Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Ao considerar e avaliar serviços de cloud pública, é fundamental compreender o modelo de responsabilidade partilhada e quais as tarefas de segurança que o fornecedor de cloud gere e quais as que você gere. As responsabilidades da carga de trabalho variam consoante se a carga de trabalho está alojada em Software como Serviço (SaaS), Plataforma como Serviço (PaaS), Infraestrutura como Serviço (IaaS) ou num centro de dados local:
- IaaS (Infraestrutura como Serviço): Geres máquinas virtuais, sistemas operativos e aplicações. Exemplos incluem Azure Virtual Machines, Azure Disk Storage e redes virtuais.
- PaaS (Plataforma como Serviço): Implementa aplicações sem gerir VMs ou sistemas operativos. Exemplos incluem Azure App Service, Azure Functions, Azure SQL Database e Azure Storage.
- SaaS (Software como Serviço): Utiliza-se aplicações prontas a usar. Exemplos incluem Microsoft 365, Dynamics 365 e outras aplicações na cloud.
Muitas soluções Azure utilizam uma combinação de modelos de serviço. Para orientações mais detalhadas sobre a escolha de serviços de computação, consulte Escolha um serviço de computação Azure.
Divisão de responsabilidade
Em um datacenter local, você é o proprietário de toda a pilha. À medida que se passa para a cloud, algumas responsabilidades passam para a Microsoft. O diagrama a seguir ilustra as áreas de responsabilidade entre você e a Microsoft, de acordo com o tipo de implantação de sua pilha.
Para todos os tipos de implementação na cloud, é o dono dos seus dados e identidades. É responsável por proteger a segurança dos seus dados e identidades, dos recursos on-premises e dos componentes cloud que controla. Os componentes cloud que controla variam consoante o tipo de serviço.
Matriz de responsabilidades
A tabela seguinte detalha a divisão de responsabilidades entre si e a Microsoft para cada área da sua pilha:
| Área de responsabilidade | On-premises | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| Dados do cliente | Cliente | Cliente | Cliente | Cliente |
| Configurações e definições | Cliente | Cliente | Cliente | Cliente |
| Identidades e utilizadores | Cliente | Cliente | Cliente | Cliente |
| Dispositivos de cliente | Cliente | Cliente | Cliente | Partilhado |
| Aplicações | Cliente | Cliente | Partilhado | Partilhado |
| Controlos de rede | Cliente | Cliente | Partilhado | Microsoft |
| Sistema operativo | Cliente | Cliente | Microsoft | Microsoft |
| Anfitriões físicos | Cliente | Microsoft | Microsoft | Microsoft |
| Rede física | Cliente | Microsoft | Microsoft | Microsoft |
| Datacenter físico | Cliente | Microsoft | Microsoft | Microsoft |
Responsabilidades que mantém sempre
Independentemente do tipo de destacamento, mantém sempre as seguintes responsabilidades:
- Dados - É responsável pelos seus dados, incluindo classificação de dados, proteção de dados, decisões de encriptação e conformidade com os requisitos de governação de dados.
- Endpoints - É responsável por proteger os dispositivos clientes e os endpoints que acedem aos seus serviços cloud, incluindo dispositivos móveis, portáteis e desktops.
- Contas - És responsável por gerir contas de utilizador, incluindo criar, gerir e remover acessos de utilizadores.
- Gestão de acessos - És responsável por implementar e gerir controlos de acesso, incluindo controlo de acesso baseado em funções (RBAC), autenticação multifatorial e políticas de acesso condicional.
Responsabilidades partilhadas explicadas
Algumas responsabilidades são partilhadas entre si e a Microsoft, com a divisão a variar consoante o modelo de serviço:
- Aplicações - Em IaaS, és totalmente responsável pelas aplicações implementadas. Em PaaS e SaaS, a Microsoft gere partes da pilha de aplicações, mas és responsável pela configuração das aplicações, segurança do código e controlos de acesso.
- Controlo de rede - No IaaS, configura toda a segurança da rede, incluindo firewalls e segmentação de rede. No PaaS, a Microsoft fornece segurança de rede básica, mas configura controlos de rede ao nível da aplicação. No SaaS, a Microsoft gere a segurança da rede.
