Escolar Documentos
Profissional Documentos
Cultura Documentos
Migração no Azure
2022
Soluções de Segurança, Governança, Compliance e
Migração no Azure
Rafael Alves Amaral
© Copyright do Instituto de Gestão e Tecnologia da Informação.
Todos os direitos reservados.
2
Sumário
Sumário ................................................................................................. 3
3
Segredos (Secrets) .......................................................................... 52
4
Azure Cloud Adoption Framework .................................................... 84
Referências ......................................................................................... 87
5
Capítulo 1. Identidade, Autenticação e Controle de Acesso
Fonte: https://azure.microsoft.com/pt-br/services/active-directory
6
Apesar do nome, ele não é uma versão Cloud do Active Directory local
(um dos serviços fornecidos pelo Windows Server), possui as suas características
próprias e a mais notável delas é que ele já trabalha com protocolos de autenticação
mais modernos como OpenID Connect e o OAUTH 2.0.
O Azure AD possui algumas versões, sendo que duas são gratuitas para até 5000
usuários e duas versões pagas, tendo como características principais não só o aumento
de limite de usuários, como também liberam funções de segurança muito importantes
para o dia a dia de uma empresa como acesso condicional e administração dinâmica de
grupos. Vamos entender um pouco mais sobre essas versões:
• Azure AD Premium P1
‒ Além dos padrões de segurança citados acima (que agora são editáveis
de acordo com a necessidade da empresa), são adicionados a essa
assinatura mais alguns tipos configurações relacionados a segurança de
usuários e acessos, como acesso condicional (onde você pode determinar
se um usuário ou um grupo de usuários pode realizar o acesso ao Azure
AD ou aplicativos conectados dependento do dispositivo, localização e
até pelo software que ele está usando para fazer o acesso por exemplo)
Proteção de Identidade e Configurações de MFA (autenticação de
Multifator) avançadas.
• Azure AD Premium P2
7
liberação de acessos que conta até com aprovação e limita o tempo do
acesso) e proteção de identidade avançada.
Fonte: https://portal.azure.com
8
Fonte: https://aad.portal.azure.com
Vamos, agora, entender como criar usuários dentro do Azure AD. Após acessá-
lo, basta clicar em usuários do lado esquerdo da tela:
Fonte: https://aad.portal.azure.com
Existem dois tipos de usuários que podemos criar dentro do Azure AD, sendo:
• Usuário da Organização
9
Fonte: https://aad.portal.azure.com
Dentro da Blade (nome usado para as telas que o portal do azure carrega para
cada recurso que você acessa,) você terá diversas informações para preencher, sendo
algumas obrigatórias. Vamos entender cada bloco dessa parte:
1. Devemos preencher nessa parte o UPN (user principal name) do novo usuário,
que basicamente é o login do usuário no ambiente, neste exemplo será
usuario@dominio.com.
2. Informações básicas como Nome (esse será o nome de exibição desse usuário),
primeiro nome e Sobrenome.
10
Nesse bloco, temos a opção de gerar automaticamente a nossa senha (o padrão
será sempre o de 8 caracteres, o primeiro maiúsculo, quatro letras aleatórias, sendo
uma consoante, uma vogal, uma consoante, uma vogal e quatro numeros aleatórios) ou
nós podemos criar uma senha inicial para o usuário. Independentemente do que
escolhermos, o usuário terá que alterar a senha no primeiro login (temos que lembrar
do conceito que a senha é algo pessoal).
11
no meio da semana, por segurança você pode criar o usuário com acesso bloqueado e
liberar apenas quando ele for, de fato, iniciar o trabalho na sua empresa). Temos
também uma informação muito importante que é o local (país) em que o usuário irá
trabalhar. Dependendo de onde o usuário estiver, algumas ferramentas do Microsoft
365 podem não estar disponíveis, por exemplo.
• Usuário Convidado
Para criar um usuário desse tipo basta clicar em “+ novo usuário convidado”:
12
Dentro da Blade que irá abrir, podemos notear algumas diferenças e
semelhanças entre a criação de usuário e a convidar usuário. Vamos entender os blocos:
13
Podemos deixar uma mensagem adicional para a pessoa (ao finalizarmos o
processo e clicarmos no botão “convidar”, a pessoa irá receber um e-mail com um link
para colaborar no nosso azure ad, e dentro do corpo desse e-mail, será exibida essa
mensagem).
