Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Power Platform com Private Endpoint: como proteger integrações e garantir conformidade de rede


A Power Platform tornou-se um pilar fundamental da modernização de processos empresariais, permitindo que organizações construam fluxos automatizados, dashboards interativos e aplicações personalizadas sem exigir grandes equipes de desenvolvimento. No entanto, quando essas soluções precisam se comunicar com APIs e sistemas internos, a segurança da rede passa a ser uma prioridade crítica — especialmente em setores como saúde, finanças e governo, onde o tráfego sensível exige controle e auditoria rígidos.

A utilização de Azure Private Endpoint com Power Platform representa uma estratégia robusta para garantir que toda a comunicação entre os serviços da plataforma e os recursos do Azure ocorra de maneira privada e segura, eliminando a necessidade de exposição pública na internet.

Por que usar Private Endpoint na Power Platform

Por padrão, componentes como Power Automate, Power Apps e Power BI acessam dados externos por meio da internet. Ao utilizar Private Endpoints, é possível redirecionar esse tráfego para dentro de uma Azure Virtual Network (VNet), utilizando o Azure Private Link. Isso reduz significativamente a superfície de ataque, evita vazamentos de dados e garante que as chamadas de API ocorram por canais internos criptografados.

A arquitetura proposta permite que APIs hospedadas em serviços como:

  • Azure App Service

  • Azure Functions

  • Azure API Management (APIM)

  • Azure SQL Database

  • Azure Blob ou Table Storage

sejam acessadas exclusivamente por meio de um nome DNS privado vinculado a um endereço IP interno.

Cenário de exemplo: Power Automate + Azure Function privada

Imagine um fluxo de Power Automate que precisa acionar uma Azure Function responsável por processar prontuários médicos. Em um cenário comum, essa chamada aconteceria via internet pública. Com a configuração de Private Endpoint:

  1. A Azure Function é publicada com um ponto de extremidade privado.

  2. Um Private DNS Zone é criado para resolver o nome da Function internamente.

  3. O tráfego da Power Platform é roteado por um Data Gateway instalado em uma máquina conectada à VNet ou via integração nativa com VNet.

  4. O fluxo acessa a Function com o nome DNS privado e nunca sai da rede corporativa.

Esse modelo garante que dados confidenciais como informações de saúde (PHI) ou dados financeiros nunca trafeguem pela internet.

Componentes principais da arquitetura

  • Private Endpoint: associa um recurso PaaS (ex: Function) a um IP interno da VNet.

  • Private DNS Zone: garante que o nome do recurso seja resolvido corretamente no escopo da rede privada.

  • VNet Data Gateway: conecta a Power Platform à VNet de forma segura.

  • Azure API Management (opcional): pode ser usado para centralizar e proteger o consumo de APIs internas.

Etapas para implementação

  1. Publicar o recurso de backend (ex: Azure Function) com autenticação gerenciada.

  2. Criar um Private Endpoint para esse recurso e associar a uma sub-rede da VNet.

  3. Configurar o DNS privado, garantindo que os clientes resolvam o nome internamente.

  4. Instalar o Data Gateway (modo VNet ou on-premises) em uma máquina dentro da VNet.

  5. Registrar o conector personalizado no Power Platform, apontando para o endpoint interno.

  6. Validar a comunicação via Power Automate ou Power Apps, assegurando que o tráfego permaneça interno.

Governança, segurança e auditoria

Ao utilizar Private Endpoint com Power Platform, é possível aplicar políticas de rede, regras de NSG (Network Security Groups), rotas personalizadas e registrar logs detalhados com Azure Monitor, Network Watcher e Defender for Cloud. Isso proporciona total visibilidade sobre os acessos realizados pelos usuários da plataforma aos recursos corporativos.

A arquitetura ainda permite aplicação de Azure Policy para validar que somente endpoints privados sejam utilizados, promovendo conformidade contínua com padrões regulatórios como LGPD, HIPAA e ISO 27001.

Integrar Power Platform a APIs internas utilizando Azure Private Endpoint é uma prática recomendada para organizações que priorizam segurança e controle de rede, já que o modelo garante que nenhuma requisição trafegue pela internet pública, oferece proteção contra interceptações e promove aderência aos princípios de Zero Trust.Além de reforçar a segurança, essa abordagem ajuda a criar soluções low-code robustas, mantendo a escalabilidade e a governança exigidas em ambientes corporativos. 


Comments

Post a Comment