Classifique seus dados em repouso, em andamento e em trânsito
Os dados digitais sempre existem em um dos três estados: inativo, em andamento ou em trânsito.
Todos os três estados exigem soluções técnicas exclusivas para classificação de dados, mas os princípios aplicados da classificação de dados devem ser os mesmos para cada um deles. Os dados classificados como confidenciais precisam permanecer confidenciais em todos os estados.
Os dados também podem ser estruturados ou não estruturados. Os processos de classificação típicos para os dados estruturados encontrados em planilhas e bancos de dados são menos complexos e demorados de gerenciar do que aqueles para dados não estruturados, como documentos, código-fonte e email. Em geral, as organizações têm mais dados não estruturados do que dados estruturados.
Independentemente do tipo de dados, as organizações precisam gerenciar a confidencialidade dos dados. Quando implementada corretamente, a classificação de dados ajuda a garantir que ativos de dados sigilosos ou confidenciais sejam gerenciados com maior supervisão do que ativos de dados que são considerados para distribuição pública.
Proteger dados em repouso
A criptografia de dados em repouso é uma etapa obrigatória para garantir a privacidade, a conformidade e a soberania de dados.
| Prática recomendada | Solução |
|---|---|
| Aplicar criptografia de disco para ajudar a proteger seus dados. | Use o Microsoft Azure Disk Encryption, que habilita os administradores de TI a criptografar os discos de IaaS (Infraestrutura como Serviço) do Windows e as VMs (máquinas virtuais) de IaaS do Linux. O Disk Encryption combina o recurso BitLocker padrão do setor e o recurso DM-Crypt do Linux para fornecer uma criptografia de volume para o SO (sistema operacional) e os discos de dados. O Armazenamento do Microsoft Azure e o Banco de Dados SQL do Azure criptografam dados em repouso por padrão, e muitos serviços oferecem criptografia como uma opção. Você pode usar o Azure Key Vault para manter o controle das chaves que acessam e criptografam seus dados. Consulte a Criptografia de dados inativos do Azure para saber mais. |
| Use criptografia para ajudar a atenuar os riscos relacionados ao acesso a dados não autorizado. | Criptografe as unidades antes de gravar dados confidenciais nelas. |
Organizações que não impõem criptografia de dados estão mais expostas a problemas de integridade de dados. Por exemplo, usuários não autorizados ou hackers mal-intencionados podem roubar dados nas contas comprometidas ou obter acesso não autorizado a dados codificados em Clear Format. Para cumprir as regulamentações do setor, as empresas também devem demonstrar que são diligentes e estão utilizando os controles de segurança corretos para aprimorar a segurança de seus dados.
Proteger dados em trânsito
A proteção dos dados em trânsito deve ser parte essencial de sua estratégia de proteção de dados. Como os dados se movem de um lugar para outro, geralmente recomendamos sempre utilizar protocolos SSL/TLS para trocar dados entre diferentes locais. Em algumas circunstâncias, talvez convenha isolar todo o canal de comunicação entre as infraestruturas locais e na nuvem usando uma VPN.
Para dados que se movem entre sua infraestrutura local e o Azure, considere proteções adequadas, como HTTPS ou VPN. Ao enviar tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública, use Gateway de VPN do Azure.
A tabela a seguir lista as melhores práticas específicas para o uso de HTTPS, SSL/TLS e o Gateway de VPN do Azure.
| Prática recomendada | Solução |
|---|---|
| Acesso seguro de várias estações de trabalho locais para uma rede virtual do Azure. | Use o VPN site a site. |
| Acesso seguro de uma estação de trabalho individual localizada no local a uma rede virtual do Azure. | Use o VPN ponto a site. |
| Transfira grandes conjuntos de dados por meio de uma conexão de rede de área ampla (WAN) dedicada de alta velocidade. | Use o Azure ExpressRoute. Se você optar por usar o ExpressRoute, também poderá criptografar os dados no nível do aplicativo usando SSL/TLS ou outros protocolos para proteção adicional. |
| Interagir com o Armazenamento do Azure por meio do portal do Azure. | Todas as transações ocorrerão via HTTPS. Você também pode usar a API REST de Armazenamento para interagir com o Armazenamento do Microsoft Azure e Banco de Dados SQL do Azure. |
As organizações que não protegem dados em trânsito são mais suscetíveis a ataques man-in-the-middle, espionagem e sequestro de sessão. Esses ataques podem ser a primeira etapa na obtenção de acesso a dados confidenciais.
