Portefólio de políticas do Microsoft Cloud for Sovereignty

O Azure oferece uma série de iniciativas incorporadas que se alinham com vários quadros de conformidade regulamentar e normas do setor. Estas iniciativas abrangem aspetos críticos como a proteção de dados, a segurança da rede e os controlos de acesso. Ao impor configurações e controlos robustos, pode melhorar a soberania e a posição de segurança dos recursos do Azure da sua organização e proteger dados confidenciais contra acesso não autorizado.

Microsoft Cloud for Sovereignty estende as iniciativas internas existentes do Azure e as iniciativas de políticas personalizadas adicionando regularmente mais iniciativas.

Iniciativas de políticas incorporadas do Azure

As iniciativas de políticas incorporadas do Azure são um potente conjunto de ferramentas que permite o controlo centralizado entre os recursos do Azure e a imposição de configurações específicas. Estas iniciativas compreendem uma coleção de definições de políticas e apoiam a conformidade com diversas estruturas regulamentares, padrões da indústria e as melhores práticas de segurança.

As iniciativas oferecem uma abordagem simplificada e automatizada à governação, permitindo que as organizações giram e monitorizem a conformidade à escala. Para obter mais informações sobre as iniciativas de políticas, consulte O que é o Azure Policy?.

Iniciativas de política personalizada do Azure

As iniciativas personalizadas da Política do Azure ajudam-no a adaptar um conjunto de políticas especificamente aos requisitos exclusivos da sua organização, dando-lhe controlo para aplicar os padrões e regras que melhor se adequam ao seu ambiente. Microsoft Cloud for Sovereignty torna várias iniciativas de políticas personalizadas e mapeamentos de conformidade acessíveis por meio do repositório de portfólio de políticas do setor no GitHub. As iniciativas de políticas da Microsoft Cloud for Sovereignty auxiliam na personalização de implementações para reduzir o tempo e a complexidade necessários para auditar ambientes e ajudam a cumprir os quadros de conformidade regulamentar estabelecidos e os requisitos governamentais.

Iniciativas de políticas do Microsoft Cloud for Sovereignty

Iniciativas e mapeamentos de conformidade do Microsoft Cloud for Sovereignty que expandem as iniciativas incorporadas do Azure, além de ajudar a automatizar a aplicação de políticas e a promover uma estrutura de governação robusta que reduz o risco de não conformidade. Além disso, as iniciativas também reforçam as medidas de proteção de dados. As organizações podem utilizar o grande conjunto de iniciativas incorporadas de conformidade regulamentar disponíveis enquanto continuamos a expandir noutras arquiteturas.

Iniciativas de políticas de conformidade regulamentar

Microsoft Cloud for Sovereignty mantém várias iniciativas de política de conformidade regulatória no repositório de portfólio de políticas do setor. Este portfólio contém uma coleção de iniciativas para ajudá-lo a iniciar sua jornada de conformidade.

Essas iniciativas estão disponíveis como iniciativas de política internas e personalizadas do Azure. Pode encontrar as iniciativas de política incorporadas através das páginas do portal de Políticas do Azure. Para iniciativas personalizadas, você precisa implantar a iniciativa no locatário. Para obter mais informações, consulte o repositório de portfólio de políticas do setor. As iniciativas políticas e os dossiês contidos neste repositório pretendem servir de ponto de partida. Esses arquivos não se destinam a ser soluções finais ou abrangentes, mas recursos úteis para impulsionar seus esforços.

Para além das iniciativas políticas, pode encontrar informações sobre o quadro político e as políticas específicas para controlar os mapeamento objetivos no repositório de portefólios de políticas do setor.

O portefólio inclui as seguintes iniciativas políticas:

