Melhores práticas de segurança e encriptação de dados no Azure
Este artigo descreve as práticas recomendadas para criptografia e segurança de dados.
As práticas recomendadas são baseadas em um consenso de opinião e funcionam com os recursos e conjuntos de recursos atuais da plataforma Azure. As opiniões e tecnologias mudam ao longo do tempo e este artigo é atualizado regularmente para refletir essas mudanças.
Proteger os dados
Para ajudar a proteger os dados na nuvem, você precisa levar em conta os possíveis estados em que seus dados podem ocorrer e quais controles estão disponíveis para esse estado. As práticas recomendadas para segurança e criptografia de dados do Azure estão relacionadas aos seguintes estados de dados:
- Em repouso: inclui todos os objetos, contêineres e tipos de armazenamento de informações que existem estaticamente em mídia física, seja disco magnético ou ótico.
- Em trânsito: quando os dados estão sendo transferidos entre componentes, locais ou programas, eles estão em trânsito. Exemplos são a transferência pela rede, através de um barramento de serviço (do local para a nuvem e vice-versa, incluindo conexões híbridas como a Rota Expressa) ou durante um processo de entrada/saída.
- Em uso: Quando os dados estão sendo processados, as VMs de computação confidenciais especializadas baseadas no chipset AMD & Intel mantêm os dados criptografados na memória usando chaves gerenciadas por hardware.
Escolha uma solução de gerenciamento de chaves
Proteger as suas chaves é essencial para proteger os seus dados na nuvem.
O Azure Key Vault ajuda a salvaguardar as chaves criptográficas e os segredos utilizados pelas aplicações na cloud e pelos serviços. O Key Vault simplifica o processo de gestão de chaves e permite-lhe manter o controlo das chaves que acedem e encriptam os seus dados. Os programadores podem criar as chaves de desenvolvimento e teste em minutos, e migrá-las para as chaves de produção. Os administradores de segurança podem conceder (e revogar) a permissão para as chaves, conforme necessário.
Você pode usar o Cofre da Chave para criar vários contêineres seguros, chamados cofres. Esses cofres são apoiados por HSMs. Os cofres centralizam o armazenamento dos segredos das aplicações, o que ajuda a reduzir as possibilidades de perda acidental de informações de segurança. Os Cofres de Chaves também controlam e registam o acesso a tudo o que está armazenado nos mesmos. O Azure Key Vault pode lidar com a solicitação e renovação de certificados TLS (Transport Layer Security). Ele fornece recursos para uma solução robusta para o gerenciamento do ciclo de vida do certificado.
O Azure Key Vault foi projetado para dar suporte a chaves e segredos de aplicativos. O Cofre de Chaves não se destina a ser um armazenamento de senhas de usuário.
A seguir estão as práticas recomendadas de segurança para usar o Cofre de Chaves.
Práticas recomendadas: conceda acesso a usuários, grupos e aplicativos em um escopo específico. Detalhe: use funções predefinidas do RBAC do Azure. Por exemplo, para conceder acesso a um usuário para gerenciar cofres de chaves, você atribuiria a função predefinida Key Vault Contributor a esse usuário em um escopo específico. O escopo, nesse caso, seria uma assinatura, um grupo de recursos ou apenas um cofre de chaves específico. Se as funções predefinidas não atenderem às suas necessidades, você poderá definir suas próprias funções.
Práticas recomendadas: controle o que os usuários têm acesso. Detalhe: o acesso a um cofre de chaves é controlado através de duas interfaces separadas: plano de gerenciamento e plano de dados. Os controlos de acesso do plano de gestão e do plano de dados funcionam de forma independente.
Use o RBAC do Azure para controlar a que os usuários têm acesso. Por exemplo, se você quiser conceder acesso a um aplicativo para usar chaves em um cofre de chaves, você só precisará conceder permissões de acesso ao plano de dados usando políticas de acesso ao cofre de chaves, e nenhum acesso ao plano de gerenciamento é necessário para esse aplicativo. Por outro lado, se você quiser que um usuário possa ler propriedades e tags do cofre, mas não tenha acesso a chaves, segredos ou certificados, você poderá conceder a esse usuário acesso de leitura usando o RBAC do Azure e nenhum acesso ao plano de dados será necessário.
Práticas recomendadas: armazene certificados no cofre de chaves. Seus certificados são de alto valor. Nas mãos erradas, a segurança da sua aplicação ou a segurança dos seus dados pode ser comprometida. Detalhe: o Azure Resource Manager pode implantar com segurança certificados armazenados no Azure Key Vault para VMs do Azure quando as VMs são implantadas. Ao definir políticas de acesso adequadas ao cofre de chaves, também pode controlar quem tem acesso ao seu certificado. Outra vantagem é poder gerir todos os seus certificados num único local no Azure Key Vault. Consulte Implantar certificados em VMs a partir do Cofre de Chaves gerenciado pelo cliente para obter mais informações.
