padrão do setor BitLocker do Windows e o recurso dm-crypt do Linux para
fornecer criptografia de volume para o sistema operacional e os discos de dados. A
solução é integrada ao Azure Key Vault para ajudar você a controlar e gerenciar os
segredos e as chaves de criptografia de disco (e você pode usar as Identidades de
Serviço Gerenciadas para acessar o Key Vault).

Para a Contoso Shipping, o uso de VMs foi um de seus primeiros passo em direção à
nuvem. Criptografar todos os VHDs é um modo fácil e de baixo impacto de garantir que
você esteja fazendo tudo que está ao seu alcance para proteger os dados da sua empresa.
Criptografar bancos de dados

A TDE (Transparent Data Encryption) ajuda a proteger o Banco de Dados SQL do

Azure e o Data Warehouse do Azure contra a ameaça de atividades mal-intencionadas.
Ela realiza a criptografia e a descriptografia em tempo real do banco de dados, de
backups associados e de arquivos de log de transações em repouso, sem a necessidade
de alterações no aplicativo. Por padrão, a TDE está habilitada para toda as instâncias de
Banco de Dados SQL do Azure recém-implantadas.

A TDE criptografa o armazenamento de um banco de dados inteiro usando uma chave

simétrica chamada de chave de criptografia de banco de dados. Por padrão, o Azure
fornece uma chave de criptografia única por instância lógica do SQL Server e cuida de
todos os detalhes. O BYOK (Bring Your Own Key) também é compatível com as
chaves armazenadas no Azure Key Vault (veja a seguir).

Como a TDE está habilitada por padrão, tenha certeza de que a Contoso Shipping tem
as proteções adequadas em vigor para dados armazenados nos bancos de dados da
empresa.
Criptografar segredos

Vimos que todos os serviços de criptografia usam chaves para criptografar e

descriptografar dados. Portanto, como garantiremos que as chaves em si estarão
seguras? As empresas também podem ter senhas, cadeias de conexão ou outras
informações confidenciais que precisam armazenar com segurança. No Azure, podemos
usar o Azure Key Vault para proteger nossos segredos.

O Azure Key Vault é um serviço de nuvem centralizado para armazenar seus segredos
do aplicativo. O Key Vault ajuda você a controlar os segredos de seus aplicativos
mantendo-os em uma única localização central e fornecendo funcionalidades de acesso
seguro, controle de permissões e registro de acesso em log. É útil para uma variedade de
cenários:

 Gerenciamento de segredos. Você pode usar o Key Vault para armazenar com
segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de
API (Application Programming Interface) e outros segredos.
 Gerenciamento de chaves. Você também pode usar o Key Vault como uma solução de
gerenciamento de chaves. O Key Vault facilita a criação e o controle das chaves de
criptografia usadas para criptografar seus dados.
 Gerenciamento de certificado. O Key Vault permite provisionar, gerenciar e implantar
seus certificados SSL/TLS (Secure Sockets Layer/Transport Layer Security) públicos e
privados para o Azure e recursos conectados internamente com mais facilidade.
 Armazenar segredos apoiados por HSMs (Módulos de Segurança de Hardware). As
chaves e os segredos podem ser protegidos por software ou HSMs validados por FIPS
140-2 Nível 2.

Os benefícios de usar o Key Vault incluem:

 Segredos do aplicativo centralizado. Centralizar o armazenamento de segredos do

aplicativo permite que você controle sua distribuição e reduz as chances de vazamento
acidental de segredos.
 Armazene segredos e chaves com segurança. O Azure usa algoritmos, comprimentos
de chave e HSMs padrão do setor, e o acesso requer as devidas autenticações e
autorizações.
 Monitorar o acesso e o uso. Usando o Key Vault, você pode monitorar e controlar o
acesso aos segredos da empresa.
 Administração simplificada de segredos do aplicativo. Com o Key Vault é mais fácil
registrar e renovar certificados de ACs (Autoridades de Certificação) públicas. Você
também pode aumentar e replicar o conteúdo dentro de regiões e usar as ferramentas
de gerenciamento de certificado padrão.
 Integração a outros serviços do Azure. Você pode integrar o Key Vault a contas de
armazenamento, registros de contêiner, hubs de eventos e muitos outros serviços do
Azure.

Como as identidades do Azure AD podem recebem o acesso para usar os segredos do

Azure Key Vault, os aplicativos com as identidades de serviço gerenciadas habilitadas
podem adquirir de maneira automática e contínua os segredos de que precisam.
Tipos de certificados

Os certificados são usados no Azure para duas finalidades principais e recebem uma
designação específica com base no uso pretendido.

1. Certificados de serviço são usados para serviços de nuvem

2. Certificados de gerenciamento são usados para autenticação com a API de
gerenciamento