Azure Security Center – Security Policies

Azure Security Center – Security Policies

Uma diretiva de segurança define o conjunto de controles, que são recomendados para recursos dentro da assinatura especificada ou grupo de recursos. No Centro de Segurança, você define políticas para suas assinaturas Azure ou grupo de recursos de acordo com as necessidades de segurança da empresa e o tipo de aplicativos ou a sensibilidade dos dados em cada assinatura.

Por exemplo, os recursos que são usados para desenvolvimento ou teste podem ter requisitos de segurança diferentes de recursos que são usados para aplicativos de produção. Do mesmo modo, as aplicações que utilizam dados regulamentados como informações de identificação pessoal podem exigir um nível de segurança mais elevado. As políticas de segurança ativadas no Azure Security Center direcionam recomendações de segurança e monitoramento para ajudá-lo a identificar possíveis vulnerabilidades e minimizar ameaças. Leia o Guia de Planejamento e Operações do Azure Security Center para obter mais informações sobre como determinar a opção apropriada para você.

Definir políticas de segurança para inscrições

Você pode configurar políticas de segurança para cada assinatura ou grupo de recursos. Para modificar uma política de segurança, você deve ser um proprietário ou colaborador dessa assinatura. Faça login no portal Azure e siga as etapas seguintes para configurar políticas de segurança no Security Center:
1.Clique no painel Policy no painel do Security Center.

2. Na Política de segurança, selecione a assinatura na qual você deseja habilitar a diretiva de segurança. Se preferir ativar a diretiva de segurança para um grupo de recursos em vez da assinatura inteira, role para baixo até a próxima seção que fala sobre como configurar políticas de segurança para grupos de recursos.

3. A lâmina de política de segurança para a assinatura selecionada abre com um conjunto de opções, como as opções na captura de tela a seguir:

As opções disponíveis são:
• Política de prevenção: use esta opção para configurar políticas por assinatura ou grupo de recursos.
• Notificação por e-mail: use esta opção para configurar uma notificação por e-mail enviada na primeira ocorrência diária de um alerta e para alertas de alta gravidade. As preferências de e-mail podem ser configuradas apenas para políticas de assinatura. Leia Forneça detalhes de contato de segurança no Azure Security Center para obter mais informações sobre como configurar uma notificação por e-mail.
• Nível de preços: use esta opção para atualizar a seleção da camada de preços. Consulte a página Centro de Segurança para saber mais sobre as opções de preços.


4. Certifique-se de que as opções Recolher dados de máquinas virtuais estão ativadas. Esta opção permite a coleta automática de registros para recursos existentes e novos.

5. Se a sua conta de armazenamento ainda não estiver configurada, você poderá ver um aviso como o da seguinte captura de tela ao abrir a Política de Segurança. Se você não escolher uma conta de armazenamento para cada região, ela será criada para você.

6.Se você vir este aviso, clique nesta opção e selecione a região como mostrado na seguinte imagem:

security-center-policies-fig3-ga

7.Para cada região na qual você tem máquinas virtuais em execução, escolha a conta de armazenamento onde os dados coletados dessas máquinas virtuais são armazenados. Isso facilita a manutenção de dados na mesma área geográfica para fins de privacidade e de soberania de dados. Depois de decidir a região que irá utilizar, seleccione a região e, em seguida, seleccione a conta de armazenamento.

8. Na janela Escolher contas de armazenamento, clique em OK.

9. Na guia Política de Segurança, clique em Ativar para ativar as recomendações de segurança que você deseja usar nessa assinatura. Clique em Política de prevenção para ver opções como as da seguinte captura de tela:

Policy
System updates Recupera uma lista diária de segurança disponível e atualizações críticas do Windows Update ou do Windows Server Update Services. A lista recuperada depende do serviço configurado para essa máquina virtual e recomenda que as atualizações ausentes sejam aplicadas. Para sistemas Linux, a política usa o sistema de gerenciamento de pacotes fornecido pela distro para determinar pacotes que possuem atualizações disponíveis. Ele também verifica se há segurança e atualizações críticas das máquinas virtuais do Azure Cloud Services.
OS vulnerabilities Analisa diariamente as configurações do sistema operacional para determinar os problemas que podem tornar a máquina virtual vulnerável a ataques. A política também recomenda alterações de configuração para solucionar essas vulnerabilidades. Consulte a lista de linhas de base recomendadas para obter mais informações sobre as configurações específicas que estão sendo monitoradas.
Endpoint protection Recomenda que a proteção do nó de extremidade seja provisionada para todas as máquinas virtuais do Windows para ajudar a identificar e remover vírus, spyware e outros softwares mal-intencionados.
Disk encryption Recomenda habilitar a criptografia de disco em todas as máquinas virtuais para melhorar a proteção de dados em repouso.
Network security groups Recomenda que os grupos de segurança de rede sejam configurados para controlar o tráfego de entrada e de saída para VMs que tenham endpoints públicos. Os grupos de segurança de rede que estão configurados para uma sub-rede serão herdados por todas as interfaces de rede da máquina virtual, a menos que seja especificado o contrário. Além de verificar se um grupo de segurança de rede foi configurado, essa política avalia regras de segurança de entrada para identificar regras que permitem o tráfego de entrada.
Web application firewall Recomenda que um firewall de aplicativo da Web seja provisionado em máquinas virtuais quando uma das seguintes condições for verdadeira:
O IP público ao nível da instância (ILPIP) é utilizado e as regras de segurança de entrada para o grupo de segurança de rede associado são configuradas para permitir o acesso à porta 80/443.
O IP balanceado de carga é usado e as regras de balanceamento de carga associadas e de tradução de endereços de rede de entrada (NAT) são configuradas para permitir o acesso à porta 80/443. (Para obter mais informações, consulte Suporte do Azure Resource Manager para o Load Balancer.
Next generation firewall Estende as proteções de rede além dos grupos de segurança de rede, que são incorporados ao Azure. O Centro de Segurança descobrirá as implantações para as quais uma próxima geração de firewall é recomendada e permite provisionar um appliance virtual.
SQL auditing & Threat detection Recomenda que a auditoria do acesso à base de dados Azure seja permitida para o cumprimento e também a detecção avançada de ameaças, para fins de investigação.
SQL transparent data encryption Recomenda que a criptografia em repouso seja ativada para seu banco de dados Azure SQL, backups associados e arquivos de log de transações. Mesmo que seus dados sejam violados, ele não será legível.
Vulnerability assessment Recomenda que você instale uma solução de avaliação de vulnerabilidade em sua VM.

Depois de configurar todas as opções, clique em OK no Policy que contém as recomendações e, em seguida, clique em Save no Policy que tem as configurações iniciais.


Se você preferir configurar suas políticas de segurança por grupo de recursos, as etapas são como as que você usa para configurar políticas de segurança para assinaturas. A principal diferença é que você precisará expandir o nome da assinatura e selecionar o grupo de recursos para o qual deseja configurar a política de segurança exclusiva:

Depois de selecionar o grupo de recursos, o Security Policy é aberto. Por padrão, a opção Herança está habilitada. Isso significa que todas as diretivas de segurança para esse grupo de recursos são herdadas do nível de assinatura. Você pode alterar essa configuração no caso de desejar uma política de segurança personalizada para um grupo de recursos. Se for esse o caso, você precisa selecionar Unique e fazer as alterações sob a opção de política de prevenção.

You must be logged in to post a comment.