Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Gateway de Aplicativo do Azure é um balanceador de carga de tráfego da Web que permite gerenciar o tráfego para seus aplicativos Web. Como um componente crítico em sua infraestrutura de rede, o Gateway de Aplicativo lida com solicitações de entrada e as encaminha para serviços de back-end, tornando essencial implementar medidas de segurança adequadas para proteger contra ameaças e garantir a conformidade com os requisitos de segurança organizacional.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Gateway de Aplicativo do Azure.
Segurança de rede
A segurança de rede do Gateway de Aplicativo envolve controlar o fluxo de tráfego, implementar a segmentação adequada e proteger as comunicações entre clientes e serviços de back-end.
Implante em uma sub-rede dedicada: coloque o Gateway de Aplicativo em uma sub-rede dedicada em sua rede virtual para fornecer isolamento de rede e habilitar o controle de tráfego granular. Essa separação ajuda a conter possíveis incidentes de segurança e permite políticas de segurança direcionadas.
Aplicar Grupos de Segurança de Rede: use Grupos de Segurança de Rede (NSGs) para restringir o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras de NSG para limitar o acesso apenas às portas necessárias e impedir que as portas de gerenciamento sejam acessadas de redes não confiáveis. Para saber mais, confira Grupos de segurança de rede.
Configure endpoints privados: Implante endpoints privados para seu Gateway de Aplicativo, quando compatíveis, para estabelecer pontos de acesso privados que eliminem a exposição à internet pública. Isso reduz a superfície de ataque mantendo o tráfego dentro da rede virtual. Para obter mais informações, consulte Configurar o Link Privado do Gateway de Aplicativo do Azure (versão prévia).
Habilitar a proteção contra DDoS: implante a Proteção de Rede do Azure DDoS na rede virtual que hospeda o Gateway de Aplicativo para proteger contra ataques de DDoS em larga escala. Isso fornece recursos aprimorados de mitigação de DDoS, incluindo ajuste adaptável e notificações de ataque. Para obter mais informações, consulte Proteger seu gateway de aplicativo com a Proteção de Rede de DDoS do Azure.
Implementar a configuração de infraestrutura adequada: siga a configuração de infraestrutura recomendada do Azure para garantir que o Gateway de Aplicativo seja implantado com as melhores práticas de segurança. Isso inclui o dimensionamento de sub-rede adequado, a configuração da tabela de rotas e as dependências de rede. Para obter mais informações, consulte a configuração de infraestrutura do Gateway de Aplicativo.
Proteção de aplicativo Web
O Firewall do Aplicativo Web fornece proteção essencial contra vulnerabilidades e ataques comuns da Web direcionados aos seus aplicativos.
Implantar o Firewall de Aplicações Web: habilite o WAF no seu Gateway de Aplicações para proteger contra ameaças OWASP Top 10, incluindo injeção de SQL, cross-site scripting, e outros ataques comuns na Web. Comece no modo de detecção para entender os padrões de tráfego e, em seguida, alterne para o modo prevenção para bloquear ativamente as ameaças. Para obter mais informações, consulte o que é o Firewall do Aplicativo Web do Azure no Gateway de Aplicativo do Azure?
Configurar regras personalizadas do WAF: crie regras personalizadas para lidar com ameaças específicas direcionadas a seus aplicativos, incluindo limitação de taxa, bloqueio de IP e filtragem geográfica. As regras personalizadas fornecem proteção direcionada além dos conjuntos de regras gerenciadas. Para obter mais informações, consulte Criar e usar regras personalizadas v2.
Habilitar a proteção contra bots: use o conjunto de regras gerenciadas de proteção contra bots para identificar e bloquear bots mal-intencionados, permitindo o tráfego legítimo de mecanismos de pesquisa e ferramentas de monitoramento. Para obter mais informações, consulte Configurar a proteção contra bots.
Implementar a limitação de taxa: configure regras de limitação de taxa para evitar abusos e ataques de DDoS controlando o número de solicitações permitidas de endereços IP individuais em janelas de tempo especificadas. Para obter mais informações, consulte a visão geral de limitação de taxa.
Gerenciamento de identidade e acesso
Controles de autenticação e autorização adequados garantem que somente usuários e sistemas autorizados possam acessar o Gateway de Aplicativo e sua configuração.
Configurar a autenticação mútua: implemente a autenticação TLS mútua para verificar certificados de cliente, fornecendo uma camada extra de segurança para aplicativos confidenciais. Isso garante que o cliente e o servidor se autentiquem. Para obter mais informações, consulte Configurar a autenticação mútua com o Gateway de Aplicação por meio do portal.
Use o RBAC do Azure para acesso de gerenciamento: aplique o controle de acesso baseado em função para limitar quem pode modificar as configurações do Gateway de Aplicativo. Atribua as permissões mínimas necessárias a usuários e contas de serviço. Para obter mais informações, consulte as funções internas do Azure.
