Segurança, governança e conformidade para análises em escala de nuvem
Ao planejar a arquitetura de análise em escala de nuvem, preste atenção especial para garantir que a arquitetura seja robusta e segura. Este artigo aborda os critérios de design de segurança, conformidade e governança para análises em escala de nuvem em escala empresarial. Este artigo também discute recomendações de design e práticas recomendadas para a implantação de uma análise em escala de nuvem no Azure. Revise governança de segurança e conformidade em escala empresarial para preparar completamente a governança de uma solução empresarial.
As soluções em nuvem inicialmente hospedavam aplicativos únicos e relativamente isolados. À medida que os benefícios das soluções em nuvem se tornaram claros, cargas de trabalho de maior escala foram hospedadas na nuvem, como o SAP no Azure. Assim, tornou-se vital abordar a segurança, a confiabilidade, o desempenho e o custo das implantações regionais durante todo o ciclo de vida dos serviços em nuvem.
A visão para a segurança, conformidade e governança da zona de aterrissagem de análise em escala de nuvem no Azure é fornecer ferramentas e processos que ajudem você a minimizar riscos e tomar decisões eficazes. As zonas de aterrissagem do Azure definem funções e responsabilidades de governança de segurança e conformidade.
O padrão de análise em escala de nuvem depende de vários recursos de segurança que podem ser habilitados no Azure. Esses recursos incluem criptografia, controle de acesso baseado em função, listas de controle de acesso e restrições de rede.
Recomendações de design de segurança
Tanto a Microsoft como os clientes partilham a responsabilidade pela segurança. Para obter orientações de segurança aceites, consulte Práticas recomendadas de cibersegurança pelo Center for Internet Security. As seções a seguir são recomendações de design de segurança.
Criptografia de dados em repouso
A criptografia de dados em repouso refere-se à criptografia de dados enquanto permanece armazenada e aborda os riscos de segurança associados ao acesso físico direto aos meios de armazenamento. Os dados em repouso são um controlo de segurança crítico, uma vez que os dados subjacentes são irrecuperáveis e não podem ser alterados sem a sua chave de desencriptação. DData-at-rest é uma camada importante na estratégia de defesa em profundidade dos datacenters da Microsoft. Muitas vezes, há razões de conformidade e governança para implantar a criptografia de dados em repouso.
Vários serviços do Azure dão suporte à criptografia de dados em repouso, incluindo o Armazenamento do Azure e os bancos de dados SQL do Azure. Embora conceitos e modelos comuns influenciem o design dos serviços do Azure, cada serviço pode aplicar criptografia de dados em repouso em diferentes camadas de pilha ou ter requisitos de criptografia diferentes.
Importante
Todos os serviços que suportam criptografia de dados em repouso devem tê-la habilitada por padrão.
Proteger os dados em trânsito
Os dados são considerados em trânsito ou em voo quando se deslocam de um local para outro. Esse trânsito pode ocorrer internamente, no local ou no Azure, ou externamente, como na Internet para um usuário final. O Azure oferece vários mecanismos, incluindo criptografia, para manter os dados privados durante o trânsito. Estes mecanismos incluem:
- Comunicação através de VPNs usando criptografia IPsec/IKE.
- Segurança da camada de transporte (TLS)
- Protocolos disponíveis em Máquinas Virtuais do Azure, como IPsec do Windows ou SMB.
A criptografia usando MACsec (segurança de controle de acesso à mídia), um padrão IEEE na camada de link de dados, é habilitada automaticamente para todo o tráfego do Azure entre datacenters do Azure. Essa criptografia garante a confidencialidade e integridade dos dados do cliente. Para obter mais informações, consulte a proteção de dados do cliente do Azure no .
Gerir chaves e segredos
Para controlar e gerenciar chaves de criptografia de disco e segredos para análises em escala de nuvem, use o Cofre de Chaves do Azure. O Key Vault tem recursos para provisionar e gerenciar certificados SSL/TLS. Você também pode proteger segredos com módulos de segurança de hardware (HSMs).
Microsoft Defender para Cloud
O Microsoft Defender for Cloud fornece alertas de segurança e proteção avançada contra ameaças para máquinas virtuais, bancos de dados SQL, contêineres, aplicativos Web, redes virtuais e muito mais.
