Aplicar princípios de Confiança Zero a uma rede virtual de hub no Azure

Resumo: Para aplicar os princípios de Confiança Zero a uma rede virtual de hub no Azure, você deve proteger o Firewall Premium do Azure, implantar o Azure DDoS Protection Standard, configurar o roteamento de gateway de rede para o firewall e configurar a proteção contra ameaças.

A melhor forma de implementar uma rede virtual hub baseada em Azure (rede virtual) para Confiança Zero é usar os materiais do Azure Landing Zone para implementar uma rede virtual hub completa e depois adaptá-la às suas expectativas específicas de configuração.

Este artigo descreve os passos para utilizar uma rede virtual de hub existente e garantir que está preparada para uma abordagem Confiança Zero. Assume que usou o módulo ALZ-Bicep hubNetworking para implementar rapidamente uma rede virtual hub, ou implementou outra rede virtual hub com recursos semelhantes. Usar um hub de conectividade separado conectado a spokes isolados do local de trabalho é um padrão fundamental na rede segura do Azure e ajuda a dar suporte aos princípios de Confiança Zero.

Este artigo descreve como implementar uma rede virtual hub para Confiança Zero mapeando os princípios do Confiança Zero das seguintes formas.

Princípio Confiança Zero Definição Cumprido por
Verificar explicitamente Sempre autentique e autorize com base em todos os pontos de dados disponíveis. Use o Firewall do Azure com inspeção TLS (Transport Layer Security) para verificar riscos e ameaças com base em todos os dados disponíveis.
Use o acesso menos privilegiado Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados. Cada rede virtual spoke não consegue aceder a outras VNets spoke, a menos que o tráfego seja encaminhado pelo firewall. O firewall está definido para negar por padrão, permitindo apenas o tráfego permitido por regras especificadas.
Assuma a violação Minimizar o raio de explosão e segmentar o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas. No caso de um comprometimento ou violação de um aplicativo/carga de trabalho, ele tem capacidade limitada de se espalhar devido ao Firewall do Azure executar inspeção de tráfego e apenas encaminhar o tráfego permitido. Apenas recursos na mesma carga de trabalho seriam expostos à violação no mesmo aplicativo.

Este artigo faz parte de uma série de artigos que demonstram como aplicar os princípios do Confiança Zero em um ambiente no Azure. Este artigo fornece informações para configurar uma rede virtual de hub para suportar uma carga de trabalho de IaaS numa rede virtual spoke. Para obter mais informações, consulte a Visão geral de Aplicar princípios de Zero Confiança à IaaS do Azure.

Arquitetura de referência

O diagrama a seguir mostra a arquitetura de referência. A rede virtual do hub está destacada a vermelho. Para obter mais informações sobre essa arquitetura, consulte a Visão geral de Aplicar princípios de Zero Confiança à IaaS do Azure.

Diagrama da arquitetura de referência para os componentes de uma rede virtual de hub com princípios Confiança Zero aplicados.

Para essa arquitetura de referência, há muitas maneiras de implantar os recursos na assinatura do Azure. A arquitetura de referência mostra a recomendação de isolar todos os recursos para a rede virtual hub dentro de um grupo de recursos dedicado. Os recursos para a rede virtual spoke também são apresentados para comparação. Este modelo funciona bem se diferentes equipas forem responsabilizadas por estas diferentes áreas.

No diagrama, uma rede virtual hub inclui componentes para suportar o acesso a outras aplicações e serviços dentro do ambiente Azure. Esses recursos incluem:

  • Azure Firewall Premium
  • Azure Bastion
  • Gateway de VPN
  • Proteção DDOS, que também deve ser implantada em redes virtuais faladas.

A rede virtual hub fornece acesso destes componentes a uma aplicação baseada em IaaS alojada em máquinas virtuais numa rede virtual spoke.

Para obter orientação sobre como organizar para adoção da nuvem, consulte Gerenciar o alinhamento da organização no Cloud Adoption Framework.

Os recursos que são implementados para a rede virtual hub são:

  • Uma rede virtual do Azure
  • Firewall do Azure com política de Firewall do Azure e um endereço IP público
  • Bastion
  • Gateway VPN com um endereço IP público e tabela de rotas

O diagrama seguinte mostra os componentes de um grupo de recursos para uma rede virtual hub numa subscrição do Azure separada da subscrição da rede virtual spoke. Esta é uma maneira de organizar esses elementos dentro da assinatura. Sua organização pode optar por organizá-los de uma maneira diferente.

