Considerações de segurança para o acelerador de zonas de aterragem do Azure Integration Services

Uma boa segurança é a base de qualquer aplicação Azure. Os Serviços de Integração do Azure enfrentam um desafio particular, pois existem muitos recursos que compõem uma aplicação, e cada um destes recursos tem as suas próprias considerações de segurança. Para garantir que você entenda as considerações específicas de cada serviço, consulte as seguintes linhas de base de segurança:

• Linha de base de segurança do Azure para Logic Apps

• Linha de base de segurança do Azure para o API Management

• Linha de base de segurança do Azure para Data Factory

• Base de segurança do Azure para Service Bus

• Diretrizes de segurança do Azure para Funções

• Azure diretrizes de segurança para Armazenamento

• Base de segurança do Azure para o Key Vault

Considerações de design

Ao projetar seu modelo de segurança, há duas áreas de design diferentes: segurança em tempo de design e segurança em tempo de execução.

• Segurança em tempo de projeto envolve o acesso à gestão e criação de recursos Azure através do portal Azure, ou da API Resource Manager. No Azure, utilizamos o Microsoft Entra ID e o controlo de acesso baseado em funções (RBAC).

• Run-Time segurança envolve o acesso a pontos de acesso e recursos no decorrer de uma aplicação - por exemplo, autenticar e autorizar um utilizador que chama uma Logic App, ou uma operação de API no API Management.

Decida antecipadamente se precisa:

• Cloud Privada - todos os seus recursos estão em uma Rede Virtual (VNet) e utilizam apenas redes privadas, sem acesso à Internet pública e sem acesso proveniente dela, estando potencialmente disponíveis para os seus recursos no local via VPN ou ExpressRoute.

• Nuvem Pública - todos os seus recursos voltados para o público têm acesso à internet pública, mas são configurados para restringir o acesso de outras fontes da Internet pública, permitindo apenas endereços ou intervalos IP específicos.

• Híbrido - alguns recursos são privados e outros públicos.

A escolha que faz afeta tanto o custo dos seus recursos como o grau de segurança que pode implementar nas suas aplicações.

As considerações gerais de segurança incluem:

• Uso de serviços de rede Azure para proteger o tráfego de entrada e saída.

• Utilização do Microsoft Entra ID e OAuth 2.0 para gerir autenticação e autorização.

• Aplicar políticas de governação com Azure Policy.

• Bloqueio do acesso aos recursos (controlo de acesso).

• Encriptação de dados em trânsito e em repouso.

• Registro de todas as tentativas de acesso a recursos.

• Auditoria do acesso aos recursos.

Recomendações de design

Recomendações de design de rede

• Considere a utilização de um Application Gateway (Gateway de Aplicação do Azure ou Azure Front Door) com um Firewall de Aplicações Web (WAF) à frente dos seus endpoints acessíveis; isto ajudará na cifragem automática dos dados e permitirá que monitorize e configure os seus endpoints com mais facilidade.

  • O Front Door é uma rede de entrega de aplicativos que fornece balanceamento de carga global e serviço de aceleração de site para aplicativos Web. O Front Door oferece recursos de Camada 7, como descarregamento SSL, roteamento baseado em caminho, failover rápido e cache para melhorar o desempenho e a disponibilidade de seus aplicativos.

  • Traffic Manager é um balanceador de carga de tráfego baseado em DNS que lhe permite distribuir o tráfego de forma ótima para serviços em várias regiões Azure globais, proporcionando ao mesmo tempo alta disponibilidade e capacidade de resposta. Como o Gestor de Tráfego é um serviço de balanceamento de carga baseado em DNS, ele equilibra a carga apenas ao nível do domínio. Por esse motivo, ele não pode fazer failover tão rapidamente quanto o Front Door devido a desafios comuns em torno do cache de DNS e sistemas que não respeitam o DNS TTL.

  • O Application Gateway fornece um controlador de entrega de aplicativos gerenciado com vários recursos de balanceamento de carga da Camada 7. Você pode usar o Application Gateway para otimizar a produtividade do webfarm descarregando a terminação SSL com uso intensivo de CPU para o gateway.

  • Balanceador de Carga do Azure é um serviço de balanceamento de carga de entrada e saída de Camada 4 de alto desempenho e latência ultra-baixa para todos os protocolos UDP e TCP. Balanceador de Carga lida com milhões de pedidos por segundo. O Balanceador de Carga é redundante por zona, garantindo alta disponibilidade em todas as Zonas de Disponibilidade.

• Implemente isolamento de rede para os seus recursos de serviços de integração usando integração VNet para os colocar numa sub-rede isolada, combinada com o uso de Azure PrivateLink e endpoints privados. Consulte o artigo Topologia de rede e conectividade desta série para obter uma revisão destas diretrizes de design.