14
O restante das informações são iguais a da criação de usuários, basta preenche-
las como informado anteriormente e clicar, ao finalizar, em “Convidar”. A pessoa
receberá um e-mail com um link aonde, basta ela clicar que terá o acesso configurado a
ela dentro do nosso Azure AD com o e-mail que ela utiliza.
Após criar ou convidar o usuário, basta clicar no nome dele e você poderá
facilmente adicionar permissões, alterar informações, adicionar a um grupo, alterar sua
senha ou revogar o seu acesso.
Como já é de conhecimento geral, foi mais do que provado que hoje em dia,
um usuário, usar para se logar em algum sistema online utilizando apenas a senha é
totalmente inseguro. Pensando nisso, a Microsoft oferece um sistema robusto de
autenticação de multifator, mas o que isso significa?
15
Autenticação Multifator (MFA) é um termo utilizado para dizer que a
autenticação deve ser feita de mais alguma forma além da senha como por exemplo
usando código enviado via SMS para o seu celular, algum aplicativo adicional ou um
certificado digital.
No painel que irá abrir, vamos selecionar o usuário que iremos ativar o MFA e
clicar em Habilitar:
16
Abrirá um alerta e, nele, basta clicar em “habilitar o multi-factor auth”:
Quando o usuário que foi habilitado realizar o Sign-in da proxima vez, será
solicitado a ele mais informações para prosseguir, então ele deve clicar em Avançar:
17
Fonte: https://login.microsoftonline.com/common/login
Fonte: https://account.activedirectory.windowsazure.com/proofup.aspx
18
Ele fornece as instruções necessárias para a configuração na tela que segue:
Por segurança, ele solicita uma configuração adicional para caso você perca
acesso ao aplicativo, basta colocar o seu telefone e clicar em avançar:
19
Na etapa 4, será gerada uma “senha de aplicativo”, que será usada para colocar
em aplicativos ou programas que não aceitam MFA. Caso você não utilize nenhum
software que não aceite MFA basta clicar em concluido:
Nas proximas vezes em que o usuário for entrar, será solicitado o MFA primário
que foi criado:
20
Azure Role Based Access Control
• Azure AD Roles
21
Serão exibidas então as funções atribuídas ao usuário, caso não tenha
nenhuma, basca clica em “+ Adicionar atribuições”:
Serão exibidas as funções que você pode atribuir ao usuário, (lembrando que,
para adicionar uma função ao usuário, você deve ser administrador). Vamos entender
quais são as principais:
22
‒ Administrador de usuários: Pode gerenciar todos os aspectos de usuários
e grupos, incluindo a redefinição de senhas para administradores
limitados.
Fonte:https://docs.microsoft.com/en-us/azure/role-based-access-
control/media/shared/rbac-scope.png
23
Vamos entender um pouco mais sobre essa blade tão importante:
24
- Atribuições de função: Podemos verificar quais são permissões que esse
objeto (no caso o grupo de recursos IGTI) possui.
- Funções: Aqui são listadas todas as funções de RBAC que podemos atribuir
aos usuários esse recurso (e herdado, caso tenha algum recurso abaixo), existem mais
de 100 funções baseadas em todos os recursos do Azure. Ainda podemos, caso possua
o Azure AD premium P1 ou P2, criar as nossas próprias permissões. Vamos entender as
principais:
• Leitor: Exibe todos os recursos, mas não permite que você faça nenhuma
alteração.
Grande parte das outras funções são baseadas diretamente nos recursos,
sendo possível, por exemplo, dar permissão para um usuário, dentro de um grupo de
recursos, acesso apenas às Maquinas Virtuais ou `às Interfaces de Rede delas.
25
Selecione a função que o usuário vai ter e clique no botão “Próximo”, depois
escolha o usuário em “+ Selecionar Membros”, clique em Próximo, verifique as
informações e, em seguida, clique em “Examinar + atribuir”:
26
Capítulo 2. Governança de nuvem no Azure
Fonte: docs.microsoft.com/nl-nl/azure/cloud-adoption-
framework/_images/decision-guides/decision-guide-subscriptions-hierarchy.png
Azure Tags
27
As Tags, servem para organizar os seus recursos dentro do Azure, cada Tag
consiste em um par de nome/valor. Por exemplo, é possível aplicar o nome Ambiente e
o valor Produção a todos os recursos em produção.
