Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure
Office 365
Ideias de soluções
Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.
Este artigo descreve como diagramar o ambiente de TI principal da sua organização e criar um mapa de ameaças. Esses diagramas são ferramentas valiosas para planejar e construir uma camada de segurança defensiva robusta. Compreender seu ambiente de TI e sua arquitetura é crucial para identificar os serviços de segurança necessários para fornecer proteção adequada.
Os sistemas de computador contêm informações que não são apenas valiosas para as organizações que a geram, mas também para atores mal-intencionados. Esses atores, sejam indivíduos ou grupos, se envolvem em atividades prejudiciais destinadas a comprometer ou danificar os computadores, dispositivos, sistemas e redes das empresas. Seu objetivo geralmente é roubar ou corromper dados confidenciais usando ameaças como malware ou ataques de força bruta.
Neste artigo, exploramos um método para mapear ameaças ao seu ambiente de TI, permitindo que você planeje a implementação dos serviços de segurança da Microsoft como parte de sua estratégia de segurança.
A boa notícia é que você não precisa criar um mapa de ameaças do zero. A matriz MITRE ATT&CK oferece um excelente recurso para ajudá-lo a desenvolvê-la. MITRE ATT&CK é uma base de conhecimento global que mapeia ameaças do mundo real com base em táticas e técnicas observadas. A MITRE Corporation documenta todas as ameaças conhecidas em detalhes, fornecendo informações valiosas sobre como essas ameaças operam e como você pode se defender contra elas. Este recurso acessível ao público está disponível online em MITRE ATT&CK®.
Neste artigo, usamos um subconjunto dessas ameaças para ilustrar como você pode mapear ameaças ao seu ambiente de TI.
Possíveis casos de uso
Algumas ameaças são comuns em todos os setores, como ransomware, ataques DDoS, cross-site scripting e injeção de SQL. No entanto, muitas organizações enfrentam ameaças específicas exclusivas de seu setor ou com base em ataques cibernéticos anteriores que encontraram. O diagrama neste artigo pode ajudá-lo a mapear essas ameaças para sua organização, identificando as áreas com maior probabilidade de serem alvo de agentes mal-intencionados. A criação de um mapa de ameaças permite planejar as camadas de defesa necessárias para um ambiente mais seguro.
Você pode adaptar este diagrama para modelar diferentes combinações de ataques e entender melhor como evitá-los e mitigá-los. Embora a estrutura MITRE ATT&CK seja uma referência útil, ela não é necessária. O Microsoft Sentinel e outros serviços de segurança da Microsoft também colaboram com a MITRE para fornecer informações valiosas sobre várias ameaças.
Algumas organizações usam o Cyber Kill Chain®, uma metodologia da Lockheed Martin, para mapear e entender como um ataque ou uma série de ataques são realizados contra um ambiente de TI. O Cyber Kill Chain organiza ameaças e ataques considerando menos táticas e técnicas do que a estrutura MITRE ATT&CK. Ainda assim, é eficaz para ajudá-lo a entender as ameaças e como elas podem ser executadas. Para obter mais informações sobre essa metodologia, consulte Cyber Kill Chain.
Arquitetura
Baixe um arquivo Visio dessa arquitetura.
©2021 A MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da The MITRE Corporation.
Para o ambiente de TI das organizações, especificamos os componentes somente para o Azure e o Microsoft 365. Seu ambiente de TI específico pode incluir dispositivos, dispositivos e tecnologias de diferentes provedores de tecnologia.
