Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Azure Local 2311.2 e posterior
Este artigo descreve como o Azure Local ajuda as organizações a atender aos requisitos de controle de segurança da ISO/IEC 27001:2022, tanto na nuvem quanto no local. Saiba mais sobre o Azure Local e outros padrões de segurança em Padrão local e de segurança do Azure.
ISO/IEC 27001:2022
A ISO/IEC 27001 é uma norma de segurança global que especifica os requisitos para estabelecer, implementar, operar, monitorar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação (ISMS). A certificação ISO/IEC 27001:2022 ajuda as organizações a aprimorar sua postura de segurança, a criar confiança com seus clientes e pode ajudar a cumprir várias obrigações legais e regulamentares que envolvem a segurança das informações, como PCI DSS, HIPAA, HITRUST e FedRAMP. Saiba mais sobre o padrão em ISO/IEC 27001.
Local do Azure
O Azure Local é uma solução híbrida que oferece integração perfeita entre a infraestrutura local das organizações e os serviços de nuvem do Azure, ajudando a consolidar cargas de trabalho e contêineres virtualizados e a obter eficiência na nuvem quando os dados precisam permanecer no local por motivos legais ou de privacidade. As organizações que buscam a certificação ISO/IEC 27001:2022 para suas soluções devem considerar os ambientes na nuvem e no local.
Serviços de nuvem conectados
O Azure Local oferece profunda integração com vários serviços do Azure, como o Azure Monitor, o Backup do Azure e o Azure Site Recovery, para fornecer novos recursos ao ambiente híbrido. Esses serviços de nuvem passam por auditorias regulares de terceiros independentes para verificar a conformidade com a ISO/IEC 27001:2022. Você pode analisar o certificado Azure ISO/IEC 27001:2022 e o relatório de auditoria em Ofertas de conformidade do Azure - ISO/IEC 27001:2022.
Importante
O status de conformidade do Azure não confere o credenciamento ISO/IEC 27001 para os serviços que uma organização constrói ou hospeda na plataforma Azure. As organizações são responsáveis por garantir a conformidade de suas operações com os requisitos da ISO/IEC 27001:2022.
Soluções locais
No local, o Azure Local fornece uma série de recursos que ajudam as organizações a atender aos requisitos de segurança da ISO/IEC 27001:2022. As seções a seguir fornecem mais informações.
Recursos do Azure Local relevantes para a ISO/IEC 27001:2022
Esta seção descreve como as organizações podem usar a funcionalidade do Azure Local para atender aos controles de segurança do Anexo A da ISO/IEC 27001:2022. As informações a seguir abrangem apenas os requisitos técnicos. Os requisitos relacionados às operações de segurança estão fora do escopo, pois o Azure Local não pode afetá-los. A orientação está organizada de acordo com os nove domínios do Anexo A:
- Segurança de rede
- Gerenciamento de identidade e acesso
- Proteção de dados
- Registro em log
- Monitoramento
- Configuração segura
- Proteção contra ameaças
- Backup e recuperação
- Escalabilidade e disponibilidade
As orientações deste artigo descrevem como os recursos locais do Azure podem ser utilizados para atender aos requisitos de cada domínio. É importante observar que nem todos os controles são obrigatórios. As organizações devem analisar seu ambiente e realizar uma avaliação de riscos para determinar quais controles são necessários. Para obter mais informações sobre os requisitos, consulte ISO/IEC 27001.
Segurança de rede
A funcionalidade de segurança de rede descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados na norma ISO/IEC 27001.
- 8.20 – Segurança de rede
- 8.21 – Segurança dos serviços de rede
- 8.22 – Diferenciação de redes
- 8.23 – Filtragem da Web
Com o Azure Local, você pode aplicar controles de segurança de rede para proteger sua plataforma e as cargas de trabalho executadas nela contra ameaças de rede externas e internas. O Azure Local também garante uma alocação de rede justa em um host e melhora o desempenho e a disponibilidade da carga de trabalho com recursos de balanceamento de carga. Saiba mais sobre segurança de rede no Azure Local nos seguintes artigos.