Você pode usar as Tags para agrupar os dados de cobrança. Por exemplo, se
estiver executando várias VMs para organizações diferentes, use marcas para agrupar o
uso por centro de custo. Você também pode usar marcas para categorizar os custos pelo
ambiente, como por exemplo, o uso de cobrança para VMs em execução no ambiente
de produção.
Para você adicionar TAGS a um recurso existente, basta selecionar ele, clicar
em “marcações” e colocar os pares:
Note que elas ficarão na parte de baixo. Na parte de “Visão Geral”, elas também
vão ficar visíveis:
28
Para atribuir a um recurso que você está criando, as Tags sempre fazem parte
do processo dentro do portal do Azure, a dica é sempre usar elas de acordo com a
necessidade, já que elas são gratuitas:
Resource Locks
29
produção ou, até mesmo, apagar ela, tendo que recuperar por um backup (se houver),
por exemplo.
30
Para adicionar um Bloqueio, basta clicar em Adicionar, dar um nome ao
bloqueio, selecionar o tipo e (por melhores práticas) adicionar o motivo dessa trava:
Com a trava somente leitura adicionada, não é mais possível realizar qualquer
alteração no recurso, isso inclui qualquer ação nele como, no exemplo abaixo, Iniciar a
maquina virtual:
Azure Policy
31
é Contribuidor de um grupo de recursos, mas não podemos falar que ele não pode criar
máquinas do tipo E, por exemplo.
Para ter esse tipo de controle entra em cena o Azure Policy, recurso gratuito,
baseado em JSON (Java Script Object Notation), que tem o intuíto de organizar o Azure
de acordo com o complience da sua empresa, ajudando a economizar recursos
financeiros, por exemplo (não se limitando somente a isso), indicando que em uma
determinada assinatura ou grupo de recursos, só é possível criar máquinas do tipo B.
Para entender melhor o funcionamento, basta buscar por “Política” dentro do Azure:
Definições, são as políticas que irão nos ajudar no controle do nosso Azure e
elas podem ser de dois tipos, sendo:
32
1. Definição de Politíca: Basicamente, uma política com alguma função específica
como bloquear a localização que os recursos podem ser criados ou o tipo de
máquina virtual.
Existem diversos tipos de políticas de exemplo que podem ser usadas como
modelo para realizar as configurações, vou usar como exemplo a política “SKUs de
Tamanho de máquina virtual permitidos”, pesquisando e clicando no nome da política:
Dentro da política, é exibido um código em JSON que pode ser facilmente lido.
Se você prestar atenção nele, é sempre um conjunto “PROPRIEDADE” : “Descrição”,
como destacado no exemplo abaixo. Como essa é uma politica baseada em um modelo,
não é necessário alterar nenhum parametro nessa tela, basta clicar em “Atribuir”:
33
Para qualquer política que formos criar, serão necessárias algumas informações
principai,s sendo Escopo (o que será afetado por essa política e suas exclusões, caso
aplicável), O nome da política, uma descrição e, uma das partes mais importantes,
escolher se essa política será imposta ou não, sendo:
34
Ao clicar em Avançar, podemos escolher, nesse caso, o tamanho das máquinas
que poderão ser criadas dentro do escopo:
35
Dependendo do tipo de regra, podemos criar uma Remediação (correção) dos
recursos para que eles se adequem à política de forma automática por meio de uma
identidade gerenciada. Por exemplo, se um recurso não tiver Tags, podemos criar uma
política para remediar os recursos que estiverem sem Tags e adicionar sem precisar
acessar o recurso.
Podemos deixar uma mensagem para alertar o usuário que ele está
trabalhando fora das regras da empresa:
Após a regra ser criada, ela pode levar até 30 minutos para começar a fazer
efeito, segue um exemplo de “não conformidade”:
36
As Políticas de iniciativa funcionam da mesma forma, porém, como dito
anteriormente, funcionam baseadas em um conjunto de políticas e podem ser usadas,
por exemplo, para verificar se os seus recursos estão de acordo com conformidades
regulatórias como a ISO 27001:
Azure Blueprints
37
O Azure Blueprints orquestra a implantação de vários modelos de recursos e
outros artefatos, como:
• Atribuições de função;
• Atribuições de política;
• Grupos de recursos.
