Soluções de Segurança, Governança, Compliance e

Migração no Azure

Rafael Alves Amaral

2022
Soluções de Segurança, Governança, Compliance e
Migração no Azure
Rafael Alves Amaral
© Copyright do Instituto de Gestão e Tecnologia da Informação.
Todos os direitos reservados.

2
Sumário

Sumário ................................................................................................. 3

Capítulo 1. Identidade, Autenticação e Controle de Acesso ............... 6

Azure Active Directory ........................................................................ 6

Autenticação Multifator e SSO ......................................................... 15

Azure Role Based Access Control ................................................... 21

Capítulo 2. Governança de nuvem no Azure..................................... 27

Estratégia de Governança de Assinaturas (Management Group) .... 27

Azure Tags ....................................................................................... 27

Resource Locks ................................................................................ 29

Azure Policy ..................................................................................... 31

Azure Blueprints ............................................................................... 37

Capítulo 3. Segurança de Rede na Nuvem ....................................... 39

Network Security Group (NSG) ........................................................ 39

Azure Firewall ................................................................................... 46

DDOS Protection .............................................................................. 47

Azure Backup ................................................................................... 47

Azure Dedicated Host....................................................................... 49

Capítulo 4. Azure Key Vault .............................................................. 50

Chaves de Criptografia (Keys) ......................................................... 50

Criptografia de Disco ........................................................................ 50

3
 Segredos (Secrets) .......................................................................... 52

Certificados Digitais .......................................................................... 53

Capítulo 5. Defesa em Profundidade, Security Center e Sentinel ..... 54

Conditional Access ........................................................................... 55

Identity Protection ............................................................................. 57

Microsoft Defender for Cloud (antigo Security Center) ..................... 59

Azure Sentinel .................................................................................. 62

Capítulo 6. Azure Monitor .................................................................. 65

Log Analytics Workspace ................................................................. 65

Application Insights .......................................................................... 68

Azure Alerts ...................................................................................... 69

Capítulo 7. Status de Serviço, Advisor e Compliance ....................... 71

Azure Advisor ................................................................................... 71

Azure Service Health ........................................................................ 71

Compliance no Azure ....................................................................... 72

Capítulo 8. Migração – Estratégias e Ferramentas Nativas .............. 75

Estratégias de Migração ................................................................... 75

Azure Migrate ................................................................................... 76

Azure Database Migration Service ................................................... 80

Azure App Service Migration Assistant............................................. 81

Capítulo 9. Azure Cloud Adoption Framework .................................. 84

4
 Azure Cloud Adoption Framework .................................................... 84

Referências ......................................................................................... 87

5
Capítulo 1. Identidade, Autenticação e Controle de Acesso

Neste capítulo, vamos entender como funciona o sistema gestor de identidade

da Microsoft, o Azure Active Directory, além de como criar usuários, habilitar a
autenticação multifator e controlar os acessos aos recursos da sua assinatura do Azure.

Azure Active Directory

Figura 1 – Azure Active Directory

Fonte: https://azure.microsoft.com/pt-br/services/active-directory

Como informado anteriormente, o Azure AD (utilizaremos essa sigla para

falar sobre o Azure Active Directory) é um sistema provedor de identidade que tem a
sua finalidade principal autenticar e autorizar os objetos armazenados (usuários, grupos
e aplicativos) em determinados aplicativos ou serviço do Microsoft Azure, todo o
ecossistema Microsoft (Microsoft 365, Dynamics, Power Bi etc.) e Aplicativos e sites
externos.

6
 Apesar do nome, ele não é uma versão Cloud do Active Directory local
(um dos serviços fornecidos pelo Windows Server), possui as suas características
próprias e a mais notável delas é que ele já trabalha com protocolos de autenticação
mais modernos como OpenID Connect e o OAUTH 2.0.

O Azure AD possui algumas versões, sendo que duas são gratuitas para até 5000
usuários e duas versões pagas, tendo como características principais não só o aumento
de limite de usuários, como também liberam funções de segurança muito importantes
para o dia a dia de uma empresa como acesso condicional e administração dinâmica de
grupos. Vamos entender um pouco mais sobre essas versões:

• Azure AD Gratuíto e Azure AD para Office 365

‒ Um desses dois produtos já são ativados automaticamente, dependendo

de como você ativou o seu Tenant¹ dentro da Microsoft. Apesar de
gratuíto, ele já vem configurado com os padrões de segurança da
Microsoft como exigência de autenticação de multifator para
administradores e bloqueio de acesso ao ambiente por protocolos de
autenticação legados, porém não permite editar diversos desses
padrões.

• Azure AD Premium P1

‒ Além dos padrões de segurança citados acima (que agora são editáveis
de acordo com a necessidade da empresa), são adicionados a essa
assinatura mais alguns tipos configurações relacionados a segurança de
usuários e acessos, como acesso condicional (onde você pode determinar
se um usuário ou um grupo de usuários pode realizar o acesso ao Azure
AD ou aplicativos conectados dependento do dispositivo, localização e
até pelo software que ele está usando para fazer o acesso por exemplo)
Proteção de Identidade e Configurações de MFA (autenticação de
Multifator) avançadas.

• Azure AD Premium P2

‒ Esse licenciamento inclui tudo o que a licença P1 possui e adiciona

funcionalidades do Privileged Identity Management (PIM – sistema de

7
 liberação de acessos que conta até com aprovação e limita o tempo do
acesso) e proteção de identidade avançada.

¹ Um Tenant representa uma organização. É uma instância dedicada do Azure AD que

um desenvolvedor de aplicativos ou uma organização recebe no início de um
relacionamento com a Microsoft. Esse relacionamento pode começar com a inscrição
no Azure, no Microsoft Intune ou no Microsoft 365, por exemplo (MICROSOFT, 2022).

Para acessar o Azure Active Directory, temos duas opções, sendo:

• Por meio do portal do Azure, acessando o Portal Azure

(https://portal.azure.com), entrando com o nosso usuário administrador,
localizando o serviço na barra de busca e clicando no nome dele:

Fonte: https://portal.azure.com

• Acessando o site: https://aad.portal.azure.com e, em seguida, clicando no

nome do seu diretório no primeiro box:

8
 Fonte: https://aad.portal.azure.com

Vamos, agora, entender como criar usuários dentro do Azure AD. Após acessá-
lo, basta clicar em usuários do lado esquerdo da tela:

Fonte: https://aad.portal.azure.com

Existem dois tipos de usuários que podemos criar dentro do Azure AD, sendo:

• Usuário da Organização

‒ Esse usuário terá o nome de usuário com um domínio pertencente a sua

organização, por exemplo usuario@seudominio.com e é considerado um
usuário local do Azure AD.

Para criar um usuário desse tipo, basta clicar em “+ novo usuário”:

9
 Fonte: https://aad.portal.azure.com

Dentro da Blade (nome usado para as telas que o portal do azure carrega para
cada recurso que você acessa,) você terá diversas informações para preencher, sendo
algumas obrigatórias. Vamos entender cada bloco dessa parte:

1. Devemos preencher nessa parte o UPN (user principal name) do novo usuário,
que basicamente é o login do usuário no ambiente, neste exemplo será
usuario@dominio.com.

2. Informações básicas como Nome (esse será o nome de exibição desse usuário),
primeiro nome e Sobrenome.

10
 Nesse bloco, temos a opção de gerar automaticamente a nossa senha (o padrão
será sempre o de 8 caracteres, o primeiro maiúsculo, quatro letras aleatórias, sendo
uma consoante, uma vogal, uma consoante, uma vogal e quatro numeros aleatórios) ou
nós podemos criar uma senha inicial para o usuário. Independentemente do que
escolhermos, o usuário terá que alterar a senha no primeiro login (temos que lembrar
do conceito que a senha é algo pessoal).

Aqui, podemos adicionar o usuário a um grupo existente e/ou adicionar

também alguma função administrativa do Azure AD a esse usuário (essa permissão é
apenas para o Azure AD, não tendo relação com permissões de recursos ou assinaturas
do Azure, vamos entender melhor essa diferença ao final desse capítulo).

