Guia de avaliação de risco para o Microsoft Cloud
O objetivo de uma avaliação de risco de nuvem é garantir que o sistema e os dados considerados para migração para a nuvem não introduzam nenhum risco novo ou não identificado na organização. O foco é garantir confidencialidade, integridade, disponibilidade e privacidade do processamento de informações e manter os riscos identificados abaixo do limite de risco interno aceito.
Em um modelo de responsabilidade compartilhada, o CSP (Provedor de Serviços de Nuvem) é responsável por gerenciar a segurança e a conformidade da nuvem como provedor. O cliente continua responsável por gerenciar e configurar a segurança e a conformidade na nuvem de acordo com suas necessidades e tolerância a riscos.
Neste guia, as práticas recomendadas são compartilhadas sobre como avaliar com eficiência os riscos do fornecedor e como usar os recursos e as ferramentas que a Microsoft disponibiliza.
Entender a responsabilidade compartilhada na nuvem
As implantações de nuvem podem ser categorizadas como IaaS (Infraestrutura como Serviço), PaaS (Plataforma como Serviço) ou SaaS (Software como Serviço). Dependendo do modelo de serviço de nuvem aplicável, o nível de responsabilidade sobre os controles de segurança das soluções muda entre o CSP e o cliente. Em um modelo local tradicional, o cliente é responsável por toda a pilha. Ao migrar para a nuvem, todas as responsabilidades de segurança física são transferidas para o CSP. Dependendo do modelo de serviço de nuvem para sua organização, as responsabilidades adicionais mudam para o CSP. No entanto, na maioria dos modelos de serviço, sua organização permanece responsável pelos dispositivos usados para acessar a nuvem, a conectividade de rede, suas contas e identidades e seus dados. A Microsoft investe fortemente na criação de serviços que permitem que os clientes permaneçam no controle de seus dados em todo o ciclo de vida.
A Microsoft Cloud opera em uma hiperescala, contando com uma combinação de DevSecOps e automação para padronizar modelos operacionais. O modelo operacional da Microsoft altera a maneira como o risco é abordado em comparação com modelos operacionais locais tradicionais, levando à implementação de controles diferentes e às vezes desconhecidos para gerenciar riscos. Ao realizar sua avaliação de risco na nuvem, tenha em mente que o objetivo da Microsoft é garantir que todos os riscos sejam resolvidos, mas não necessariamente implementar os mesmos controles que sua organização faz. A Microsoft pode resolver os mesmos riscos com um conjunto diferente de controles e isso deve ser refletido na avaliação de risco na nuvem. Projetar e implementar controles preventivos fortes pode reduzir grande parte do trabalho exigido pelo detetive e controles corretivos. Um exemplo disso é a implementação da Microsoft do ZSA (Acesso Permanente Zero).
Adotar uma estrutura
A Microsoft recomenda que os clientes mapeiem sua estrutura interna de riscos e controles para uma estrutura independente que resolva os riscos de nuvem de forma padronizada. Se os modelos de avaliação de risco internos existentes não resolverem os desafios específicos que vêm com computação em nuvem, você se beneficiará dessas estruturas amplamente adotadas e padronizadas. Um benefício secundário é que a Microsoft fornece mapeamentos em relação a essas estruturas em documentação e ferramentas que acelerarão suas avaliações de risco. Exemplos dessas estruturas incluem o iso 27001 Information security standard, CIS Benchmark e NIST SP 800-53. A Microsoft oferece o conjunto mais abrangente de ofertas de conformidade de qualquer CSP. Para obter mais informações, confira Ofertas de conformidade da Microsoft.
Use o Microsoft Purview Compliance Manager para criar suas próprias avaliações que avaliam a conformidade com o setor e as regulamentações regionais que se aplicam à sua organização. As avaliações são criadas sobre a estrutura de modelos de avaliação, que contêm os controles necessários, as ações de melhoria e, quando aplicável, as ações da Microsoft para concluir a avaliação. Para ações da Microsoft, são fornecidos planos de implementação detalhados e resultados recentes de auditoria. Dessa forma, o tempo pode ser salvo na localização, mapeamento e pesquisa de fatos sobre como controles específicos são implementados pela Microsoft. Para obter mais informações, consulte o artigo Do Gerenciador de Conformidade do Microsoft Purview.
Entender como a Microsoft opera para proteger seus dados
Embora o cliente seja responsável por gerenciar e configurar a segurança e a conformidade na nuvem, o CSP é responsável por gerenciar a segurança e a conformidade da nuvem. Uma maneira de validar que o CSP está efetivamente lidando com suas responsabilidades e cumprindo suas promessas é revisar seus relatórios de auditoria externa, como ISO e SOC. A Microsoft disponibiliza relatórios de auditoria externa para audiências autenticadas no Portal de Confiança do Serviço (STP).
