Definir uma estratégia de soberania
Este artigo descreve como planear a sua estratégia de soberania quando utiliza serviços na nuvem. Muitas regiões geopolíticas têm regulamentos para lidar com tipos específicos de dados, como dados sensíveis à privacidade e dados governamentais. Os regulamentos normalmente impõem requisitos de soberania relacionados à residência de dados, ao controle sobre os dados e, às vezes, à independência operacional (referida como autarcia).
Quando sua organização precisa aderir a essas regulamentações, você deve definir uma estratégia para atender aos requisitos de soberania. Se sua organização mudar de serviços locais para serviços em nuvem, você deverá ajustar a estratégia de soberania de acordo.
Modernize a sua estratégia de soberania
Para seu datacenter local, você é responsável pela maioria dos aspetos normalmente associados à soberania, incluindo:
- Datacenters, onde os dados são armazenados e processados.
- Acesso aos datacenters e infraestrutura física.
- Hardware e software, incluindo a cadeia de fornecimento de hardware e software.
- Processos de garantia que validam hardware e software.
- Infraestrutura e processos que garantem a continuidade dos negócios em caso de desastre ou evento geopolítico.
- Configurações e processos que determinam quem tem acesso a quais dados e sistemas.
- Ferramentas e processos que protegem dados e sistemas contra ameaças externas e internas.
Quando você adota serviços em nuvem, a responsabilidade desses aspetos passa para uma responsabilidade compartilhada. Sua equipe de conformidade altera a estratégia que usa para determinar se os requisitos de soberania são atendidos. A equipe de compliance considera:
A conformidade dos serviços em nuvem. Como os serviços do provedor de nuvem atendem aos requisitos de soberania e conformidade?
A conformidade dos sistemas e processos pelos quais a sua organização é responsável. Quais ferramentas estão disponíveis para ajudá-lo a atender aos requisitos de soberania e conformidade e como você usa essas ferramentas?
A equipe de conformidade pode precisar trabalhar com um regulador para obter permissão para usar métodos alternativos que atinjam os mesmos objetivos. Em alguns casos, pode ser necessário alterar um regulamento, acrescentando mais opções ou ajustando uma diretiva de modo a utilizar uma determinada solução para obter o resultado pretendido. A alteração da regulamentação pode ser um processo moroso. No entanto, poderá ser possível obter isenções se puder demonstrar que alcançou a intenção de um regulamento.
Por exemplo, uma regulamentação pode restringir as organizações de usar determinados serviços de nuvem porque os requisitos de isolamento só podem ser atendidos com isolamento de hardware que normalmente não está disponível na nuvem. Mas o resultado pretendido também pode ser obtido com isolamento virtual. Como parte de sua estratégia, você precisa determinar como trabalhar com reguladores e auditores quando esses bloqueadores potenciais surgirem.
Para obter mais informações sobre como atender às suas necessidades de conformidade e soberania, consulte Microsoft Cloud for Sovereignty.
Conformidade dos serviços na nuvem
A equipe de conformidade usa várias fontes e métodos para verificar a conformidade do serviço de nuvem, incluindo:
Documentação do fornecedor sobre como seus serviços funcionam e como usá-los, por exemplo, a documentação do produto FedRAMP (Federal Risk and Authorization Management Program) dos EUA e os planos de segurança do sistema.
Certificações de auditor independente que certificam a conformidade com estruturas de conformidade globais, regionais e do setor. Para obter mais informações, consulte Ofertas de conformidade para o Microsoft 365, Azure e outros serviços da Microsoft.
Relatórios de auditoria que os auditores independentes criam para fornecer informações sobre como os serviços de nuvem atendem aos requisitos das estruturas de conformidade globais, regionais e do setor. Alguns relatórios de auditoria estão disponíveis no Portal de Confiança do Serviço.
Auditorias realizadas por ou em nome da equipe de conformidade por meio de ofertas de auditoria de fornecedores, como o Programa de Segurança do Governo (disponível apenas para clientes selecionados).
Logs de transparência que fornecem detalhes sobre quando os engenheiros da Microsoft acessam seus recursos.
A combinação de fontes e métodos que sua equipe de conformidade usa depende do nível de perceção de que você precisa, da confiança que você tem nas diferentes opções e de seus recursos e orçamento. Uma certificação de auditor terceirizado elimina a necessidade de sua equipe realizar uma auditoria e custa menos, mas requer confiança no auditor e no processo de auditoria.
Conformidade dos seus sistemas e processos
Os processos e sistemas de conformidade da sua organização podem se beneficiar dos recursos adicionais dos serviços em nuvem. Você pode usar esses recursos para:
Aplicar ou relatar políticas técnicas. Por exemplo, você pode bloquear a implantação de serviços ou configurações ou relatar violações que não atendam aos requisitos técnicos de soberania e conformidade.
Use definições de política pré-criadas que estejam alinhadas a estruturas de conformidade específicas.
Registrar e monitorar auditorias.
Utilize ferramentas de segurança. Para obter mais informações, consulte Definir uma estratégia de segurança.
Execute recursos de garantia técnica e monitoramento, como computação confidencial do Azure.
Considere cuidadosamente esses recursos para o ambiente da sua organização e cargas de trabalho individuais. Para cada capacidade, considere a quantidade de esforço necessária, a aplicabilidade e a função. Por exemplo, a imposição de políticas é um método relativamente simples que oferece suporte à conformidade, mas pode restringir quais serviços você pode usar e como usá-los. Em comparação, a garantia técnica exige um esforço considerável e é mais restritiva porque só está disponível para alguns serviços. Requer também uma quantidade significativa de conhecimentos.
Adotar a responsabilidade partilhada
Ao adotar serviços em nuvem, você adota um modelo de responsabilidade compartilhada. Determine quais responsabilidades são transferidas para o provedor de nuvem e quais permanecem com você. Entenda como essas mudanças afetam os requisitos de soberania para regulamentações. Para obter mais informações, consulte os recursos em Conformidade de serviços de nuvem. Para obter uma visão de alto nível, considere os seguintes recursos:
A segurança de infraestrutura do Azure descreve como a Microsoft fornece proteção para a infraestrutura física.
A integridade e a segurança da plataforma Azure descrevem como a Microsoft fornece proteção contra ameaças à plataforma e aos processos de garantia técnica.
A residência de dados no Azure descreve os recursos de residência de dados. Para clientes na União Europeia (UE), consulte Limite de dados da UE da Microsoft.
O provedor de nuvem fornece parcialmente a continuidade de negócios por meio da resiliência da plataforma, garantindo a continuidade de sistemas críticos que operam a nuvem. Os serviços que uma carga de trabalho usa fornecem opções de continuidade que você pode usar para criar suas cargas de trabalho. Ou você pode usar outros serviços, como o Backup do Azure ou o Azure Site Recovery. Para obter mais informações, consulte a documentação de confiabilidade do Azure.
O provedor de nuvem é responsável por proteger o acesso à plataforma de nuvem contra ameaças internas e externas. Os clientes são responsáveis por configurar seus sistemas para proteger seus dados por meio de gerenciamento de identidade e acesso, criptografia e outras medidas de segurança. Para obter mais informações, consulte Definir uma estratégia de segurança.
Usar classificações para diferenciar dados
Diferentes tipos de dados e cargas de trabalho podem ter diferentes requisitos de soberania, dependendo de fatores como a confidencialidade dos dados e se eles contêm dados sensíveis à privacidade. É importante entender quais classificações de dados se aplicam à sua organização e quais dados e sistemas estão sujeitos a quais classificações. Alguns dados e aplicativos estão sujeitos a várias regulamentações, o que pode criar a necessidade de requisitos combinados. Por exemplo, pode haver uma regulamentação relacionada com a confidencialidade dos dados e a criticidade de um sistema. As classificações resultantes podem ser de alta confidencialidade e baixa criticidade ou média confidencialidade e alta criticidade.
Quando você cumpre os requisitos de soberania, isso pode afetar outros fatores, como custo, resiliência, escalabilidade, segurança e riqueza de serviços. Para sua estratégia de soberania, é importante aplicar os controles corretos a uma classificação de dados. Uma abordagem única leva a um ambiente que favorece os mais altos requisitos de conformidade, que é provavelmente o mais caro e menos benéfico.
Próximos passos
O Cloud for Sovereignty fornece informações sobre capacidades soberanas na plataforma Azure e descreve como abordar os requisitos de soberania.
Segurança e soberania não são a mesma coisa, mas você não pode ser soberano se não estiver seguro. Deve, portanto, definir uma estratégia de segurança que se integre com a sua estratégia de soberania.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários