Partilhar via


Controlo de Segurança V2: Proteção de Dados

Nota

O benchmark de segurança Azure mais atualizado está disponível aqui.

A Proteção de Dados cobre o controlo da proteção de dados em repouso, em trânsito e através de mecanismos de acesso autorizados. Isto inclui descobrir, classificar, proteger e monitorizar ativos de dados sensíveis usando controlo de acesso, encriptação e login em Azure.

Para ver os Azure Policy incorporados aplicáveis, consulte detalhes da iniciativa Azure Security Benchmark Regulatory Compliance built-in: Data Protection

DP-1: Descobrir, classificar e etiquetar dados confidenciais

Azure ID Controlos do CIS v7.1 ID(s) NIST SP 800-53 r4 ID
DP-1 13.1, 14.5, 14.7 SC-28

Descubra, classifique e rotule os seus dados sensíveis para que possa conceber os controlos apropriados para garantir que informações sensíveis são armazenadas, processadas e transmitidas de forma segura pelos sistemas tecnológicos da organização.

Utilize o Azure Information Protection (e a ferramenta de análise associada do mesmo) para informações confidenciais em documentos do Office no Azure, em ambientes no local, no Office 365 e noutras localizações.

Pode utilizar o Azure SQL Information Protection para ajudar na classificação e etiquetagem das informações armazenadas nas bases de dados da Base de Dados SQL do Azure.

Responsabilidade: Partilhada

Stakeholders de Segurança do Cliente (Saiba mais):

DP-2: Proteger dados confidenciais

Azure ID Controlos do CIS v7.1 ID(s) NIST SP 800-53 r4 ID
DP-2 13.2, 2.10 SC-7, AC-4

Proteja os dados sensíveis restringindo o acesso utilizando o controlo de acesso baseado em funções Azure (Azure RBAC), controlos de acesso baseados em rede e controlos específicos nos serviços Azure (como encriptação em SQL e outras bases de dados).

Para garantir um controlo de acesso consistente, todos os tipos de controlo de acesso devem estar alinhados com a estratégia de segmentação da sua empresa. A estratégia de segmentação da empresa também deve ter conhecimento da localização dos dados confidenciais e dos sistemas críticos para a empresa.

Quanto à plataforma subjacente, que é gerida pela Microsoft, a Microsoft encara todos os conteúdos dos clientes como confidenciais e protege-os da perda e exposição dos dados de cliente. Para assegurar que os dados permanecem seguros no Azure, a Microsoft implementou alguns controlos e capacidades de proteção de dados predefinidos.

Responsabilidade: Partilhada

Stakeholders de Segurança do Cliente (Saiba mais):

DP-3: Monitorizar a transferência não autorizada de dados confidenciais

Azure ID Controlos do CIS v7.1 ID(s) NIST SP 800-53 r4 ID
DP-3 13.3 AC-4, SI-4

Monitorize para transferência não autorizada de dados para locais fora da visibilidade e controlo da empresa. Tipicamente, esta orientação envolve a monitorização de atividades anómalas (transferências grandes ou incomuns) que podem indicar a exfiltração não autorizada de dados.

O Azure Defender for Storage and SQL do Azure ATP pode alertar para a transferência anómala de informações que possam indicar transferências não autorizadas de informações sensíveis.

O Azure Information Protection (AIP) proporciona capacidades de monitorização de informações que tenham sido classificadas e etiquetadas.

Se necessário para a conformidade em termos da prevenção contra perda de dados (Data Loss Prevention, DLP), pode utilizar uma solução de DLP baseada em anfitrião para impor controlos de deteção e/ou prevenção para evitar a exfiltração de dados.

Responsabilidade: Partilhada

Stakeholders de Segurança do Cliente (Saiba mais):

DP-4: Encriptar informações confidenciais em trânsito

Azure ID Controlos do CIS v7.1 ID(s) NIST SP 800-53 r4 ID
DP-4 14,4 SC-8

Para complementar os controlos de acesso, os dados em trânsito devem ser protegidos contra ataques "fora de banda" (como a captura de tráfego) utilizando encriptação para garantir que os atacantes não podem ler ou modificar facilmente os dados.

Embora isto seja facultativo para o tráfego em redes privadas, isto é fundamental para o tráfego em redes externas e públicas. Para o tráfego HTTP, certifique-se de que qualquer cliente que se conecte aos seus recursos Azure pode negociar TLS v1.2 ou superior. Para uma gestão remota, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado. As versões e protocolos obsoletos de SSL, TLS e SSH devem ser desativados.

Por padrão, o Azure fornece encriptação para dados em trânsito entre centros de dados Azure.

Responsabilidade: Partilhada

Stakeholders de Segurança do Cliente (Saiba mais):

DP-5: Encripte os dados confidenciais inativos

Azure ID Controlos do CIS v7.1 ID(s) NIST SP 800-53 r4 ID
DP-5 14,8 SC-28, SC-12

Para complementar os controlos de acesso, os dados em repouso devem ser protegidos contra ataques "fora da banda" (como aceder ao armazenamento subjacente) utilizando encriptação. Isto ajuda a garantir que os atacantes não podem ler ou modificar facilmente os dados.

O Azure fornece encriptação para dados em repouso por padrão. Para dados altamente sensíveis, você tem opções para implementar encriptação adicional em repouso em todos os recursos Azure, sempre que disponível. O Azure gere as suas chaves de encriptação por padrão, mas o Azure oferece opções para gerir as suas próprias chaves (chaves geridas pelo cliente) para certos serviços Azure.

Responsabilidade: Partilhada

Stakeholders de Segurança do Cliente (Saiba mais):