Linha de base de segurança do Azure para o Azure Data Box

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Azure Data Box. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Azure Data Box.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Azure Data Box foram excluídas. Para ver como o Azure Data Box mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Azure Data Box.

Perfil de segurança

O perfil de segurança resume os comportamentos de elevado impacto do Azure Data Box, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Armazenamento
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Falso
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

NS-2: Proteger os serviços cloud com controlos de rede

Funcionalidades

Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de identidades

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.

IM-1: utilizar a identidade centralizada e o sistema de autenticação

Funcionalidades

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Cliente

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Orientação Adicional: Não são necessárias configurações adicionais, uma vez que esta é gerida pela Plataforma do Azure

Referência: Controlar o acesso do dispositivo através de uma chave de acesso de desbloqueio do dispositivo

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-7: Restringir o acesso a recursos com base em condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-1: Separar e limitar utilizadores altamente privilegiados/administrativos

Funcionalidades

Contas de Administração Local

Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: pode controlar quem pode aceder à sua encomenda do Data Box quando a encomenda é criada pela primeira vez. As duas funções que podem ser definidas para o serviço Azure Data Box são:

Data Box Reader – tem acesso só de leitura a uma(s) encomenda(s) conforme definido pelo âmbito. Só podem ver os detalhes de uma encomenda. Não podem aceder a quaisquer outros detalhes relacionados com contas de armazenamento nem editar os detalhes da encomenda, como o endereço, etc.

Contribuidor do Data Box - só pode criar uma encomenda para transferir dados para uma determinada conta de armazenamento se já tiverem acesso de escrita a uma conta de armazenamento. Se não tiverem acesso a uma conta de armazenamento, nem sequer podem criar uma encomenda do Data Box para copiar dados para a conta. Esta função não define quaisquer permissões relacionadas com a Conta de armazenamento nem concede acesso a contas de armazenamento.

Para restringir o acesso a uma encomenda, pode:

  • Atribuir uma função ao nível da encomenda. O utilizador só tem essas permissões conforme definido pelas funções para interagir apenas com essa encomenda específica do Data Box e nada mais.
  • Atribua uma função ao nível do grupo de recursos, o utilizador tem acesso a todas as encomendas do Data Box num grupo de recursos.

Referência: Configurar o controlo de acesso na encomenda

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Sistema de Proteção de Dados do Cliente para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.

Referência: Utilizar o Sistema de Proteção de Dados do Cliente para o Azure Data Box

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-1: Detetar, classificar e etiquetar dados confidenciais

Funcionalidades

Deteção e Classificação de Dados Confidenciais

Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Ativar o TLS 1.1 ou inferior no Azure Data Box

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Encriptação de dados inativos para o Data Box

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.

Referência: Utilizar chaves geridas pelo cliente no Azure Key Vault para o Azure Data Box

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Utilizar chaves geridas pelo cliente no Azure Key Vault para o Azure Data Box

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Azure Policy controlos de Conformidade Regulamentar do Azure Data Box

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender para Oferta de Serviço/Produto

Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Passos seguintes