• Proteja o tráfego de saída com Azure Firewall

• Use Filtragem IP para bloquear os seus endpoints para que só sejam acedidos por endereços de rede conhecidos (isto aplica-se a serviços Platform-as-a-Service (PaaS) (como Logic Apps, Function Apps, Service Bus) que não estão integrados em VNets).

• Se tiver recursos disponíveis publicamente, use a ofuscação DNS para dissuadir quaisquer atacantes; Ofuscação significa nomes de domínio personalizados ou nomes específicos de recursos do Azure que não revelam o propósito ou o proprietário de um recurso.

Recomendações de design de criptografia

• Ao armazenar dados (em Armazenamento do Azure ou Azure SQL Server, por exemplo) nos serviços PaaS do Azure, os dados são sempre encriptados em repouso usando chaves geridas pela Microsoft. Bloqueie o acesso aos dados, idealmente apenas a serviços e a um número limitado de administradores. Lembre-se de que isso também se aplica aos dados de log. Para mais informações, consulte encriptação de dados em repouso do Azure e visão geral da encriptação do Azure. Considere se é necessário usar chaves Geridas pelo Cliente (CMK) ou se as chaves geridas por Microsoft são suficientes.

• Utilize sempre a Encriptação em Trânsito (tráfego TLS, por exemplo) ao transferir dados entre recursos; Nunca envie dados através de um canal não encriptado.

• Ao usar protocolos TLS, sempre use TLS 1.2 ou superior.

• Guarda segredos em Azure Key Vault, e depois liga-os a Definições de Aplicação (Funções, Aplicações de Lógica), Valores Nomeados (Gestão de APIs), ou Entradas de Configuração (Configuração de Aplicações).

• Implemente uma política de rotação de chaves para garantir que todas as chaves em uso no seu ambiente são regularmente rotadas para evitar ataques com chaves em risco

• Para aplicações lógicas, use a ofuscação para proteger dados no histórico de execução.

Recomendações de design de autenticação e acesso

• Siga sempre o princípio do menor privilégio ao atribuir acesso: dê a uma identidade as permissões mínimas necessárias. Se não houver um papel incorporado com as permissões mínimas necessárias, considera criar um papel personalizado apenas com essas permissões.

• Sempre que possível, use sempre Identidades Gerenciadas quando um recurso precisar acessar um serviço. Por exemplo, se o seu fluxo de trabalho do Logic App precisar de aceder a Key Vault para recuperar um segredo, use o Managed Identity das suas Logic Apps; As Identidades Geridas oferecem um mecanismo mais seguro e fácil de gerir para aceder a recursos, já que o Azure gere a identidade em seu nome.

• Utilize OAuth 2.0 como mecanismo de autenticação entre pontos de extremidade de recurso:

  • Em Logic Apps ou Functions, ativa Easy Auth, que exige que todos os chamadores externos usem uma identidade OAuth (normalmente Microsoft Entra ID, mas pode ser qualquer fornecedor de Identidade).

  • No Gerenciamento de API, utilize o validate-jwtelemento de política para exigir um fluxo OAuth para conexões com endpoints.

  • No Armazenamento do Azure e no Key Vault, configure políticas de acesso para restringir o acesso a identidades específicas.

Recomendações de design de governança

• Usa ativamente Azure Policy para procurar problemas ou falhas de segurança. Por exemplo, endpoints sem filtro IP.

• Quando possível, use Microsoft Defender para a Cloud para analisar os seus recursos e identificar potenciais fraquezas.

• Analise regularmente os logs de auditoria (idealmente usando uma ferramenta automatizada) para identificar ataques de segurança e qualquer acesso não autorizado aos seus recursos.

• Considere o uso de testes de penetração para identificar quaisquer fraquezas em seu projeto de segurança.

• Use processos de implantação automatizados para configurar a segurança. Sempre que possível, utilize um pipeline CI/CD como GitHub Actions ou Azure DevOps Pipelines e ferramentas de Infraestrutura como Código como Bicep ou Terraform não só para implementar os seus recursos, mas também para configurar a segurança. Isso garante que seus recursos serão protegidos automaticamente sempre que forem implantados.

Próximo passo

Analise as áreas críticas de design para fazer considerações e recomendações completas para sua arquitetura.

Conteúdo recomendado

• O que é Microsoft Defender para a Cloud?

• O que são identidades geridas para Azure recursos?

• Autenticar o acesso a recursos Azure com identidades geridas em Azure Logic Apps

• Considerações de segurança para o movimento de dados em Azure Data Factory

• Acionar fluxos de trabalho em aplicações lógicas Standard com Autenticação Simples

• Proteja uma API em API Management do Azure usando autorização OAuth 2.0 com Microsoft Entra ID

• Segurança do Azure Key Vault

• Contas de armazenamento e segurança