Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma visão geral dos principais recursos de segurança do Azure para máquinas virtuais.
As Máquinas Virtuais do Azure permitem implantar uma ampla gama de soluções de computação de maneira ágil. O serviço dá suporte ao Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP e Serviços BizTalk do Azure. Você pode implantar qualquer carga de trabalho e qualquer idioma em praticamente qualquer sistema operacional.
As VMs do Azure fornecem a flexibilidade da virtualização sem comprar e manter o hardware físico. Você pode criar e implantar aplicativos com a garantia de que seus dados estão protegidos em datacenters altamente seguros.
Com o Azure, você pode compilar soluções compatíveis, com segurança avançada, que:
- Proteger máquinas virtuais contra vírus e malware
- Criptografar dados confidenciais
- Proteger o tráfego de rede
- Identificar e detectar ameaças
- Atendem os requisitos de conformidade
Inicialização confiável
O início confiável é o padrão para VMs de Segunda Geração do Azure recém-criadas e Conjuntos de Dimensionamento de Máquinas Virtuais. O início confiável protege contra técnicas de ataque avançadas e persistentes, incluindo kits de inicialização, rootkits e malware no nível do kernel.
A inicialização confiável fornece:
- Inicialização Segura: protege contra a instalação de rootkits e kits de inicialização baseados em malware, garantindo que somente sistemas operacionais assinados e drivers possam inicializar
- vTPM (virtual Trusted Platform Module): um cofre seguro dedicado para chaves e medidas que permite a verificação de integridade de atestado e inicialização
- Monitoramento de integridade de inicialização: usa o atestado por meio do Microsoft Defender para Nuvem para verificar a integridade da cadeia de inicialização e alertar sobre falhas
A inicialização confiável pode ser habilitada em VMs existentes e conjuntos de dimensionamento de máquinas virtuais. Para obter mais informações, consulte Inicialização confiável para máquinas virtuais do Azure.
Computação Confidencial
A computação confidencial do Azure protege os dados durante o uso por meio de ambientes de execução confiável baseados em hardware. As VMs Confidenciais usam a tecnologia AMD SEV-SNP para criar uma barreira imposta por hardware entre sua aplicação e a pilha de virtualização.
VMs confidenciais fornecem:
- Isolamento baseado em hardware: entre máquinas virtuais, hipervisor e código de gerenciamento de host
- Criptografia de disco confidencial do sistema operacional: associa chaves de criptografia de disco ao TPM da VM, tornando o conteúdo do disco acessível apenas à VM
- Liberar chave segura: vinculação criptográfica entre o atestado da plataforma e as chaves de criptografia de VM
- Atestado: políticas personalizáveis para garantir a conformidade do host antes da implantação
Para obter mais informações, consulte VMs confidenciais do Azure.
Backup do Azure
O Backup do Azure é uma solução escalonável que protege os dados do aplicativo sem investimento de capital e custos operacionais mínimos. Erros de aplicativo podem corromper seus dados e erros humanos podem introduzir bugs em seus aplicativos. Com o Backup do Azure, suas máquinas virtuais executando Windows e Linux estão protegidas.
O Backup do Azure fornece backups independentes e isolados para se proteger contra a destruição acidental de dados. Os backups são armazenados em um cofre dos Serviços de Recuperação com gerenciamento interno de pontos de recuperação.
Para obter mais informações, consulte o que é o Backup do Azure? e perguntas frequentes sobre o serviço de Backup do Azure.
Azure Site Recovery
O Azure Site Recovery ajuda a orquestrar a replicação, o failover e a recuperação de cargas de trabalho e aplicativos para que eles estejam disponíveis em um local secundário se o local principal falhar.
Recuperação de Site:
- Simplifica a estratégia BCDR: torna fácil lidar com a replicação, failover e recuperação de várias cargas de trabalho e aplicativos de negócios de um único local
- Fornece replicação flexível: replicar cargas de trabalho em execução em VMs Hyper-V, VMs VMware e servidores físicos Windows/Linux
- Dá suporte a failover e recuperação: fornece failovers de teste para simulações de recuperação de desastre sem afetar os ambientes de produção.
- Elimina datacenters secundários: replicar para o Azure, eliminando o custo e a complexidade da manutenção de um site secundário
Para obter mais informações, consulte o que é o Azure Site Recovery?, Como o Azure Site Recovery funciona?e quais cargas de trabalho são protegidas pelo Azure Site Recovery?.
Rede Virtual
As máquinas virtuais exigem conectividade de rede. O Azure exige que as máquinas virtuais sejam conectadas a uma rede virtual do Azure.
Uma Rede Virtual do Azure é um constructo lógico criado na malha de rede física do Azure. Cada rede virtual lógica do Azure é isolada de todas as outras redes virtuais do Azure. Esse isolamento ajuda a garantir que o tráfego nas implantações não esteja acessível para outros clientes do Microsoft Azure.
Para obter mais informações, consulte a visão geral de segurança de rede do Azure e a visão geral da Rede Virtual.
Gerenciamento de política de segurança
O Microsoft Defender para Nuvem ajuda você a prevenir, detectar e responder a ameaças. O Defender for Cloud proporciona a você maior visibilidade e controle da segurança de seus recursos do Azure. Ela fornece monitoramento de segurança integrado e gerenciamento de políticas em suas assinaturas do Azure.
O Defender para Nuvem ajuda você a otimizar e monitorar a segurança da VM:
- Fornecendo recomendações de segurança para máquinas virtuais
- Monitorando o estado de suas máquinas virtuais
- Fornecendo o Microsoft Defender para Servidores com proteção avançada contra ameaças
O Microsoft Defender para Servidores inclui:
- Integração do Microsoft Defender para Ponto de Extremidade para detecção e resposta de ponto de extremidade
- Avaliação de vulnerabilidade para identificar pontos fracos de segurança
- Acesso just-in-time à VM para reduzir a superfície de ataque
- Monitoramento de integridade do arquivo para detectar alterações em arquivos críticos
- Controles de aplicativo adaptáveis para aplicativos aprovados
Para obter mais informações, consulte Introdução ao Microsoft Defender para Nuvem, Ao Microsoft Defender para Servidores e às perguntas frequentes do Microsoft Defender para Nuvem.
Conformidade
As Máquinas Virtuais do Azure são certificados para FISMA, FedRAMP, HIPAA, PCI DSS Nível 1 e outros programas de conformidade de chaves. Essa certificação facilita que seus aplicativos do Azure atendam aos requisitos de conformidade e à sua empresa para atender aos requisitos regulatórios nacionais e internacionais.
Para obter mais informações, consulte a Central de Confiabilidade da Microsoft: documentação de conformidade e conformidade do Azure.
Módulo de segurança de hardware
O Azure Key Vault fornece armazenamento seguro para chaves e segredos. O Key Vault oferece a opção de armazenar suas chaves em HSMs (módulos de segurança de hardware) certificados para padrões validados do FIPS 140.
Suas chaves de criptografia do SQL Server para backup ou criptografia de dados transparente podem ser armazenadas no Key Vault com quaisquer chaves ou segredos de seus aplicativos. As permissões e o acesso a esses itens protegidos são gerenciados pela ID do Microsoft Entra.
Para obter mais informações sobre o gerenciamento de chaves do Azure, consulte o gerenciamento de chaves no Azure.
Próximas etapas
Saiba mais sobre as melhores práticas de segurança para VMs e sistemas operacionais.