- Dispositivos clientes - Em cenários SaaS, a Microsoft pode fornecer algumas capacidades de gestão de dispositivos, mas você é responsável pela proteção e conformidade dos endpoints.
Responsabilidades da Microsoft
A Microsoft é responsável pela infraestrutura cloud subjacente, que inclui:
- Segurança física - Segurança dos centros de dados, incluindo instalações, controlos físicos de acesso e controlos ambientais.
- Rede física - Gerir a infraestrutura de rede, incluindo routers, switches e cabos dentro dos centros de dados.
- Hosts físicos - Gestão e manutenção dos servidores físicos que alojam serviços na nuvem.
- Hypervisor - Gestão da camada de virtualização que permite máquinas virtuais em IaaS e PaaS.
- Serviços de plataforma - Em PaaS e SaaS, a Microsoft gere sistemas operativos, ambientes de execução e middleware.
Responsabilidade Partilhada da IA
Ao utilizar serviços de IA, o modelo de responsabilidade partilhada introduz considerações únicas para além do tradicional IaaS, PaaS e SaaS. A Microsoft é responsável por proteger a infraestrutura de IA, o alojamento de modelos e as salvaguardas ao nível da plataforma. Os clientes, no entanto, mantêm-se responsáveis pela forma como a IA é aplicada no seu ambiente — isto inclui proteger dados sensíveis, gerir a segurança rápida, mitigar riscos de injeção rápida e garantir o cumprimento dos requisitos organizacionais e regulatórios.
Como as responsabilidades diferem significativamente para cargas de trabalho em IA, deve consultar o Modelo de Responsabilidade Partilhada de IA para obter orientações detalhadas sobre funções, melhores práticas e gestão de risco.
Vantagens da segurança na nuvem
A cloud oferece vantagens significativas para resolver desafios antigos de segurança da informação. Num ambiente local, as organizações provavelmente têm responsabilidades não cumpridas e recursos limitados disponíveis para investir em segurança, o que cria um ambiente onde os atacantes conseguem explorar vulnerabilidades em todas as camadas.
Exemplos comuns de responsabilidades não cumpridas em ambientes tradicionais on-premises incluem:
- Patches atrasados - As atualizações de segurança não são aplicadas rapidamente devido à falta de pessoal de TI ou preocupações com o tempo de indisponibilidade do sistema, deixando vulnerabilidades conhecidas expostas.
- Segurança física inadequada - Salas de servidores podem não ter controlos de acesso adequados, monitorização ambiental ou vigilância devido a restrições orçamentais.
- Monitorização incompleta da rede - As organizações podem não dispor de ferramentas ou conhecimentos para detetar intrusões, monitorizar anomalias de tráfego ou responder a ameaças em tempo real.
- Hardware desatualizado - Infraestruturas envelhecidas podem já não receber atualizações de segurança dos fornecedores, criando lacunas permanentes de segurança.
- Backup insuficiente e recuperação em caso de desastre - Os backups podem ser pouco frequentes, não testados ou armazenados no local, deixando os dados vulneráveis a ransomware ou desastres físicos.
O diagrama seguinte mostra uma abordagem tradicional em que muitas responsabilidades de segurança ficam por cumprir devido a recursos limitados. Na abordagem habilitada para a cloud, pode transferir as responsabilidades diárias de segurança para o seu fornecedor cloud e realocar os seus recursos.
Na abordagem com funcionalidade na cloud, também pode aplicar capacidades de segurança baseadas na cloud para maior eficácia e usar inteligência na cloud para melhorar a deteção e o tempo de resposta de ameaças. Ao transferir as responsabilidades para o provedor de nuvem, as organizações podem obter mais cobertura de segurança, o que lhes permite realocar recursos de segurança e orçamento para outras prioridades de negócios.
Próximo passo
Saiba mais sobre responsabilidade partilhada e estratégias para melhorar a sua postura de segurança na visão geral do pilar de segurança do Well-Architected Framework.