- Visão geral do firewall do datacenter
- Balanceador de carga de software (SLB) para rede definida por software (SDN)
- Gateway de Serviço de Acesso Remoto (RAS) para SDN
- Políticas de qualidade de serviço para suas cargas de trabalho hospedadas no Azure Local
Gerenciamento de identidade e acesso
A funcionalidade de gerenciamento de identidade e acesso descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados na norma ISO/IEC 27001.
- 8.2 – Direitos de acesso privilegiado
- 8.3 – Restrições de acesso a informações
- 8.5 – Autenticação segura
O Azure Local fornece acesso total e direto ao sistema subjacente em execução nas máquinas por meio de várias interfaces, como o Azure Arc e o Windows PowerShell. Você pode usar ferramentas convencionais do Windows em ambientes locais ou soluções baseadas na nuvem, como o Microsoft Entra ID (antigo Azure Active Directory), para gerenciar a identidade e o acesso à plataforma. Em ambos os casos, é possível aproveitar os recursos de segurança incorporados, como autenticação multifatorial (MFA), acesso condicional, controle de acesso baseado em função (RBAC) e gerenciamento de identidade privilegiada (PIM) para garantir que seu ambiente esteja seguro e em conformidade.
Saiba mais sobre o gerenciamento de identidade e acesso local em Gerenciador de identidades da Microsoft e Gerenciamento de acesso privilegiado para os serviços de domínio do Active Directory. Saiba mais sobre o gerenciamento de identidade e acesso baseado em nuvem em Microsoft Entra ID.
Proteção de dados
A funcionalidade de proteção de dados descrita nesta seção pode ajudá-lo a cumprir os seguintes controles de segurança especificados na norma ISO/IEC 27001.
- 8.5 – Autenticação segura
- 8.20 – Segurança de rede
- 8.21 - Segurança dos serviços de rede
- 8.24 – Uso de criptografia
Criptografia de dados com o BitLocker
Nas instâncias locais do Azure, todos os dados em repouso podem ser criptografados por meio da criptografia BitLocker XTS-AES de 256 bits. Por padrão, o sistema recomendará que você ative o BitLocker para criptografar todos os volumes do sistema operacional (SO) e os volumes compartilhados de cluster (CSV) na implantação do Azure Local. Para quaisquer novos volumes de armazenamento adicionados após a implementação, é necessário ativar manualmente o BitLocker para criptografar o novo volume de armazenamento. O uso do BitLocker para proteger os dados pode ajudar as organizações a manter a conformidade com a ISO/IEC 27001. Saiba mais em Use o BitLocker com Volumes Compartilhados de Cluster (CSV)).
Proteção do tráfego de rede externa com TLS/DTLS
Por padrão, todas as comunicações do host com endpoints locais e remotos são criptografadas usando TLS1.2, TLS1.3 e DTLS 1.2. A plataforma desativa o uso de protocolos/hashes mais antigos, como TLS/DTLS 1.1 SMB1. O Azure Local também dá suporte a conjuntos de criptografia fortes, como curvas elípticas compatíveis com SDL limitadas apenas às curvas NIST P-256 e P-384.
Proteção do tráfego de rede interna com o Server Message Block (SMB)
A assinatura SMB é ativada por padrão para conexões de clientes em instâncias locais do Azure. Para o tráfego intra-cluster, a criptografia SMB é uma opção que as organizações podem ativar durante ou após a implementação para proteger os dados em trânsito entre os sistemas. As suítes criptográficas AES-256-GCM e AES-256-CCM agora são compatíveis com o protocolo SMB 3.1.1 usado pelo tráfego de arquivos cliente-servidor e pela malha de dados intra-cluster. O protocolo também continua a oferecer suporte ao conjunto AES-128, mais amplamente compatível. Saiba mais em Aprimoramentos de segurança de SMB.
