Considerações de segurança para o acelerador de zona de destino do Azure Integration Services

Uma boa segurança é a base de qualquer aplicativo Azure. Azure Integration Services enfrentam um desafio específico, pois há muitos recursos que compõem um aplicativo e cada um desses recursos tem suas próprias considerações de segurança. Para garantir que você entenda as considerações específicas de cada serviço, consulte as seguintes linhas de base de segurança:

• Azure linha de base de segurança para Logic Apps

• Azure base de segurança para a Gestão de APIs

• Base de segurança do Azure para o Data Factory

• Azure linha de base de segurança para Barramento de Serviço

• Linha de base de segurança do Azure para Functions

• Linha de base de segurança do Azure para Armazenamento

• Linha de base de segurança do Azure para Key Vault

Considerações sobre o design

Ao projetar seu modelo de segurança, há duas áreas de design diferentes: segurança em tempo de design e segurança em tempo de execução.

• Design-time security envolve o acesso ao gerenciamento e criação de recursos Azure por meio do portal Azure ou da API Resource Manager. Em Azure, usamos Microsoft Entra ID e RBAC (controle de acesso baseado em função).

• Run-Time security envolve acesso a endpoints e recursos durante o fluxo de um aplicativo – por exemplo, autenticar e autorizar um usuário que chama um Logic App, ou uma operação de API no API Management.

Decida antecipadamente se você precisa:

• Private Cloud - todos os seus recursos residem em um Rede Virtual (VNet) e usam apenas a rede privada, sem acesso à Internet pública, potencialmente disponível para seus recursos locais por meio de VPN ou ExpressRoute.

• Nuvem Pública – todos os seus recursos voltados para o público têm acesso à Internet pública, embora bloqueados para restringir o acesso da Internet pública e permitir apenas endereços IP/intervalos específicos.

• Híbrido - alguns recursos são privados e outros são públicos.

A escolha que você faz afeta o custo de seus recursos, juntamente com a segurança que você pode implementar para seus aplicativos.

Considerações gerais sobre segurança incluem:

• Usando Azure serviços de rede para proteger o tráfego de entrada e saída.

• Usando Microsoft Entra ID e OAuth 2.0 para gerenciar a autenticação e a autorização.

• Impor políticas de governança com Azure Policy.

• Bloquear o acesso aos recursos (controle de acesso).

• Criptografar dados em trânsito e em repouso.

• Registrando todas as tentativas de acessar recursos.

• Auditando o acesso aos recursos.

Recomendações de design

Recomendações de design de rede

• Examine o uso de um Application Gateway (Gateway de Aplicativo do Azure ou Azure Front Door) com um Firewall de Aplicativo Web (WAF) à frente de seus pontos de extremidade acessíveis; isso ajudará na criptografia automática de dados e permitirá que você monitore e configure seus pontos de extremidade mais facilmente.

  • O Front Door é uma rede de entrega de aplicativos que fornece o balanceamento de carga global e o serviço de aceleração de site para aplicativos Web. O Front Door oferece recursos de Camada 7, como descarregamento de SSL, roteamento baseado em caminho, failover rápido e cache para melhorar o desempenho e a disponibilidade de seus aplicativos.

  • Traffic Manager é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de maneira ideal para serviços em regiões de Azure globais, fornecendo alta disponibilidade e capacidade de resposta. Como o Gerenciador de Tráfego é um serviço de balanceamento de carga baseado em DNS, ele só é balanceado no nível do domínio. Por esse motivo, ele não pode fazer failover tão rapidamente quanto o Front Door devido a desafios comuns em relação ao cache DNS e sistemas que não respeitam o TTL DNS.

  • O Gateway de Aplicativo fornece um controlador de entrega de aplicativo gerenciado com várias funcionalidades de balanceamento de carga da Camada 7. Você pode usar o Gateway de Aplicações para otimizar a produtividade da fazenda web transferindo para o gateway o processamento intensivo de CPU da terminação SSL.

  • Azure Load Balancer é um serviço de balanceamento de carga de entrada e saída da Camada 4 de alto desempenho e de baixa latência para todos os protocolos UDP e TCP. Load Balancer lida com milhões de solicitações por segundo. Load Balancer é redundante entre zonas, garantindo alta disponibilidade nas Zonas de Disponibilidade.

• Implemente o isolamento de rede para seus recursos de serviços de integração usando a integração de VNet para colocá-los em uma sub-rede isolada combinada com o uso de Azure PrivateLink e pontos de extremidade privados. Consulte o artigo sobre topologia e conectividade de rede nesta série para obter uma revisão dessas diretrizes de design.