Descoberta de dados
A descoberta e classificação de dados (atualmente em versão prévia) fornece funcionalidades internas avançadas no Banco de Dados SQL do Azure para descobrir, classificar, rotular e proteger os dados confidenciais (como dados pessoais ou conteúdo de clientes, informações empresariais e informações financeiras) em seus bancos de dados. Localizar e classificar esses dados pode desempenhar uma função dinâmica em sua estatura de proteção de informações organizacionais. Isso pode servir como infraestrutura para:
- Ajudar a cumprir os padrões de privacidade de dados e os requisitos de conformidade a normas.
- Abordar vários cenários de segurança, como monitoramento, auditoria e alerta sobre acesso anômalo a dados confidenciais.
- Controlar o acesso e proteção da segurança de bancos de dados contendo dados altamente confidenciais.
A descoberta e classificação de dados fazem parte da oferta do Microsoft Defender para SQL, um pacote unificado de funcionalidades avançadas de segurança do Microsoft SQL Server. Você acessa e gerencia a descoberta e classificação de dados por meio do painel do Banco de Dados SQL do Azure no portal do Azure.
A descoberta e classificação de dados apresenta um conjunto de serviços avançados e funcionalidades SQL, formando um paradigma de Proteção de Informações do SQL, visando proteger os dados e não apenas o banco de dados:
- Descoberta e recomendações: o mecanismo de classificação examina o banco de dados e identifica colunas que contém dados potencialmente confidenciais. Em seguida, fornece uma maneira mais natural de examinar e aplicar as recomendações de classificação apropriadas por meio do portal do Azure.
- Rotulamento: os rótulos de classificação de confidencialidade podem ser marcados persistentemente em colunas usando novos atributos de metadados de classificação introduzidos no Mecanismo do SQL Server. Em seguida, você pode usar esses metadados para proteção e auditoria avançadas baseadas em confidencialidade.
- Confidencialidade do conjunto de resultados da consulta: a confidencialidade do conjunto de resultados da consulta é calculada em tempo real para fins de auditoria.
- Visibilidade: você pode exibir o estado da classificação do banco de dados em um painel detalhado no portal do Azure. Além disso, você pode baixar um relatório (no formato do Microsoft Excel) que pode ser usado para fins de conformidade e auditoria, além de outras necessidades.
Etapas para descoberta, classificação e rotulagem
A classificação inclui dois atributos de metadados:
- Rótulos: esses são os principais atributos de classificação usados para definir o nível de confidencialidade dos dados armazenados na coluna.
- Tipos de informações: fornecem granularidade adicional aos tipos de dados armazenados na coluna.
A descoberta e classificação de dados SQL vem com um conjunto interno de rótulos de confidencialidade e tipos de informações e lógica de descoberta. Agora é possível personalizar essa taxonomia e definir um conjunto e uma classificação de constructos de classificação especificamente para seu ambiente.
A personalização da sua taxonomia de classificação é feita em uma localização central para todo o seu locatário do Azure: Microsoft Defender para Nuvem. Somente um usuário com direitos administrativos no grupo de gerenciamento raiz do locatário do Azure pode executar essa tarefa.
Como parte do gerenciamento da política de Proteção de Informações do Azure, você pode definir rótulos personalizados, classificá-los e associá-los a um conjunto selecionado de tipos de informações. Você também pode adicionar seus próprios tipos de informações personalizadas e configurá-los com padrões de cadeia de caracteres, que são adicionados à lógica de descoberta para identificar esse tipo de dados em seus bancos de dados. Saiba mais sobre como personalizar e gerenciar sua política com os links no Resumo deste módulo.
Depois de definir a política em nível de locatário, você pode continuar classificando bancos de dados individuais usando sua política personalizada. Vamos examinar isso mais detalhadamente com o BD SQL do Azure.