• A Diretiva NIS2(pré-visualização) reforça a cibersegurança e a resiliência das infraestruturas críticas e dos serviços digitais em toda a União Europeia, garantindo um nível mais elevado de proteção contra ciberameaças.
• Espanha Esquema Nacional de Seguridad (ENS) Medidas de Segurança de Alto Nível exige controles de segurança para organizações públicas e provedores de Tecnologia da Informação e Comunicação (TIC), garantindo a conformidade com as normas espanholas e da UE para proteger dados e serviços.
• O Manual de Segurança da Informação da Nova Zelândia (NZ ISM) tem como objetivo estabelecer processos e controles para proteger informações e sistemas do governo da Nova Zelândia.
• A linha de base de segurança da informação do governo (Baseline informatiebeveiliging Overheid ou BIO em holandês) é a estrutura de padrões fundamentais para a segurança da informação em todos os níveis do governo dos Países Baixos (governo central, municípios, províncias e conselhos de água).
• A Estratégia Italiana para a Nuvem contém as orientações estratégicas para a migração para a nuvem de dados e serviços digitais da Administração Pública italiana, tendo a Agência Nacional de Cibersegurança (ACN) emitido um conjunto de requisitos para a qualificação dos Serviços de Computação em Nuvem e das Infraestruturas de Serviços de Computação em Nuvem.
• Uma iniciativa de política do Azure personalizada e um mapeamento de controlo que ajudam os clientes a cumprir as diretrizes definidas pelo quadro de controlo de cibersegurança Cloud Controls Matrix (CCM) v4 da Cloud Security Alliance (CSA) para computação na cloud.
• Microsoft Cloud for Sovereignty Políticas globais de linha de base e políticas confidenciais Microsoft Cloud for Sovereignty delinha de base.

A Microsoft publicou recentemente mais duas iniciativas de políticas incorporadas de conformidade regulamentar; as Microsoft Cloud for Sovereignty Políticas Globais da Linha de Base e as Políticas Microsoft Cloud for Sovereignty Confidenciais da Linha deBase.

Para obter mais informações sobre essas iniciativas de política de conformidade regulatória, consulte portfólio de políticas do setor.

Iniciativas de Linha de base da política de soberania

As iniciativas de políticas da Microsoft Clouds for Sovereignty foram concebidas principalmente para ajudar a demonstrar a conformidade em relação a uma estrutura de controlo de segurança específica. No entanto, a Linha de Base da Política de soberania é um conjunto especial de Iniciativas do Azure Policy incorporadas destinadas a complementar os quadros com controlos de soberania.

Os controlos de soberania ajudam a permitir a utilização adequada das Ofertas de Computação Confidencial do Azure que fornecem verificadores de integridade de proteção de dados para além do que os quadros de controlo de segurança existentes normalmente exigem de uma forma de fácil adoção pelas organizações.

As iniciativas de políticas da Linha de Base de Soberania fornecem às organizações um método simples para configurar várias políticas do Azure de uma maneira que aborda um ou mais dos objetivos de controlo de soberania, listados da seguinte forma:

• Os dados do cliente têm de ser armazenados e processados inteiramente em datacenters localizados em regiões geopolíticas aprovadas com base nos requisitos definidos pelo cliente.
• Os clientes têm de aprovar o acesso aos dados dos clientes por operadores de cloud e de serviços geridos.
• Os dados confidenciais definidos pelo cliente só podem estar acessíveis de forma encriptada para operadores de cloud e de serviços geridos.
• O cliente tem de ter o controlo exclusivo sobre a decisão das identidades que podem aceder às chaves utilizadas para desencriptar dados confidenciais definidos pelo cliente.

Estes objetivos de controlo são as melhores práticas recomendadas pelo Azure para abordar questões de soberania de dados, apoiando a utilização e configurações adequadas dentro de várias ofertas do Azure que armazenam ou processam dados de clientes. Se considerar que há outros objetivos de controlo necessários a incluir na linha de base, pode criar um pedido de funcionalidade.

As iniciativas da política Linha de base de soberania vêm pré-instaladas com a Zona de Pouso Soberana ou podem ser implementadas em qualquer inquilino do Azure como uma Azure Policy incorporada.

As iniciativas de política de Linha de base de soberania não substituem as iniciativas de conformidade regulamentar incorporada nem é mapeada diretamente para qualquer um dos quadros. As organizações devem continuar a utilizar as suas iniciativas existentes para demonstrar a conformidade com todos os quadros regulamentares adequados.

Para obter mais informações sobre como a Microsoft vê a soberania de dados, leia nossos white papers.

Importante

As organizações são totalmente responsáveis ​​por garantir a sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas neste documento não constituem aconselhamento jurídico e as organizações devem consultar os seus consultores jurídicos para quaisquer dúvidas relacionadas com a conformidade regulamentar.

Consulte também

• Definições de iniciativa interna da Política do Azure
  
• O que é a política do Azure?