Para o ambiente do Azure, o diagrama mostra os componentes listados na tabela a seguir.
| Etiqueta | Documentação |
|---|---|
| VNET | O que é a Rede Virtual do Azure? |
| LBS | O que é o Azure Load Balancer? |
| PIPS | Endereços IP públicos |
| SERVIDORES | Máquinas virtuais |
| K8S | Serviço de Kubernetes do Azure |
| VDI | O que é a Área de Trabalho Virtual do Azure? |
| APLICATIVOS WEB | Visão geral do Serviço de Aplicativos |
| ARMAZENAMENTO AZURE | Introdução ao Armazenamento do Azure |
| DB | O que é o Banco de Dados SQL do Azure? |
| Microsoft Entra ID | O que é o Microsoft Entra ID? |
O diagrama representa o Microsoft 365 por meio dos componentes listados na tabela a seguir.
| Etiqueta | Descrição | Documentação |
|---|---|---|
OFFICE 365 |
Microsoft 365 Services (anteriormente Office 365). Os aplicativos que o Microsoft 365 disponibiliza dependem do tipo de licença. | Microsoft 365 – Assinatura de aplicativos Office |
Microsoft Entra ID |
Microsoft Entra ID, o mesmo utilizado pelo Azure. Muitas empresas usam o mesmo serviço Microsoft Entra para Azure e Microsoft 365. | O que é o Microsoft Entra ID? |
Workflow
Para ajudá-lo a entender qual parte do seu ambiente de TI essas ameaças provavelmente atacarão, o diagrama de arquitetura neste artigo é baseado em um ambiente de TI típico para uma organização que tem sistemas locais, uma assinatura do Microsoft 365 e uma assinatura do Azure. Os recursos em cada uma dessas camadas são serviços comuns a muitas empresas. Eles são classificados no diagrama de acordo com os pilares do Microsoft Zero Trust: rede, infraestrutura, endpoint, aplicativo, dados e identidade. Para obter mais informações sobre a Confiança Zero, consulte Adotar a segurança proativa com a Confiança Zero.
O diagrama de arquitetura inclui as seguintes camadas:
No ambiente local
O diagrama inclui alguns serviços essenciais, como servidores (VMs), dispositivos de rede e DNS (Sistema de Nomes de Domínio). Ele inclui aplicativos comuns encontrados na maioria dos ambientes de TI e executados em máquinas virtuais (VMs) ou servidores físicos. Ele também inclui vários tipos de bancos de dados, SQL e não-SQL. As organizações geralmente têm um servidor de arquivos que compartilha arquivos em toda a empresa. Por fim, o Serviço de Domínio Active Directory, um componente de infraestrutura generalizada, manipula as credenciais do usuário. O diagrama inclui todos esses componentes no ambiente local.
Ambiente do Office 365
Este ambiente de exemplo contém aplicativos tradicionais do Office, como Word, Excel, PowerPoint, Outlook e OneNote. Dependendo do tipo de licença, ela também pode incluir outros aplicativos, como OneDrive, Exchange, SharePoint e Teams. No diagrama, eles são representados por um ícone para aplicativos Microsoft 365 (anteriormente Office 365) e um ícone para Microsoft Entra ID. Os usuários devem ser autenticados para obter acesso aos aplicativos do Microsoft 365 e o Microsoft Entra ID atua como o provedor de identidade. O Microsoft 365 autentica os usuários usando o mesmo tipo de ID do Microsoft Entra que o Azure utiliza. Na maioria das organizações, o locatárioMicrosoft Entra ID é o mesmo para o Azure e o Microsoft 365.
Ambiente do Azure
Essa camada representa os serviços de nuvem pública do Azure, incluindo VMs, redes virtuais, plataformas como serviços, aplicativos Web, bancos de dados, armazenamento, serviços de identidade e muito mais. Para obter mais informações sobre Azure, confira a documentação do Azure.
Táticas e técnicas do MITRE ATT&CK
Este diagrama mostra as 16 principais ameaças, de acordo com as táticas e técnicas publicadas pela MITRE Corporation. Nas linhas vermelhas, você pode ver um exemplo de um ataque combinado, o que significa que um ator mal-intencionado pode coordenar vários ataques simultaneamente.
Como usar o framework MITRE ATT&CK
Você pode começar com uma simples busca pelo nome da ameaça ou do código de ataque na página principal, MITRE ATT&CK®.
Você também pode procurar ameaças nas páginas de táticas ou técnicas:
Você ainda pode usar o Navegador MITRE ATT&CK®, uma ferramenta intuitiva fornecida pelo MITRE que ajuda a descobrir táticas, técnicas e detalhes sobre ameaças.