Diagrama da arquitetura lógica para aplicar Confiança Zero a uma rede virtual hub Azure mostrando subscrições, grupos de recursos e componentes de Azure dentro de um inquilino Microsoft Entra ID.

No diagrama:

  • Os recursos para a rede virtual hub estão contidos num grupo de recursos dedicado. Se estiver a implementar o Plano DDoS do Azure em parte dos recursos, é necessário incluí-los no grupo de recursos.
  • Os recursos dentro de uma rede virtual spoke estão contidos num grupo de recursos dedicado separado.

Consoante a sua implementação, poderá também verificar que pode existir uma implementação de um conjunto de DNS Privado Zones utilizadas para a resolução DNS do Private Link. Eles são usados para proteger recursos de PaaS com pontos de extremidade privados, que são detalhados em uma seção futura. Observe que ele implementa um Gateway VPN e um Gateway ExpressRoute. Pode não precisar de ambos, por isso podes remover o que não for necessário para o teu cenário ou desligá-lo durante a implementação.

O que contém este artigo?

Este artigo fornece recomendações para proteger os componentes de uma rede virtual hub segundo os princípios Confiança Zero. A tabela a seguir descreve as recomendações para proteger essa arquitetura.

Passo Tarefa Princípio(s) de confiança zero aplicado(s)
1 Proteja o Azure Firewall Premium. Verificar explicitamente
Use o acesso menos privilegiado
Assuma a violação
2 Implante o Azure DDoS Protection Standard. Verificar explicitamente
Use o acesso menos privilegiado
Assuma a violação
3 Configure o roteamento do gateway de rede para o firewall. Verificar explicitamente
Use o acesso menos privilegiado
Assuma a violação
4 Configure a proteção contra ameaças. Assuma a violação

Como parte da implementação, vai querer fazer escolhas específicas que não são os padrões para implementações automatizadas devido aos seus custos adicionais. Antes da implantação, você deve revisar os custos.

Operar o hub de conectividade conforme implantado ainda fornece um valor significativo para isolamento e inspeção. Se sua organização não estiver pronta para incorrer nos custos desses recursos avançados, você poderá implantar um hub de funcionalidade reduzida e fazer esses ajustes mais tarde.

Etapa 1: Proteger o Firewall do Azure Premium

O Firewall Premium do Azure desempenha um papel vital em ajudá-lo a proteger sua infraestrutura do Azure para Confiança Zero.

Como parte da implantação, use o Firewall Premium do Azure. Isso requer que você implante a política de gerenciamento gerada como uma política premium. Mudar para o Firewall Premium do Azure envolve a recriação do firewall e, muitas vezes, da política também. Como resultado, comece com o Firewall do Azure, se possível, ou esteja preparado para atividades de reimplantação para substituir o firewall existente.

Porquê o Azure Firewall Premium?

O Firewall Premium do Azure fornece recursos avançados para inspecionar o tráfego. As mais significativas opções de inspeção TLS são as seguintes:

  • Inspeção TLS de saída protege contra o tráfego mal-intencionado que é enviado de um cliente interno para a internet. Isso ajuda a identificar quando um cliente foi violado e se ele está tentando enviar dados para fora da sua rede ou estabelecer uma conexão com um computador remoto.
  • A Inspeção TLS Leste-Oeste protege contra o tráfego mal-intencionado enviado de dentro do Azure para outras partes do Azure ou para suas redes que não são do Azure. Isso ajuda a identificar tentativas de uma violação para expandir e espalhar seu raio de explosão.
  • A Inspeção TLS de entrada protege os recursos no Azure contra solicitações maliciosas que chegam de fora da rede do Azure. O Gateway de Aplicativo do Azure com Firewall de Aplicativo Web fornece essa proteção.

Você deve usar a Inbound TLS Inspection para recursos sempre que possível. O Gateway de Aplicativo do Azure fornece apenas proteção para tráfego HTTP e HTTPS. Ele não pode ser usado para alguns cenários, como aqueles que usam tráfego SQL ou RDP. Outros serviços geralmente têm suas próprias opções de proteção contra ameaças que podem ser usadas para fornecer controles de verificação explícitos para esses serviços. Você pode revisar as linhas de base de segurança para obter a visão geral do Azure para entender as opções de proteção contra ameaças para esses serviços.