Registro em log
A funcionalidade de registro descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados na norma ISO/IEC 27001.
- 8.15 – Registro em log
- 8.17 – Sincronização de relógio
Logs do sistema local
Por padrão, todas as operações realizadas na instância do Azure Local são registradas para que você possa rastrear quem fez o quê, quando e onde na plataforma. Os registros e alertas criados pelo Windows Defender também estão incluídos para ajudá-lo a prevenir, detectar e minimizar a probabilidade e o impacto de um comprometimento de dados. No entanto, como o log do sistema geralmente contém um grande volume de informações, muitas delas estranhas ao monitoramento da segurança das informações, é necessário identificar quais eventos são relevantes para serem coletados e utilizados para fins de monitoramento da segurança. Os recursos de monitoramento do Azure ajudam a coletar, armazenar, alertar e analisar esses registros. Consulte Linha de base de segurança para o Azure Local para saber mais.
Registros de atividades locais
O Gerenciamento do Ciclo de Vida do Azure Local cria e armazena registros de atividades para qualquer plano de ação executado. Esses registros permitem uma investigação e um monitoramento mais profundos.
Registros de atividades na nuvem
Ao registrar seus sistemas no Azure, você pode usar Registros de atividade do Azure Monitor para registrar as operações em cada recurso na camada de assinatura para determinar o que, quem e quando para quaisquer operações de gravação (colocar, postar ou excluir) realizadas nos recursos da sua assinatura.
Registros de identidade na nuvem
Se você estiver usando o Microsoft Entra ID para gerenciar a identidade e o acesso à plataforma, poderá visualizar os registros em Relatórios do Azure AD ou integrá-los ao Azure Monitor, ao Microsoft Sentinel ou a outras ferramentas SIEM/monitoramento para casos de uso sofisticados de monitoramento e análise. Se você estiver usando o Active Directory local, use a solução Microsoft Defender for Identity para consumir os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.
Integração do SIEM
O Microsoft Defender para Nuvem e o Microsoft Sentinel são integrados nativamente aos servidores habilitados para Arc. Você pode ativar e integrar seus logs ao Microsoft Sentinel, que fornece gerenciamento de eventos de informações de segurança (SIEM) e capacidade de resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel, como outros serviços de nuvem do Azure, também está em conformidade com muitos padrões de segurança bem estabelecidos, como o ISO/IEC 27001, que pode ajudá-lo no processo de certificação. Além disso, o Azure Local fornece um encaminhador de eventos syslog nativo para enviar os eventos do sistema para as soluções SIEM de terceiros.
Monitoramento
A funcionalidade de monitoramento descrita nesta seção pode ajudá-lo a cumprir os seguintes controles de segurança especificados na norma ISO/IEC 27001.
- 8.15 – Registro em log
Insights para o Local do Azure
O Insights for Azure Local permite que você monitore as informações de integridade, desempenho e uso dos sistemas conectados ao Azure e inscritos no monitoramento. Durante a configuração do Insights, é criada uma regra de coleta de dados, que especifica os dados a serem coletados. Esses dados são armazenados em um espaço de trabalho do Log Analytics, que é então agregado, filtrado e analisado para fornecer painéis de monitoramento pré-criados usando pastas de trabalho do Azure. Você pode visualizar os dados de monitoramento dos sistemas de nó único e de vários nós na página de recursos locais do Azure ou no Azure Monitor. Saiba mais em Monitorar o Azure Local com o Insights.
Métricas para o Azure Local
O Metrics for Azure Local armazena dados numéricos de recursos monitorados em um banco de dados de séries temporais. Você pode usar o Explorador de métricas do Azure Monitor para analisar interativamente os dados em seu banco de dados de métricas e traçar os valores de várias métricas ao longo do tempo. Com o Metrics, você pode criar gráficos a partir de valores de métricas e correlacionar visualmente as tendências.
Alertas de registro
Para indicar problemas em tempo real, configure alertas para o Azure Local, usando consultas de log de amostra pré-existentes, como CPU média do servidor, memória disponível, capacidade de volume disponível e muito mais. Saiba mais em Configurar alertas para o sistema do Azure Local.
Alertas de métrica
Uma regra de alerta de métrica monitora um recurso avaliando as condições nas métricas de recurso em intervalos regulares. Se as condições forem atendidas, um alerta será acionado. Uma série temporal de métrica é uma série de valores de métrica capturados em um período de tempo. Você pode usar essas métricas para criar regras de alerta. Saiba mais sobre como criar alertas de métricas em Alertas de métricas.
Alertas de serviços e dispositivos
O Azure Local fornece alertas baseados em serviços para conectividade, atualizações de sistema operacional, configuração do Azure e muito mais. Também estão disponíveis alertas baseados em dispositivos para falhas de integridade do cluster. Você também pode monitorar as instâncias do Azure Local e seus componentes subjacentes usando PowerShell ou Integridade do Serviço.
Configuração segura
A funcionalidade de configuração segura descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.8 – Gerenciamento de vulnerabilidades técnicas
- 8.9 – Gerenciamento de configuração
Segurança por padrão
O Azure Local é configurado de forma segura por padrão com ferramentas e tecnologias de segurança que se defendem contra ameaças modernas e se alinham com as Linhas de base da segurança do Azure Compute. Saiba mais em Gerenciar padrões de segurança para o Azure Local.
Proteção contra descompasso
A configuração de segurança padrão e as configurações de núcleo protegido da plataforma são protegidas durante a implantação e o tempo de execução com proteção de controle de descompasso. Quando habilitada, a proteção de controle de descompasso atualiza as configurações de segurança regularmente a cada 90 minutos para garantir que todas as alterações do estado especificado sejam corrigidas. Esse monitoramento contínuo e a correção automática permitem que você tenha uma configuração de segurança consistente e confiável durante todo o ciclo de vida do dispositivo. Você pode desabilitar a proteção contra descompasso durante a implantação ao definir as configurações de segurança.
Linha de base de segurança para a carga de trabalho
Para cargas de trabalho executadas no Azure Local, você pode usar a linha de base do sistema operacional recomendada pelo Azure (tanto para Windows e Linux) como referência para definir sua linha de base de configuração de recursos de computação.
Atualização da plataforma
Todos os componentes do Azure Local, incluindo o sistema operacional, os principais agentes e serviços e a extensão da solução, podem ser mantidos facilmente com o Gerenciador de Ciclo de Vida. Esse recurso permite agrupar diferentes componentes em uma versão de atualização e valida a combinação de versões para garantir a interoperabilidade. Saiba mais em Atualizações da solução Gerenciador de Ciclo de Vida do Azure Local.
As cargas de trabalho do cliente não são cobertas por essa solução de atualização.
Proteção contra ameaças
A funcionalidade de proteção contra ameaças desta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.7 – Proteção contra malware
Windows Defender Antivírus
O Windows Defender Antivirus é um aplicativo utilitário que oferece a capacidade de impor a varredura do sistema em tempo real e a varredura periódica para proteger a plataforma e as cargas de trabalho contra vírus, malware, spyware e outras ameaças. Por padrão, o Microsoft Defender Antivirus está ativado no Azure Local. A Microsoft recomenda usar o Microsoft Defender Antivirus com o Azure Local em vez de software e serviços de detecção de malware e antivírus de terceiros, pois eles podem afetar a capacidade do sistema operacional de receber atualizações. Saiba mais em Antivírus Microsoft Defender no Windows Server.