• Proteja o tráfego de saída com Firewall do Azure

• Use Filtragem de IP para bloquear seus pontos de extremidade, permitindo que eles sejam acessados apenas por endereços de rede conhecidos. Isso é aplicável a serviços de Plataforma como Serviço (PaaS), como Aplicativos Lógicos, Aplicativos de Função e Barramento de Serviço, que não estão integrados a VNets.

• Se você tiver recursos disponíveis publicamente, use a ofuscação DNS para deter quaisquer invasores; ofuscação significa usar nomes de domínio personalizados ou nomes específicos de recursos do Azure que não revelem a finalidade ou o proprietário de um recurso.

Recomendações de design de criptografia

• Ao armazenar dados (em Armazenamento do Azure ou Azure SQL Server, por exemplo) em serviços de PaaS Azure, eles são sempre criptados em repouso usando chaves gerenciadas por Microsoft. Bloqueie o acesso aos dados, idealmente apenas para serviços e um número limitado de administradores. Lembre-se de que isso também se aplica aos dados de log. Para obter mais informações, consulte Azure criptografia de dados em repouso e visão geral da criptografia Azure. Considere se o uso de Customer Managed Keys (CMK) é necessário ou se as chaves gerenciadas por Microsoft são suficientes.

• Sempre use Criptografia em Trânsito (tráfego TLS, por exemplo) ao transferir dados entre recursos; nunca envie dados por um canal não criptografado.

• Ao usar protocolos TLS, sempre use o TLS 1.2 ou superior.

• Mantenha segredos em Azure Key Vault e vincule-os a App Settings (Functions, Aplicativos Lógicos), Named Values (Gerenciamento de API) ou Configuration Entries (Configuração do Aplicativo).

• Implementar uma política de rotação de chaves para garantir que todas as chaves em uso em seu ambiente sejam giradas regularmente para evitar ataques usando chaves comprometidas

• Para Logic Apps, use ofuscação para proteger dados no histórico de execução.

Recomendações de design de autenticação e acesso

• Sempre siga o princípio do privilégio mínimo ao atribuir acesso: dê a uma identidade as permissões mínimas necessárias. Se não houver uma função interna com as permissões mínimas necessárias, considere criar uma função personalizada apenas com essas permissões.

• Sempre que possível, use Identidades Gerenciadas quando um recurso precisar acessar um serviço. Por exemplo, se o fluxo de trabalho do Logic App precisar acessar o Key Vault para recuperar um segredo, use a Identidade Gerenciada dos seus Logic Apps; As Identidades Gerenciadas fornecem um mecanismo mais seguro e fácil de gerenciar para acessar recursos, pois a Azure gerencia a identidade em seu nome.

• Use OAuth 2.0 como o mecanismo de autenticação entre pontos de extremidade de recurso.

  • Em Logic Apps ou Functions, habilite o Easy Auth, que exige que todos os chamadores externos usem uma identidade OAuth (geralmente Microsoft Entra ID, mas podem ser qualquer provedor de identidade).

  • No Gerenciamento de API, utilize o validate-jwtelemento de política para exigir um fluxo OAuth para conexões com os endpoints.

  • Em Armazenamento do Azure e Key Vault, configure políticas de acesso para restringir o acesso a identidades específicas.

Recomendações de design de governança

• Use ativamente Azure Policy para procurar problemas de segurança ou falhas. Por exemplo, endpoints sem filtragem de IP.

• Quando disponível, use Microsoft Defender para Nuvem para verificar seus recursos e identificar possíveis fraquezas.

• Examine regularmente os logs de auditoria (idealmente usando uma ferramenta automatizada) para identificar os ataques de segurança e qualquer acesso não autorizado aos seus recursos.

• Considere o uso de testes de penetração para identificar quaisquer pontos fracos no design de segurança.

• Use processos de implantação automatizados para configurar a segurança. Sempre que possível, use um pipeline de CI/CD como GitHub Actions ou Azure DevOps Pipelines e ferramentas de Infraestrutura como Código, como Bicep ou Terraform para não apenas implantar seus recursos, mas também para configurar a segurança. Isso garante que seus recursos serão protegidos automaticamente sempre que forem implantados.

Próxima etapa

Examine as áreas de design críticas para fazer considerações e recomendações completas para sua arquitetura.

Conteúdo recomendado

• O que é Microsoft Defender para Nuvem?

• O que são identidades gerenciadas para recursos de Azure?

• Autenticar acesso a recursos do Azure com identidades gerenciadas no Aplicativos Lógicos do Azure

• Considerações de segurança para movimentação de dados no Azure Data Factory

• Acionar fluxos de trabalho em aplicativos lógicos Standard com a Autenticação Fácil

• Proteger uma API em Gerenciamento de API do Azure usando a autorização OAuth 2.0 com Microsoft Entra ID

• segurança do Azure Key Vault

• Contas de armazenamento e segurança