Controlo de Segurança v3: Proteção de dados
A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados, incluindo descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia, gerenciamento de chaves e certificados no Azure.
DP-1: Detetar, classificar e etiquetar dados confidenciais
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Princípio de Segurança: Estabelecer e manter um inventário dos dados sensíveis, com base no escopo de dados sensíveis definido. Use ferramentas para descobrir, classificar e rotular os dados confidenciais no escopo.
Orientação do Azure: use ferramentas como o Microsoft Purview, a Proteção de Informações do Azure e a Descoberta e Classificação de Dados SQL do Azure para verificar, classificar e rotular centralmente os dados confidenciais que residem no Azure, no local, no Microsoft 365 e em outros locais.
Implementação e contexto adicional:
- Visão geral da classificação de dados
- Rotule seus dados confidenciais usando o Microsoft Purview
- Etiquetar informações confidenciais com o Azure Information Protection
- Como implementar a Descoberta de Dados do SQL do Azure
- Fontes de dados do Microsoft Purview
Partes interessadas na segurança do cliente (Saiba mais):
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Princípio de segurança: Monitore anomalias em torno de dados confidenciais, como transferência não autorizada de dados para locais fora da visibilidade e controle da empresa. Tipicamente, esta orientação envolve a monitorização de atividades anómalas (transferências grandes ou incomuns) que podem indicar a exfiltração não autorizada de dados.
Orientação do Azure: use a proteção de informações do Azure (AIP) para monitorar os dados que foram classificados e rotulados.
Use o Azure Defender for Storage, o Azure Defender for SQL e o Azure Cosmos DB para alertar sobre a transferência anômala de informações que podem indicar transferências não autorizadas de informações de dados confidenciais.
Observação: se necessário para a conformidade da prevenção contra perda de dados (DLP), você pode usar uma solução DLP baseada em host do Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controles de deteção e/ou preventivos para evitar a exfiltração de dados.
Implementação e contexto adicional:
Partes interessadas na segurança do cliente (Saiba mais):
DP-3: Encriptar dados confidenciais em trânsito
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3,10 | SC-8 | 3.5, 3.6, 4.1 |
Princípio de segurança: Proteger os dados em trânsito contra ataques "fora da banda" (como captura de tráfego) usando criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.
Defina o limite da rede e o escopo do serviço onde a criptografia de dados em trânsito é obrigatória dentro e fora da rede. Embora isso seja opcional para o tráfego em redes privadas, isso é crítico para o tráfego em redes externas e públicas.
Orientação do Azure: imponha a transferência segura em serviços como o Armazenamento do Azure, onde um recurso nativo de criptografia de dados em trânsito é incorporado.
Imponha HTTPS para aplicativos e serviços Web de carga de trabalho, garantindo que todos os clientes que se conectam aos seus recursos do Azure usem TLS (Transport Layer Security) v1.2 ou posterior. Para gerenciamento remoto de VMs, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.
Observação: a criptografia de dados em trânsito está habilitada para todo o tráfego do Azure que viaja entre datacenters do Azure. O TLS v1.2 ou posterior está habilitado na maioria dos serviços PaaS do Azure por padrão.
Implementação e contexto adicional:
- Criptografia dupla para dados do Azure em trânsito
- Compreender a criptografia em trânsito com o Azure
- Informações sobre segurança TLS
- Impor transferência segura no armazenamento do Azure
Partes interessadas na segurança do cliente (Saiba mais):
- Arquitetura de segurança
- Segurança de infraestruturas e terminais
- Segurança de aplicativos e DevOps
- Segurança de Dados
DP-4: Ativar a encriptação de dados inativos por predefinição
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Princípio de segurança: Para complementar os controlos de acesso, os dados em repouso devem ser protegidos contra ataques «fora da banda» (como o acesso ao armazenamento subjacente) utilizando encriptação. Isso ajuda a garantir que os invasores não possam ler ou modificar facilmente os dados.
