Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure ExpressRoute permite conexões privadas de alto desempenho entre sua infraestrutura local e os serviços de nuvem da Microsoft, ignorando a Internet pública. Embora essa conectividade dedicada aprimore a segurança e a confiabilidade, é essencial implementar as práticas recomendadas para proteger sua implantação contra possíveis ameaças.
Este guia fornece recomendações acionáveis para proteger sua implantação do Azure ExpressRoute, abrangendo áreas importantes, como segurança de rede, gerenciamento de identidades, proteção de dados, detecção de registro em log e ameaças, gerenciamento de ativos e backup e recuperação. Seguindo essas diretrizes, você pode fortalecer sua postura de segurança, garantir a conformidade e manter a continuidade operacional.
Segurança de rede
A segurança de rede do ExpressRoute envolve segmentação adequada, controle de fluxo de tráfego e monitoramento para proteger a conectividade híbrida. Como o ExpressRoute se integra a redes virtuais, proteger a camada de rede é essencial para manter o isolamento e impedir o acesso não autorizado aos recursos de nuvem.
Configure a criptografia MACsec para o ExpressRoute Direct: ative a criptografia MACsec (Media Access Control Security) em conexões do ExpressRoute Direct para adicionar criptografia de Camada 2 entre o equipamento de rede e os roteadores de borda da Microsoft. Armazene as chaves MACsec com segurança no Azure Key Vault. Saiba mais em Configurar a criptografia MACsec para o ExpressRoute Direct.
Implantar gateways do ExpressRoute em sub-redes dedicadas: os gateways do ExpressRoute são implantados em redes virtuais e fornecem conectividade segura por padrão. A sub-rede do gateway (GatewaySubnet) é configurada com controles de segurança apropriados. Para obter mais informações, consulte o gateway do ExpressRoute.
Controlar o tráfego com grupos de segurança de rede: aplique NSGs (Grupos de Segurança de Rede) a sub-redes com recursos conectados por meio do ExpressRoute para restringir o tráfego por porta, protocolo e endereço IP de origem. Crie regras NSG para negar todo o tráfego de entrada por padrão e permitir apenas a comunicação necessária. Para obter mais informações, consulte a visão geral dos Grupos de Segurança de Rede.
Usar O Firewall do Azure ou NVAs (Dispositivos Virtuais de Rede): implante o Firewall do Azure ou os NVA (dispositivos virtuais de rede) de terceiros para adicionar controles de segurança, como filtragem no nível do aplicativo, inteligência contra ameaças e registro em log. Esses dispositivos inspecionam o tráfego por meio do ExpressRoute e aplicam políticas de segurança avançadas. Para obter mais informações, consulte a visão geral do Firewall do Azure.
Observação
Você não pode configurar NSGs diretamente no GatewaySubnet.
Implementar a segmentação de rede: use o emparelhamento de rede virtual e as tabelas de rotas para controlar o fluxo de tráfego entre segmentos de rede conectados por meio do ExpressRoute. Isso isola cargas de trabalho confidenciais e limita o efeito de incidentes de segurança. Para obter mais informações, consulte Emparelhamento de rede virtual e tabelas de rota.
Configure gateways de rede virtual com redundância de zona: implante gateways de rede virtual do ExpressRoute em zonas de disponibilidade para garantir a tolerância a falhas e a alta disponibilidade. Gateways com redundância de zona mantêm a conectividade operacional mesmo que uma zona de disponibilidade tenha uma interrupção. Para obter mais informações, confira Gateways de rede virtual com redundância de zona.
Use diferentes provedores de serviços do ExpressRoute: escolha provedores de serviços diferentes para cada circuito para garantir caminhos diversos e reduzir o risco de tempo de inatividade da rede devido à interrupção de um único provedor. Para obter mais informações, consulte locais e provedores de serviços do ExpressRoute.
