Security Control v3: proteção de dados
A proteção de dados abrange o controle da proteção de dados inativos, ativos e por meio de mecanismos de acesso autorizados, como descobrir, classificar, proteger e monitorar ativos de dados confidenciais com o controle de acesso, a criptografia e o gerenciamento de chaves e certificados no Azure.
DP-1: Descobrir, classificar e rotular dados confidenciais
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Princípio de segurança: estabeleça e mantenha um estoque dos dados confidenciais, com base no escopo de dados confidenciais definido. Use ferramentas para descobrir, classificar e rotular os dados confidenciais no escopo.
Diretrizes do Azure: use ferramentas como Microsoft Purview, Azure Proteção de Informações e SQL do Azure Descoberta e Classificação de Dados para examinar, classificar e rotular centralmente os dados confidenciais que residem no Azure, no local, no Microsoft 365 e em outros locais.
Implementação e contexto adicional:
- Visão geral da classificação de dados
- Rotular seus dados confidenciais usando o Microsoft Purview
- Marcar informações confidenciais usando a Proteção de Informações do Azure
- Como implementar a descoberta de dados do SQL do Azure
- Fontes de dados do Microsoft Purview
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de aplicativo e DevOps
- Segurança de dados
- Segurança de infraestrutura e ponto de extremidade
DP-2: monitorar anomalias e ameaças direcionadas a dados confidenciais
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Princípio de segurança: monitore anomalias em dados confidenciais, como transferências não autorizadas de dados para locais fora da visibilidade e do controle da empresa. Isso normalmente envolve o monitoramento de atividades anormais (transferências grandes ou incomuns) que podem indicar exfiltração não autorizada dos dados.
Diretrizes do Azure: use a AIP (proteção de informações do Azure) para monitorar dados classificados e rotulados.
Use o Azure Defender para Armazenamento, o Azure Defender para SQL e o Azure Cosmos DB a fim de receber alertas sobre transferências anômalas de informações que podem indicar transferências não autorizadas de informações de dados confidenciais.
Observação: se necessário para a conformidade da DLP (prevenção contra perda de dados), é possível usar uma solução de DLP baseada em host do Azure Marketplace ou uma solução de DLP do Microsoft 365 para aplicar controles de detecção e/ou preventivos a fim de impedir a exfiltração de dados.
Implementação e contexto adicional:
Stakeholders de segurança do cliente (Saiba mais):
- Operações de segurança
- Segurança de aplicativo e DevOps
- Segurança de infraestrutura e ponto de extremidade
DP-3: criptografar dados confidenciais ativos
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Princípio de segurança: proteja dados ativos contra ataques “fora de banda” (como a captura de tráfego) usando a criptografia a fim de garantir que os invasores não possam ler ou modificar facilmente esses dados.
Defina o limite de rede e o escopo de serviço onde forem obrigatórios os dados na criptografia ativa dentro e fora da rede. Embora isso seja opcional para o tráfego em redes privadas, isso é essencial para o tráfego em redes externas e públicas.
Diretrizes do Azure: aplique a transferência segura em serviços como o Armazenamento do Azure, onde há um recurso interno nativo de criptografia de dados ativos.
Aplique HTTPS para aplicativos e serviços Web de carga de trabalho, garantindo que todos os clientes que se conectam aos seus recursos do Azure usem TLS (Transportation Layer Security) v1.2 ou posterior. Para gerenciamento remoto de VMs, use SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não criptografado.
Observação: a criptografia de dados ativos está habilitada para todo o tráfego do Azure que flui entre datacenters do Azure. O TLS v 1.2 ou posterior está habilitado na maioria dos serviços de PaaS do Azure por padrão.
Implementação e contexto adicional:
- Criptografia dupla para dados em trânsito do Azure
- Entenda a criptografia em trânsito com o Azure
- Informações sobre a Segurança do TLS
- Aplicar transferências seguras no Armazenamento do Azure
Stakeholders de segurança do cliente (Saiba mais):
- Arquitetura de segurança
- Segurança de infraestrutura e ponto de extremidade
- Segurança de aplicativo e DevOps
- Segurança de dados
DP-4: habilitar a criptografia de dados inativos por padrão
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Princípio de segurança: para complementar os controles de acesso, use a criptografia para proteger os dados inativos contra ataques “fora de banda” (como acesso ao armazenamento subjacente). Isso ajuda a garantir que os invasores não possam ler nem modificar os dados com facilidade.