O Gateway de Aplicação do Azure não é recomendado para a rede virtual hub. Em vez disso, deveria estar alojada numa rede virtual satélite ou numa rede virtual dedicada. Para mais informações, consulte Aplicar os princípios de Confiança Zero à rede virtual spoke no Azure para obter orientações sobre a rede virtual spoke ou Rede de Confiança Zero para aplicações Web.

Esses cenários têm considerações específicas de certificado digital. Para obter mais informações, consulte Certificados Premium do Firewall do Azure.

Sem inspeção TLS, o Firewall do Azure não tem visibilidade nos dados que fluem no túnel TLS criptografado e, portanto, é menos seguro.

Por exemplo, a Área de Trabalho Virtual do Azure não oferece suporte à terminação SSL. Você deve revisar suas cargas de trabalho específicas para entender como fornecer inspeção TLS.

Além das regras de permissão/negação definidas pelo cliente, o Firewall do Azure ainda pode aplicar filtragem baseada em inteligência de ameaças. A filtragem baseada em informações sobre ameaças usa endereços IP e domínios conhecidos e incorretos para identificar o tráfego que representa um risco. Essa filtragem ocorre antes de quaisquer outras regras, o que significa que, mesmo que o acesso tenha sido permitido pelas regras definidas, o Firewall do Azure pode interromper o tráfego.

O Firewall Premium do Azure também tem opções aprimoradas para filtragem de URL e filtragem de categorias da Web, permitindo um ajuste mais fino para funções.

Você pode definir informações sobre ameaças para notificá-lo com um alerta quando esse tráfego ocorrer, mas para permitir a sua passagem. No entanto, para Confiança Zero, defina-o como Negar.

Configurar o Azure Firewall Premium para Confiança Zero

Para configurar o Firewall Premium do Azure para uma configuração de Confiança Zero, faça as seguintes alterações.

  1. Habilitar Threat Intelligence nos modos de Alerta e Negação:

    1. Navegue até a Política de firewall e selecione Inteligência de ameaças.
    2. No modo de inteligência de ameaças, selecione Alertar e negar.
    3. Selecione Guardar.

    Captura de ecrã a mostrar a ativação de informações sobre ameaças e os modos de Alerta e Negar.

  2. Habilite a inspeção TLS:

    1. Prepare um certificado para armazenar em um Cofre de Chaves ou planeje gerar automaticamente um certificado com uma identidade gerenciada. Você pode revisar estas opções para os Certificados do Azure Firewall Premium para selecionar a opção que melhor se adapta ao seu cenário.
    2. Navegue até a Política de firewall e selecione Inspeção TLS.
    3. Selecione Ativado.
    4. Selecione uma Identidade Gerenciada para gerar certificados ou selecione o cofre de chaves e o certificado.
    5. Em seguida, selecione Guardar.

    Captura de tela mostrando a ativação da inspeção TLS.

  3. Ative o Sistema de Deteção e Prevenção de Intrusões (IDPS):

    1. Navegue até a Política de firewall e selecione IDPS.
    2. Selecione Alertar e negar.
    3. Em seguida, selecione Aplicar.

    Captura de ecrã a mostrar a ativação do IDPS.

  4. Em seguida, você precisará criar uma regra de aplicativo para o tráfego.

    1. Na Política de firewall, navegue até Regras de aplicativo.
    2. Selecione Adicionar uma coleção de regras.
    3. Crie uma regra de aplicação com a origem da sub-rede do Application Gateway e um destino do nome de domínio da aplicação web que está a ser protegida.
    4. Certifique-se de habilitar a inspeção TLS.

    Captura de tela mostrando as etapas para criar uma regra de aplicativo.

Configuração adicional

Depois de configurar o Azure Firewall Premium, pode agora realizar a seguinte configuração:

  • Configure os Gateways de Aplicativo para rotear o tráfego para o Firewall do Azure atribuindo as tabelas de rotas apropriadas e seguindo estas diretrizes.
  • Crie alertas para eventos e métricas de firewall seguindo estas instruções.
  • Implemente o Livro de Relatórios do Firewall do Azure para visualizar eventos.
  • Configure a filtragem de URL e de categorias da Web, se necessário. Como o Firewall do Azure nega por padrão, essa configuração é necessária somente se o Firewall do Azure precisar conceder acesso de saída à Internet de forma ampla. Você pode usar isso como uma verificação adicional para determinar se as conexões devem ser permitidas.

