Controlo de Segurança: Proteção de Dados
Nota
O benchmark de segurança Azure mais atualizado está disponível aqui.
As recomendações de proteção de dados centram-se na abordagem de questões relacionadas com encriptação, listas de controlo de acesso, controlo de acesso baseado em identidade e registo de auditoria para acesso a dados.
4.1: Manter um inventário de informação sensível
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.1 | 13,1 | Cliente |
Utilize Tags para ajudar a rastrear os recursos da Azure que armazenam ou processam informações sensíveis.
4.2: Isolar sistemas de armazenamento ou tratamento de informações sensíveis
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.2 | 13.2, 2.10 | Cliente |
Implementar o isolamento utilizando subscrições e grupos de gestão separados para domínios de segurança individuais, tais como o tipo de ambiente e o nível de sensibilidade aos dados. Pode restringir o nível de acesso aos seus recursos Azure que as suas aplicações e ambientes empresariais exigem. Você pode controlar o acesso aos recursos Azure através do controlo de acesso baseado em funções Azure (Azure RBAC).
4.3: Monitor e bloquear transferência não autorizada de informações sensíveis
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.3 | 13.3 | Partilhado |
Alavancar uma solução de terceiros a partir de Azure Marketplace em perímetros de rede que monitoriza para transferência não autorizada de informações sensíveis e bloqueia tais transferências enquanto alerta os profissionais de segurança da informação.
Para a plataforma subjacente que é gerida pela Microsoft, a Microsoft trata todos os conteúdos do cliente como sensíveis e protege contra a perda e exposição de dados do cliente. Para garantir que os dados dos clientes dentro do Azure permanecem seguros, a Microsoft implementou e mantém um conjunto de controlos e capacidades robustos de proteção de dados.
4.4: Criptografar todas as informações sensíveis em trânsito
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.4 | 14,4 | Partilhado |
Criptografe todas as informações sensíveis em trânsito. Certifique-se de que qualquer cliente que se conecte aos seus recursos Azure seja capaz de negociar TLS 1.2 ou superior.
Siga Centro de Segurança do Azure recomendações para encriptação em repouso e encriptação em trânsito, quando aplicável.
4.5: Utilize uma ferramenta de descoberta ativa para identificar dados sensíveis
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4,5 | 14,5 | Partilhado |
Quando não houver nenhuma funcionalidade disponível para o seu serviço específico em Azure, utilize uma ferramenta de descoberta ativa de terceiros para identificar todas as informações sensíveis armazenadas, processadas ou transmitidas pelos sistemas tecnológicos da organização, incluindo as localizadas no local, ou num prestador de serviços remotos, e atualize o inventário de informação sensível da organização.
Utilize o Azure Information Protection para identificar informações sensíveis dentro dos documentos da Microsoft 365.
Utilize SQL do Azure Information Protection para auxiliar na classificação e rotulagem das informações armazenadas na SQL do Azure Database.
4.6: Utilizar o Azure RBAC para controlar o acesso aos recursos
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4,6 | 14.6 | Cliente |
Utilize o controlo de acesso baseado em funções (Azure RBAC) para controlar o acesso a dados e recursos, caso contrário utilize métodos específicos de controlo de acesso do serviço.
4.7: Utilizar a prevenção da perda de dados baseada no hospedeiro para impor o controlo do acesso
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.7 | 14,7 | Partilhado |
Se necessário para o cumprimento dos recursos computativos, implemente uma ferramenta de terceiros, como uma solução automatizada de prevenção de perdas de dados baseada em hospedeiros, para impor controlos de acesso aos dados mesmo quando os dados são copiados de um sistema.
Para a plataforma subjacente, gerida pela Microsoft, a Microsoft trata todos os conteúdos dos clientes como sensíveis e faz grandes esforços para proteger contra a perda e exposição de dados dos clientes. Para garantir que os dados dos clientes dentro do Azure permanecem seguros, a Microsoft implementou e mantém um conjunto de controlos e capacidades robustos de proteção de dados.
4.8: Criptografe informação sensível em repouso
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4.8 | 14,8 | Cliente |
Use a encriptação em repouso em todos os recursos da Azure. A Microsoft recomenda que o Azure gere as suas chaves de encriptação, no entanto existe a opção de gerir as suas próprias chaves em alguns casos.
4.9: Registar e alertar sobre alterações aos recursos críticos do Azure
| Azure ID | CIS IDs | Responsabilidade |
|---|---|---|
| 4,9 | 14,9 | Cliente |
Utilize o Monitor Azure com o Registo de Atividades Azure para criar alertas para quando ocorrerem alterações para recursos críticos do Azure.
Passos seguintes
- Ver o próximo Controlo de Segurança: Gestão de Vulnerabilidades