Segurança, governança e conformidade para a análise em escala de nuvem
Ao planejar a arquitetura de análise em escala de nuvem, preste bastante atenção para garantir que a arquitetura seja robusta e segura. Este artigo aborda os critérios de design de segurança, conformidade e governança para a análise de escala empresarial em escala de nuvem. Este artigo também discute as recomendações de design e as melhores práticas para a implantação de uma análise em escala de nuvem no Azure. Examine a conformidade e a governança de segurança de escala empresarial e prepare-se totalmente para a governança de uma solução corporativa.
As soluções de nuvem inicialmente hospedavam aplicativos individuais e relativamente isolados. Como os benefícios das soluções de nuvem se tornaram claros, cargas de trabalho de maior escala foram hospedadas na nuvem, como o SAP no Azure. Portanto, tornou-se vital considerar a segurança, a confiabilidade, o desempenho e o custo de implantações regionais durante todo o ciclo de vida dos serviços de nuvem.
A ideia de segurança, conformidade e governança da zona de destino de análise em escala de nuvem no Azure é fornecer ferramentas e processos que ajudam a minimizar o risco e tomar decisões efetivas. As zonas de destino do Azure definem funções e responsabilidades de governança de segurança e de conformidade.
O padrão de análise em escala de nuvem depende de vários recursos de segurança que podem ser habilitados no Azure. Esses recursos incluem criptografia, controle de acesso baseado em função, listas de controle de acesso e restrições de rede.
Recomendações de design de segurança
A Microsoft e os clientes compartilham responsabilidade por segurança. Para ver as diretrizes de segurança aceitas, veja Melhores práticas de segurança cibernética do Center for Internet Security. As seções a seguir são recomendações de design de segurança.
Criptografia de dados em repouso
DAR (criptografia de dados em repouso) é a criptografia de dados que permanecem no armazenamento. Ela resolve os riscos de segurança relacionados ao acesso físico direto da mídia de armazenamento. O DAR é um controle de segurança crítico, pois os dados subjacentes são irrecuperáveis e não podem ser alterados sem a chave de descriptografia. O DAR é uma camada importante da estratégia de defesa aprofundada dos data centers da Microsoft. Geralmente, há motivos de conformidade e governança para implantar a criptografia de dados em repouso.
Vários serviços do Azure dão suporte à criptografia de dados em repouso, como os bancos de dados SQL do Azure e do Armazenamento do Microsoft Azure. Embora conceitos e modelos comuns influenciem o design dos serviços do Azure, cada serviço pode aplicar criptografia de dados em repouso em diferentes camadas de pilha ou ter requisitos de criptografia diferentes.
Importante
Todos os serviços que dão suporte à criptografia de dados em repouso devem estar habilitados por padrão.
Proteger dados em trânsito
Os dados estão em trânsito quando se movem de um local para outro. O trânsito pode ser interno, local ou no Azure ou externamente, como pela Internet para um usuário final. O Azure oferece vários mecanismos, como criptografia, para manter os dados privados em trânsito. Esses mecanismos incluem:
- Comunicação por VPNs usando criptografia IPsec/IKE.
- TLS (Transport Layer Security) 1.2 ou posterior usado pelos componentes do Azure, como o Gateway de Aplicativo do Azure ou o Azure Front Door.
- Protocolos disponíveis em máquinas virtuais do Azure, como o IPsec ou o SMB do Windows.
A criptografia com MACsec (Segurança de Controle de Acesso de Mídia), um padrão IEEE na camada de link de dados, é habilitada automaticamente em todo o tráfego do Azure entre os datacenters do Azure. Essa criptografia garante a confidencialidade dos dados do cliente e a integridade. Para obter mais informações, confira Proteção de dados do cliente do Azure.
Gerenciar chaves e segredos
Para controlar e gerenciar chaves de criptografia de disco e segredos na análise em escala de nuvem, use o Azure Key Vault. O Key Vault tem recursos para provisionar e gerenciar certificados SSL/TLS. Você também pode proteger segredos com HSMs (módulos de segurança de hardware).
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, redes virtuais e muito mais.
Quando você habilita o Defender para Nuvem na área de preços e configurações, os seguintes planos do Microsoft Defender são habilitados simultaneamente e fornecem defesas abrangentes para a computação, os dados e as camadas de serviço do seu ambiente:
- Microsoft Defender para servidores
- Microsoft Defender para Serviço de Aplicativo
- Microsoft Defender para Armazenamento
- Microsoft Defender para SQL
- Microsoft Defender para Kubernetes
- Microsoft Defender para registros de contêiner
- Microsoft Defender para Key Vault
- Microsoft Defender para Resource Manager
- Microsoft Defender para DNS
Esses planos são explicados separadamente na documentação do Defender para Nuvem.
Importante
Quando o Defender para Nuvem está disponível em ofertas de PaaS (plataforma como serviço), você pode habilitar esse recurso por padrão, principalmente em contas do Azure Data Lake Storage. Para obter mais informações, confira Introdução ao Microsoft Defender para Nuvem e configurar o Microsoft Defender para Armazenamento.
Microsoft Defender para Identidade
O Microsoft Defender para Identidade faz parte da oferta de segurança de dados avançada, um pacote unificado de recursos avançados de segurança. O Microsoft Defender para Identidade pode ser acessado e gerenciado no portal do Azure.
Importante
Habilite o Microsoft Defender para Identidade por padrão sempre que ele estiver disponível para os serviços de PaaS que você usar.
Habilitar Microsoft Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que oferece SIEM (gerenciamento de eventos e informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.
Rede
A exibição prescrita da análise em escala de nuvem é usar os pontos de extremidade privados do Azure em todos os serviços de PaaS e não usar IPs públicos nos serviços de IaaS (infraestrutura como serviço). Para obter mais informações, confira Rede da análise em escala de nuvem.
Recomendações de design de conformidade e governança
O Assistente do Azure oferece uma visão confiável de suas assinaturas do Azure. Consulte o Assistente do Azure para ter confiabilidade, resiliência, segurança, desempenho, excelência operacional e recomendações de custo. As seções a seguir são recomendações de design de conformidade e governança.
Usar o Azure Policy
O Azure Policy ajuda a reforçar os padrões organizacionais e a avaliar a conformidade em escala. No painel de conformidade, ele fornece uma visão agregada do estado geral do ambiente, com a capacidade de fazer uma busca detalhada em recursos individuais ou políticas.
O Azure Policy mantém seus recursos em conformidade com a correção em massa de recursos antigos e a correção automática de novos recursos. Várias políticas internas estão disponíveis, por exemplo, para restringir o local de novos recursos, exigir uma marca e seu valor em recursos, criar uma VM com um disco gerenciado ou impor políticas de nomenclatura.
Automatizar as implantações
Você pode automatizar implantações para economizar tempo e reduzir erros. Reduza a complexidade da implantação de zonas de destino de dados e aplicativos de dados de ponta a ponta (que criam produtos de dados) criando modelos de código reutilizáveis. Isso minimiza o tempo de implantação ou de reimplantação de soluções. Para saber mais, confira Entender a automação de DevOps para a análise em escala de nuvem no Azure
Bloquear recursos em cargas de trabalho de produção
Crie os recursos básicos necessários de gerenciamento de dados e zona de destino de dados do Azure no início do seu projeto. Quando todas as adições, movimentações e alterações forem concluídas, e a implantação do Azure estiver operacional, bloqueie todos os recursos. Depois disso, apenas um administrador poderá desbloquear ou modificar os recursos, como um catálogo de dados. Para obter mais informações, confira Bloquear recursos para impedir alterações inesperadas.
Implementar o controle de acesso baseado em função
Você pode personalizar o RBAC (controle de acesso baseado em função) em assinaturas do Azure para gerenciar quem tem acesso aos recursos do Azure, o que essas pessoas podem fazer com esses recursos e a quais áreas elas têm acesso. Por exemplo, você pode permitir que os membros da equipe implantem ativos básicos em uma zona de destino de dados, mas impedir que alterem os componentes da rede.
Cenários de conformidade e governança
As recomendações a seguir se aplicam a vários cenários de conformidade e governança. Esses cenários representam uma solução econômica e escalonável.
| Cenário | Recomendação |
|---|---|
| Configure um modelo de governança com convenções de nomenclatura padrão e receba relatórios com base no centro de custo. | Use o Azure Policy e marcas de acordo com suas necessidades. |
| Evite a exclusão acidental de recursos do Azure. | Use bloqueios de recursos do Azure para evitar a exclusão acidental. |
| Obtenha uma visão confiável das áreas de possível otimização de custos, resiliência, segurança, excelência operacional e desempenho de recursos do Azure. | Use o Assistente do Azure para ter uma visão confiável do SAP em assinaturas do Azure. |