Portefólio de políticas do Microsoft Cloud for Sovereignty
O Azure oferece uma série de iniciativas incorporadas que se alinham com vários quadros de conformidade regulamentar e normas do setor. Estas iniciativas abrangem aspetos críticos como a proteção de dados, a segurança da rede e os controlos de acesso. Ao impor configurações e controlos robustos, pode melhorar a soberania e a posição de segurança dos recursos do Azure da sua organização e proteger dados confidenciais contra acesso não autorizado.
A Microsoft Cloud for Sovereignty alarga as iniciativas incorporadas do Azure existentes adicionando regularmente mais iniciativas.
Iniciativas de políticas incorporadas do Azure
As iniciativas de políticas incorporadas do Azure são um potente conjunto de ferramentas que permite o controlo centralizado entre os recursos do Azure e a imposição de configurações específicas. Estas iniciativas compreendem uma coleção de definições de políticas e apoiam a conformidade com diversas estruturas regulamentares, padrões da indústria e as melhores práticas de segurança.
As iniciativas oferecem uma abordagem simplificada e automatizada à governação, permitindo que as organizações giram e monitorizem a conformidade à escala. Para obter mais informações sobre as iniciativas de políticas, consulte O que é o Azure Policy?.
Iniciativas de políticas do Microsoft Cloud for Sovereignty
Iniciativas e mapeamentos de conformidade do Microsoft Cloud for Sovereignty que expandem as iniciativas incorporadas do Azure, além de ajudar a automatizar a aplicação de políticas e a promover uma estrutura de governação robusta que reduz o risco de não conformidade. Além disso, as iniciativas também reforçam as medidas de proteção de dados. As organizações podem utilizar o grande conjunto de iniciativas incorporadas de conformidade regulamentar disponíveis enquanto continuamos a expandir noutras arquiteturas.
Iniciativas de políticas de conformidade regulamentar
A Microsoft Cloud for Sovereignty mantém várias iniciativas de políticas de conformidade regulamentar.
Uma destas iniciativas de políticas é em apoio aos requisitos técnicos específicos da cloud dentro da Linha de base de segurança da administração pública (Baseline informatiebeveiliging Overheid ou BIO em holandês), a estrutura de padrões fundamentais para a segurança da informação em todos os níveis da administração pública holandesa (governo central, municípios, províncias e conselhos de água). Para obter mais informações sobre a iniciativa temática da cloud BIO, consulte azure-policy/built-in-policies/policySetDefinitions.
A Microsoft Cloud for Sovereignty publicou recentemente duas iniciativas de políticas incorporadas adicionais de conformidade regulamentar: as Políticas Globais de Linha de Base da Microsoft Cloud for Sovereignty e as Políticas Confidenciais de Linha de Base da Microsoft Cloud for Sovereignty.
Iniciativas de Linha de base da política de soberania
As iniciativas de políticas da Microsoft Clouds for Sovereignty foram concebidas principalmente para ajudar a demonstrar a conformidade em relação a uma estrutura de controlo de segurança específica. No entanto, a Linha de Base da Política de soberania é um conjunto especial de Iniciativas do Azure Policy incorporadas destinadas a complementar os quadros com controlos de soberania.
Os controlos de soberania ajudam a permitir a utilização adequada das Ofertas de Computação Confidencial do Azure que fornecem verificadores de integridade de proteção de dados além do que os quadros de controlo de segurança existentes normalmente exigem de uma forma fácil de ser adotada pelas organizações.
As iniciativas de políticas da Linha de Base de Soberania fornecem às organizações um método simples para configurar várias políticas do Azure de uma maneira que aborda um ou mais dos objetivos de controlo de soberania, listados da seguinte forma:
- Os dados do cliente têm de ser armazenados e processados inteiramente em datacenters localizados em regiões geopolíticas aprovadas com base nos requisitos definidos pelo cliente.
- Os clientes têm de aprovar o acesso aos dados dos clientes por operadores de cloud e de serviços geridos.
- Os dados confidenciais definidos pelo cliente só podem estar acessíveis de forma encriptada para operadores de cloud e de serviços geridos.
- O cliente tem de ter o controlo exclusivo sobre a decisão das identidades que podem aceder às chaves utilizadas para desencriptar dados confidenciais definidos pelo cliente.
Estes objetivos de controlo são as melhores práticas recomendadas pelo Azure para abordar questões de soberania de dados, apoiando a utilização e configurações adequadas dentro de várias ofertas do Azure que armazenam ou processam dados de clientes. Se considerar que há outros objetivos de controlo necessários a incluir na linha de base, pode criar um pedido de funcionalidade.
As iniciativas da política Linha de base de soberania vêm pré-instaladas com a Zona de Destino Soberana ou podem ser implementadas em qualquer inquilino do Azure como uma Azure Policy incorporada.
As iniciativas de política de Linha de base de soberania não substituem as iniciativas de conformidade regulamentar incorporada nem é mapeada diretamente para qualquer um dos quadros. As organizações devem continuar a utilizar as suas iniciativas existentes para demonstrar a conformidade com todos os quadros regulamentares adequados.
Para obter mais informações sobre a forma como a Microsoft vê a soberania dos dados, consulte os nossos documentos técnicos.
Iniciativas de política personalizadas
O Microsoft Cloud for Sovereignty disponibiliza diversas iniciativas de políticas personalizadas e mapeamentos de conformidade através do Portefólio de políticas do Cloud for Sovereignty no GitHub. As iniciativas de políticas da Microsoft Cloud for Sovereignty auxiliam na personalização de implementações para reduzir o tempo e a complexidade necessários para auditar ambientes e ajudam a cumprir os quadros de conformidade regulamentar estabelecidos e os requisitos governamentais.
As iniciativas personalizadas atuais centram-se em:
A Estratégia Italiana para a Cloud, que contém as orientações estratégicas para a migração para a cloud de dados e serviços digitais da Administração Pública italiana; a Agência Nacional de Cibersegurança (ACN) emitiu um conjunto de requisitos para a qualificação dos Serviços Cloud e das infraestruturas dos Serviços Cloud. As iniciativas de políticas e os ficheiros contidos neste repositório pretendem servir como um ponto de partida. Estes ficheiros não pretendem ser soluções finais ou abrangentes, mas sim um recurso útil para impulsionar os seus esforços.
Uma iniciativa de política do Azure personalizada e um mapeamento de controlo que ajudam os clientes a cumprir as diretrizes definidas pelo quadro de controlo de cibersegurança Cloud Controls Matrix (CCM) v4 da Cloud Security Alliance (CSA) para computação na cloud.
Para ajudar na implementação de iniciativas de políticas personalizadas, consulte o script New-PolicySets.ps1 no GitHub. Além disso, pode utilizar as Capacidades do Microsoft Defender para a Cloud para iniciativas personalizadas.
Importante
As organizações são totalmente responsáveis por garantir a sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas neste documento não constituem aconselhamento jurídico e as organizações devem consultar os seus consultores jurídicos para quaisquer dúvidas relacionadas com a conformidade regulamentar.