Detalhes da iniciativa integrada de conformidade regulatória de políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty
O artigo a seguir detalha como a definição de iniciativa integrada de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no Microsoft Cloud for Sovereignty Baseline Confidential Policies. Para obter mais informações sobre esse padrão de conformidade, veja Políticas confidenciais de linha de base do Microsoft Cloud for Sovereignty. Para entender a Propriedade, confira Definição de política do Azure Policy e Responsabilidade compartilhada na nuvem.
Os mapeamentos a seguir são para os controles Microsoft Cloud for Sovereignty Baseline Confidential Policies. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, localize e selecione a definição de iniciativa integrada [Pré-visualização]: Linha de Base de Soberania - Políticas Confidenciais Conformidade Regulatória.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
SO.1 – Residência de Dados
Os produtos do Azure precisam ser implantados e configurados para usar regiões aprovadas.
ID: Política de Base de Soberania do MCfS SO.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Locais permitidos | Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para impor seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região "global". | deny | 1.0.0 |
| Localizações permitidas para grupos de recursos | Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. | deny | 1.0.0 |
| Locais permitidos do Azure Cosmos DB | Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos do Azure Cosmos DB. Use para impor seus requisitos de conformidade geográfica. | [parameters('policyEffect')] | 1.1.0 |
SO.3 - Chaves Gerenciadas pelo Cliente
Os produtos Azure devem ser configurados para usar chaves gerenciadas pelo cliente sempre que possível.
ID: Política de Base de Soberania do MCfS SO.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Audit, Deny, desabilitado | 1.0.1 |
| As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, desabilitado, negação | 2.0.0 |
| Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Audit, Deny, desabilitado | 1.0.0 |
| Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desabilitado | 1.0.4 |
| O Armazenamento de Filas deve usar chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento de filas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, Deny, desabilitado | 1.0.0 |
| As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.0 |
| Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Audit, Deny, desabilitado | 2.0.1 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos | Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, desabilitado | 1.0.3 |
| O Armazenamento de Tabelas deve usar a chave gerenciada pelo cliente para criptografia | Proteja seu armazenamento de tabelas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Audit, Deny, desabilitado | 1.0.0 |
SO.4 - Computação confidencial do Azure
Os produtos do Azure devem ser configurados para usar SKUs de Computação Confidencial do Azure quando possível.
ID: Política de Base de Soberania do MCfS SO.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Tipos de recursos permitidos | Essa política permite especificar os tipos de recursos que sua organização pode implantar. Somente os tipos de recursos que dão suporte a "marcas" e "local" serão afetados por essa política. Para restringir todos os recursos, duplique essa política e altere o "modo" para "Todos". | deny | 1.0.0 |
| SKUs de tamanho de máquina virtual permitidos | Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. | Negar | 1.0.1 |
Próximas etapas
Artigos adicionais sobre o Azure Policy:
- Visão geral da Conformidade Regulatória.
- Consulte a estrutura de definição da iniciativa.
- Veja outros exemplos em Amostras do Azure Policy.
- Revisar Compreendendo os efeitos da política.
- Saiba como corrigir recursos fora de conformidade.