Etapa 2: Implantar o Azure DDoS Protection Standard

Como parte da implantação, você desejará implantar uma Política Padrão de Proteção contra DDoS do Azure. Isso aumenta a proteção Confiança Zero fornecida na Plataforma Azure.

Como você pode implantar a política criada em recursos existentes, pode adicionar essa proteção após a implantação inicial sem exigir a reimplantação de recursos.

Por que Azure DDoS Protection Standard?

O Azure DDoS Protection Standard aumentou os benefícios em relação à Proteção contra DDoS padrão. Para o Confiança Zero, você pode ter:

  • Acesso a relatórios de mitigação, logs de fluxo e métricas.
  • Políticas de mitigação baseadas em aplicativos.
  • Acesso ao suporte de resposta rápida DDoS se ocorrer um ataque DDoS.

Embora a deteção automática e a mitigação automática façam parte da Proteção Básica contra DDoS habilitada por padrão, esses recursos só estão disponíveis com o DDoS Standard.

Configurar o Azure DDoS Protection Standard

Como não há configurações específicas do Confiança Zero para o DDoS Protection Standard, você pode seguir os guias específicos de recursos para esta solução:

Na versão atual do Azure DDoS Protection, é necessário aplicar o Azure DDoS Protection a cada rede virtual. Consulte instruções adicionais em Guia rápido de início DDoS.

Além disso, proteja os seguintes endereços IP públicos:

  • Endereços IP públicos do Firewall do Azure
  • Endereços IP públicos do Azure Bastion
  • Endereços IP públicos do Gateway de Rede do Azure
  • Endereços IP públicos do Application Gateway

Etapa 3: Configurar o roteamento do gateway de rede para o firewall

Após a implantação, você precisará configurar tabelas de rotas em várias sub-redes para garantir que o tráfego entre VNets spoke e as redes locais seja inspecionado pelo Firewall do Azure. Você pode executar essa atividade em um ambiente existente sem um requisito de reimplantação, mas precisa criar as regras de firewall necessárias para permitir o acesso.

Se você configurar apenas um lado, apenas as sub-redes spoke ou as sub-redes do gateway, terá um roteamento assíncrono que impede que as conexões funcionem.

Por que rotear o tráfego do gateway de rede para o firewall?

Um elemento-chave do Confiança Zero é não assumir que apenas porque algo está em seu ambiente, que ele deve ter acesso a outros recursos em seu ambiente. Uma configuração padrão geralmente permite o roteamento entre recursos no Azure para suas redes locais, controladas apenas por grupos de segurança de rede.

Ao rotear o tráfego para o firewall, você aumenta o nível de inspeção e aumenta a segurança do seu ambiente. Também é alertado para atividades suspeitas e poderá tomar medidas.

Configurar o roteamento de gateway

Há duas maneiras principais de garantir que o tráfego do gateway esteja sendo roteado para o firewall do Azure:

  • Implemente o Azure Network Gateway (quer para ligações VPN quer para ligações ExpressRoute) numa rede virtual dedicada (frequentemente designada por rede virtual Transit ou Gateway), estabeleça emparelhamento com a rede virtual de hub e, em seguida, crie uma regra de encaminhamento abrangente que cubra os espaços de endereçamento de rede do Azure planeados, encaminhando-os para a firewall.
  • Implemente o Azure Network Gateway na rede virtual de hub, configure o encaminhamento na sub-rede do gateway e, em seguida, configure o encaminhamento nas sub-redes da rede virtual spoke.

Este guia detalha a segunda opção porque é mais compatível com a arquitetura de referência.

Nota

O Azure Virtual Network Manager é um serviço que simplifica esse processo. Quando esse serviço estiver disponível em geral, use-o para gerenciar o roteamento.

Configurar o roteamento de sub-rede do gateway

Para configurar a tabela de rotas da Sub-rede do Gateway para encaminhar o tráfego interno para o Firewall do Azure, crie e configure uma nova Tabela de Rotas:

  1. Navegue até Criar uma tabela de rotas no portal do Microsoft Azure.

  2. Coloque a Tabela de Rotas em um grupo de recursos, selecione uma região e especifique um nome.

  3. Selecione Rever + Criar e, em seguida, Criar.

    Captura de ecrã a mostrar a criação de uma tabela de rotas.

