Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.
A Proteção de Dados abrange o controle da proteção de dados em repouso, em trânsito e por meio de mecanismos de acesso autorizados. Isso inclui descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia e log no Azure.
Para ver o Azure Policy interno aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Proteção de Dados
DP-1: Descoberta, classificação e rotulagem de dados confidenciais
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Descubra, classifique e rotule seus dados confidenciais para que você possa projetar os controles apropriados para garantir que informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da organização.
Use a Proteção de Informações do Azure (e sua ferramenta de verificação associada) para obter informações confidenciais em documentos do Office no Azure, localmente, no Office 365 e em outros locais.
Você pode usar a Proteção de Informações SQL do Azure para ajudar na classificação e rotulagem de informações armazenadas nos Bancos de Dados SQL do Azure.
Responsabilidade: Compartilhado
Partes Interessadas em Segurança do Cliente (Saiba mais):
DP-2: proteger dados confidenciais
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteja dados confidenciais restringindo o acesso usando o RBAC (controle de acesso baseado em função) do Azure, controles de acesso baseados em rede e controles específicos nos serviços do Azure (como criptografia no SQL e em outros bancos de dados).
Para garantir um controle de acesso consistente, todos os tipos de controle de acesso devem ser alinhados à sua estratégia de segmentação empresarial. A estratégia de segmentação empresarial também deve ser informada pela localização de sistemas e dados confidenciais ou comercialmente críticos.
Para a plataforma subjacente, que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e protege contra perda e exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou alguns controles e recursos de proteção de dados padrão.
Responsabilidade: Compartilhado
Partes Interessadas em Segurança do Cliente (Saiba mais):
DP-3: monitorar a transferência não autorizada de dados confidenciais
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Monitore a transferência não autorizada de dados para locais fora da visibilidade e do controle corporativos. Isso normalmente envolve o monitoramento de atividades anormais (transferências grandes ou incomuns) que podem indicar exfiltração não autorizada dos dados.
O Azure Defender para Armazenamento e o Azure SQL ATP podem alertar sobre a transferência anômala de informações que podem indicar transferências não autorizadas de informações confidenciais.
A AIP (Proteção de Informações do Azure) fornece recursos de monitoramento para informações que foram classificadas e rotuladas.
Se necessário para a conformidade com a prevenção contra perda de dados (DLP), você pode usar uma solução DLP baseada em host para impor controles de detecção e/ou preventivos para evitar a exfiltração de dados.
Responsabilidade: Compartilhado
Partes Interessadas em Segurança do Cliente (Saiba mais):
DP-4: criptografar informações confidenciais em trânsito
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14,4 | SC-8 |
Para complementar os controles de acesso, os dados em trânsito devem ser protegidos contra ataques "fora de banda" (como captura de tráfego) usando criptografia para garantir que os invasores não possam ler ou modificar facilmente os dados.
Embora isso seja opcional para o tráfego em redes privadas, isso é fundamental para o tráfego em redes externas e públicas. Para o tráfego HTTP, verifique se todos os clientes que se conectam aos recursos do Azure podem negociar TLS v1.2 ou superior. Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Versões e protocolos SSL, TLS e SSH obsoletos e criptografias fracas devem ser desabilitadas.
Por padrão, o Azure fornece criptografia para dados em trânsito entre os data centers do Azure.
Responsabilidade: Compartilhado
Partes Interessadas em Segurança do Cliente (Saiba mais):
DP-5: criptografar dados confidenciais em repouso
| Azure ID | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14,8 | SC-28, SC-12 |
Para complementar os controles de acesso, os dados em repouso devem ser protegidos contra ataques "fora de banda" (como acessar o armazenamento subjacente) usando criptografia. Isso ajuda a garantir que os invasores não possam ler nem modificar os dados com facilidade.
O Azure fornece criptografia para dados inativos por padrão. Para dados altamente confidenciais, você tem opções para implementar criptografia adicional em repouso em todos os recursos do Azure, quando disponível. O Azure gerencia suas chaves de criptografia por padrão, mas o Azure fornece opções para gerenciar suas próprias chaves (chaves gerenciadas pelo cliente) para determinados serviços do Azure.
Responsabilidade: Compartilhado
Partes Interessadas em Segurança do Cliente (Saiba mais):