Temos aqui a opção de criar um usuário com o acesso bloqueado (vamos

imaginar que foi solicitado a você que crie o usuário que vai começar na segunda-feira

11
no meio da semana, por segurança você pode criar o usuário com acesso bloqueado e
liberar apenas quando ele for, de fato, iniciar o trabalho na sua empresa). Temos
também uma informação muito importante que é o local (país) em que o usuário irá
trabalhar. Dependendo de onde o usuário estiver, algumas ferramentas do Microsoft
365 podem não estar disponíveis, por exemplo.

Nesse último bloco preenchemos informações corporativas do usuário como

Cargo, Departamento e nome da empresa, além de podermos apontar quem é o
Gerente desse usuário (informação que pode ser usada em fluxos de aprovação
futuramente).

• Usuário Convidado

‒ Você pode convidar pessoas de organizações externas usando um

recurso nativo chamado Azure B2B (business-to-business), ou seja, a
pessoa utilizará o e-mail dela (gmail.com por exemplo) para acessar o
seus recursos do Azure (maquinas virtuais por exemplo) ou colaborar no
seu Azure AD.

Para criar um usuário desse tipo basta clicar em “+ novo usuário convidado”:

12
 Dentro da Blade que irá abrir, podemos notear algumas diferenças e
semelhanças entre a criação de usuário e a convidar usuário. Vamos entender os blocos:

Devemos preencher o nome de exibição (Nome), o e-mail da pessoa que iremos

convidar a colaborar em nossa organização, o primeiro nome e sobrenome da pessoa.

13
 Podemos deixar uma mensagem adicional para a pessoa (ao finalizarmos o
processo e clicarmos no botão “convidar”, a pessoa irá receber um e-mail com um link
para colaborar no nosso azure ad, e dentro do corpo desse e-mail, será exibida essa
mensagem).

14
 O restante das informações são iguais a da criação de usuários, basta preenche-
las como informado anteriormente e clicar, ao finalizar, em “Convidar”. A pessoa
receberá um e-mail com um link aonde, basta ela clicar que terá o acesso configurado a
ela dentro do nosso Azure AD com o e-mail que ela utiliza.

Após criar ou convidar o usuário, basta clicar no nome dele e você poderá
facilmente adicionar permissões, alterar informações, adicionar a um grupo, alterar sua
senha ou revogar o seu acesso.

Autenticação Multifator e SSO

Como já é de conhecimento geral, foi mais do que provado que hoje em dia,
um usuário, usar para se logar em algum sistema online utilizando apenas a senha é
totalmente inseguro. Pensando nisso, a Microsoft oferece um sistema robusto de
autenticação de multifator, mas o que isso significa?

15
 Autenticação Multifator (MFA) é um termo utilizado para dizer que a
autenticação deve ser feita de mais alguma forma além da senha como por exemplo
usando código enviado via SMS para o seu celular, algum aplicativo adicional ou um
certificado digital.

Já nas versões gratúitas do Azure Active Directory, a Microsoft libera o uso de

MFA por meio do security defaults (padrões de segurança do Azure), porém as
configurações são um pouco limitadas. Para ter a experiência completa referente a MFA,
você deve ter o Azure AD Premium P1 ou P2.

Vamos entender melhor o funcionamento de MFA dentro do Azure Ad, dentro

dele vamos em usuários e vamos clicar em seguida clicar em “MFA por usuário”:

No painel que irá abrir, vamos selecionar o usuário que iremos ativar o MFA e
clicar em Habilitar:

16
 Abrirá um alerta e, nele, basta clicar em “habilitar o multi-factor auth”:

Quando o usuário que foi habilitado realizar o Sign-in da proxima vez, será
solicitado a ele mais informações para prosseguir, então ele deve clicar em Avançar:

17
 Fonte: https://login.microsoftonline.com/common/login

Na primeira etapa, ele deve selecionar a forma de autenticação, sendo:

• Telefone de Autenticação: Método pode ser tanto um SMS quanto uma

ligação.

• Telefone Comercial: Ele fará uma ligação e é possivel colocar o número do

seu ramal.

• Aplicativo Movel: Você pode utilizar o Aplicativo Microsoft Autenticator

(disponível tanto para Android como para IOS) para realizar a autenticação.

Neste exemplo, vou utilizar o autenticator:

Fonte: https://account.activedirectory.windowsazure.com/proofup.aspx

18
 Ele fornece as instruções necessárias para a configuração na tela que segue:

Após cadastrar no celular, basta clicar avançar e, em seguida, basta aprovar, no

celular, o teste que será enviado:

Por segurança, ele solicita uma configuração adicional para caso você perca
acesso ao aplicativo, basta colocar o seu telefone e clicar em avançar:

19
 Na etapa 4, será gerada uma “senha de aplicativo”, que será usada para colocar
em aplicativos ou programas que não aceitam MFA. Caso você não utilize nenhum
software que não aceite MFA basta clicar em concluido:

Nas proximas vezes em que o usuário for entrar, será solicitado o MFA primário
que foi criado:

20
Azure Role Based Access Control

Nesta seção, iremos aprender sobre as Funções de usuário no Azure AD e sobre

o controle de acesso baseado em função (RBAC) que são, basicamente, os dois tipos
principais de permissão dentro do Azure.

• Azure AD Roles

Funções atribuídas ou Azure AD Roles são as permissões dadas ao usuário

baseadas em funções, que são atribuídas especificamente para o Azure AD e não afetam
nenhuma permissão relacionada à assinatura ou a recursos de computação do Azure,
como VM’s por exemplo. Para acessá-las e entender melhor sobre, basta acessar o Azure
AD, selecionar um usuário e clicar em “Funções atribuídas”:

21
 Serão exibidas então as funções atribuídas ao usuário, caso não tenha
nenhuma, basca clica em “+ Adicionar atribuições”:

Serão exibidas as funções que você pode atribuir ao usuário, (lembrando que,
para adicionar uma função ao usuário, você deve ser administrador). Vamos entender
quais são as principais:

‒ Administrador Global: Pode gerenciar todos os aspectos do Azure AD e

dos serviços da Microsoft que usam identidades do Azure AD.

‒ Administrador de Cobrança: Pode executar tarefas comuns relacionadas

à cobrança, como atualizar informações de pagamento.

‒ Administrador de Segurança: Pode ler relatórios e informações de

segurança, além de gerenciar a configuração no Azure AD e no Office 365.

22
 ‒ Administrador de usuários: Pode gerenciar todos os aspectos de usuários
e grupos, incluindo a redefinição de senhas para administradores
limitados.

• RBAC – Role Based Access Control

O controle de acesso baseado em função (RBAC) é responsável por dar as

permissões nas assinaturas e recursos do Azure, e funcionam paralelas às permissões
do Azure AD. Para entender melhor como elas funcionam, vamos entender a estrutura
do azure:

Fonte:https://docs.microsoft.com/en-us/azure/role-based-access-
control/media/shared/rbac-scope.png

A estrutura do Azure é baseada no conceito de herança, ou seja, quando

uma permissão é dada a um recurso que esteja acima, a permissão é passada para todos
os recursos abaixo. Como podemos observar no diagrama acima, o objeto “pai” é o
Management Group, se dermos alguma permissão ao usuário, ela será replicada a todos
os objetos abaixo dela. O mesmo conceito se aplica às assinaturas, grupos de recursos
e, por último, nos recursos.

Sobre as permissões, todos os recursos do Azure possuem uma blade

específica para as permissões chamada “IAM (Controle de acesso)”:

23
 Vamos entender um pouco mais sobre essa blade tão importante:

Podemos observar na parte superior algumas abas, vamos entender as

mais importantes:

- Verificar acesso: Podemos clicar em “Exibir meu acesso” para verificar as

funções atribuídas ao seu usuário.

24
 - Atribuições de função: Podemos verificar quais são permissões que esse
objeto (no caso o grupo de recursos IGTI) possui.

