Pular para conteúdo

Azure — Guia de Configuração

O Elven Assessment analisa 38 serviços do Microsoft Azure cobrindo segurança, rede, storage, banco de dados e Kubernetes. Esta página detalha os modos de autenticação e como configurar o acesso correto.

Métodos de autenticação

App Registration + Client Secret

Este é o método mais comum para sistemas externos se autenticarem no Azure. Você cria um App Registration no Azure AD, atribui permissões e gera um segredo.

Campos necessários:

Campo Descrição Onde encontrar
Tenant ID ID do diretório Azure AD Azure AD → Visão geral
Client ID ID do App Registration App Registration → Visão geral
Client Secret Segredo gerado para o app App Registration → Certificados e segredos
Subscription ID ID da assinatura Azure Assinaturas → ID

Passo a passo para criar:

1. Crie o App Registration:

  1. Acesse o Portal Azure.
  2. Busque por Azure Active Directory (ou Microsoft Entra ID).
  3. No menu lateral, clique em Registros de aplicativo → Novo registro.
  4. Preencha:
  5. Nome: ElvenAssessment
  6. Tipos de conta com suporte: Contas somente neste diretório organizacional
  7. URI de redirecionamento: Deixe em branco
  8. Clique em Registrar.

Screenshot

📸 Captura de tela: Formulário "Registrar um aplicativo" no Azure Portal — nome "ElvenAssessment", tipo de conta "Somente neste diretório", botão "Registrar".

2. Copie o Client ID e Tenant ID:

Na página de visão geral do app, anote: - ID do aplicativo (cliente) → este é o Client ID - ID do diretório (locatário) → este é o Tenant ID

3. Crie o Client Secret:

  1. No menu lateral do App Registration, clique em Certificados e segredos.
  2. Clique em Novo segredo do cliente.
  3. Dê uma descrição (ex.: ElvenAssessment-Key) e defina a expiração (recomendado: 12 meses).
  4. Clique em Adicionar.
  5. Copie o valor do segredo imediatamente — ele não será exibido novamente.

Copie o segredo agora

O valor do Client Secret só é exibido uma vez. Se fechar a tela sem copiar, precisará criar um novo segredo.

4. Atribua o papel Reader na Subscription:

  1. Acesse Assinaturas no portal.
  2. Clique na assinatura a ser avaliada.
  3. Vá em Controle de Acesso (IAM) → Adicionar → Adicionar atribuição de função.
  4. Selecione o papel Reader (Leitor).
  5. Em Membros, clique em Selecionar membros, busque ElvenAssessment e selecione.
  6. Clique em Revisar e atribuir.

Screenshot

📸 Captura de tela: Tela "Adicionar atribuição de função" na Subscription — papel "Leitor" selecionado, membro "ElvenAssessment" adicionado, botão "Revisar e atribuir".

Managed Identity

Use quando a plataforma Elven Assessment está rodando em um recurso Azure (VM, AKS, App Service) com Managed Identity habilitada.

Configuração:

  1. Habilite a System-assigned Managed Identity no recurso Azure onde a plataforma roda.
  2. Atribua o papel Reader na subscription ou resource group alvo.
  3. No formulário de assessment, selecione Managed Identity — nenhuma credencial adicional é necessária.

Quando usar

Ideal para instalações self-hosted no próprio Azure, eliminando a necessidade de gerenciar segredos.

Azure CLI (credenciais locais)

Usa as credenciais do az login configuradas no servidor onde a plataforma está instalada.

Pré-requisito: O Azure CLI deve estar instalado e autenticado no servidor: 

az login
az account set --subscription "SUBSCRIPTION_ID"

No formulário de assessment, selecione Azure CLI — a plataforma usa as credenciais locais automaticamente.

Certificado (PEM/PFX)

Alternativa ao Client Secret usando um certificado X.509. Mais seguro em ambientes que já gerenciam certificados.

Campos necessários: Tenant ID, Client ID, caminho/conteúdo do certificado (PEM ou PFX) e senha (se o certificado for protegido por senha).

Seleção de Subscription e Resource Group

Após validar as credenciais:

  • Subscription: Selecione a assinatura Azure a ser avaliada. A lista é preenchida automaticamente com as subscriptions às quais o App Registration tem acesso.
  • Resource Groups (opcional): Por padrão, todos os resource groups da subscription são avaliados. Para limitar o escopo, selecione resource groups específicos.

Múltiplas subscriptions

Para avaliar múltiplas subscriptions, execute um assessment para cada uma. Você pode comparar os resultados depois usando o Benchmark.

Permissões adicionais recomendadas

O papel Reader cobre a maioria das verificações. Para análises mais completas, adicione estas permissões específicas:

# Via Azure CLI — atribua na subscription
az role assignment create \
  --assignee "CLIENT_ID" \
  --role "Security Reader" \
  --scope "/subscriptions/SUBSCRIPTION_ID"
Papel adicional Benefício
Security Reader Acesso ao Microsoft Defender for Cloud
Key Vault Reader Configuração de Key Vaults
Network Contributor Leitura completa de NSGs e rotas

Serviços avaliados

Identidade e Acesso Azure AD (usuários, grupos, aplicativos, managed identities), RBAC, Conditional Access, MFA, PIM

Computação Virtual Machines, VM Scale Sets, Azure Batch, Azure Functions, App Service, Container Instances

Contêineres AKS (clusters, node pools, RBAC, network policies, integração com Azure AD), ACR, Container Registry

Rede Virtual Networks, NSGs, Application Gateway, Azure Load Balancer, Azure Firewall, DDoS Protection, DNS, CDN, VPN Gateway, ExpressRoute, Private Endpoints

Storage Azure Blob Storage, Azure Files, Azure Disks, Data Lake Storage Gen2

Banco de Dados Azure SQL Database, SQL Managed Instance, Cosmos DB, Azure Database for PostgreSQL/MySQL, Redis Cache, Azure Synapse

Segurança Microsoft Defender for Cloud, Key Vault, Azure Policy, Security Center, Sentinel (básico), DDoS Protection

Observabilidade Azure Monitor, Log Analytics, Application Insights, Activity Log, Diagnostic Settings

DevOps Azure DevOps (básico), Container Registry, Azure Pipelines

AKS Deep-Dive

Quando clusters AKS são detectados, a plataforma realiza análise aprofundada automaticamente:

  • Azure RBAC vs Kubernetes RBAC — consistência entre os dois sistemas
  • Network Policies — namespaces sem isolamento de rede
  • Pod Identity — uso de AAD Pod Identity ou Workload Identity
  • Private Cluster — endpoint público do API server
  • Azure Defender for Containers — habilitação e alertas
  • Node auto-upgrade — canais de atualização automática
  • OS Disk encryption — discos dos nodes criptografados
  • Azure Monitor for Containers — monitoramento habilitado

Dicas

Rotação do Client Secret

Defina um lembrete para rotacionar o Client Secret antes do vencimento. O Azure pode alertar via email conforme a expiração se aproxima, mas a plataforma ficará offline se o segredo vencer sem ser atualizado.

Azure AD vs Microsoft Entra ID

O Azure AD foi renomeado para Microsoft Entra ID em 2023. No portal, você pode encontrar ambos os nomes dependendo da versão da interface. São o mesmo serviço.

Tenant ID

Você pode encontrar o Tenant ID também em: Azure Active Directory → Propriedades → ID do locatário.