Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Observação
O Benchmark de Segurança do Azure mais up-toestá disponível aqui.
A Proteção de Dados abrange o controlo da proteção de dados em repouso, em trânsito e através de mecanismos de acesso autorizados. Isso inclui descobrir, classificar, proteger e monitorar ativos de dados confidenciais usando controle de acesso, criptografia e registro em log no Azure.
Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Proteção de Dados
DP-1: Descoberta, classificação e rotulagem de dados confidenciais
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Descubra, classifique e rotule seus dados confidenciais para que você possa projetar os controles apropriados para garantir que as informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da organização.
Use a Proteção de Informações do Azure (e sua ferramenta de verificação associada) para obter informações confidenciais em documentos do Office no Azure, no local, no Office 365 e em outros locais.
Você pode usar a Proteção de Informações SQL do Azure para ajudar na classificação e rotulagem de informações armazenadas nos Bancos de Dados SQL do Azure.
Responsabilidade: Partilhada
Partes interessadas na segurança do cliente (Saiba mais):
DP-2: Proteja dados confidenciais
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteja dados confidenciais restringindo o acesso usando o controle de acesso baseado em função do Azure (Azure RBAC), controles de acesso baseados em rede e controles específicos nos serviços do Azure (como criptografia em SQL e outros bancos de dados).
Para garantir um controle de acesso consistente, todos os tipos de controle de acesso devem estar alinhados à estratégia de segmentação da sua empresa. A estratégia de segmentação empresarial também deve ser informada pela localização de dados e sistemas sensíveis ou críticos para os negócios.
Para a plataforma subjacente, que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e protege contra a perda e exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou alguns controles e recursos padrão de proteção de dados.
Responsabilidade: Partilhada
Partes interessadas na segurança do cliente (Saiba mais):
DP-3: Monitor para transferência não autorizada de dados confidenciais
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Monitore a transferência não autorizada de dados para locais fora da visibilidade e do controle corporativos. Isso geralmente envolve o monitoramento de atividades anômalas (transferências grandes ou incomuns) que podem indicar exfiltração de dados não autorizada.
O Azure Defender for Storage e o Azure SQL ATP podem alertar sobre a transferência anômala de informações que podem indicar transferências não autorizadas de informações confidenciais.
A Proteção de Informações do Azure (AIP) fornece recursos de monitoramento para informações que foram classificadas e rotuladas.
Se necessário para a conformidade da prevenção contra perda de dados (DLP), você pode usar uma solução DLP baseada em host para impor controles de deteção e/ou preventivos para evitar a exfiltração de dados.
Responsabilidade: Partilhada
Partes interessadas na segurança do cliente (Saiba mais):
DP-4: Criptografar informações confidenciais em trânsito
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
Para complementar os controlos de acesso, os dados em trânsito devem ser protegidos contra ataques "fora da banda" (como a captura de tráfego) utilizando encriptação para garantir que os atacantes não conseguem ler ou modificar facilmente os dados.
Embora isso seja opcional para o tráfego em redes privadas, isso é crítico para o tráfego em redes externas e públicas. Para tráfego HTTP, certifique-se de que todos os clientes que se conectam aos seus recursos do Azure podem negociar TLS v1.2 ou superior. Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. Versões e protocolos SSL, TLS e SSH obsoletos e cifras fracas devem ser desativados.
Por padrão, o Azure fornece criptografia para dados em trânsito entre data centers do Azure.
Responsabilidade: Partilhada
Partes interessadas na segurança do cliente (Saiba mais):
DP-5: Criptografar dados confidenciais em repouso
| Azure ID | Controles CIS v7.1 ID(s) | NIST SP 800-53 r4 Identificador(es) |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Para complementar os controlos de acesso, os dados em repouso devem ser protegidos contra ataques «fora da banda» (como o acesso ao armazenamento subjacente) utilizando encriptação. Isso ajuda a garantir que os invasores não possam ler ou modificar facilmente os dados.
O Azure fornece criptografia para dados em repouso por padrão. Para dados altamente confidenciais, você tem opções para implementar criptografia adicional em repouso em todos os recursos do Azure, quando disponíveis. O Azure gerencia suas chaves de criptografia por padrão, mas o Azure fornece opções para gerenciar suas próprias chaves (chaves gerenciadas pelo cliente) para determinados serviços do Azure.
Responsabilidade: Partilhada
Partes interessadas na segurança do cliente (Saiba mais):