Componentes
A arquitetura de exemplo neste artigo usa os seguintes componentes do Azure:
A ID do Microsoft Entra é um serviço de gerenciamento de acesso e identidade baseado em nuvem que permite acesso seguro a recursos internos e externos. Nessa arquitetura, ele autentica os usuários para os serviços do Azure e do Microsoft 365. Ele serve como o provedor de identidade central em todo o ambiente.
A Rede Virtual do Azure é um serviço de rede no Azure que permite a comunicação segura entre os recursos do Azure, a Internet e as redes locais. Nessa arquitetura, ela fornece infraestrutura de rede isolada e escalonável para hospedar cargas de trabalho e impor o controle de tráfego.
O Azure Load Balancer é um serviço de balanceamento de carga de camada 4 de alto desempenho para o TCP (Protocolo de Controle de Transmissão) e o tráfego UDP (User Datagram Protocol). Nessa arquitetura, ela garante alta disponibilidade e escalabilidade distribuindo tráfego de entrada e saída entre VMs e serviços.
As Máquinas Virtuais do Azure são uma oferta de IaaS (infraestrutura como serviço) que fornece recursos flexíveis de computação sob demanda. Nessa arquitetura, as VMs hospedam aplicativos e serviços que fazem parte do ambiente de TI da organização e estão sujeitos ao mapeamento de ameaças.
O AKS (serviço de Kubernetes do Azure) é um serviço gerenciado do Kubernetes para implantar e gerenciar aplicativos em contêineres. Nessa arquitetura, ele executa aplicativos em contêineres e dá suporte à segurança e governança de nível empresarial como parte da superfície de ameaça.
A Área de Trabalho Virtual é um serviço de virtualização de aplicativos e área de trabalho que é executado na nuvem para fornecer áreas de trabalho para usuários remotos. Nessa arquitetura, ela fornece acesso seguro para usuários remotos e está incluída no mapa de ameaças como um potencial vetor de ataque.
O recurso Aplicativos Web do Serviço de Aplicativo do Azure hospeda aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma escolhido. Os aplicativos são executados e dimensionados com facilidade em ambientes baseados no Windows e no Linux. Nessa arquitetura, os Aplicativos Web hospedam aplicativos baseados em HTTP protegidos por meio de recursos de segurança integrados, como TLS (Transport Layer Security) e pontos de extremidade privados.
O Armazenamento do Azure é um serviço de armazenamento escalonável e seguro para vários objetos de dados na nuvem, incluindo armazenamento de objeto, blob, arquivo, disco, fila e tabela. O Armazenamento do Azure criptografa todos os dados gravados em uma conta de Armazenamento. Ele fornece controle refinado sobre o acesso aos seus dados. Nessa arquitetura, ela armazena dados do aplicativo e do sistema e é incluída no mapa de ameaças devido à sua função na proteção de dados e no controle de acesso.
O Banco de Dados SQL é um mecanismo de banco de dados relacional gerenciado que automatiza a aplicação de patch, backups e monitoramento. Nessa arquitetura, ela armazena dados estruturados e dá suporte a recursos internos de segurança e conformidade para mitigar ameaças.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Rudnei Oliveira | Engenheiro Sênior de Segurança do Azure
Outros colaboradores:
- Gary Moore | Programador/escritor
- Andrew Nathan | Gerente Sênior de Engenharia de Clientes
Próximas etapas
Este documento faz referência a alguns serviços, tecnologias e terminologias. Veja mais informações sobre eles nos seguintes recursos:
- MITRE ATT&CK®
- Navegador ATT&CK®)
- A Cadeia de Eliminação Cibernética®
- Adote a segurança proativa com Zero Trust
- Ameaça mista na Wikipédia
- Como os ataques cibernéticos estão mudando de acordo com o novo Relatório de Defesa Digital da Microsoft do Blog de Segurança da Microsoft
Recursos relacionados
Para obter mais informações sobre essa arquitetura de referência, consulte os outros artigos desta série: