Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve as práticas recomendadas para criptografia e segurança de dados.
As práticas recomendadas são baseadas em um consenso de opinião e funcionam com os recursos e conjuntos de recursos atuais da plataforma Azure. As opiniões e tecnologias mudam ao longo do tempo e este artigo é atualizado regularmente para refletir essas mudanças.
Proteger os dados
Para ajudar a proteger os dados na nuvem, você precisa levar em conta os possíveis estados em que seus dados podem ocorrer e quais controles estão disponíveis para esse estado. As práticas recomendadas para segurança e criptografia de dados do Azure estão relacionadas aos seguintes estados de dados:
- Em repouso: inclui todos os objetos, contêineres e tipos de armazenamento de informações que existem estaticamente em mídia física, seja disco magnético ou ótico.
- Em trânsito: quando os dados estão sendo transferidos entre componentes, locais ou programas, eles estão em trânsito. Exemplos são a transferência pela rede, através de um barramento de serviço (do local para a nuvem e vice-versa, incluindo conexões híbridas como a Rota Expressa) ou durante um processo de entrada/saída.
- Em uso: Quando os dados estão sendo processados, as VMs de computação confidenciais especializadas baseadas no chipset AMD & Intel mantêm os dados criptografados na memória usando chaves gerenciadas por hardware.
Escolha uma solução de gerenciamento de chaves
Proteger as suas chaves é essencial para proteger os seus dados na nuvem.
O Azure oferece vários serviços diferentes para proteger suas chaves criptográficas usando HSMs. Essas ofertas fornecem escalabilidade e disponibilidade na nuvem, ao mesmo tempo em que oferecem controle total sobre suas chaves. Para obter mais informações e orientações sobre como escolher entre essas ofertas de gerenciamento de chaves, consulte Como escolher a solução de gerenciamento de chaves do Azure certa. O Azure Key Vault Premium ou o Azure Key Vault Managed HSM são recomendados para gerenciar sua criptografia em chaves de repouso.
Gerencie com estações de trabalho seguras
Nota
O administrador ou proprietário da subscrição deve utilizar uma estação de trabalho de acesso seguro ou uma estação de trabalho de acesso privilegiado.
Como a grande maioria dos ataques tem como alvo o usuário final, o endpoint se torna um dos principais pontos de ataque. Um invasor que comprometa o ponto de extremidade pode usar as credenciais do usuário para obter acesso aos dados da organização. A maioria dos ataques de endpoint se aproveita do fato de que os usuários são administradores em suas estações de trabalho locais.
Práticas recomendadas: use uma estação de trabalho de gerenciamento segura para proteger contas, tarefas e dados confidenciais. Detalhe: use uma estação de trabalho de acesso privilegiado para reduzir a superfície de ataque nas estações de trabalho. Essas estações de trabalho de gerenciamento seguro podem ajudá-lo a mitigar alguns desses ataques e garantir que seus dados estejam mais seguros.
Práticas recomendadas: Garanta a proteção de endpoints. Detalhe: aplique políticas de segurança em todos os dispositivos usados para consumir dados, independentemente do local dos dados (na nuvem ou no local).
Proteger os dados inativos
A criptografia de dados em repouso é um passo obrigatório em direção à privacidade, conformidade e soberania de dados.
Práticas recomendadas: aplique criptografia no host para ajudar a proteger seus dados. Detalhe: Utilize a criptografia no host - criptografia de ponta a ponta para a VM. A criptografia no host é uma opção de Máquina Virtual que aprimora a Criptografia do Servidor no Armazenamento de Discos do Azure para garantir que todos os discos temporários e caches de disco sejam criptografados em repouso e fluam criptografados para os clusters de Armazenamento.
A maioria dos serviços do Azure, como o Armazenamento do Azure e o Banco de Dados SQL do Azure, criptografa dados em repouso por padrão. Também pode utilizar o Azure Key Vault para manter o controlo das chaves que acedem e encriptam os dados. Para saber mais, veja Suporte dos modelos de encriptação de fornecedores de recursos do Azure.
Práticas recomendadas: use a criptografia para ajudar a reduzir os riscos relacionados ao acesso não autorizado a dados. Detalhe: criptografe a criptografia em seus serviços antes de gravar dados confidenciais neles.
As organizações que não impõem a criptografia de dados estão mais expostas a problemas de confidencialidade de dados. As empresas também devem provar que são diligentes e usam controles de segurança corretos para melhorar a segurança de seus dados, a fim de cumprir as regulamentações do setor.
Proteger os dados em trânsito
A proteção dos dados em trânsito deve ser uma parte essencial da estratégia de proteção de dados. Como os dados são movidos de um lado para o outro entre várias localizações, geralmente recomendamos que utilize sempre protocolos SSL/TLS para trocar dados entre diferentes localizações. Em algumas circunstâncias, talvez queira isolar todo o canal de comunicação entre as infraestruturas no local e na cloud com uma VPN.
Para mover dados entre a infraestrutura no local e o Azure, considere medidas de segurança apropriadas, como HTTPS ou VPN. Ao enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública, use o Gateway de VPN do Azure.
A seguir estão as práticas recomendadas específicas para usar o Gateway de VPN do Azure, SSL/TLS e HTTPS.
Práticas recomendadas: Proteja o acesso de várias estações de trabalho localizadas no local a uma rede virtual do Azure. Detalhe: use VPN site a site.
Práticas recomendadas: Proteja o acesso de uma estação de trabalho individual localizada no local a uma rede virtual do Azure. Detalhe: use VPN ponto a site.
Práticas recomendadas: mova conjuntos de dados maiores através de um link WAN de alta velocidade dedicado. Detalhe: use a Rota Expressa. Se optar por utilizar o ExpressRoute, também poderá encriptar os dados ao nível da aplicação com SSL/TLS ou outros protocolos para proteção adicional.
Práticas recomendadas: interaja com o Armazenamento do Azure por meio do portal do Azure. Detalhe: Todas as transações ocorrem via HTTPS. Você também pode usar a API REST de Armazenamento sobre HTTPS para interagir com o Armazenamento do Azure.
As organizações que não protegem os dados em trânsito são mais suscetíveis a ataques man-in-the-middle, escutas e sequestro de sessão. Esses ataques podem ser o primeiro passo para obter acesso a dados confidenciais.
Proteger os dados em utilização
Diminuir a necessidade de confiança A execução de cargas de trabalho na nuvem requer confiança. Você dá essa confiança a vários provedores que habilitam diferentes componentes do seu aplicativo.
- Fornecedores de software de aplicativos: confie no software implantando localmente, usando código aberto ou criando software de aplicativo interno.
- Fornecedores de hardware: confie no hardware usando hardware local ou interno.
- Provedores de infraestrutura: confie em provedores de nuvem ou gerencie seus próprios data centers locais.
Reduzindo a superfície de ataque A Base de Computação Confiável (TCB) refere-se a todos os componentes de hardware, firmware e software de um sistema que fornecem um ambiente seguro. Os componentes dentro do TCB são considerados "críticos". Se um componente dentro do TCB for comprometido, toda a segurança do sistema pode ser comprometida. Um TCB mais baixo significa maior segurança. Há menos risco de exposição a várias vulnerabilidades, malware, ataques e pessoas mal-intencionadas.
A computação confidencial do Azure pode ajudá-lo a:
- Impedir o acesso não autorizado: execute dados confidenciais na nuvem. Confie que o Azure fornece a melhor proteção de dados possível, com pouca ou nenhuma alteração em relação ao que é feito hoje.
- Cumpra a conformidade regulamentar: migre para a nuvem e mantenha o controle total dos dados para satisfazer as regulamentações governamentais para proteger informações pessoais e proteger o IP organizacional.
- Garanta uma colaboração segura e não confiável: resolva problemas em escala de trabalho em todo o setor vasculhando dados entre organizações, até mesmo concorrentes, para desbloquear análises de dados amplas e insights mais profundos.
- Isole o processamento: ofereça uma nova onda de produtos que eliminam a responsabilidade sobre dados privados com processamento cego. Os dados do utilizador nem sequer podem ser recuperados pelo fornecedor de serviços.
Saiba mais sobre Computação confidencial.
Proteja e-mails, documentos e dados confidenciais
Você deseja controlar e proteger e-mails, documentos e dados confidenciais que compartilha fora da sua empresa. A Proteção de Informações do Azure é uma solução baseada na nuvem que ajuda uma organização a classificar, rotular e proteger seus documentos e emails. Isso pode ser feito automaticamente por administradores que definem regras e condições, manualmente pelos usuários ou uma combinação em que os usuários obtêm recomendações.
A classificação é identificável em todos os momentos, independentemente de onde os dados são armazenados ou com quem são compartilhados. Os rótulos incluem marcações visuais, como cabeçalho, rodapé ou marca d'água. Os metadados são adicionados a arquivos e cabeçalhos de e-mail em texto não criptografado. O texto claro garante que outros serviços, como soluções para evitar a perda de dados, possam identificar a classificação e tomar as medidas adequadas.
A tecnologia de proteção usa o Azure Rights Management (Azure RMS). Esta tecnologia está integrada com outros serviços e aplicações na nuvem da Microsoft, como o Microsoft 365 e o Microsoft Entra ID. Essa tecnologia de proteção usa criptografia, identidade e políticas de autorização. A proteção aplicada através do Azure RMS permanece com os documentos e e-mails, independentemente da localização dentro ou fora da sua organização, redes, servidores de ficheiros e aplicações.
Esta solução de proteção de informações mantém-no no controlo dos seus dados, mesmo quando estes são partilhados com outras pessoas. Também pode utilizar o Azure RMS com as suas próprias aplicações de linha de negócio e soluções de proteção de informações de fornecedores de software, quer estas aplicações e soluções estejam no local ou na nuvem.
É recomendável que:
- Implante a Proteção de Informações do Azure para sua organização.
- Aplique rótulos que reflitam os requisitos da sua empresa. Por exemplo: aplique um rótulo chamado "altamente confidencial" a todos os documentos e e-mails que contenham dados ultrassecretos, para classificar e proteger esses dados. Em seguida, apenas usuários autorizados podem acessar esses dados, com quaisquer restrições que você especificar.
- Configure o log de uso do Azure RMS para que você possa monitorar como sua organização está usando o serviço de proteção.
As organizações que são fracas em classificação de dados e proteção de arquivos podem ser mais suscetíveis a vazamento de dados ou uso indevido de dados. Com a proteção adequada de arquivos, você pode analisar fluxos de dados para obter informações sobre sua empresa, detetar comportamentos de risco e tomar medidas corretivas, rastrear o acesso a documentos e assim por diante.
Próximos passos
Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.
Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre a segurança do Azure e os serviços relacionados da Microsoft:
- Blog da Equipe de Segurança do Azure - para obter informações atualizadas sobre as últimas novidades da Segurança do Azure
- Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com