Controle de Aplicativos do Windows Defender (WDAC)
O Controle de Aplicativos do Windows Defender (WDAC) é ativado por padrão no Azure Local para controlar quais drivers e aplicativos podem ser executados diretamente em cada máquina, ajudando a impedir que malwares acessem os sistemas. Saiba mais sobre as políticas base incluídas no Azure Local e como criar políticas complementares em Controle de aplicativos do Windows Defender para o Azure Local.
Microsoft Defender para Nuvem
Microsoft Defender para Nuvem com Endpoint Protection (ativado por meio do plano Defender para servidores) fornece uma solução de gerenciamento de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar o status de segurança da sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e lidar com ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem, sem sobrecarga de implantação, por meio de provisionamento automático e proteção com os serviços do Azure. Saiba mais em Microsoft Defender para Nuvem.
Backup e descoberta
A funcionalidade de backup e recuperação descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.7 – Proteção contra malware
- 8.13 – Backup de informações
- 8.14 – Redundância de informações
Cluster estendido
O Azure Local oferece suporte interno para recuperação de desastres de cargas de trabalho virtualizadas por meio de clustering estendido. Ao implantar uma instância local esticada do Azure, você pode replicar de forma síncrona suas cargas de trabalho virtualizadas em dois locais separados no local e fazer failover automaticamente entre eles. Os failovers de site planejados podem ocorrer sem tempo de inatividade usando a migração dinâmica do Hyper-V.
Nós do cluster do Kubernetes
Se você usar o Azure Local para hospedar implantações baseadas em contêineres, a plataforma o ajudará a aprimorar a agilidade e a resiliência inerentes às implantações do Azure Kubernetes. O Azure Local gerencia o failover automático de VMs que servem como nós de cluster do Kubernetes se houver uma falha localizada dos componentes físicos subjacentes. Essa configuração complementará a alta disponibilidade incorporada ao Kubernetes, que reiniciará contêineres com falha de modo automático na mesma VM ou em outra.
Recuperação de Site do Azure
Esse serviço permite replicar cargas de trabalho executadas em suas VMs locais do Azure para a nuvem, de modo que seu sistema de informações possa ser restaurado em caso de incidente, falha ou perda de mídia de armazenamento. Como outros serviços de nuvem do Azure, o Azure Site Recovery tem um longo histórico de certificados de segurança, incluindo o HITRUST, que você pode usar para apoiar seu processo de credenciamento. Saiba mais em Proteja as cargas de trabalho de VM com o Azure Site Recovery no Azure Local.
MABS (Servidor de Backup do Microsoft Azure)
Esse serviço permite que você faça backup das máquinas virtuais do Azure Local, especificando a frequência e o período de retenção desejados. Você pode usar o MABS para fazer backup da maioria dos seus recursos em todo o ambiente, inclusive:
- BMR (recuperação bare-metal)/Estado do Sistema do Host Local do Azure
- VMs convidadas em um sistema que tenha armazenamento local ou diretamente conectado
- VMs convidadas em instâncias locais do Azure com armazenamento CSV
- Mover a VM dentro de um cluster
Saiba mais em Faça backup de máquinas virtuais locais do Azure com o Serviço de Backup do Azure.
Escalabilidade e disponibilidade
A funcionalidade de escalabilidade e disponibilidade descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.6 – Gerenciamento de capacidade
- 8.14 – Redundância de informações
Modelos hiperconvergentes
O Azure Local usa modelos hiperconvergentes do Storage Spaces Direct para implantar cargas de trabalho. Esse modelo de implementação permite que você dimensione facilmente adicionando novos nós que expandem automaticamente a computação e o armazenamento ao mesmo tempo, sem tempo de inatividade.
Clusters de failover
As instâncias do Azure Local são clusters de failover. Se um servidor que faz parte do Local do Azure falhar ou ficar indisponível, outro servidor no mesmo cluster de failover assumirá a tarefa de fornecer os serviços que o nó com falha estava executando. Você cria um cluster de failover ativando o Storage Spaces diretamente em várias máquinas que executam o Azure Local.