Controle de segurança: proteção de dados

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

As recomendações de proteção de dados concentram-se em resolver problemas relacionados à criptografia, listas de controle de acesso, controle de acesso baseado em identidade e log de auditoria para acesso a dados.

4.1: Manter um inventário de informações confidenciais

ID do Azure	IDs do CIS	Responsabilidade
4.1	13.1	Cliente

Use marcas para ajudar a controlar os recursos do Azure que armazenam ou processam informações confidenciais.

• Como criar e usar marcas

4.2: isolar sistemas que armazenam ou processam informações confidenciais

ID do Azure	IDs do CIS	Responsabilidade
4.2	13.2, 2.10	Cliente

Implemente o isolamento usando assinaturas e grupos de gerenciamento separados para domínios de segurança individuais, como tipo de ambiente e nível de confidencialidade de dados. Você pode restringir o nível de acesso aos recursos do Azure que seus aplicativos e ambientes empresariais exigem. Você pode controlar o acesso aos recursos do Azure com o RBAC (controle de acesso baseado em função) do Azure.

• Como criar assinaturas adicionais do Azure

• Como criar Grupos de Gerenciamento

• Como criar e usar marcas

4.3: monitorar e bloquear a transferência não autorizada de informações confidenciais

ID do Azure	IDs do CIS	Responsabilidade
4.3	13.3	Compartilhado

Aproveite uma solução de terceiros do Azure Marketplace em perímetros de rede que monitora a transferência não autorizada de informações confidenciais e bloqueia essas transferências alertando os profissionais de segurança da informação.

Quanto à plataforma subjacente, que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e protege contra a perda e a exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou e mantém um conjunto de recursos e controles robustos de proteção de dados.

• Entender a proteção de dados do cliente no Azure

4.4: criptografar todas as informações confidenciais em trânsito

ID do Azure	IDs do CIS	Responsabilidade
4.4	14,4	Compartilhado

Criptografar todas as informações confidenciais em trânsito. Verifique se todos os clientes que se conectam aos seus recursos do Azure são capazes de negociar o TLS 1.2 ou mais recente.

Siga as recomendações da Central de Segurança do Azure para criptografia em repouso e em trânsito, quando aplicável.

• Noções básicas sobre a criptografia em trânsito com o Azure

4.5: Usar uma ferramenta de descoberta ativa para identificar dados confidenciais

ID do Azure	IDs do CIS	Responsabilidade
4.5	14,5	Compartilhado

Quando nenhum recurso está disponível para seu serviço específico no Azure, use uma ferramenta de descoberta ativa de terceiros para identificar todas as informações confidenciais armazenadas, processadas ou transmitidas pelos sistemas de tecnologia da organização, incluindo as do local, ou de um provedor de serviços remoto, e atualize o inventário de informações confidenciais da organização.

Use a proteção de informações do Azure para identificar informações confidenciais em documentos Microsoft 365.

Use a Proteção de Informações do SQL do Azure para auxiliar na classificação e na rotulagem das informações armazenadas em Bancos de Dados SQL do Azure.

• Como implementar a descoberta de dados do SQL do Azure

• Como implementar a proteção de informações do Azure

• Entender a proteção de dados do cliente no Azure

4.6: usar o RBAC do Azure para controlar o acesso a recursos

ID do Azure	IDs do CIS	Responsabilidade
4.6	14.6	Cliente

Use o Azure RBAC (controle de acesso baseado em função) para controlar o acesso a dados e recursos, caso contrário use métodos de controle de acesso específicos de serviço.

• Como configurar o RBAC do Azure

4.7: usar a prevenção contra perda de dados baseada em host para impor controle de acesso

ID do Azure	IDs do CIS	Responsabilidade
4.7	14,7	Compartilhado

Se necessário para a conformidade em recursos de computação, implemente uma ferramenta de terceiros, como uma solução de Prevenção contra Perda de Dados baseada em host automatizada, para impor controles de acesso aos dados, mesmo quando os dados são copiados fora de um sistema.

Para a plataforma subjacente que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e faz todo o esforço possível para proteger contra perda e exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou e mantém um conjunto de recursos e controles robustos de proteção de dados.

• Entender a proteção de dados do cliente no Azure

4.8: Criptografar informações confidenciais em repouso

ID do Azure	IDs do CIS	Responsabilidade
4.8	14,8	Cliente

Use a criptografia em repouso em todos os recursos do Azure. A Microsoft recomenda permitir que o Azure gerencie suas chaves de criptografia. No entanto, há a opção de você gerenciar suas próprias chaves em algumas instâncias.

• Noções básicas sobre a criptografia em repouso do Azure

• Como configurar chaves de criptografia gerenciadas pelo cliente

4.9: Registrar e alertar sobre alterações em recursos críticos do Azure

ID do Azure	IDs do CIS	Responsabilidade
4.9	14,9	Cliente

Use o Azure Monitor com o Log de Atividades do Azure para criar alertas para quando ocorrer alterações em recursos críticos do Azure.

• Como criar alertas para eventos do log de atividades do Azure

Próximas etapas

• Veja o próximo controle de segurança: Gerenciamento de vulnerabilidades