  4. Navegue até a nova tabela de rotas e selecione Rotas.

    Captura de ecrã a mostrar a seleção de uma tabela de rotas.

  5. Selecione Adicionar e, em seguida, adicione uma rota a uma das spoke VNets:

    1. Em Nome da rota, especifique o nome do campo de rota.
    2. Selecione Endereços IP na lista suspensa Destino do prefixo do endereço.
    3. Introduza o espaço de endereçamento da rede virtual spoke no campo Endereços IP de destino/intervalos CIDR.
    4. Selecione aplicação virtual na caixa suspensa Tipo de salto seguinte.
    5. Forneça o endereço IP privado do Firewall do Azure no campo Endereço do próximo salto.
    6. Selecione Adicionar.

Associar a tabela de rotas à sub-rede do gateway

  1. Navegue até Sub-redes e selecione Associar.
  2. Selecione a rede virtual Hub na lista pendente Rede virtual.
  3. Selecione GatewaySubnet na lista suspensa Sub-rede .
  4. Selecione OK.

Eis um exemplo.

Captura de ecrã da associação de sub-redes.

O gateway agora encaminha o tráfego destinado a VNets spoke para o Firewall do Azure.

Configurar o encaminhamento da sub-rede spoke

Este processo assume que já tem uma tabela de rotas ligada às suas sub-redes virtuais de rede spoke, com uma rota padrão para encaminhar tráfego para o Azure Firewall. Na maioria das vezes, isso é realizado através de uma regra que encaminha o tráfego para o intervalo CIDR 0.0.0.0/0, também conhecida como rota quad-zero.

Eis um exemplo.

Captura de tela da configuração do roteamento de sub-rede spoke para o tráfego de rota padrão.

Esse processo desabilita a propagação de rotas do gateway, o que permite que a rota padrão leve o tráfego destinado às redes locais.

Nota

Recursos, como Gateways de Aplicativos, que exigem acesso à Internet para funcionar não devem receber essa tabela de rotas. Eles devem ter sua própria tabela de rotas para permitir suas funções necessárias, como o descrito no artigo Rede de confiança zero para aplicativos Web com o Firewall do Azure e o Gateway de Aplicativos.

Para configurar o roteamento da sub-rede ramificada:

  1. Navegue até a Tabela de rotas associada à sua sub-rede e selecione Configuração.
  2. Em Propagar rotas de gateway, selecione Não.
  3. Selecione Guardar.

Captura de ecrã que mostra a definição 'Propagar rotas de gateway' definida para Não.

Sua rota padrão agora encaminha o tráfego destinado ao gateway para o Firewall do Azure.

Etapa 4: Configurar a proteção contra ameaças

O Microsoft Defender para a Cloud pode proteger a sua rede virtual hub construída em Azure, tal como outros recursos do seu ambiente empresarial de TI a correr em Azure ou on-premises.

O Microsoft Defender para a Cloud é um Cloud Security Posture Management (CSPM) e Cloud Workload Protection (CWP) que oferece um sistema de pontuação seguro para ajudar sua empresa a criar um ambiente de TI com uma melhor postura de segurança. Ele também inclui recursos para proteger seu ambiente de rede contra ameaças.

Este artigo não abordará o Microsoft Defender para a Cloud em detalhes. No entanto, é importante entender que o Microsoft Defender para a Cloud funciona com base nas Políticas do Azure e nos logs que ele ingere em um espaço de trabalho do Log Analytics.

Você escreve Políticas do Azure em JSON (JavaScript Object Notation) para manter diferentes análises das propriedades de recursos do Azure, incluindo serviços e recursos de rede. Dito isso, é fácil para o Microsoft Defender para a Cloud verificar uma propriedade sob um recurso de rede e fornecer uma recomendação para sua assinatura se você estiver protegido ou exposto a uma ameaça.

Como verificar todas as recomendações de rede disponíveis através do Microsoft Defender para a Cloud

Para exibir todas as políticas do Azure que fornecem recomendações de rede usadas pelo Microsoft Defender para a Cloud:

Exemplo de captura de ecrã das políticas recomendadas do Azure no Microsoft Defender para a Cloud.