Monitorar conexões do ExpressRoute: habilite o registro em log e o monitoramento de diagnóstico para acompanhar a integridade da conexão, o desempenho e os eventos de segurança. Para obter mais informações, consulte Monitoramento do Azure ExpressRoute.
Gerenciamento de identidades
O ExpressRoute não dá suporte à autenticação tradicional baseada em identidade para acesso ao plano de dados porque opera na camada de rede. No entanto, o gerenciamento de identidade adequado é essencial para controlar o acesso a recursos do ExpressRoute e serviços relacionados, como a configuração do Azure Key Vault para MACsec.
Use o RBAC do Azure para operações de gerenciamento: aplique o controle de acesso baseado em função para limitar quem pode criar, modificar ou excluir circuitos e gateways do ExpressRoute. Atribua as permissões mínimas necessárias a usuários e contas de serviço. Para obter mais informações, consulte RBAC (controle de acesso baseado em função) do Azure.
Proteger segredos do MACsec com o Azure Key Vault: armazene chaves de criptografia MACsec com segurança no Azure Key Vault em vez de inseri-las em arquivos de configuração. O ExpressRoute usa identidades gerenciadas para autenticar com o Key Vault para recuperar esses segredos. Para obter mais informações, consulte Configurar a criptografia MACsec para o ExpressRoute Direct.
Implementar o acesso condicional para gerenciamento: use as políticas de acesso condicional do Microsoft Entra para controlar o acesso administrativo aos recursos do ExpressRoute com base na localização do usuário, na conformidade do dispositivo e no nível de risco. Isso ajuda a garantir que somente usuários autorizados possam gerenciar circuitos e gateways do ExpressRoute. Para obter mais informações, veja Acesso Condicional.
Proteção de dados
O ExpressRoute fornece conectividade privada, mas não criptografa dados em trânsito por padrão. Adicione medidas de criptografia e segurança para proteger dados confidenciais à medida que eles fluem entre seu ambiente local e os serviços do Azure.
Configure a autenticação de hash MD5: use a autenticação de hash MD5 ao configurar o emparelhamento privado ou o emparelhamento da Microsoft para proteger mensagens entre o roteador local e os roteadores do Microsoft Enterprise Edge (MSEE). Isso garante a integridade dos dados e impede a adulteração durante o trânsito. Saiba mais nos requisitos de roteamento do ExpressRoute.
Implemente a VPN IPsec no ExpressRoute: para adicionar criptografia sobre o emparelhamento privado do ExpressRoute, configure uma conexão VPN que usa o circuito do ExpressRoute como transporte. Isso adiciona criptografia de ponta a ponta para o tráfego. Saiba mais sobre como usar a VPN S2S como backup para emparelhamento privado do ExpressRoute.
Criptografar dados confidenciais na camada do aplicativo: como o ExpressRoute não fornece criptografia de camada de aplicativo, certifique-se de que os aplicativos criptografem dados confidenciais antes da transmissão usando TLS/SSL ou métodos de criptografia específicos do aplicativo.
Registro em log e detecção de ameaças
Monitorar conexões do ExpressRoute e atividades de rede relacionadas é essencial para detectar possíveis ameaças à segurança e manter a conformidade. O registro em log adequado ajuda a identificar padrões de tráfego incomuns e problemas de conexão que podem indicar incidentes de segurança.
Habilitar logs de recursos do ExpressRoute: defina as configurações de diagnóstico para enviar logs de recursos do ExpressRoute para o Azure Monitor, o Log Analytics ou o Armazenamento do Azure para análise e retenção. Esses logs mostram eventos de conexão e métricas de desempenho. Para obter mais informações, consulte Monitoramento do Azure ExpressRoute.
Configurar alertas para problemas de conexão e integridade do serviço: use o Azure Monitor para configurar alertas para interrupções de circuito do ExpressRoute, degradação de desempenho, alterações de configuração e eventos de manutenção planejados e não planejados. Esses alertas ajudam você a gerenciar proativamente a conectividade e a postura de segurança. Para obter mais informações, consulte Monitorar circuitos do ExpressRoute.