- Funções: Aqui são listadas todas as funções de RBAC que podemos atribuir
aos usuários esse recurso (e herdado, caso tenha algum recurso abaixo), existem mais
de 100 funções baseadas em todos os recursos do Azure. Ainda podemos, caso possua
o Azure AD premium P1 ou P2, criar as nossas próprias permissões. Vamos entender as
principais:

• Proprietário: Permite o acesso completo para gerenciar todos os recursos,

incluindo a capacidade de atribuir funções no Azure RBAC.

• Contribuidor: Permite acesso completo para gerenciar todos os recursos, mas

não permite atribuir funções no RBAC do Azure, gerenciar atribuições no
Azure Blueprints nem compartilhar galerias de imagens.

• Leitor: Exibe todos os recursos, mas não permite que você faça nenhuma
alteração.

Grande parte das outras funções são baseadas diretamente nos recursos,
sendo possível, por exemplo, dar permissão para um usuário, dentro de um grupo de
recursos, acesso apenas às Maquinas Virtuais ou `às Interfaces de Rede delas.

Para atribuir uma função a um usuário, grupo ou aplicativo, basta clicar em “+

Adicionar” e em seguida em “Adicionar atribuição de função”:

25
 Selecione a função que o usuário vai ter e clique no botão “Próximo”, depois
escolha o usuário em “+ Selecionar Membros”, clique em Próximo, verifique as
informações e, em seguida, clique em “Examinar + atribuir”:

A permissão será dada ao usuário e você poderá verificar em “Atribuição de

função”:

26
Capítulo 2. Governança de nuvem no Azure

Neste capítulo, vamos falar sobre Governança do Azure, um pouco de

Compliance e mais um pouco sobre segurança.

Estratégia de Governança de Assinaturas (Management Group)

Como discutido anteriormente, os Grupos de Gerenciamento são os objetos

que ficam acima da assinatura, ajudando a gerenciar o acesso, a política e a
conformidade entre várias assinaturas. Ao gerar uma assinatura no Azure, é criado um
chamado “Tenant Root Group”, que basicamente é o objeto Pai. Dentro dele, ficará
alocada a sua assinatura. Você pode criar uma árvore de até 5 Management groups,
usados para separar as suas assinaturas e facilitar a gerencia, assim como representado
abaixo:

Fonte: docs.microsoft.com/nl-nl/azure/cloud-adoption-
framework/_images/decision-guides/decision-guide-subscriptions-hierarchy.png

Azure Tags

27
 As Tags, servem para organizar os seus recursos dentro do Azure, cada Tag
consiste em um par de nome/valor. Por exemplo, é possível aplicar o nome Ambiente e
o valor Produção a todos os recursos em produção.

Você pode usar as Tags para agrupar os dados de cobrança. Por exemplo, se
estiver executando várias VMs para organizações diferentes, use marcas para agrupar o
uso por centro de custo. Você também pode usar marcas para categorizar os custos pelo
ambiente, como por exemplo, o uso de cobrança para VMs em execução no ambiente
de produção.

Para você adicionar TAGS a um recurso existente, basta selecionar ele, clicar
em “marcações” e colocar os pares:

Note que elas ficarão na parte de baixo. Na parte de “Visão Geral”, elas também
vão ficar visíveis:

28
 Para atribuir a um recurso que você está criando, as Tags sempre fazem parte
do processo dentro do portal do Azure, a dica é sempre usar elas de acordo com a
necessidade, já que elas são gratuitas:

Resource Locks

Podemos bloquear ações indesejadas por meio de permissões de RBAC, mas

mesmo assim, algum usuário com permissão pode realizar uma ação com efeitos
indesejados que podem prejudicar o negócio, como parar uma maquina virtual em

29
produção ou, até mesmo, apagar ela, tendo que recuperar por um backup (se houver),
por exemplo.

Podemos evitar esse tipo de situação com um recursos simples chamado

“Resource Locks” ou, em português, “Bloqueios”. Notem que todos os recursos do Azure
possuem esse recurso como no exemplo abaixo:

A função dos Resources Locks é bloquear de duas formas:

1. Somente Leitura: o Recurso e tudo o que estiver abaixo na hierarquia fica

como “apenas leitura”, ou seja, não é possivel realizar mais nenhum tipo de
alteração ou exclusão nos recursos a menos que a Resource Lock seja
removida.

2. Excluir: como o nome diz, ainda é possível realizar alterações no recurso,

porém não é mais possível excluir o recurso com a trava adicionada ao
escopo.

30
 Para adicionar um Bloqueio, basta clicar em Adicionar, dar um nome ao
bloqueio, selecionar o tipo e (por melhores práticas) adicionar o motivo dessa trava:

Com a trava somente leitura adicionada, não é mais possível realizar qualquer
alteração no recurso, isso inclui qualquer ação nele como, no exemplo abaixo, Iniciar a
maquina virtual:

Azure Policy

As permissões de RBAC são responsáveis por delimitar quem pode, por

exemplo, criar um recurso dentro do Azure ou permanecer somente como leitor, mas
não podem limitar o tipo de recurso criado. Por exemplo, podemos falar que um usuário

31
é Contribuidor de um grupo de recursos, mas não podemos falar que ele não pode criar
máquinas do tipo E, por exemplo.

Para ter esse tipo de controle entra em cena o Azure Policy, recurso gratuito,
baseado em JSON (Java Script Object Notation), que tem o intuíto de organizar o Azure
de acordo com o complience da sua empresa, ajudando a economizar recursos
financeiros, por exemplo (não se limitando somente a isso), indicando que em uma
determinada assinatura ou grupo de recursos, só é possível criar máquinas do tipo B.
Para entender melhor o funcionamento, basta buscar por “Política” dentro do Azure:

Ao acessar o Azure Policy, temos, do lado esquerdo, o menu de Criação, onde

podemos criar as nossas primeiras Definições:

Definições, são as políticas que irão nos ajudar no controle do nosso Azure e
elas podem ser de dois tipos, sendo:

32
 1. Definição de Politíca: Basicamente, uma política com alguma função específica
como bloquear a localização que os recursos podem ser criados ou o tipo de
máquina virtual.

2. Definição de Iniciativa: É um conjunto de Definições de Política agrupadas, você

pode, por exemplo, criar uma iniciativa com o nome da sua empresa e colocar
diversas políticas que vão determinar o que pode ou não ser feito dentro do
Azure.

Existem diversos tipos de políticas de exemplo que podem ser usadas como
modelo para realizar as configurações, vou usar como exemplo a política “SKUs de
Tamanho de máquina virtual permitidos”, pesquisando e clicando no nome da política:

Dentro da política, é exibido um código em JSON que pode ser facilmente lido.
Se você prestar atenção nele, é sempre um conjunto “PROPRIEDADE” : “Descrição”,
como destacado no exemplo abaixo. Como essa é uma politica baseada em um modelo,
não é necessário alterar nenhum parametro nessa tela, basta clicar em “Atribuir”:

33
 Para qualquer política que formos criar, serão necessárias algumas informações
principai,s sendo Escopo (o que será afetado por essa política e suas exclusões, caso
aplicável), O nome da política, uma descrição e, uma das partes mais importantes,
escolher se essa política será imposta ou não, sendo:

• Imposição de política Habilitada: A partir desse momento, ela afetará a

criação de novos recursos com a suas regras, além de verificar se os recursos
que estão no escopo, estão no padrão dela.

• Imposição de política Desabilitada: Ele apenas vai verificar se os recursos do

escopo selecionado estão de acordo com a regra.

34
 Ao clicar em Avançar, podemos escolher, nesse caso, o tamanho das máquinas
que poderão ser criadas dentro do escopo:

35
 Dependendo do tipo de regra, podemos criar uma Remediação (correção) dos
recursos para que eles se adequem à política de forma automática por meio de uma
identidade gerenciada. Por exemplo, se um recurso não tiver Tags, podemos criar uma
política para remediar os recursos que estiverem sem Tags e adicionar sem precisar
acessar o recurso.