• Atribuir o Blueprint.
38
Capítulo 3. Segurança de Rede na Nuvem
O NSG pode ser associado tanto a Interface de rede virtual como a Subrede
inteira (facilitando a gerência de diversas maquinas em um local só), pode ser acessado
na seção “REDE” dentro da maquina virtual ou buscando NSG na barra de pesquisa e é
considerado um Firewall básico pois não fornece inspeção na camada de aplicativo nem
controle de acesso autenticado.
39
Por padrão para entrada (Inbound port rules), ele possui 3 regras principais
sendo:
Essas três regras padrão para entrada não podem ser alteradas ou apagadas,
por segurança. Note que, quando essa máquina virtual foi criada, também foi criada uma
regra de Prioridade 300 chamada RDP, vamos analisar ela:
• Porta 3389: Essa é a porta que está sendo afetada pela regra (3389).
40
• Origem Qualquer: De onde o trafego está vindo, nesse caso ele está
liberando o trafego de qualquer lugar para chegar nessa porta.
• Destino Qualquer: Aqui é especificado para quais ips que estão dentro da
NSG que vamos liberar essa porta, como está “Qualquer”, qualquer recurso
que estiver associado a terá a porta liberada interna e externamente.
Agora que entendemos como a NSG funciona na entrada vamos criar uma regra
e entender o que podemos fazer, para isso, basta clicar no botão “Adicionar regra de
porta de entrada”:
41
• Service Tag: São serviços pré especificados pelo Azure como Internet,
VirtualNetwork, AzureCloud e etc.
• Application Security Group (ou ASG): Recurso do Azure onde você pode criar
Tags para marcar interfaces de rede para facilitar a liberação ou bloqueios
sem alterar as NSG’s.
42
No Serviço, temos as configurações de portas mais padrões que o mercado usa,
caso o serviço que você está liberando ou bloqueando não esteja nessa lista, basta
selecionar “Custom”.
Aqui, você pode colocar a porta ou as portas que vão fazer parte da regra. Caso
você coloque Custom no Serviço, os padrões aceitos são:
43
Portocolo, como falado anteriormente, são aceitos os protocolos TCP, UDP e
ICMP(Ping), além de poder liberar ou bloquear os 3 de uma vez utilizando Any.
Ação: Aqui você vai falar o que acontece caso o que foi configurado acima
aconteça, no caso você permite ou libera o tráfego:
44
Nome: Aqui você coloca o nome da Regra (esse campo não pode ser alterado
após a criação).
Descrição: Esse campo (que pode ser alterado após a criação) é onde você
coloca (seguindo as melhores práticas de mercado) o motivo pelo qual você está criando
essa regra.
Obs.: Não é possível fazer regras de NAT (direcionamento de portas) por meio
de NSG.
As regras de Sáida (outbound) funcionam de forma similar, mas você deve ter
em mente que essas regras são do recurso (máquina virtual, por exemplo), para fora
dela (tanto a rede que ela está quanto para a internet), vamos analisar as regras padrões
dela:
45
Quando criamos uma regra aqui, por meio do botão Adicionar regra da porta
de saída, temos que preencher as mesmas informações da porta de entrada, porém
temos que ter em mente que o funcionamento é inverso (a origem será o recurso que
está na NSG e o Destino é para onde você quer bloquear ou liberar o recurso).
Azure Firewall
46
1. Devemos criar uma Subrede dentro de uma VNET chamada
AzureFirewallSubnet que deve ser no mínimo /26, esse nome tem que ser
dessa forma, do contrário não é liberado para criar o firewall.
DDOS Protection
Por Padrão, o Azure nos fornece, sem custo, em todos os recursos de rede,
uma proteção básica contra ataques de negação de serviço (DDOS) nativamente, ou
seja, não exige nenhum tipo de configuração pelo usuário, porém, essa proteção não é
suficiente em caso de um ataque realmente massivo, como por exemplo o que ocorre
durante uma black Friday ou Natal. Com a camada Standard do DDOS protection, é
garantida a proteção contra ataques realmente massivos, para se ter uma ideia de como
esse recurso é potente, o mesmo é usado na rede do Xbox Live e você tem um suporte
próprio com uma SLA de atendimente reduzida, independentemente de você possuir ou
não um contrato de suporte com a Microsoft Microsoft um time focado nesse recurso
estará sempre pronto para te atender.