Orientação do Azure: muitos serviços do Azure têm criptografia de dados em repouso habilitada por padrão na camada de infraestrutura usando uma chave gerenciada por serviço.
Quando tecnicamente viável e não habilitado por padrão, você pode habilitar a criptografia de dados em repouso nos serviços do Azure ou em suas VMs para criptografia de nível de armazenamento, nível de arquivo ou nível de banco de dados.
Implementação e contexto adicional:
- Compreender a encriptação de dados inativos no Azure
- Criptografia dupla de dados em repouso no Azure
- Modelo de criptografia e tabela de gerenciamento de chaves
- Arquitetura de segurança
Partes interessadas na segurança do cliente (Saiba mais):
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Princípio de segurança: Se necessário para conformidade regulamentar, defina o caso de uso e o escopo do serviço onde a opção de chave gerenciada pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente nos serviços.
Orientação do Azure: o Azure também fornece a opção de criptografia usando chaves gerenciadas por você mesmo (chaves gerenciadas pelo cliente) para determinados serviços. No entanto, o uso da opção de chave gerenciada pelo cliente requer esforços operacionais adicionais para gerenciar o ciclo de vida da chave. Isto pode incluir a geração de chaves de encriptação, rotação, revogação e controlo de acesso, etc.
Implementação e contexto adicional:
- Modelo de criptografia e tabela de gerenciamento de chaves
- Serviços que suportam criptografia usando chave gerenciada pelo cliente
- Como configurar chaves de criptografia gerenciadas pelo cliente no Armazenamento do Azure
Partes interessadas na segurança do cliente (Saiba mais):
- Arquitetura de segurança
- Segurança de infraestruturas e terminais
- Segurança de aplicativos e DevOps
- Segurança de Dados
DP-6: Utilizar um processo de gestão de chaves segura
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-28 | 3.6 |
Princípio de segurança: documente e implemente um padrão, processos e procedimentos de gerenciamento de chaves criptográficas empresariais para controlar o ciclo de vida da chave. Quando houver necessidade de usar a chave gerenciada pelo cliente nos serviços, use um serviço de cofre de chaves seguro para geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves com base no cronograma definido e quando houver uma desativação ou comprometimento da chave.
Orientação do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida das chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no Cofre de Chaves do Azure e em seu serviço com base no cronograma definido e quando houver uma desativação ou comprometimento de chaves.
Quando houver necessidade de usar a chave gerenciada pelo cliente (CMK) nos serviços ou aplicativos de carga de trabalho, certifique-se de seguir as práticas recomendadas:
- Use uma hierarquia de chaves para gerar uma chave de criptografia de dados (DEK) separada com sua chave de criptografia de chave (KEK) no cofre de chaves.
- Certifique-se de que as chaves estão registadas no Azure Key Vault e implementam através de IDs de chave em cada serviço ou aplicação.
Se você precisar trazer sua própria chave (BYOK) para os serviços (ou seja, importar chaves protegidas por HSM de seus HSMs locais para o Cofre de Chaves do Azure), siga a diretriz recomendada para executar a geração e a transferência de chaves.
Observação: consulte abaixo o nível FIPS 140-2 para tipos de Cofre de Chaves do Azure e nível de conformidade FIPS.
- Chaves protegidas por software em cofres (Premium ou Standard SKUs): FIPS 140-2 Nível 1
- Chaves protegidas por HSM em cofres (Premium SKU): FIPS 140-2 Nível 2
- Chaves protegidas por HSM no HSM gerenciado: FIPS 140-2 Nível 3
Implementação e contexto adicional:
- Visão geral do Azure Key Vault
- Criptografia de dados do Azure em repouso--Hierarquia de chaves
- Especificação BYOK (Bring Your Own Key)
- Gestão de identidades e chaves
Partes interessadas na segurança do cliente (Saiba mais):
DP-7: Use um processo seguro de gerenciamento de certificados
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-17 | 3.6 |
Princípio de segurança: documentar e implementar um padrão, processos e procedimentos de gerenciamento de certificados corporativos que inclua o controle do ciclo de vida do certificado e políticas de certificado (se uma infraestrutura de chave pública for necessária).