Podemos deixar uma mensagem para alertar o usuário que ele está
trabalhando fora das regras da empresa:

Após a regra ser criada, ela pode levar até 30 minutos para começar a fazer
efeito, segue um exemplo de “não conformidade”:

36
 As Políticas de iniciativa funcionam da mesma forma, porém, como dito
anteriormente, funcionam baseadas em um conjunto de políticas e podem ser usadas,
por exemplo, para verificar se os seus recursos estão de acordo com conformidades
regulatórias como a ISO 27001:

Azure Blueprints

Apesar de estar em versão previa, o Azure Blueprints permite que você

desenhe os parâmetros de um projeto, que você defina um conjunto repetitivo de
recursos do Azure que implementa e adere aos padrões, politicas e requisitos de uma
organização.

37
 O Azure Blueprints orquestra a implantação de vários modelos de recursos e
outros artefatos, como:

• Atribuições de função;

• Atribuições de política;

• Modelos do Azure Resource Manager;

• Grupos de recursos.

A implementação de um blueprint envolve estas três etapas:

• Criar um Azure Blueprint.

• Atribuir o Blueprint.

• Acompanhar as atribuições de Blueprint.

O Azure Blueprints possui controle de versão, o que ajuda você na hora de

acompanhar todas as mudanças no projeto ou voltar caso alguma alteração incorreta
oconteça.

Obs.: Todos os recursos citados nesse capítulo são gratuítos.

38
Capítulo 3. Segurança de Rede na Nuvem

Neste capítulo, vamos falar sobre a segurança de rede no azure, iremos

entender melhor o que é uma NSG, como implantar um Azure Firewall, proteção de
DDOS, Backup e Azure Dedicated Host.

Network Security Group (NSG)

Quando criamos uma maquina virtual no Azure, normalmente, além dela,

são criados 4 recursos adicionais, sendo o Disco Virtual, a Interface de Rede, um
endereço de IP Público e o Grupo de segurança de Rede (NSG). Esses Três últimos são
recursos essenciais para a comunicação e Segurança da maquina virtual:

• Interface de rede: é a placa de rede virtual da maquina, responsável por

conectar ela a Subrede Criada e permitir a comunicação com a rede interna.

• Ip público: endereço de IP em uma faixa pública que é associado a placa de

rede para permitir a comunicação externa da maquina virtual.

• Grupo de Segurança de Rede (NSG): recurso gratuíto responsável por filtrar a

entrada e saída do tráfego de rede baseado em portas, protocolos (TCP e
UDP), ips, serviços (pre determinados) e Aplication Security Groups (ASG).

O NSG pode ser associado tanto a Interface de rede virtual como a Subrede
inteira (facilitando a gerência de diversas maquinas em um local só), pode ser acessado
na seção “REDE” dentro da maquina virtual ou buscando NSG na barra de pesquisa e é
considerado um Firewall básico pois não fornece inspeção na camada de aplicativo nem
controle de acesso autenticado.

O processamento de regras é feito baseado na prioridade da regra (as regras

são processadas de forma crescente) onde, se uma regra que tem uma prioridade menor
libera ou bloqueia o tráfego de rede, as regras abaixo dela param de ser processadas e
são separadas em duas listas, sendo Regras de portas de Entradas (inbound) e Regras de
portas de saída (outbound), respectivamente.

39
 Por padrão para entrada (Inbound port rules), ele possui 3 regras principais
sendo:

• AllowVnetInbound: libera toda o trafego de entrada para todas as recursos

que estiverem na mesma rede ou conectados atraves de um “network
peering”.

• AllowAzureLoadBalancerInBound: faz com que o trafego vindo de um

balanceador de carga (Azure Load Balancer, Application Gateway, Azure
Frontdoor ou Traffic Manager) nativamente não precise de uma configuração
adicional para ser liberado.

• DenyAllInbound: bloqueia todo o trafego vindo de qualquer lugar, como ele

tem uma prioridade maior (65500), a função dele é basicamente bloquear
qualquer outro trafego de entrada caso não se enquadre na regras acima
dele.

Essas três regras padrão para entrada não podem ser alteradas ou apagadas,
por segurança. Note que, quando essa máquina virtual foi criada, também foi criada uma
regra de Prioridade 300 chamada RDP, vamos analisar ela:

• Prioridade 300: No momento a menor prioridade, ou seja quando um trafego

entrar ela será a primeira a ser processada.

• Porta 3389: Essa é a porta que está sendo afetada pela regra (3389).

• Protocolo TCP: Protocolo de rede para a porta.

40
 • Origem Qualquer: De onde o trafego está vindo, nesse caso ele está
liberando o trafego de qualquer lugar para chegar nessa porta.

• Destino Qualquer: Aqui é especificado para quais ips que estão dentro da
NSG que vamos liberar essa porta, como está “Qualquer”, qualquer recurso
que estiver associado a terá a porta liberada interna e externamente.

Agora que entendemos como a NSG funciona na entrada vamos criar uma regra
e entender o que podemos fazer, para isso, basta clicar no botão “Adicionar regra de
porta de entrada”:

Vamos entender cada uma das opções:

• Any: Libera o trafego de qualquer lugar que ele vier.

• IP Addresses: Pode especificar IP’s, Blocos de IP com o intervalo CIDR

(192.168.0.0/24 por exemplo) tanto ipv4 como ipv6, e ainda é possivel
especificar várias origens na mesma regra concolando vírgula para separa-las

41
 • Service Tag: São serviços pré especificados pelo Azure como Internet,
VirtualNetwork, AzureCloud e etc.

• Application Security Group (ou ASG): Recurso do Azure onde você pode criar
Tags para marcar interfaces de rede para facilitar a liberação ou bloqueios
sem alterar as NSG’s.

Após determinar qual o ip de quem solicita o acesso, você pode determinar

qual porta de origem você vai liberar, note que nem sempre é possivel saber qual a porta
a origem está utilizando para fazer o acesso a seu recurso então, normalmente
liberamos todas com um *.

No Destino, temos a mesmas opções que na origem, sendo que é possivel

determinar um ip especifico para não liberar a porta para tudo o que estiver na NSG por
exemplo.

42
 No Serviço, temos as configurações de portas mais padrões que o mercado usa,
caso o serviço que você está liberando ou bloqueando não esteja nessa lista, basta
selecionar “Custom”.

Aqui, você pode colocar a porta ou as portas que vão fazer parte da regra. Caso
você coloque Custom no Serviço, os padrões aceitos são:

Padrão Aceito Exemplo

Uma única porta 8080
Intervalo de Portas 1000-9500
Diversas Portas 80, 443, 445, 3389
Diversas Portas e Intervalos 80,443-445,3389,5000-7000

43
 Portocolo, como falado anteriormente, são aceitos os protocolos TCP, UDP e
ICMP(Ping), além de poder liberar ou bloquear os 3 de uma vez utilizando Any.

Ação: Aqui você vai falar o que acontece caso o que foi configurado acima
aconteça, no caso você permite ou libera o tráfego:

Prioridade: A prioridade que essa regra será processada, lembrando que, as

regras são processadas sempre do número de prioridade menor para o maior, e, por
melhores práticas de mercado, o ideal é que você crie regras maiores 1000 e de 100 em
100.

44
 Nome: Aqui você coloca o nome da Regra (esse campo não pode ser alterado
após a criação).

Descrição: Esse campo (que pode ser alterado após a criação) é onde você
coloca (seguindo as melhores práticas de mercado) o motivo pelo qual você está criando
essa regra.

Depois de preencher os campos, basta você clicar em Adicionar.

Obs.: Não é possível fazer regras de NAT (direcionamento de portas) por meio
de NSG.

As regras de Sáida (outbound) funcionam de forma similar, mas você deve ter
em mente que essas regras são do recurso (máquina virtual, por exemplo), para fora
dela (tanto a rede que ela está quanto para a internet), vamos analisar as regras padrões
dela:

• AllowVnetOutbound: Libera toda o tráfego de entrada para todas as recursos

que estiverem na mesma rede ou conectados atraves de em “network
peering”.

• AllowInternetOutBound: Libera acesso irrestrito dos recursos na NSG a

Internet.