Proteção de dados
A proteção de dados para o Gateway de Aplicativo concentra-se em garantir a segurança dos dados em trânsito e em gerenciar certificados e segredos adequadamente.
Habilitar a criptografia TLS: configure a terminação TLS para criptografar dados em trânsito entre clientes e seu Gateway de Aplicativo. Verifique se você está usando a versão mais recente para proteger contra vulnerabilidades conhecidas. Para saber mais, confira Visão geral da terminação de TLS e TLS de ponta a ponta com um Gateway de Aplicativo.
Armazenar certificados no Azure Key Vault: use o Azure Key Vault para armazenar e gerenciar com segurança seus certificados TLS em vez de inseri-los em arquivos de configuração. Isso permite a rotação automática de certificados e o gerenciamento centralizado de segredos. Para obter mais informações, consulte terminação de TLS com certificados do Key Vault.
Configurar o gerenciamento seguro de certificados: configure a rotação automática de certificados no Azure Key Vault com base em um agendamento definido ou ao se aproximar da expiração. Verifique se a geração de certificados segue os padrões de segurança com tamanhos de chave suficientes e períodos de validade apropriados. Para obter mais informações, consulte Configurar um Gateway de Aplicativo com terminação TLS usando o portal do Azure.
Implementar o redirecionamento HTTP para HTTPS: configure o redirecionamento automático de HTTP para HTTPS para garantir que todo o tráfego seja criptografado. Isso impede que dados confidenciais sejam transmitidos em texto sem formatação. Para obter mais informações, consulte Criar um gateway de aplicativo com redirecionamento HTTP para HTTPS usando o portal do Azure.
Configurar o TLS de ponta a ponta: habilite a criptografia TLS entre o Gateway de Aplicativo e os servidores de back-end para a proteção máxima de dados em todo o caminho de comunicação. Para saber mais, confira Visão geral da terminação de TLS e TLS de ponta a ponta com um Gateway de Aplicativo.
Monitoramento e detecção de ameaças
O registro em log e o monitoramento fornecem visibilidade das operações do Gateway de Aplicativo e ajudam a detectar possíveis ameaças à segurança.
Habilitar o log de diagnóstico: configure os logs de recursos do Azure para capturar informações detalhadas sobre operações do Gateway de Aplicativo, incluindo padrões de acesso, métricas de desempenho e eventos de segurança. Envie esses logs para um workspace do Log Analytics ou para uma conta de armazenamento para análise. Para mais informações, confira Integridade de back-end e logs de diagnóstico do Gateway de Aplicativo.
Configurar sondas de integridade personalizadas: Configure sondas de integridade personalizadas para monitorar a integridade do servidor de back-end com mais eficiência do que as sondas padrão. Investigações personalizadas podem detectar problemas no nível do aplicativo e garantir que o tráfego atinja apenas servidores íntegros. Para obter mais informações, consulte a visão geral das sondas de integridade do Application Gateway.
Configurar monitoramento e alertas: crie alertas com base em métricas e logs do Gateway de Aplicativo para detectar padrões de tráfego incomuns, tentativas de autenticação com falha ou anomalias de desempenho que possam indicar problemas de segurança. Use o Azure Monitor para estabelecer o desempenho da linha de base e identificar desvios.
Implemente o gerenciamento de log centralizado: integre os logs do Gateway de Aplicativo ao sistema siem (gerenciamento de eventos e informações de segurança) para correlacionar eventos em sua infraestrutura e habilitar a detecção e a resposta automatizadas de ameaças.
Monitorar a integridade do back-end: use o recurso Integridade de Back-end para monitorar continuamente o status dos servidores de back-end e identificar rapidamente possíveis problemas de segurança ou disponibilidade. Para obter mais informações, consulte Confira a integridade do back-end no portal.
Gerenciamento de ativos
O gerenciamento de ativos garante que as configurações do Gateway de Aplicativo sejam monitoradas corretamente e estejam em conformidade com as políticas organizacionais.
Implementar a governança do Azure Policy: use o Azure Policy para auditar e impor configurações em suas implantações do Gateway de Aplicativo. Crie políticas que impeçam configurações inseguras e garantam a conformidade com os padrões de segurança. Para obter mais informações, consulte as definições internas do Azure Policy para serviços de rede do Azure.
Monitorar a conformidade de configuração: use o Microsoft Defender para Nuvem para monitorar continuamente as configurações do Gateway de Aplicativo e receber alertas quando forem detectados desvios das linhas de base de segurança. Defina a remediação automatizada sempre que possível para manter uma postura de segurança consistente.
Próximas etapas
- Saiba mais sobre arquitetura e design de segurança do Azure
- Examinar a segurança no Microsoft Cloud Adoption Framework
- Explorar o Firewall de Aplicação Web no Gateway de Aplicativo do Azure