Certifique-se de que os certificados usados pelos serviços críticos em sua organização sejam inventariados, rastreados, monitorados e renovados oportunamente usando o mecanismo automatizado para evitar a interrupção do serviço.
Orientação do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação/importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificados siga o padrão definido sem usar propriedades inseguras, como tamanho insuficiente da chave, período de validade excessivamente longo, criptografia insegura e assim por diante. Configure a rotação automática do certificado no Cofre da Chave do Azure e no serviço do Azure (se suportado) com base na agenda definida e quando houver uma expiração do certificado. Se a rotação automática não for suportada no aplicativo frontal, use uma rotação manual no Cofre de Chaves do Azure.
Evite usar certificado autoassinado e certificado curinga em seus serviços críticos devido à garantia de segurança limitada. Em vez disso, você pode criar um certificado assinado público no Cofre da Chave do Azure. As CAs a seguir são os provedores parceiros atuais com o Azure Key Vault.
- DigiCert: O Azure Key Vault oferece certificados OV TLS/SSL com o DigiCert.
- GlobalSign: O Azure Key Vault oferece certificados OV TLS/SSL com a GlobalSign.
Nota: Use apenas a Autoridade de Certificação (CA) aprovada e verifique se os certificados raiz/intermediários de CA incorretos conhecidos e os certificados emitidos por essas CAs estão desabilitados.
Implementação e contexto adicional:
- Introdução aos certificados do Key Vault
- Controle de acesso de certificado no Cofre da Chave do Azure
- Gestão de identidades e chaves
- Arquitetura de segurança
Partes interessadas na segurança do cliente (Saiba mais):
DP-8: Garantir a segurança do repositório de chaves e certificados
| Controles CIS v8 ID(s) | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-17 | 3.6 |
Princípio de segurança: Garantir a segurança do serviço de cofre de chaves usado para o gerenciamento do ciclo de vida da chave criptográfica e do certificado. Proteja seu serviço de cofre de chaves através de controle de acesso, segurança de rede, registro e monitoramento e backup para garantir que as chaves e certificados estejam sempre protegidos usando a máxima segurança.
Orientação do Azure: Proteja suas chaves criptográficas e certificados protegendo seu serviço Azure Key Vault por meio dos seguintes controles:
- Restrinja o acesso a chaves e certificados no Cofre de Chaves do Azure usando políticas de acesso internas ou o RBAC do Azure para garantir que o princípio de privilégios mínimos esteja em vigor para acesso ao plano de gerenciamento e acesso ao plano de dados.
- Proteja o Cofre da Chave do Azure usando o Private Link e o Firewall do Azure para garantir a exposição mínima do serviço
- Garantir que a separação de tarefas seja feita para que os usuários que gerenciam chaves de criptografia não tenham a capacidade de acessar dados criptografados e vice-versa.
- Use a identidade gerenciada para acessar chaves armazenadas no Cofre de Chaves do Azure em seus aplicativos de carga de trabalho.
- Nunca tenha as chaves armazenadas em formato de texto simples fora do Cofre de Chaves do Azure.
- Ao limpar dados, certifique-se de que suas chaves não sejam excluídas antes que os dados, backups e arquivos reais sejam limpos.
- Faça backup de suas chaves e certificados usando o Cofre de Chaves do Azure. Habilite a proteção de exclusão suave e limpeza para evitar a exclusão acidental de chaves.
- Ative o log do Cofre de Chaves do Azure para garantir que o plano de gerenciamento crítico e as atividades do plano de dados sejam registrados.
Implementação e contexto adicional:
- Visão geral do Azure Key Vault
- Práticas recomendadas de segurança do Azure Key Vault
- Usar identidade gerenciada para acessar o Azure Key Vault
- Gestão de identidades e chaves
Partes interessadas na segurança do cliente (Saiba mais):