Azure Backup
47
Atualmente, um dos maiores males da internet atual é o Ramsoware, caso um
atacante consiga acesso a seu servidor, apesar de existirem diversas soluções de
mercado, eles estão implantando esse tipo de virus que se espalha e criptografa todos
os seus arquivos exigindo um valor como resgate para esse sequestro de dados. Caso
isso ocorra com você, o indicado é sempre ter um Backup íntegro e em lugar seguro.
• Local Redundant Storage (LRS): Essa camada, apesar de ficar local, garante a
cópia de seu backup em pelo menos 3 locais diferentes na mesma região, ou
seja, mesmo se ocorrer uma falha no datacenter em um rack onde seu
backup fica, ele estará copiado em outros storages garantindo a resiliência
dos seus dados.
• Global Redundant Storage (GRS): Já nessa camada, além dos seus dados
estarem copiados na região contratata, será feita uma cópia para a região par
da sua região, garantindo que, em caso de falha de uma região, seu backup
estará protegido em outro local do mundo.
Obs.: O backup na camada GRS custa o dobro da LRS e caso você crie um
recovery services vault no padrão e começe a utilizar, ele irá funcionar (por segurança)
na camada GRS e após realizar qualquer configuração de backup não será mais possível
realizar a alteração.
Sobre o Disaster recovery, é um serviço que fará a cópia dos discos de seus
servidores (tanto do azure como locais e de outras nuvens) para uma região diferente,
48
porém não funciona como HA (High Availability), ou seja, em caso de falha no
datacenter, a ação para esse serviço subir uma máquina virtual na outra região deve ser
realizada pelo usuário.
Apesar do Azure ser considerada uma nuvem pública, é possivel você reservar
um host (servidor) dentro dele e criar a sua própria nuvem privada, onde esse host não
será compartilhado com outras empresas e você passará a gerenciar ele por meio das
ferramentas mais seguras do mercado, como Hyper-V ou Vmware. Além de ter a
visibilidade maior sobre o recurso, você geralmente tem uma redução de custo e maior
controle sobre as manutenções dessa máquina.
49
Capítulo 4. Azure Key Vault
Criptografia de Disco
50
criptografar, caso você tenha maquinas ou discos em regiões diferentes, você deve criar
varios Key Vaults e DES de acordo com os discos. Para entender melhor esse processo,
precisamos entender que existe uma ordem dos recursos a serem criados e
configurados, sendo:
1. Criar um Key Vault na mesma região do disco que você quer criptografar.
51
5. Com a maquina desligada e desalocada, vamos até o disco dela, clicamos em
Criptografia, selecionaos o Tipo de Criptografia para “Criptografia em repouso
com uma chave gerenciada pelo cliente”, selecionamos o DES e em seguida,
clicamos em ok
Segredos (Secrets)
52
Certificados Digitais
53
Capítulo 5. Defesa em Profundidade, Security Center e Sentinel
Neste capítulo, vamos entrar um pouco mais fundo nos recursos de segurança
de usuário e ferramentas de segurança como Acesso condicional, identity protection,
Sentinel e Microsoft Defender for Cloud. Os dois primeiros recursos exigem uma
assinatura do Azure AD Premium P1 ou P2, você pode ativar um teste na sua assinatura
dentro do Azure AD, clicando em licenças, e em seguida, ativar clicando do lado direito
em “ativar uma assinatura de teste”:
54
Conditional Access
Por meio de recurso presente no Azure Active Directory Premium P1, podemos
limitar o acesso do usuário baseado em localidade, dispositivo e até mesmo exigir MFA
ou só liberar acesso se a máquina estiver em domínio ou em conformidade dentro do
Intune.
55
Vamos clicar em “+ nova Política” e vamos preencher de acordo com a
necessidade:
Selecione agora as condições para que esse acesso ocorra (ou seja bloqueado),
nesse caso, selecionei todas as plataformas exceto windows, pois vou bloquear o acesso
ao recurso, a menos que, o usuário esteja usando Windows.