Quando você habilita o Defender for Cloud na área de preços e configurações, os seguintes planos do Microsoft Defender são habilitados simultaneamente e fornecem defesas abrangentes para as camadas de computação, dados e serviços do seu ambiente:
- Microsoft Defender para servidores
- Microsoft Defender para Serviço de Aplicações
- Microsoft Defender for Storage
- Microsoft Defender para SQL
- Microsoft Defender para Kubernetes
- Microsoft Defender para registros de contêiner
- Microsoft Defender para Cofre de Chaves
- Microsoft Defender para o Gestor de Recursos
- Microsoft Defender para DNS
Esses planos são explicados separadamente na documentação do Defender for Cloud.
Importante
Quando o Defender for Cloud estiver disponível para ofertas de plataforma como serviço (PaaS), você deve habilitar esse recurso por padrão, especialmente para contas do Armazenamento do Azure Data Lake. Para obter mais informações, consulte Introdução ao Microsoft Defender for Cloud e configurar o Microsoft Defender para armazenamento.
Microsoft Defender para Identidade
O Microsoft Defender for Identity faz parte da oferta avançada de segurança de dados, que é um pacote unificado para recursos avançados de segurança. O Microsoft Defender for Identity pode ser acessado e gerenciado por meio do portal do Azure.
Importante
Habilite o Microsoft Defender for Identity por padrão sempre que estiver disponível para os serviços PaaS que você usa.
Ativar o Microsoft Sentinel
Microsoft Sentinel é uma solução escalável, nativa da nuvem, de gerenciamento de eventos de informações de segurança (SIEM) e de resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência de ameaças em toda a empresa, fornecendo uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças.
Ligação em rede
A prescrição para a análise em escala de nuvem é usar pontos de extremidade privados do Azure para todos os serviços PaaS e para não usar IPs públicos para todos os serviços de infraestrutura como serviço (IaaS). Para obter mais informações, consulte rede de análise à escala da nuvem.
Recomendações de design de conformidade e governança
Azure Advisor ajuda-o a obter uma visão consolidada das suas subscrições do Azure. Consulte o Azure Advisor para obter recomendações de confiabilidade, resiliência, segurança, desempenho, excelência operacional e custo. As seções a seguir são recomendações de design de conformidade e governança.
Usar a Política do Azure
Azure Policy ajuda a aplicar padrões organizacionais e avaliar a conformidade à escala. Por meio de seu painel de conformidade, ele fornece uma visão agregada do estado geral do ambiente, com a capacidade de detalhar recursos ou políticas individuais.
A Política do Azure ajuda a colocar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática de novos recursos. Várias políticas internas estão disponíveis, por exemplo, para restringir o local de novos recursos, exigir uma tag e seu valor nos recursos, criar uma VM usando um disco gerenciado ou impor políticas de nomenclatura.
Automatize implantações
Você pode economizar tempo e reduzir erros automatizando implantações. Reduza a complexidade de implantação de zonas de aterrissagem de dados de ponta a ponta e aplicativos de dados (que criam produtos de dados) criando modelos de código reutilizáveis. Essa automação minimiza o tempo de implantação ou reimplantação de soluções. Para obter mais informações, consulte Compreender a automação de DevOps para a análise em escala de nuvem no Azure
Bloquear recursos para cargas de trabalho de produção
Crie o gerenciamento de dados principais e os recursos da zona de aterrissagem de dados necessários no início do seu projeto. Quando todas as adições, movimentações e alterações estiverem concluídas e a implantação do Azure estiver operacional, bloqueie todos os recursos. Em seguida, apenas um administrador pode desbloquear ou modificar recursos. Para obter mais informações, consulte Bloquear recursos para evitar alterações inesperadas.
Implementar controle de acesso baseado em função
Você pode personalizar o controle de acesso baseado em função (RBAC) em assinaturas do Azure para gerenciar quem tem acesso aos recursos do Azure, o que eles podem fazer com esses recursos e a quais áreas eles têm acesso. Por exemplo, você pode permitir que os membros da equipe implantem ativos principais em uma zona de aterrissagem de dados, mas impedir que eles alterem qualquer um dos componentes da rede.
Cenários de conformidade e governança
As recomendações a seguir se aplicam a vários cenários de conformidade e governança. Esses cenários representam uma solução econômica e escalável.
| Cenário | Recomendação |
|---|---|
| Configure um modelo de governança com convenções de nomenclatura padrão e obtenha relatórios com base no centro de custo. | Use a Política e as tags do Azure para atender às suas necessidades. |
| Evite a exclusão acidental de recursos do Azure. | Use bloqueios de recursos do Azure para evitar a exclusão acidental. |
| Obtenha uma visão consolidada das áreas de oportunidade para otimização de custos, resiliência, segurança, excelência operacional e desempenho para recursos do Azure. | Use o Azure Advisor para obter uma exibição consolidada em todas as assinaturas do SAP no Azure. |