• DenyAllOutbound: Bloqueia Todo o Acesso da maquina para acesso Externo

(porém como existem regras com prioridade menor liberando acesso do
recurso para a rede e para a internet essa regra, de certa forma se torna
inútil).

45
 Quando criamos uma regra aqui, por meio do botão Adicionar regra da porta
de saída, temos que preencher as mesmas informações da porta de entrada, porém
temos que ter em mente que o funcionamento é inverso (a origem será o recurso que
está na NSG e o Destino é para onde você quer bloquear ou liberar o recurso).

Dentro do recurso de NSG (acessado buscando NSG na barra de pesquisas), é

possível facilmente configurar quem faz parte dele clicando em Interfaces de Rede e
Sub-redes.

Azure Firewall

Azure Firewall é um recurso (Pago) de Firewall next-gen (atua na camada de

aplicação, layer 7 da camada OSI) autoescalável (cresce de acordo com a necessidade)
que nos ajuda a ter mais segurança dentro do Azure, ao contrário das NSG’s (que
trabalham apenas baseados em IP’s e Protocolos). Podemos trabalhar com FQDN’s ( Full
Qualified Domain Names, exemplo: google.com) e com outros tipos de protocolos como
http:, https: ou myssql:, além de possuir nativamente uma camada de Advanced Threat
Protection filtering que inspeciona o tráfego e alerta ou nega, caso o acesso de saída ou
entrada venha de um ip ou FQDN seja considerado perigoso pelo time de Cyber
Segurança da Microsoft.

Para implantar o Azure firewall, temos alguns passos a seguir, sendo:

46
 1. Devemos criar uma Subrede dentro de uma VNET chamada
AzureFirewallSubnet que deve ser no mínimo /26, esse nome tem que ser
dessa forma, do contrário não é liberado para criar o firewall.

2. Criamos o recurso Azure Firewall, e nas configurações dele, colocamos a VNET

criada e anotamos, após a sua criação, o sei ip interno.

3. Criamos uma Tabela de Roteamento na mesma região que o Azure Firewall.

4. Dentro da Tabela de Roteamento criada, criamos uma rota dizendo que o

Prefixo de endereçamento será 0.0.0.0/0 e o próximo salto será um “Virtual
Appliance”, nesse campo apontamos para o ip interno do firewall.

5. Ainda na Tabela de Roteamento, nós associamos a subrede que irá utilizar o

Azure Firewall.

6. Voltamos ao firewall e Criamos as nossas Regras, que funcionam de forma

similar as NSG’s, sendo de dois tipos: Application Rule (layer 7) e Network Rule
(layer 3 e 4). No processamento, são primeiro consideradas as regras de
Application com as suas prioridades e depois as de Network, além de poder
configurar regras de NAT.

DDOS Protection

Por Padrão, o Azure nos fornece, sem custo, em todos os recursos de rede,
uma proteção básica contra ataques de negação de serviço (DDOS) nativamente, ou
seja, não exige nenhum tipo de configuração pelo usuário, porém, essa proteção não é
suficiente em caso de um ataque realmente massivo, como por exemplo o que ocorre
durante uma black Friday ou Natal. Com a camada Standard do DDOS protection, é
garantida a proteção contra ataques realmente massivos, para se ter uma ideia de como
esse recurso é potente, o mesmo é usado na rede do Xbox Live e você tem um suporte
próprio com uma SLA de atendimente reduzida, independentemente de você possuir ou
não um contrato de suporte com a Microsoft Microsoft um time focado nesse recurso
estará sempre pronto para te atender.

Azure Backup

47
 Atualmente, um dos maiores males da internet atual é o Ramsoware, caso um
atacante consiga acesso a seu servidor, apesar de existirem diversas soluções de
mercado, eles estão implantando esse tipo de virus que se espalha e criptografa todos
os seus arquivos exigindo um valor como resgate para esse sequestro de dados. Caso
isso ocorra com você, o indicado é sempre ter um Backup íntegro e em lugar seguro.

Além de garantir o retorno dos seus dados, o Azure Backup garante a

continuidade do seu negócio. Caso você precise restaurar algum tipo de arquivo ou
sistema operacional, tanto de Máquinas virtuais no Azure, como de alguns serviços e até
de servidores locais ou de outras nuvens, além de ter um serviço de Disaster Recovery
(DR) em caso de falha em uma região.

O Serviço responsável pelo Azure backup é o Cofre de recuperação de Serviços

(recovery services vault) e possui duas camadas, sendo:

• Local Redundant Storage (LRS): Essa camada, apesar de ficar local, garante a
cópia de seu backup em pelo menos 3 locais diferentes na mesma região, ou
seja, mesmo se ocorrer uma falha no datacenter em um rack onde seu
backup fica, ele estará copiado em outros storages garantindo a resiliência
dos seus dados.

• Global Redundant Storage (GRS): Já nessa camada, além dos seus dados
estarem copiados na região contratata, será feita uma cópia para a região par
da sua região, garantindo que, em caso de falha de uma região, seu backup
estará protegido em outro local do mundo.

Obs.: O backup na camada GRS custa o dobro da LRS e caso você crie um
recovery services vault no padrão e começe a utilizar, ele irá funcionar (por segurança)
na camada GRS e após realizar qualquer configuração de backup não será mais possível
realizar a alteração.

Sobre o Disaster recovery, é um serviço que fará a cópia dos discos de seus
servidores (tanto do azure como locais e de outras nuvens) para uma região diferente,

48
porém não funciona como HA (High Availability), ou seja, em caso de falha no
datacenter, a ação para esse serviço subir uma máquina virtual na outra região deve ser
realizada pelo usuário.

Azure Dedicated Host

Apesar do Azure ser considerada uma nuvem pública, é possivel você reservar
um host (servidor) dentro dele e criar a sua própria nuvem privada, onde esse host não
será compartilhado com outras empresas e você passará a gerenciar ele por meio das
ferramentas mais seguras do mercado, como Hyper-V ou Vmware. Além de ter a
visibilidade maior sobre o recurso, você geralmente tem uma redução de custo e maior
controle sobre as manutenções dessa máquina.

49
Capítulo 4. Azure Key Vault

Neste capítulo, vamos focar em um recurso de segurança muito importante

chamado Azure Key Vault, responsável por criar e gerenciar Keys, Secrets e Certificados
Digitais. Além de oferecer a possibilidade de liberação de acessos por usuário e
aplicativos independente do RBAC tendo o seu sistema próprio (e seguro) de
autorização.

Chaves de Criptografia (Keys)

Por padrão, o Azure nos fornece em todos os recursos e gratuitamente,

criptografia no padrão AES 256, porém, por conta de algumas conformidades
regulatórias ou compliance da empresa essa criptografia pode não ser suficiente, nesses
casos podemos por meio do Key Vault criar as nossas próprias chaves de criptografia e
usá-la nos nossos recursos, tanto para gerar uma criptografia padrão ou até de dupla
criptografia:

Criptografia de Disco

Podemos usar as chaves geradas para criptografas os discos das maquinas

virtuais por meio de um recurso chamado Disk Encrytion Set (DES), lembrando que tanto
o Key Vault como o DES devem estar na mesma região do disco que você deseja

50
criptografar, caso você tenha maquinas ou discos em regiões diferentes, você deve criar
varios Key Vaults e DES de acordo com os discos. Para entender melhor esse processo,
precisamos entender que existe uma ordem dos recursos a serem criados e
configurados, sendo:

1. Criar um Key Vault na mesma região do disco que você quer criptografar.

2. Gerar uma Chave de Criptografia no padrão desejado.

3. Criar um DES apontando para o Key Vault e Key gerado:

4. Devemos autorizar o DES no Key vault, basta clicar na mensagem exibida:

51
 5. Com a maquina desligada e desalocada, vamos até o disco dela, clicamos em
Criptografia, selecionaos o Tipo de Criptografia para “Criptografia em repouso
com uma chave gerenciada pelo cliente”, selecionamos o DES e em seguida,
clicamos em ok

Segredos (Secrets)

Outra função de extrema importância dentro do Key Vault são os secrets,

geralemnte usado para armazenar de forma segura senhas, strings de conexão ou
qualquer outra informação. Podemos, por exemplo armazenar as senhas dos nossos
servidores, usar o Secrets como cofre de senha ou como largamente utilizado, você
registra o seu aplicativo no azure ad, e libera para somente ele poder consultar essa
senha, evitando assim que você coloque, dentro do aplicativo desenvolvido, as senhas
em formato “plain text”.