56
Em “Conceder”, eu selecionei Bloquear acesso:
Com essa política, o usuário só poderá acessar se estiver usando uma máquina
com o sistema operacional Windows, você pode explorar as outras opções na seção
“Condições”.
Identity Protection
57
Esse recurso detecta, de forma automática, tentativas de sign-in suspeitas e
também comportamentos suspeitos de usuários, identificando eles como um acesso de
um navegador que mascara o IP ou uma viajem impossível (a pessoa realiza o sign-in de
um local e depois alguns minutos depois de algum lugar muito distante), veja um
exemplo do tipo de log que é gerado:
Após reportar uma atitude suspeita de login, ele marca o usuário como “em
risco” e podemos verificar isso em um painel chamado “usuários ariscados”, onde
podemos ver quais os riscos envolvidos nesse usuário:
58
Microsoft Defender for Cloud (antigo Security Center)
Clicando na recomendação:
59
• Conformidades de Segurança: ele trabalha como o security score, mas
fornece recomendações de como se adequar às normas regulatórias de
mercado como ISO 27001, PCI e SOC:
60
• Proteção de Cargas de Trabalho: temos, nessa seção, informação sobre
tentativas de invasão, quais recursos estão sendo cobertos pelo Defender for
Cloud, além de alguns itens de proteção avançada como Just in Time access e
Avaliação de vulnerabilidade de SQL:
61
Azure Sentinel
Após coletar os dados (o que pode levar até 2 horas para começar a fornecer
informações), podemos analisar as informações por meio de Workbooks ou criar
análises mais complexas por meio do Analytics:
62
Analytics: por meio do Analytics, podemos criar regras para analisar o nosso
ambiente e, dependendo do que ele detectar, tomar uma ação por meio de um
“Playbook”:
Além dessas ferramentas, ele possui um modulo de caça (hunting) onde possui
mais de 200 Queries (pesquisas) pré-programadas para procurar problemas de
segurança no seu ambiente:
63
Você pode executar todas em sequência por meio do botão “Run All Queries”,
após ele finalizar, é possível verificar quais foram os problemas detectados:
64
Capítulo 6. Azure Monitor
Log Analytics Workspace é um local onde você pode coletar e analisar logs de
diversas fontes, tanto de serviços do Azure em geral como de outras nuvens e servidores
e estação locais. Para coletar, por exemplo, logs de máquinas virtuais, devemos
selecionar, dentro dele, em Data Sources, quais VM’s vamos adicionar:
65
Após adicionar quais máquinas, devemos definir o que ele deve coletar, para
isso vamos em Agents Configuration:
66
Após a coleta (que leva até 24 horas para finalizar), você pode realizar as
consultas a esses logs em “logs” e a linguaguem utilizada é a KQL (Kusto Query
Language).
67
Application Insights
68
Fonte: https://docs.microsoft.com/pt-br/azure/azure-monitor/app/app-insights-
overview
Azure Alerts
Após coletar logs e métricas, você pode usá-las para criar alertas para te
avisar sobre algum problema, indisponibilidade ou até sobre alguma ação indesejada
que um usuário realizou dentro do Azure, como por exemplo reiniciar uma Máquina
Virtual. Criar um alerta é muito simples, basta buscar por alertas na barra de pesquisa e
clicar em nova regra. Você deve definir alguns parametros nessa regra, sendo:
Ações: O que ocorrerá quando a condição para o escopo for atendida. Essas
ações acontecem por meio de “Grupos de Ação” (Action Groups), e podem ser desde
enviar um simples e-mail, como executar um logic app para tentar solucionar o
problema:
69
Detalhes: Aqui, você preenche os detalhes da regra como nome e descrição
caso ela seja aconteça.
70
Capítulo 7. Status de Serviço, Advisor e Compliance
Azure Advisor
O Azure Advisor é uma ferramenta que nos dá uma visibilidade maior de como
estamos usando os nossos recursos, dando recomendações que podem ajudar a reduzir
custos, melhorar o dimensionamento dos nossos recursos e muito mais.
71
Azure para podermos conseguir nos organizar, a fim de atenuar o tempo de inatividade.
