Compartilhar via


Controle de Segurança V2: proteção de dados

Observação

A versão mais recente do Azure Security Benchmark está disponível aqui.

A proteção de dados aborda o controle de proteção de dados em repouso, em trânsito e via mecanismos de acesso autorizados. Isso inclui descobrir, classificar, proteger e monitore ativos de dados confidenciais usando o controle de acesso, a criptografia e o registro em log no Azure.

Para ver as informações internas aplicáveis do Azure Policy, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: proteção de dados

DP-1: descobrir, classificar e rotular dados confidenciais

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
DP-1 13.1, 14.5, 14.7 SC-28

Descubra, classifique e rotule seus dados confidenciais para que você possa criar os controles apropriados para garantir que as informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da organização.

Use a Proteção de Informações do Azure (e a ferramenta de verificação associada) para obter informações confidenciais em documentos do Office no Azure, no local, no Office 365 e em outras localizações.

Use a Proteção de Informações do SQL do Azure para auxiliar na classificação e na rotulagem das informações armazenadas em Bancos de Dados SQL do Azure.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):

DP-2: proteger dados confidenciais

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
DP-2 13.2, 2.10 SC-7, AC-4

Proteja os dados confidenciais restringindo o acesso por meio do RBAC (controle de acesso baseado em função) do Azure, controles de acesso baseados em rede e controles específicos dos serviços do Azure (como criptografia em bancos de dados SQL e outros bancos de dados).

Para garantir um controle de acesso consistente, todos os tipos de controle de acesso devem ser alinhados à sua estratégia de segmentação corporativa. A estratégia de segmentação corporativa também deve ser informada pela localização de sistemas e dados confidenciais e comercialmente críticos.

Quanto à plataforma subjacente, que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e fornece proteção contra a perda e a exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou funcionalidades e controles padrão de proteção de dados.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):

DP-3: monitorar a transferência não autorizada de dados confidenciais

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
DP-3 13.3 AC-4, SI-4

monitore a transferência não autorizada de dados para localizações fora da visibilidade e do controle da empresa. Isso normalmente envolve o monitoramento de atividades anormais (transferências grandes ou incomuns) que podem indicar exfiltração não autorizada dos dados.

O Azure Defender para Armazenamento e o ATP do SQL do Azure podem alertar você sobre a transferência anormal de informações, que podem indicar transferências não autorizadas de informações confidenciais.

A AIP (Proteção de Informações do Azure) fornece funcionalidades de monitoramento para informações que foram classificadas e rotuladas.

Se necessário, para a conformidade de DLP (prevenção contra perda de dados), use uma solução de DLP baseada em host para impor controles de detecção e/ou prevenção a fim de evitar a exfiltração dos dados.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):

DP-4: criptografar informações confidenciais em trânsito

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
DP-4 14,4 SC-8

Para complementar os controles de acesso, os dados em trânsito devem ser protegidos contra ataques "fora de banda" (como captura de tráfego) usando a criptografia para garantir que os invasores não possam ler ou modificar os dados com facilidade.

Embora isso seja opcional para o tráfego em redes privadas, isso é essencial para o tráfego em redes externas e públicas. Para o tráfego HTTP, verifique se todos os clientes que se conectam aos recursos do Azure podem negociar o TLS v1.2 ou superior. Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. As versões e os protocolos de SSL, TLS e SSH obsoletos e as codificações fracas devem ser desabilitadas.

Por padrão, o Azure fornece criptografia para dados em trânsito entre os data centers do Azure.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):

DP-5: criptografar dados confidenciais em repouso

ID do Azure ID(s) dos controles do CIS v7.1 ID(s) do NIST SP 800-53 r4
DP-5 14,8 SC-28, SC-12

Para complementar os controles de acesso, os dados inativos devem ser protegidos contra ataques "fora de banda" (como acesso ao armazenamento subjacente) usando a criptografia. Isso ajuda a garantir que os invasores não possam ler nem modificar os dados com facilidade.

Por padrão, o Azure fornece criptografia para dados inativos. Para dados altamente confidenciais, você tem opções para implementar criptografia adicional em repouso em todos os recursos do Azure, quando disponível. O Azure gerencia as chaves de criptografia por padrão, mas o Azure fornece opções para gerenciar suas próprias chaves (chaves gerenciadas pelo cliente) para determinados serviços do Azure.

Responsabilidade: Compartilhado

Stakeholders da segurança do cliente (Saiba mais):