Práticas recomendadas: certifique-se de que você pode recuperar uma exclusão de cofres de chaves ou objetos de cofre de chaves. Detalhe: A exclusão de cofres de chaves ou objetos de cofres de chaves pode ser inadvertida ou maliciosa. Ative as funcionalidades de eliminação de forma recuperável e proteção contra remoção do Key Vault, especialmente em chaves utilizadas para encriptar dados inativos. A eliminação destas chaves é equivalente à perda de dados, pelo que pode recuperar cofres eliminados e objetos de cofres se for necessário. Pratique as operações de recuperação do Key Vault regularmente.
Nota
Se um usuário tiver permissões de colaborador (RBAC do Azure) para um plano de gerenciamento do cofre de chaves, ele poderá conceder a si mesmo acesso ao plano de dados definindo uma política de acesso ao cofre de chaves. Recomendamos que você controle rigorosamente quem tem acesso de colaborador aos seus cofres de chaves, para garantir que apenas pessoas autorizadas possam acessar e gerenciar seus cofres de chaves, chaves, segredos e certificados.
Gerencie com estações de trabalho seguras
Nota
O administrador ou proprietário da subscrição deve utilizar uma estação de trabalho de acesso seguro ou uma estação de trabalho de acesso privilegiado.
Como a grande maioria dos ataques tem como alvo o usuário final, o endpoint se torna um dos principais pontos de ataque. Um invasor que comprometa o ponto de extremidade pode usar as credenciais do usuário para obter acesso aos dados da organização. A maioria dos ataques de endpoint se aproveita do fato de que os usuários são administradores em suas estações de trabalho locais.
Práticas recomendadas: use uma estação de trabalho de gerenciamento segura para proteger contas, tarefas e dados confidenciais. Detalhe: use uma estação de trabalho de acesso privilegiado para reduzir a superfície de ataque nas estações de trabalho. Essas estações de trabalho de gerenciamento seguro podem ajudá-lo a mitigar alguns desses ataques e garantir que seus dados estejam mais seguros.
Práticas recomendadas: Garanta a proteção de endpoints. Detalhe: aplique políticas de segurança em todos os dispositivos usados para consumir dados, independentemente do local dos dados (na nuvem ou no local).
Proteger os dados inativos
A criptografia de dados em repouso é um passo obrigatório em direção à privacidade, conformidade e soberania de dados.
Práticas recomendadas: aplique criptografia de disco para ajudar a proteger seus dados. Detalhe: Use o Azure Disk Encryption para VMs Linux ou o Azure Disk Encryption para VMs Windows. A Encriptação de Disco combina a funcionalidade Linux dm-crypt ou BitLocker do Windows padrão da indústria para fornecer encriptação de volume para o SO e os discos de dados.
O Armazenamento do Azure e o Banco de Dados SQL do Azure criptografam dados em repouso por padrão, e muitos serviços oferecem criptografia como opção. Também pode utilizar o Azure Key Vault para manter o controlo das chaves que acedem e encriptam os dados. Para saber mais, veja Suporte dos modelos de encriptação de fornecedores de recursos do Azure.
Práticas recomendadas: use a criptografia para ajudar a reduzir os riscos relacionados ao acesso não autorizado a dados. Detalhe: criptografe suas unidades antes de gravar dados confidenciais nelas.
As organizações que não impõem a criptografia de dados estão mais expostas a problemas de confidencialidade de dados. Por exemplo, utilizadores não autorizados ou não autorizados podem roubar dados em contas comprometidas ou obter acesso não autorizado a dados codificados em Clear Format. As empresas também devem provar que são diligentes e usam controles de segurança corretos para melhorar a segurança de seus dados, a fim de cumprir as regulamentações do setor.
Proteger os dados em trânsito
A proteção dos dados em trânsito deve ser uma parte essencial da estratégia de proteção de dados. Como os dados são movidos de um lado para o outro entre várias localizações, geralmente recomendamos que utilize sempre protocolos SSL/TLS para trocar dados entre diferentes localizações. Em algumas circunstâncias, talvez queira isolar todo o canal de comunicação entre as infraestruturas no local e na cloud com uma VPN.
Para mover dados entre a infraestrutura no local e o Azure, considere medidas de segurança apropriadas, como HTTPS ou VPN. Ao enviar tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública, use o Gateway de VPN do Azure.
A seguir estão as práticas recomendadas específicas para usar o Gateway de VPN do Azure, SSL/TLS e HTTPS.
Práticas recomendadas: Proteja o acesso de várias estações de trabalho localizadas no local a uma rede virtual do Azure. Detalhe: use VPN site a site.
Práticas recomendadas: Proteja o acesso de uma estação de trabalho individual localizada no local a uma rede virtual do Azure. Detalhe: use VPN ponto a site.
Práticas recomendadas: mova conjuntos de dados maiores através de um link WAN de alta velocidade dedicado. Detalhe: use a Rota Expressa. Se optar por utilizar o ExpressRoute, também poderá encriptar os dados ao nível da aplicação com SSL/TLS ou outros protocolos para proteção adicional.
Práticas recomendadas: interaja com o Armazenamento do Azure por meio do portal do Azure. Detalhe: Todas as transações ocorrem via HTTPS. Você também pode usar a API REST de Armazenamento sobre HTTPS para interagir com o Armazenamento do Azure.