É possivel configurar alertas ou usar um painel personalizado para analisar problemas
de integridade, monitorar o impacto em seus recursos de nuvem, obter diretrizes e
suporte, além de entender os detalhes e atualizações que serão ou foram instaladas no
ambiente físico do Azure (Datacenter).
Compliance no Azure
72
Além de possuir todas essas certificações de segurança padrões de mercado, a
Microsoft também possui certificações específicas para alguns setores como saúde,
financeiro e educacional:
73
Fonte: https://www.microsoft.com/pt-br/security/business
74
Capítulo 8. Migração – Estratégias e Ferramentas Nativas
Estratégias de Migração
75
nesse modelo, redesenhamos a aplicação já pensando em arquitetura de
microserviços (como Docker ou Kubernetes) ou rearquitetamos ela para
funcionar com serviços nativos de nuvem como WebApps, por exemplo.
Como foi visto, exitem diversas formas de se migrar os recursos para o Azure
(ou qualquer outra nuvem) e também é normal usar mais de uma forma durante uma
migração, pois cada empresa possui as suas necessidades. Vamos agora conhecer as
ferramentas que o Azure nos fornece para realizar essas migrações.
Azure Migrate
76
Dentro do Azure Migrate, após criarmos um novo projeto de migração, nos
será apresentado um passo a passo para realizar a descoberta de nossas máquinas
virtuais:
Essa imagem contém, além de uma versão do windows server 2016 com uma
chave que vale por 180 dias, todas as ferramentas necessárias para realizar a descoberta
de outras máquinas e realizar a migração:
77
Ele vai verificar se está conseguindo conectar com o Azure e, após baixar as
atualizações, caso tiver alguma, realizar o registro da máquina com a sua assinatura do
Azure:
Após realizarmos o Login na nossa conta Azure (o que pode levar até 10
minutos para acontecer), devemos configurar as credenciais de Administrador dos
78
nossos servidores, que contém o Hyper-V (se o seu cluster tiver servidores com
credenciais diferentes, todas devem ser adicionadas):
Após esse passo, você poderá selecionar os servidores que deseja que o Azure
Migrate importe para o Azure como máquina virtual e poderá definir o seu tamanho e
configurações.
79
Obs.: Para garantir a conexão do Azure Migrate com o seus Hosts de Hyper-V,
o Windows Remote Management deve estar configurado. Para isso, basta digitar o
comando “winrm qc” e depois Y no Powershell como administrador nos hosts.
Migrar bancos de dados para serviços PaaS se tornou mais simples com essa
ferramenta. O Azure Database Migration Service realiza um assessment nos seus bancos
e tabelas para verificar a compatibilidade dele com o serviço de Banco de Dados do
Azure. Basta baixar e executar a ferramenta para realizar esse assessment totalmente
gratuito:
Na mesma ferramenta, podemos criar de uma forma bem simples, após realizar
o assessment, o projeto de migração.
80
Azure App Service Migration Assistant
81
Basta entrar com o endereço público da sua aplicação que ele realizará um
assessment para verificar o nível de compatibilidade da aplicação web ou site com
serviço de App Service do Azure:
82
83
Capítulo 9. Azure Cloud Adoption Framework
Fonte: https://docs.microsoft.com/pt-br/azure/cloud-adoption-
framework/_images/caf-overview-new.png
• Definir a estratégia: Temos, nesse momento inicial, que entender quais são
as motivações, identificar os resultados esperados e prioridades do projeto.
84
a prioridade do projeto, e migramos os primeiros recursos seguindo as
melhores praticas de mercado.
o Soluções de parceiro.
Além disso, nessa fase (que será constante durante todo o uso do Azure) você
deve identificar todos os riscos e como mitiga-los, sempre pensando em implementar
processos de governança recorrentes para verificar se os recursos estão de acordo com
o que foi planejado desde o começo do projeto. Uma ferramenta muito útil nesse
processo é o Azure Policy.
85
principais implementações incluem Monitoramento, Gerenciamento e
Resiliência.
86
Referências
Você tem uma ideia. Nós ajudamos a protegê-la. Microsoft, 2022. Disponível em:
https://www.microsoft.com/pt-br/security/business. Acesso em: 01 de fev. 2022.
https://docs.microsoft.com/pt-br/azure/cloud-adoption-framework/
87
88