Monitorar padrões de tráfego de rede: use o Observador de Rede do Azure e a Análise de Tráfego para analisar o tráfego por meio da conexão do ExpressRoute. Isso ajuda a encontrar padrões incomuns que podem indicar ameaças à segurança ou configurações incorretas. Para obter mais informações, consulte o Observador de Rede do Azure e monitore o tráfego de rede com a Análise de Tráfego.
Integre-se ao Microsoft Sentinel: envie logs do ExpressRoute para o Microsoft Sentinel para detectar ameaças avançadas e correlacioná-las com outros eventos de segurança em seu ambiente híbrido.
Gerenciamento de ativos
O gerenciamento de recursos do ExpressRoute envolve efetivamente a implementação da governança adequada, o monitoramento das configurações e a garantia da conformidade com as políticas organizacionais. O gerenciamento adequado de ativos ajuda a manter a postura de segurança e a visibilidade operacional.
Implemente a marcação de recursos: use marcas de recurso do Azure para organizar e acompanhar circuitos, gateways e recursos relacionados do ExpressRoute. Etiquetas ajudam no gerenciamento de custos, classificação de segurança e responsabilidade operacional. Para obter mais informações, consulte as marcas de recurso do Azure.
Acompanhe a utilização do circuito: monitore o uso de largura de banda e os padrões de conexão para identificar atividades incomuns que possam indicar ameaças à segurança ou problemas operacionais.
Manter a documentação: mantenha registros detalhados das configurações do ExpressRoute, incluindo configurações de circuito, políticas de roteamento e configurações de segurança, para dar suporte à resposta a incidentes e à auditoria de conformidade.
Backup e recuperação
Verifique a continuidade dos negócios para sua conectividade do ExpressRoute implementando soluções de backup e procedimentos de recuperação. Embora não seja possível fazer backup de circuitos do ExpressRoute, crie opções de conectividade redundantes e configurações de documento.
Implante circuitos redundantes do ExpressRoute: configure vários circuitos do ExpressRoute em locais de emparelhamento separados para obter alta disponibilidade e failover automático. Essa abordagem garante que sua conectividade permaneça operacional se um circuito encontrar um problema. Para obter mais informações, consulte Criar uma conexão ExpressRoute resiliente.
Implemente a conectividade de backup de VPN: configure conexões VPN site a site como um backup para emparelhamento privado do ExpressRoute. Essa configuração fornecerá conectividade alternativa se o circuito primário do ExpressRoute falhar. Para obter mais informações, consulte Como usar a VPN S2S como um backup para emparelhamento privado do ExpressRoute.
Teste dos procedimentos de failover: teste regularmente as opções de conectividade de backup e os procedimentos de failover para garantir que funcionem corretamente quando necessário. Use ferramentas como o Kit de Ferramentas de Conectividade do Azure para validar o desempenho e a conectividade. Para obter mais informações, consulte o Kit de Ferramentas de Conectividade do Azure.
Configurações de documento: mantenha a documentação detalhada das configurações do ExpressRoute, incluindo configurações de circuito, configurações de roteamento e políticas de segurança. Esta documentação habilita a recuperação mais rápida se houver problemas de configuração ou substituição de circuito. Para obter mais informações, consulte a configuração do circuito do ExpressRoute.
Aproveite o Resiliency Insights e a validação para recuperação: use o ExpressRoute Resiliency Insights para avaliar a resiliência de sua conectividade e validar seus objetivos de tempo de recuperação. O Resiliency Insights ajuda você a identificar lacunas de configuração, testar cenários de falha e validar que suas soluções de backup e failover atendem aos requisitos de recuperação de negócios. Execute regularmente a validação de resiliência para garantir que seu ambiente esteja preparado para interrupções e que os procedimentos de recuperação sejam eficazes. Para obter mais informações, consulte ExpressRoute Resiliency Insights e ExpressRoute Resiliency Validation.