52
Certificados Digitais

O Key vault pode gerar ou armazenar de forma segura os seus certificados

digitais existentes, esse recurso é muito utilizado em webapps, onde você pode registrar
o seu key vault para gerenciar os certificados da aplicação e gerar certificados conforme
a necessidade ou autorenovar quando estiver próximo da expiração dele.

53
Capítulo 5. Defesa em Profundidade, Security Center e Sentinel

Neste capítulo, vamos entrar um pouco mais fundo nos recursos de segurança
de usuário e ferramentas de segurança como Acesso condicional, identity protection,
Sentinel e Microsoft Defender for Cloud. Os dois primeiros recursos exigem uma
assinatura do Azure AD Premium P1 ou P2, você pode ativar um teste na sua assinatura
dentro do Azure AD, clicando em licenças, e em seguida, ativar clicando do lado direito
em “ativar uma assinatura de teste”:

54
Conditional Access

Por meio de recurso presente no Azure Active Directory Premium P1, podemos
limitar o acesso do usuário baseado em localidade, dispositivo e até mesmo exigir MFA
ou só liberar acesso se a máquina estiver em domínio ou em conformidade dentro do
Intune.

Para acessar o Acesso Condicional, temos que, primeiramente, desativar os

Padrões de Segurança do Azure. Basta entrar no Azure AD, selecionar Propriedades,
clicar em “Gerenciar Padrões de segurança” e selecionar “não”:

Depois, vamos clicar em Segurança (dentro ainda do Azure AD) e clicar em

Acesso Condicional:

55
 Vamos clicar em “+ nova Política” e vamos preencher de acordo com a
necessidade:

Primeiramente, selecionar os usuários ou grupos de usuários afetados pela

política, em seguida os aplicativos:

Selecione agora as condições para que esse acesso ocorra (ou seja bloqueado),
nesse caso, selecionei todas as plataformas exceto windows, pois vou bloquear o acesso
ao recurso, a menos que, o usuário esteja usando Windows.

56
 Em “Conceder”, eu selecionei Bloquear acesso:

Com essa política, o usuário só poderá acessar se estiver usando uma máquina
com o sistema operacional Windows, você pode explorar as outras opções na seção
“Condições”.

Identity Protection

Ao adicionar uma licença de Azure Ad Premium P1 ou P2 e desativar os padrões

de segurança, é possivel alterar as informações do Identity Protection dentro da Blade
de Segurança do Azure AD:

57
 Esse recurso detecta, de forma automática, tentativas de sign-in suspeitas e
também comportamentos suspeitos de usuários, identificando eles como um acesso de
um navegador que mascara o IP ou uma viajem impossível (a pessoa realiza o sign-in de
um local e depois alguns minutos depois de algum lugar muito distante), veja um
exemplo do tipo de log que é gerado:

Após reportar uma atitude suspeita de login, ele marca o usuário como “em
risco” e podemos verificar isso em um painel chamado “usuários ariscados”, onde
podemos ver quais os riscos envolvidos nesse usuário:

58
Microsoft Defender for Cloud (antigo Security Center)

Microsoft Defender for Cloud, antes conhecido como Security Center, é um

recurso focado na segurança do Azure, tanto das operações da assinatura quanto nos
recursos em sí, ele possui duas camadas, sendo uma delas gratuita que fornece dicas
mais básicas de segurança e uma paga que aprofunda as análises e ajuda a deixar todo
a ambiente do azure mais seguro, ele é dividido em 4 serviços principais sendo:

• Classificação de Segurança ou Security Score: é uma pontuação de quanto os

seus recursos estão protegidos de acordo com os parâmetros de segurança
fornecidos pela Microsoft, além disso ele fala quais são os problemas de
segurança que você está exposto e como resolvê-los:

Clicando na recomendação:

59
• Conformidades de Segurança: ele trabalha como o security score, mas
fornece recomendações de como se adequar às normas regulatórias de
mercado como ISO 27001, PCI e SOC:

60
 • Proteção de Cargas de Trabalho: temos, nessa seção, informação sobre
tentativas de invasão, quais recursos estão sendo cobertos pelo Defender for
Cloud, além de alguns itens de proteção avançada como Just in Time access e
Avaliação de vulnerabilidade de SQL:

Neste exemplo, foi simulada uma tentativa de invasão a um recurso:

Gerenciador de Firewall: Esse recurso ajuda a analisar as suas redes e a

genrenciar o Azure Firewall, além de mostrar quais Redes virtuais estão protegidas com
o DDOS Protection Standard.

61
Azure Sentinel

Azure Sentinel é um SIEM cloud native, uma ferramenta de correlação de

eventos de segurança nativa na nuvem, que ajuda você a coletar, analisar e tomar
decisões sobre eventos de segurança no seu ambiente. Para criar um Azure Sentinel,
precisamos primeiro criar um Log Analytics Workspace para que ele possa coletar os
logs, após criar o recurso do sentinel, precisamos configurar de onde ele vai coletar os
logs, e fazemos isso a partir do Data Connector. Note que temos diversos conectores até
para recursos que não fazem parte do Azure:

Após coletar os dados (o que pode levar até 2 horas para começar a fornecer
informações), podemos analisar as informações por meio de Workbooks ou criar
análises mais complexas por meio do Analytics:

Worbooks: visualizações pré-criadas por meio de Templates para analisar o

recurso, segue um exemplo de diversos erros de sign-in no ambiente:

62
 Analytics: por meio do Analytics, podemos criar regras para analisar o nosso
ambiente e, dependendo do que ele detectar, tomar uma ação por meio de um
“Playbook”:

Além dessas ferramentas, ele possui um modulo de caça (hunting) onde possui
mais de 200 Queries (pesquisas) pré-programadas para procurar problemas de
segurança no seu ambiente:

63
 Você pode executar todas em sequência por meio do botão “Run All Queries”,
após ele finalizar, é possível verificar quais foram os problemas detectados:

64
Capítulo 6. Azure Monitor

Azure Monitor é uma ferramenta completa de Monitoramento nativa no Azure,

você pode, por exemplo, receber alerts via SMS caso uma máquina fique com 90% de
uso de CPU por 5 minutos, ou caso um recurso seja reiniciado ou apagado. Ele é
composto por diversas ferramentas, vamos focar nas três principais:

Log Analytics Workspace

Log Analytics Workspace é um local onde você pode coletar e analisar logs de
diversas fontes, tanto de serviços do Azure em geral como de outras nuvens e servidores
e estação locais. Para coletar, por exemplo, logs de máquinas virtuais, devemos
selecionar, dentro dele, em Data Sources, quais VM’s vamos adicionar:

65
 Após adicionar quais máquinas, devemos definir o que ele deve coletar, para
isso vamos em Agents Configuration:

Conseguimos adicionar outros locais instalando os agents do log analytics e

configurando, de acordo com o seu Log analytics workspace. A blade Agents
Management fornece os links para download e os passos para configuração em
máquinas Windows e Linux:

66
 Após a coleta (que leva até 24 horas para finalizar), você pode realizar as
consultas a esses logs em “logs” e a linguaguem utilizada é a KQL (Kusto Query
Language).