Diretrizes do Azure: muitos serviços do Azure têm criptografia de dados inativos habilitada por padrão na camada de infraestrutura usando uma chave gerenciada por serviço.
Quando tecnicamente viável e não habilitada por padrão, é possível habilitar a criptografia de dados inativos nos serviços do Azure ou em suas VMs para criptografia de nível de armazenamento, arquivo ou banco de dados.
Implementação e contexto adicional:
- Noções básicas sobre a criptografia em repouso do Azure
- Criptografia dupla de dados inativos no Azure
- Modelo de criptografia e tabela de gerenciamento de chaves
- Arquitetura de segurança
Stakeholders de segurança do cliente (Saiba mais):
- Segurança de infraestrutura e ponto de extremidade
- Segurança de aplicativo e DevOps
- Segurança de dados
DP-5: usar a opção de chave gerenciada pelo cliente na criptografia de dados inativos quando necessário
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Princípio de segurança: se necessário para a conformidade regulatória, defina o caso de uso e o escopo do serviço quando for necessário ter a opção de chave gerenciada pelo cliente. Habilite e implemente a criptografia de dados inativos usando a chave gerenciada pelo cliente nos serviços.
Diretrizes do Azure: o Azure também fornece a opção de criptografia usando chaves gerenciadas por você mesmo (chaves gerenciadas pelo cliente) para determinados serviços. No entanto, o uso dessa opção requer esforços operacionais adicionais para o gerenciamento do ciclo de vida da chave. Isso pode incluir geração, rotação, revogação e controle de acesso de chaves de criptografia, entre outros.
Implementação e contexto adicional:
- Modelo de criptografia e tabela de gerenciamento de chaves
- Serviços que dão suporte à criptografia com chave gerenciada pelo cliente
- Como configurar chaves de criptografia gerenciadas pelo cliente no Armazenamento do Azure
Stakeholders de segurança do cliente (Saiba mais):
- Arquitetura de segurança
- Segurança de infraestrutura e ponto de extremidade
- Segurança de aplicativo e DevOps
- Segurança de dados
DP-6: usar um processo de gerenciamento de chaves seguro
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-28 | 3.6 |
Princípio de segurança: documente e implemente um padrão, processos e procedimentos empresariais de gerenciamento de chaves criptográficas para controlar o ciclo de vida da chave. Quando for necessário usar a chave gerenciada pelo cliente nos serviços, use um serviço de cofre de chaves seguro para a geração, a distribuição e o armazenamento das chaves. Gire e revogue suas chaves com base em um cronograma definido e quando houver uma retirada ou um comprometimento de chave.
Diretrizes do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo a geração, a distribuição e o armazenamento de chaves. Gire e revogue suas chaves no Azure Key Vault e em seu serviço com base em um cronograma definido e quando houver uma retirada ou comprometimento de chave.
Quando for necessário usar a CMK (chave gerenciada pelo cliente) nos serviços ou aplicativos de carga de trabalho, siga estas práticas recomendadas:
- Use uma hierarquia de chave para gerar uma DEK (chave de criptografia de dados) separada com sua KEK (chave de criptografia de chave) no cofre de chaves.
- Certifique-se de que as chaves sejam registradas no Azure Key Vault e implementadas por meio de IDs de chave em cada serviço ou aplicativo.
Se você precisar de BYOK (Bring Your Own Key) para os serviços (ou seja, a importação de chaves protegidas por HSM de seus HSMs locais para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração e a transferência de chaves.
Observação: veja abaixo o nível FIPS 140-2 dos tipos de Azure Key Vault e o nível de conformidade FIPS.