Além dos relatórios de auditoria externa, a Microsoft incentiva os clientes a aproveitar os seguintes recursos para ajudar a entender como a Microsoft opera em profundidade:
Caminho de aprendizagem sob demanda: o Microsoft Learn oferece centenas de caminhos e módulos de aprendizagem em diferentes tópicos. Entre eles, saiba como a Microsoft protege os dados do cliente para entender as práticas fundamentais de segurança e privacidade da Microsoft.
Service Assurance on Microsoft Compliance: os artigos sobre as práticas da Microsoft são categorizados em 16 domínios para uma revisão mais fácil. Cada domínio inclui uma visão geral que captura como a Microsoft está gerenciando riscos associados a cada área. Tabelas de auditoria são fornecidas contendo links para os relatórios mais recentes armazenados no STP, seções relacionadas e a data em que o relatório de auditoria foi realizado para a Microsoft serviços online. Se estiver disponível, serão fornecidos links para artefatos que demonstram a implementação de controle, como avaliações de vulnerabilidade de terceiros e relatórios de verificação de plano de continuidade de negócios. Como relatórios de auditoria, esses artefatos são hospedados no STP e exigem autenticação para acessar.
| Domínio | Descrição |
|---|---|
| Arquitetura | O design do Microsoft serviços online e os princípios de segurança que atuam como sua base. |
| Auditar o registro em log e o monitoramento | Como a Microsoft captura, processa, armazena, protege e analisa logs para detectar atividades não autorizadas e monitorar o desempenho. tornar possível o monitoramento de segurança e desempenho. |
| Segurança do datacenter | Como a Microsoft opera com segurança os datacenters que fornecem os meios para operar a Microsoft serviços online em todo o mundo. |
| Criptografia e gerenciamento de chaves | A proteção criptográfica das comunicações do cliente e os dados armazenados e processados na nuvem. |
| Governança, risco e conformidade | Como a Microsoft impõe as políticas de segurança que cria e gerencia o risco para atender às promessas e aos requisitos de conformidade do cliente. |
| Gerenciamento de identidade e acesso | A proteção da Microsoft serviços online e dados do cliente contra acesso não autorizado ou mal-intencionado. |
| Gerenciamento de incidentes de segurança | Os processos que a Microsoft usa para preparar, detectar, responder e comunicar todos os incidentes de segurança. |
| Segurança de rede | Como a Microsoft protege seus limites de rede contra ataques externos e gerencia sua rede interna para limitar sua propagação. |
| Gerenciamento de pessoal | Os processos de triagem, treinamento e gerenciamento seguro de pessoal durante todo o tempo na Microsoft. |
| Privacidade e gerenciamento de dados | Como a Microsoft lida e protege os dados do cliente para preservar seus direitos de dados. |
| Resiliência e continuidade | Processo e tecnologias usadas para manter a disponibilidade do serviço e garantir a continuidade e a recuperação dos negócios. |
| Desenvolvimento e operação de segurança | Como a Microsoft garante que seus serviços sejam projetados, executados e gerenciados com segurança durante todo o ciclo de vida. |
| Gerenciamento de fornecedores | Como a Microsoft examina e gerencia empresas de terceiros que ajudam na Microsoft serviços online. |
| Gerenciamento de ameaças e vulnerabilidades | Os processos que a Microsoft usa para verificar, detectar e resolver vulnerabilidades e malware. |
Programa de Conformidade para Microsoft Cloud (CPMC)
As organizações compartilham a responsabilidade com seu CSP para proteger os dados e sistemas existentes na nuvem. Os clientes precisam avaliar os riscos e atender aos requisitos de conformidade regulatória de maneira eficiente e repetível. No entanto, pode ser difícil navegar pelo cenário regulatório global e obter informações suficientes sobre as práticas de um CSP para alcançar um nível aceitável de garantia. Para superar esses desafios, a Microsoft lançou o CPMC (Programa de Conformidade para Microsoft Cloud). O CPMC é um programa premium baseado em taxas que oferece suporte de conformidade personalizado e específico do setor, educação e oportunidades de rede. Para obter mais informações sobre ofertas específicas do CPMC, confira o site do CPMC.
Recursos
- Vídeo: saiba como a Microsoft protege os dados do cliente
- Governança de nuvem que utiliza soluções do HSCC (Microsoft Hyper Scale Cloud Computing)
- Guia de avaliação e conformidade de risco para instituições financeiras no Microsoft Cloud
- Risco de concentração: perspectivas da Microsoft
- Portal de Confiança do Serviço
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de