  1. Abra o Microsoft Defender para a Cloud, selecionando o ícone do Microsoft Defender para a Cloud no menu à esquerda.

  2. Selecione Configurações do ambiente.

  3. Selecione Política de segurança.

  4. Se selecionar na opção predefinida do ASC, conseguirá rever todas as políticas disponíveis, incluindo as políticas que avaliam os recursos da rede.

  5. Além disso, existem recursos de rede avaliados por outras normas de conformidade regulamentar, incluindo PCI, ISO e o benchmark de segurança na cloud da Microsoft. Você pode ativar qualquer um deles e monitorizar as recomendações de rede.

Recomendações de rede

Siga estas etapas para exibir algumas das recomendações de rede, com base no benchmark de segurança na nuvem da Microsoft:

Exemplo de captura de tela de recomendações de rede no Microsoft Defender para a Cloud.

  1. Abra o Microsoft Defender para a Cloud.

  2. Selecione Conformidade regulamentar.

  3. Selecione Benchmark de segurança na nuvem da Microsoft.

  4. Expanda NS. Segurança de Rede para rever o controle de rede recomendado.

É importante entender que o Microsoft Defender para a Cloud fornece outras recomendações de rede para diferentes recursos do Azure, como máquinas virtuais e armazenamento. Pode rever essas recomendações no menu à esquerda, em Recomendações.

No menu esquerdo do portal Microsoft Defender para a Cloud, selecione Alertas de Segurança para rever alertas com base nos recursos da rede, evitando assim alguns tipos de ameaças. Esses alertas são gerados automaticamente pelo Microsoft Defender para a Cloud com base em logs ingeridos no espaço de trabalho do Log Analytics e monitorados pelo Microsoft Defender para a Cloud.

Mapeando e protegendo seu ambiente de rede do Azure por meio do Microsoft Defender para a Cloud

Você também pode verificar as opções para obter uma melhor postura de segurança protegendo seu ambiente de rede de forma fácil, mapeando seu ambiente de rede para uma melhor compreensão de sua topologia de rede. Essas recomendações são feitas através da opção Proteção da carga de trabalho no menu à esquerda, como mostra aqui.

Captura de ecrã de um exemplo de mapeamento da rede do Azure pelo Microsoft Defender para a Cloud.

Gerir políticas de Firewall do Azure através do Microsoft Defender para a Cloud

O Azure Firewall é recomendado para uma rede virtual hub, conforme descrito neste artigo. O Microsoft Defender para a Cloud pode gerenciar várias políticas do Firewall do Azure centralmente. Além das políticas do Firewall do Azure, você poderá gerenciar outros recursos relacionados ao Firewall do Azure, conforme mostrado aqui.

Exemplo de gestão de políticas de firewall do Azure através de uma captura de ecrã no Microsoft Defender para a Cloud.

Para obter mais informações sobre como o Microsoft Defender para a Cloud protege seu ambiente de rede contra ameaças, consulte O que é o Microsoft Defender para a Cloud?

Ilustrações técnicas

Estas ilustrações são réplicas das ilustrações de referência nestes artigos. Transfira e personalize estes dados para a sua própria organização e clientes. Substitua o logotipo da Contoso pelo seu.

Item Descrição
Imagem em miniatura 1 Baixar Visio
Atualizado em outubro de 2024		 Aplicar princípios de Confiança Zero à IaaS do Azure
Use estas ilustrações com estes artigos:
- Descrição geral
- Armazenamento do Azure
- Máquinas virtuais
- Redes virtuais faladas do Azure
- Redes virtuais do hub do Azure
Imagem em miniatura 2 Baixar Visio
Atualizado em outubro de 2024		 Aplicar princípios de Confiança Zero à IaaS do Azure — Cartaz de uma página
Uma visão geral de uma página do processo de aplicação dos princípios do Confiança Zero a ambientes IaaS do Azure.

Para obter ilustrações técnicas adicionais, consulte Ilustrações Confiança Zero para arquitetos e implementadores de TI.

Para obter mais treinamento sobre segurança no Azure, consulte estes recursos no catálogo da Microsoft:
Segurança no Azure | Microsoft Learn

Passos Seguintes

Consulte estes artigos adicionais para aplicar os princípios de Confiança Zero ao Azure:

Referências

Consulte estes links para saber mais sobre os vários serviços e tecnologias mencionados neste artigo.

  • Last updated on