Com a consulta em KQL, como no exemplo acima criado, podemos criar um

Workbook com a visualização dessa consulta que pode ser diretamente adicionada a um
Dashboard para fácil consulta:

67
Application Insights

Application Insights é uma ferramenta Cloud Native pronta para realizar

monitoramentos avançados nos seus aplicativos, embora você possa adicionar ele a um
aplicativo local, ele consegue trabalhar muito melhor em recursos de nuvem como Web
Applications do Azure. Você coleta logs do seu aplicativo e analisa tudo o que acontece
com ele, inclusive a latência entre as dependências do seu app. Com esses dados, você
pode criar alertas, dashboards do powerbi entre outras formas de trabalhar com o log.
Segue exemplo de arquitetura do Application Insights:

68
 Fonte: https://docs.microsoft.com/pt-br/azure/azure-monitor/app/app-insights-
overview

Azure Alerts

Após coletar logs e métricas, você pode usá-las para criar alertas para te
avisar sobre algum problema, indisponibilidade ou até sobre alguma ação indesejada
que um usuário realizou dentro do Azure, como por exemplo reiniciar uma Máquina
Virtual. Criar um alerta é muito simples, basta buscar por alertas na barra de pesquisa e
clicar em nova regra. Você deve definir alguns parametros nessa regra, sendo:

Escopo: O que essa regra vai monitorar.

Condição: O que dentro do escopo será monitorado.

Ações: O que ocorrerá quando a condição para o escopo for atendida. Essas
ações acontecem por meio de “Grupos de Ação” (Action Groups), e podem ser desde
enviar um simples e-mail, como executar um logic app para tentar solucionar o
problema:

69
 Detalhes: Aqui, você preenche os detalhes da regra como nome e descrição
caso ela seja aconteça.

70
Capítulo 7. Status de Serviço, Advisor e Compliance

Além de nos dar recomendações de segurança por meio do Microsoft

Defender for Cloud, temos também outras ferramentas para nos ajudar no nosso dia a
dia com a parte de usabilidade e estabilidade da plataforma.

Azure Advisor

O Azure Advisor é uma ferramenta que nos dá uma visibilidade maior de como
estamos usando os nossos recursos, dando recomendações que podem ajudar a reduzir
custos, melhorar o dimensionamento dos nossos recursos e muito mais.

Ele é dividido em diversas seções sendo:

• Custo: Nos da recomendações baseadas no conceito de “cost reducing”,

basicamente entendo o que está super dimensionado, não utilizado ou o que
tem uma oportunidade de reserva para diminuir o valor mensal.

• Segurança: Baseando-se no Microsoft Defender for Cloud, ele nos mostra as

recomendações de segurança que temos para deixar o nosso ambiente mais
seguro.

• Confiabilidade: Nos ajuda mostrando o que fazer para aumentar a resiliência

ou alta disponibilidade de recursos comercialmente criticos.

• Excelência Operacional: Nos auxilia a ter mais eficiência do processo e do

fluxo de trabalho, além de mostrar recomendações para melhorar as práticas
de implantação e capacidade de gerenciamento de recursos.

• Desempenho: Essa seção analisa as metricas de todos os recursos

implantados e nos da recomendações de como melhorar o desempenho dos
nossos aplicativos ou do que estiver implantado no azure.

Azure Service Health

A Integridade do Serviço do Azure (Azure Service Health) tem o papel

fundamental de nos notificar sobre incidentes de serviço e manutenção planejada do

71
Azure para podermos conseguir nos organizar, a fim de atenuar o tempo de inatividade.
É possivel configurar alertas ou usar um painel personalizado para analisar problemas
de integridade, monitorar o impacto em seus recursos de nuvem, obter diretrizes e
suporte, além de entender os detalhes e atualizações que serão ou foram instaladas no
ambiente físico do Azure (Datacenter).

Compliance no Azure

O Azure possui mais de 90 certificações de conformidade, incluindo mais de 50

específicas para regiões e países em todo o mundo, como EUA, União Europeia,
Alemanha, Japão, Reino Unido, Índia e China. Por meio do Site de documentação da
Microsoft (2022, disponível em: https://docs.microsoft.com/pt-br/azure/compliance/)
podemos ter acesso a todos os certificados de segurança emitidos para o Azure:

72
 Além de possuir todas essas certificações de segurança padrões de mercado, a
Microsoft também possui certificações específicas para alguns setores como saúde,
financeiro e educacional:

A Microsoft fornece também o Microsoft Trust Center (por meio da URL:

https://www.microsoft.com/pt-br/trust-center) com produtos e serviços pensando em
Segurança, conformidade e Privacidade de uma forma mais simples.

73
Fonte: https://www.microsoft.com/pt-br/security/business

74
Capítulo 8. Migração – Estratégias e Ferramentas Nativas

Entendemos, até o momento, como funcionam os recursos e como deixá-los

mais seguros. Vamos agora aprender quais são as melhores formas estratégicas para
migrar para o Azure e quais ferramentas utilizar.

Estratégias de Migração

Existem várias formas de migrarmos nossos recursos para o Azure, e a

Microsoft nos fornece ferramentas para facilitar esse processo, porém, antes de
iniciarmos uma migração temos que entender o que queremos migrar e qual a melhor
forma de fazer isso. Atualmente existem sete estratégias principais de migração de
aplicações para a nuvem, também conhecidas como Os 7 R’s. Essas estratégias
classificam qual a melhor abordagem a ser realizada de acordo com cada cenário:

• Rehost: Esse método, conhecido também por “lift-and-shift”, é o método

mais comum, pois basicamente realiza a realocação da infraestrutura
existente, com a criação de máquinas virtuais na nuvem, sem modificar os
recursos de infraestrutura e configurações. É bem comum, após um lift-and-
shift, a empresa começar a modernizar os seus aplicativos para usar os
benefícios da nuvem de forma mais completa.

• Replatform: Similar ao Rehost, levamos nossos recursos para a nuvem para

máquinas virtuais. Porém, alguns serviços (como banco de dados, por
exemplo) já movemos para recursos gerenciados pelo fornecedor de nuvem
(PaaS).

• Repurchase: Migrar um serviço essencial da empresa que esteja local como

um CRM antigo para o Microsoft Dynamics CRM ou o servidor de arquivos
para o Microsoft Sharepoint são exemplos de Repurchase, onde você
substitui as licenças ou hardware antigos por assinaturas de serviços SaaS
(Software as a Service) a fim de diminuir custos para atualizar e licenciar
esses softwares antigos ou obsoletos.

• Rearchitecture: Pensando em agilizar processos de implementação, atualizar

aplicações legadas ou que estão arquitetadas em Monolito (a aplicação fica
toda em um servidor e é totalmente dependente do sistema operacional),

75
 nesse modelo, redesenhamos a aplicação já pensando em arquitetura de
microserviços (como Docker ou Kubernetes) ou rearquitetamos ela para
funcionar com serviços nativos de nuvem como WebApps, por exemplo.

• Retain: Algumas aplicações muito antigas (legadas) podem ser

extremamente problemáticas para migrar para a nuvem (como aplicações
que foram criadas para empresas e só funcionam em sistemas operacionais
muito antigos), nesse caso temos que manter elas na estrutura atual, embora
essa aplicação não utilize das vantagens da nuvem, existem casos que não há
muito o que fazer (normalmente o indicado é, em um primeiro momento,
reter a aplicação e já estudar uma forma de realizar o rearchitecture).

• Retire: Em muitos casos, após analisar todas as aplicações da empresa, são

encontradas algumas aplicações (5% em grandes organizações, em média)
que simplesmente estão sem uso e não têm por que levar para a nuvem.
Nesse caso a aplicação é “aposentada” e retirada do escopo da migração.

• Relocate: Nesse caso, a proposta é mover toda a estutura, na forma em que

está, para a nuvem. Porém, ao contrário do Rehost ou lift-and-shift, a
arquitetura é baseada em servidores físicos que possuem sistemas de
virtualização como VMWARE ou HYPER-V e você mesmo gerenciar essas
plataformas de virtualização ao invés de criar maquinas virtuais (IaaS).

Como foi visto, exitem diversas formas de se migrar os recursos para o Azure
(ou qualquer outra nuvem) e também é normal usar mais de uma forma durante uma
migração, pois cada empresa possui as suas necessidades. Vamos agora conhecer as
ferramentas que o Azure nos fornece para realizar essas migrações.