As organizações que não protegem os dados em trânsito são mais suscetíveis a ataques man-in-the-middle, escutas e sequestro de sessão. Esses ataques podem ser o primeiro passo para obter acesso a dados confidenciais.
Proteger os dados em utilização
Diminuir a necessidade de confiança A execução de cargas de trabalho na nuvem requer confiança. Você dá essa confiança a vários provedores que habilitam diferentes componentes do seu aplicativo.
- Fornecedores de software de aplicativos: confie no software implantando localmente, usando código aberto ou criando software de aplicativo interno.
- Fornecedores de hardware: confie no hardware usando hardware local ou interno.
- Provedores de infraestrutura: confie em provedores de nuvem ou gerencie seus próprios data centers locais.
Reduzindo a superfície de ataque A Base de Computação Confiável (TCB) refere-se a todos os componentes de hardware, firmware e software de um sistema que fornecem um ambiente seguro. Os componentes dentro do TCB são considerados "críticos". Se um componente dentro do TCB for comprometido, toda a segurança do sistema pode ser comprometida. Um TCB mais baixo significa maior segurança. Há menos risco de exposição a várias vulnerabilidades, malware, ataques e pessoas mal-intencionadas.
A computação confidencial do Azure pode ajudá-lo a:
- Impedir o acesso não autorizado: execute dados confidenciais na nuvem. Confie que o Azure fornece a melhor proteção de dados possível, com pouca ou nenhuma alteração em relação ao que é feito hoje.
- Cumpra a conformidade regulamentar: migre para a nuvem e mantenha o controle total dos dados para satisfazer as regulamentações governamentais para proteger informações pessoais e proteger o IP organizacional.
- Garanta uma colaboração segura e não confiável: resolva problemas em escala de trabalho em todo o setor vasculhando dados entre organizações, até mesmo concorrentes, para desbloquear análises de dados amplas e insights mais profundos.
- Isole o processamento: ofereça uma nova onda de produtos que eliminam a responsabilidade sobre dados privados com processamento cego. Os dados do utilizador nem sequer podem ser recuperados pelo fornecedor de serviços.
Saiba mais sobre Computação confidencial.
Proteja e-mails, documentos e dados confidenciais
Você deseja controlar e proteger e-mails, documentos e dados confidenciais que compartilha fora da sua empresa. A Proteção de Informações do Azure é uma solução baseada na nuvem que ajuda uma organização a classificar, rotular e proteger seus documentos e emails. Isso pode ser feito automaticamente por administradores que definem regras e condições, manualmente pelos usuários ou uma combinação em que os usuários obtêm recomendações.
A classificação é identificável em todos os momentos, independentemente de onde os dados são armazenados ou com quem são compartilhados. Os rótulos incluem marcações visuais, como cabeçalho, rodapé ou marca d'água. Os metadados são adicionados a arquivos e cabeçalhos de e-mail em texto não criptografado. O texto claro garante que outros serviços, como soluções para evitar a perda de dados, possam identificar a classificação e tomar as medidas adequadas.
A tecnologia de proteção usa o Azure Rights Management (Azure RMS). Esta tecnologia está integrada com outros serviços e aplicações na nuvem da Microsoft, como o Microsoft 365 e o Microsoft Entra ID. Essa tecnologia de proteção usa criptografia, identidade e políticas de autorização. A proteção aplicada através do Azure RMS permanece com os documentos e e-mails, independentemente da localização dentro ou fora da sua organização, redes, servidores de ficheiros e aplicações.
Esta solução de proteção de informações mantém-no no controlo dos seus dados, mesmo quando estes são partilhados com outras pessoas. Também pode utilizar o Azure RMS com as suas próprias aplicações de linha de negócio e soluções de proteção de informações de fornecedores de software, quer estas aplicações e soluções estejam no local ou na nuvem.
É recomendável que:
- Implante a Proteção de Informações do Azure para sua organização.
- Aplique rótulos que reflitam os requisitos da sua empresa. Por exemplo: aplique um rótulo chamado "altamente confidencial" a todos os documentos e e-mails que contenham dados ultrassecretos, para classificar e proteger esses dados. Em seguida, apenas usuários autorizados podem acessar esses dados, com quaisquer restrições que você especificar.
- Configure o log de uso do Azure RMS para que você possa monitorar como sua organização está usando o serviço de proteção.
As organizações que são fracas em classificação de dados e proteção de arquivos podem ser mais suscetíveis a vazamento de dados ou uso indevido de dados. Com a proteção adequada de arquivos, você pode analisar fluxos de dados para obter informações sobre sua empresa, detetar comportamentos de risco e tomar medidas corretivas, rastrear o acesso a documentos e assim por diante.
Próximos passos
Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.
Os seguintes recursos estão disponíveis para fornecer informações mais gerais sobre a segurança do Azure e os serviços relacionados da Microsoft:
- Blog da Equipe de Segurança do Azure - para obter informações atualizadas sobre as últimas novidades da Segurança do Azure
- Centro de Resposta de Segurança da Microsoft - onde as vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por e-mail para secure@microsoft.com