Controle de Segurança V2: proteção de dados
Observação
A versão mais recente do Azure Security Benchmark está disponível aqui.
A proteção de dados aborda o controle de proteção de dados em repouso, em trânsito e via mecanismos de acesso autorizados. Isso inclui descobrir, classificar, proteger e monitore ativos de dados confidenciais usando o controle de acesso, a criptografia e o registro em log no Azure.
Para ver as informações internas aplicáveis do Azure Policy, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: proteção de dados
DP-1: descobrir, classificar e rotular dados confidenciais
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Descubra, classifique e rotule seus dados confidenciais para que você possa criar os controles apropriados para garantir que as informações confidenciais sejam armazenadas, processadas e transmitidas com segurança pelos sistemas de tecnologia da organização.
Use a Proteção de Informações do Azure (e a ferramenta de verificação associada) para obter informações confidenciais em documentos do Office no Azure, no local, no Office 365 e em outras localizações.
Use a Proteção de Informações do SQL do Azure para auxiliar na classificação e na rotulagem das informações armazenadas em Bancos de Dados SQL do Azure.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):
DP-2: proteger dados confidenciais
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteja os dados confidenciais restringindo o acesso por meio do RBAC (controle de acesso baseado em função) do Azure, controles de acesso baseados em rede e controles específicos dos serviços do Azure (como criptografia em bancos de dados SQL e outros bancos de dados).
Para garantir um controle de acesso consistente, todos os tipos de controle de acesso devem ser alinhados à sua estratégia de segmentação corporativa. A estratégia de segmentação corporativa também deve ser informada pela localização de sistemas e dados confidenciais e comercialmente críticos.
Quanto à plataforma subjacente, que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e fornece proteção contra a perda e a exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou funcionalidades e controles padrão de proteção de dados.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):
DP-3: monitorar a transferência não autorizada de dados confidenciais
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
monitore a transferência não autorizada de dados para localizações fora da visibilidade e do controle da empresa. Isso normalmente envolve o monitoramento de atividades anormais (transferências grandes ou incomuns) que podem indicar exfiltração não autorizada dos dados.
O Azure Defender para Armazenamento e o ATP do SQL do Azure podem alertar você sobre a transferência anormal de informações, que podem indicar transferências não autorizadas de informações confidenciais.
A AIP (Proteção de Informações do Azure) fornece funcionalidades de monitoramento para informações que foram classificadas e rotuladas.
Se necessário, para a conformidade de DLP (prevenção contra perda de dados), use uma solução de DLP baseada em host para impor controles de detecção e/ou prevenção a fim de evitar a exfiltração dos dados.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):
DP-4: criptografar informações confidenciais em trânsito
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14,4 | SC-8 |
Para complementar os controles de acesso, os dados em trânsito devem ser protegidos contra ataques "fora de banda" (como captura de tráfego) usando a criptografia para garantir que os invasores não possam ler ou modificar os dados com facilidade.
Embora isso seja opcional para o tráfego em redes privadas, isso é essencial para o tráfego em redes externas e públicas. Para o tráfego HTTP, verifique se todos os clientes que se conectam aos recursos do Azure podem negociar o TLS v1.2 ou superior. Para gerenciamento remoto, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado. As versões e os protocolos de SSL, TLS e SSH obsoletos e as codificações fracas devem ser desabilitadas.
Por padrão, o Azure fornece criptografia para dados em trânsito entre os data centers do Azure.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):
DP-5: criptografar dados confidenciais em repouso
| ID do Azure | ID(s) dos controles do CIS v7.1 | ID(s) do NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14,8 | SC-28, SC-12 |
Para complementar os controles de acesso, os dados inativos devem ser protegidos contra ataques "fora de banda" (como acesso ao armazenamento subjacente) usando a criptografia. Isso ajuda a garantir que os invasores não possam ler nem modificar os dados com facilidade.
Por padrão, o Azure fornece criptografia para dados inativos. Para dados altamente confidenciais, você tem opções para implementar criptografia adicional em repouso em todos os recursos do Azure, quando disponível. O Azure gerencia as chaves de criptografia por padrão, mas o Azure fornece opções para gerenciar suas próprias chaves (chaves gerenciadas pelo cliente) para determinados serviços do Azure.
Responsabilidade: Compartilhado
Stakeholders da segurança do cliente (Saiba mais):