Azure Migrate

Azure Migrate é uma ferramente simples, poderosa, gratuita e funcional para

migrar suas máquinas virtuais, banco de dados ou aplicativos web. No caso de Máquinas
virtuais, ele possui integração nativa com Vmware Vsphere e Hyper-V além de outras
nuvens como AWS ou GCP por exemplo.

76
 Dentro do Azure Migrate, após criarmos um novo projeto de migração, nos
será apresentado um passo a passo para realizar a descoberta de nossas máquinas
virtuais:

Devemos criar uma chave de projeto, baixar a máquina virtual e implantá-la no

nosso ambiente. No meu caso, realizei um Hyper-V:

Essa imagem contém, além de uma versão do windows server 2016 com uma
chave que vale por 180 dias, todas as ferramentas necessárias para realizar a descoberta
de outras máquinas e realizar a migração:

77
 Ele vai verificar se está conseguindo conectar com o Azure e, após baixar as
atualizações, caso tiver alguma, realizar o registro da máquina com a sua assinatura do
Azure:

Após realizarmos o Login na nossa conta Azure (o que pode levar até 10
minutos para acontecer), devemos configurar as credenciais de Administrador dos

78
nossos servidores, que contém o Hyper-V (se o seu cluster tiver servidores com
credenciais diferentes, todas devem ser adicionadas):

O último passo do discovery é adicionar os IP e credenciais dos servidores que

possuem o Hyper-V e validar o acesso a eles:

Após esse passo, você poderá selecionar os servidores que deseja que o Azure
Migrate importe para o Azure como máquina virtual e poderá definir o seu tamanho e
configurações.

79
 Obs.: Para garantir a conexão do Azure Migrate com o seus Hosts de Hyper-V,
o Windows Remote Management deve estar configurado. Para isso, basta digitar o
comando “winrm qc” e depois Y no Powershell como administrador nos hosts.

Azure Database Migration Service

Migrar bancos de dados para serviços PaaS se tornou mais simples com essa
ferramenta. O Azure Database Migration Service realiza um assessment nos seus bancos
e tabelas para verificar a compatibilidade dele com o serviço de Banco de Dados do
Azure. Basta baixar e executar a ferramenta para realizar esse assessment totalmente
gratuito:

Após realizar o Assessment, basta clicar em Upload to Azure Migrate para

analisar na nuvem o que foi coletado de informações de compatibilidade.

Na mesma ferramenta, podemos criar de uma forma bem simples, após realizar
o assessment, o projeto de migração.

80
Azure App Service Migration Assistant

Temos também um teste de compatibilidade para aplicações web por meio

do site https://azure.microsoft.com/en-us/services/app-service/migration-tools/:

81
 Basta entrar com o endereço público da sua aplicação que ele realizará um
assessment para verificar o nível de compatibilidade da aplicação web ou site com
serviço de App Service do Azure:

Após ele verificar a compatibilidade, basta baixar e executar a ferramenta no

host em que o aplicativo está alocado que será realizado um assessment mais profundo.
Em seguida, é necessário dar os passos para realizar a migração dele:

82
83
Capítulo 9. Azure Cloud Adoption Framework

O Cloud Adoption Framework é uma coleção de documentação, diretrizes de

implementação, melhores práticas e ferramentas comprovadas da Microsoft, criadas
para acelerar o percurso de adoção na nuvem.

Azure Cloud Adoption Framework

O Azure Cloud Adoption Framework foi criado para auxiliar as empresas na

jornada para a nuvem e é baseado em 6 fases, sendo:

Fonte: https://docs.microsoft.com/pt-br/azure/cloud-adoption-
framework/_images/caf-overview-new.png

• Definir a estratégia: Temos, nesse momento inicial, que entender quais são
as motivações, identificar os resultados esperados e prioridades do projeto.

• Planejamento: Esse é o momento de montarmos um inventário de tudo o

que temos, criar um plano de adoção para a nuvem levando em consideração
os 7 R’s e definir as estratégias de suporte, identificando os responsáveis por
cada aplicação ou servidor.

• Ready: Criamos a primeira “landing zone” que é onde os primeiros recursos

serão migrados com grupo de recursos e alicerces de rede, levando em conta

84
 a prioridade do projeto, e migramos os primeiros recursos seguindo as
melhores praticas de mercado.

• Adopt: Essa é a fase onde começamos a realizar as migrações de forma

incremental, de acordo com a prioridade e dependências necessárias, alem
de sempre levar em consideração as melhores práticas de mercado, a
motivação é se concentrar em modernizar sua propriedade digital para
impulsionar a inovação dos negócios e de produtos.

• Govern: Identifique lacunas na jornada de transformação da sua organização,

avalie o desempenho e acompanhe o estado de governança ao longo do
tempo, além de receber recomendações para eliminar as lacunas com
a ferramenta de parâmetro de comparação de governança. De acordo com
suas necessidades, talvez as recomendações específicas sejam:

o Documentação relevante para seu caso de uso.

o Cursos de desenvolvimento de habilidades e caminhos de

aprendizagem no Microsoft Learn.

o Soluções de parceiro.

o Diretrizes personalizadas da engenharia do Azure por meio

do Microsoft FastTrack for Azure.

Além disso, nessa fase (que será constante durante todo o uso do Azure) você
deve identificar todos os riscos e como mitiga-los, sempre pensando em implementar
processos de governança recorrentes para verificar se os recursos estão de acordo com
o que foi planejado desde o começo do projeto. Uma ferramenta muito útil nesse
processo é o Azure Policy.

• Manage: Quando você usa a metodologia para gerenciamento do Cloud

Adoption Framework, todas as cargas de trabalho são classificadas por nível
de importância e valor comercial, avaliadas por meio de uma análise de
impacto, que calcula o valor perdido associado à degradação do desempenho
ou às interrupções dos negócios. Usando esse impacto tangível na receita,
suas equipes de operações de nuvem trabalham com a equipe comercial para
estabelecer ambientes de nuvem bem gerenciados, com processos e
ferramentas para operar e gerenciar soluções resilientes. Algumas das

85
 principais implementações incluem Monitoramento, Gerenciamento e
Resiliência.

O Microsoft Cloud Adoption Framework para o Azure cria novas oportunidades

de tecnologia e gerenciamento de negócios. O Cloud Adoption Framework fornece
ferramentas e diretrizes para implementar não somente tecnologias de nuvem, mas
também alterações de negócios, pessoas e processos, para adotar o Azure com
confiança e controle. Por ser baseada em práticas recomendadas e experiências bem-
sucedidas de clientes e parceiros, sua estrutura é atualizada regularmente.

86
Referências

Azure Active Directory. Microsoft, 2022. Disponível em:

https://azure.microsoft.com/pt-br/services/active-directory. Acesso em: 01 de fev.
2022.

Início Rápido: Configurar um locatário. Microsoft, 2022. Disponível em:

https://docs.microsoft.com/pt-br/azure/active-directory/develop/quickstart-create-
new-tenant. Acesso em: 01 de fev. 2022.

Verificação de segurança adicional. Microsoft, 2022. Disponível em:

https://account.activedirectory.windowsazure.com/proofup.aspx. Acesso em: 01 de
fev. 2022.

Visão geral do Application Insights. Microsoft, 2022. Disponível em:

https://docs.microsoft.com/pt-br/azure/azure-monitor/app/app-insights-overview.
Acesso em: 01 de fev. 2022.

Documentação de conformidade do Azure. Microsoft, 2022. Disponível em:

https://docs.microsoft.com/pt-br/azure/compliance/. Acesso em: 01 de fev. 2022.

Você tem uma ideia. Nós ajudamos a protegê-la. Microsoft, 2022. Disponível em:
https://www.microsoft.com/pt-br/security/business. Acesso em: 01 de fev. 2022.

Central de Confiabilidade. Microsoft, 2022. Disponível em:

https://www.microsoft.com/pt-br/trust-center. Acesso em: 01 de fev. 2022.

Azure App Service migration tools. Microsoft, 2022. Disponível em:

https://azure.microsoft.com/en-us/services/app-service/migration-tools/. Acesso em:
01 de fev. 2022.

https://docs.microsoft.com/pt-br/azure/cloud-adoption-framework/

87
88