Controlo de Segurança V2: Proteção de Dados
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
A Proteção de Dados cobre o controlo da proteção de dados em repouso, em trânsito e através de mecanismos de acesso autorizados. Isto inclui descobrir, classificar, proteger e monitorizar ativos de dados sensíveis usando controlo de acesso, encriptação e login em Azure.
Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Data Protection
DP-1: Descobrir, classificar e etiquetar dados confidenciais
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Descubra, classifique e rotule os seus dados sensíveis para que possa conceber os controlos apropriados para garantir que informações sensíveis são armazenadas, processadas e transmitidas de forma segura pelos sistemas tecnológicos da organização.
Utilize o Azure Information Protection (e a ferramenta de análise associada do mesmo) para informações confidenciais em documentos do Office no Azure, em ambientes no local, no Office 365 e noutras localizações.
Pode utilizar o Azure SQL Information Protection para ajudar na classificação e etiquetagem das informações armazenadas nas bases de dados da Base de Dados SQL do Azure.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
DP-2: Proteger dados confidenciais
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteja os dados sensíveis restringindo o acesso utilizando o controlo de acesso baseado em funções Azure (Azure RBAC), controlos de acesso baseados em rede e controlos específicos nos serviços Azure (como encriptação em SQL e outras bases de dados).
Para garantir um controlo de acesso consistente, todos os tipos de controlo de acesso devem estar alinhados com a estratégia de segmentação da sua empresa. A estratégia de segmentação da empresa também deve ter conhecimento da localização dos dados confidenciais e dos sistemas críticos para a empresa.
Quanto à plataforma subjacente, que é gerida pela Microsoft, a Microsoft encara todos os conteúdos dos clientes como confidenciais e protege-os da perda e exposição dos dados de cliente. Para assegurar que os dados permanecem seguros no Azure, a Microsoft implementou alguns controlos e capacidades de proteção de dados predefinidos.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
DP-3: Monitorizar a transferência não autorizada de dados confidenciais
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
DP-3 | 13.3 | AC-4, SI-4 |
Monitorize para transferência não autorizada de dados para locais fora da visibilidade e controlo da empresa. Tipicamente, esta orientação envolve a monitorização de atividades anómalas (transferências grandes ou incomuns) que podem indicar a exfiltração não autorizada de dados.
O Azure Defender for Storage and SQL do Azure ATP pode alertar para a transferência anómala de informações que possam indicar transferências não autorizadas de informações sensíveis.
O Azure Information Protection (AIP) proporciona capacidades de monitorização de informações que tenham sido classificadas e etiquetadas.
Se necessário para a conformidade em termos da prevenção contra perda de dados (Data Loss Prevention, DLP), pode utilizar uma solução de DLP baseada em anfitrião para impor controlos de deteção e/ou prevenção para evitar a exfiltração de dados.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
DP-4: Encriptar informações confidenciais em trânsito
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
DP-4 | 14,4 | SC-8 |
Para complementar os controlos de acesso, os dados em trânsito devem ser protegidos contra ataques "fora de banda" (como a captura de tráfego) utilizando encriptação para garantir que os atacantes não podem ler ou modificar facilmente os dados.
Embora isto seja facultativo para o tráfego em redes privadas, isto é fundamental para o tráfego em redes externas e públicas. Para o tráfego HTTP, certifique-se de que qualquer cliente que se conecte aos seus recursos Azure pode negociar TLS v1.2 ou superior. Para uma gestão remota, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado. As versões e protocolos obsoletos de SSL, TLS e SSH devem ser desativados.
Por padrão, o Azure fornece encriptação para dados em trânsito entre centros de dados Azure.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):
DP-5: Encripte os dados confidenciais inativos
Azure ID | Controlos do CIS v7.1 ID(s) | NIST SP 800-53 r4 ID |
---|---|---|
DP-5 | 14,8 | SC-28, SC-12 |
Para complementar os controlos de acesso, os dados em repouso devem ser protegidos contra ataques "fora da banda" (como aceder ao armazenamento subjacente) utilizando encriptação. Isto ajuda a garantir que os atacantes não podem ler ou modificar facilmente os dados.
O Azure fornece encriptação para dados em repouso por padrão. Para dados altamente sensíveis, você tem opções para implementar encriptação adicional em repouso em todos os recursos Azure, sempre que disponível. O Azure gere as suas chaves de encriptação por padrão, mas o Azure oferece opções para gerir as suas próprias chaves (chaves geridas pelo cliente) para certos serviços Azure.
Responsabilidade: Partilhada
Stakeholders de Segurança do Cliente (Saiba mais):