- Chaves protegidas por software em cofres (SKUs Premium & Standard): FIPS 140-2 Nível 1
- Chaves protegidas por HSM em cofres (SKU Premium): FIPS 140-2 Nível 2
- Chaves protegidas por HSM em um HSM gerenciado: FIPS 140-2 Nível 3
Implementação e contexto adicional:
- Visão geral do Azure Key Vault
- Criptografia de dados inativos do Azure – Hierarquia de chaves
- Especificação de BYOK (Bring Your Own Key)
- Gerenciamento de identidades e chaves
Stakeholders de segurança do cliente (Saiba mais):
DP-7: usar um processo seguro de gerenciamento de certificados
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Princípio de segurança: documente e implemente um padrão, processos e procedimentos de gerenciamento de certificados empresariais que incluam controle do ciclo de vida do certificado e políticas de certificado (caso uma infraestrutura de chave pública seja necessária).
Garanta que os certificados usados pelos serviços críticos em sua organização sejam inventariados, rastreados, monitorados e renovados em tempo hábil usando um mecanismo automatizado para evitar a interrupção do serviço.
Diretrizes do Azure: use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação/importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração do certificado siga o padrão definido sem usar nenhuma propriedade insegura, como tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura e assim por diante. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (quando suportado) com base no cronograma definido e quando houver uma expiração de certificado. Se a rotação automática não tiver suporte no aplicativo frontal, use uma rotação manual no Azure Key Vault.
Evite usar certificados autoassinados e certificados curinga em seus serviços críticos devido à garantia de segurança limitada. Em vez disso, crie um certificado público assinado no Azure Key Vault. As CAs a seguir são os provedores parceiros atuais do Azure Key Vault.
- DigiCert: o Azure Key Vault oferece certificados TLS/SSL OV com o DigiCert.
- GlobalSign: o Azure Key Vault oferece certificados TLS/SSL OV com o GlobalSign.
Observação: use somente CAs (Autoridades de Certificação) aprovadas e certifique-se de que os certificados raiz/intermediários de CA conhecidos como ruins e os certificados emitidos por essas CAs estejam desabilitados.
Implementação e contexto adicional:
- Introdução aos certificados com o Key Vault
- Controle de acesso a certificados no Azure Key Vault
- Gerenciamento de identidades e chaves
- Arquitetura de segurança
Stakeholders de segurança do cliente (Saiba mais):
DP-8: garantir a segurança do repositório de chaves e certificados
| ID(s) do CIS Controls v8 | ID(s) do NIST SP 800-53 r4 | ID(s) do PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Princípio de segurança: garanta a segurança do serviço do cofre de chaves usado para a chave de criptografia e o gerenciamento de ciclo de vida de certificado. Proteja seu serviço de cofre de chaves por meio do controle de acesso, da segurança de rede, do registro em log e do monitoramento e do backup para garantir que as chaves e os certificados estejam sempre protegidos com segurança máxima.
Diretrizes do Azure: proteja suas chaves de criptografia e seus certificados protegendo seu serviço Azure Key Vault por meio dos seguintes controles:
- Restrinja o acesso a chaves e certificados no Azure Key Vault usando políticas de acesso internas ou o RBAC do Azure a fim de garantir que o princípio de privilégios mínimos esteja em vigor para o acesso ao plano de gerenciamento e ao plano de dados.
- Proteja o Azure Key Vault com o Link Privado e o Firewall do Azure para garantir exposição mínima do serviço
- Certifique-se de que a separação de tarefas seja feita para usuários que gerenciam chaves de criptografia a fim de que não haja capacidade de acessar dados criptografados e vice-versa.
- Use a identidade gerenciada para acessar as chaves armazenadas no Azure Key Vault em seus aplicativos de carga de trabalho.
- Nunca armazene as chaves em formato de texto não criptografado fora do Azure Key Vault.
- Ao limpar dados, certifique-se de que as chaves não sejam excluídas antes que os dados, backups e arquivos reais sejam limpos.
- Faça backup de suas chaves e certificados usando o Azure Key Vault. Habilite a exclusão reversível e limpe a proteção para evitar a exclusão acidental de chaves.
- Ative o registro em log do Azure Key Vault para garantir que o plano de gerenciamento crítico e as atividades do plano de dados sejam registrados.
Implementação e contexto adicional:
- Visão geral do Azure Key Vault
- Práticas recomendadas de segurança do Azure Key Vault
- Usar uma identidade gerenciada para acessar o Azure Key Vault
- Gerenciamento de identidades e chaves
Stakeholders de segurança do cliente (Saiba mais):