Controlo de Segurança v3: Proteção de dados

A Proteção de Dados abrange o controlo da proteção de dados inativos, em trânsito e através de mecanismos de acesso autorizados, incluindo detetar, classificar, proteger e monitorizar recursos de dados confidenciais através do controlo de acesso, encriptação, chave e gestão de certificados no Azure.

DP-1: Detetar, classificar e etiquetar dados confidenciais

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Princípio de Segurança: estabeleça e mantenha um inventário dos dados confidenciais, com base no âmbito de dados confidenciais definido. Utilize ferramentas para detetar, classificar e etiquetar os dados confidenciais no âmbito.

Orientação do Azure: utilize ferramentas como o Microsoft Purview, o Azure Information Protection e SQL do Azure a Deteção e Classificação de Dados para analisar, classificar e etiquetar centralmente os dados confidenciais que residem no Azure, no local, no Microsoft 365 e noutras localizações.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.13 AC-4, SI-4 A3.2

Princípio de Segurança: monitorize anomalias em torno de dados confidenciais, tais como transferência não autorizada de dados para localizações fora da visibilidade e controlo empresariais. Tipicamente, esta orientação envolve a monitorização de atividades anómalas (transferências grandes ou incomuns) que podem indicar a exfiltração não autorizada de dados.

Orientação do Azure: utilize o Azure Information Protection (AIP) para monitorizar os dados que foram classificados e etiquetados.

Utilize o Azure Defender para Armazenamento, o Azure Defender para SQL e o Azure Cosmos DB para alertar sobre a transferência anómalo de informações que possam indicar transferências não autorizadas de informações de dados confidenciais.

Nota: se necessário para a conformidade da prevenção de perda de dados (DLP), pode utilizar uma solução DLP baseada no anfitrião a partir de Azure Marketplace ou uma solução DLP do Microsoft 365 para impor controlos de detective e/ou preventivos para impedir a exfiltração de dados.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-3: Encriptar dados confidenciais em trânsito

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Princípio de Segurança: proteja os dados em trânsito contra ataques "fora de banda" (como a captura de tráfego) através da encriptação para garantir que os atacantes não conseguem ler ou modificar facilmente os dados.

Defina o limite de rede e o âmbito do serviço em que os dados na encriptação de trânsito são obrigatórios dentro e fora da rede. Embora seja opcional para o tráfego em redes privadas, isto é fundamental para o tráfego em redes externas e públicas.

Orientação do Azure: impor a transferência segura em serviços como o Armazenamento do Azure, onde está incorporada uma funcionalidade de encriptação de dados nativos em trânsito.

Imponha HTTPS para serviços e aplicações Web de carga de trabalho ao garantir que os clientes que se ligam aos seus recursos do Azure utilizam a segurança da camada de transporte (TLS) v1.2 ou posterior. Para a gestão remota de VMs, utilize SSH (para Linux) ou RDP/TLS (para Windows) em vez de um protocolo não encriptado.

Nota: os dados na encriptação de trânsito estão ativados para todo o tráfego do Azure que viaja entre datacenters do Azure. O TLS v1.2 ou posterior está ativado na maioria dos serviços PaaS do Azure por predefinição.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-4: Ativar a encriptação inativa por predefinição

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.11 SC-28 3.4, 3.5

Princípio de Segurança: para complementar os controlos de acesso, os dados inativos devem ser protegidos contra ataques "fora de banda" (como aceder ao armazenamento subjacente) através da encriptação. Isto ajuda a garantir que os atacantes não conseguem ler ou modificar facilmente os dados.

Orientação do Azure: muitos serviços do Azure têm dados inativos ativados por predefinição na camada de infraestrutura com uma chave gerida pelo serviço.

Sempre que tecnicamente viável e não estiver ativado por predefinição, pode ativar dados em encriptação inativa nos serviços do Azure ou nas VMs para nível de armazenamento, nível de ficheiro ou encriptação ao nível da base de dados.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Princípio de Segurança: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço onde é necessária a opção de chave gerida pelo cliente. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente nos serviços.

Orientação do Azure: o Azure também fornece a opção de encriptação através de chaves geridas por si (chaves geridas pelo cliente) para determinados serviços. No entanto, a utilização da opção chave gerida pelo cliente requer esforços operacionais adicionais para gerir o ciclo de vida da chave. Isto pode incluir a geração de chaves de encriptação, rotação, revogação e controlo de acesso, etc.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-6: Utilizar um processo de gestão de chaves segura

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
N/D IA-5, SC-12, SC-28 3.6

Princípio de Segurança: documente e implemente um padrão, processos e procedimentos de gestão de chaves criptográficas empresariais para controlar o ciclo de vida da sua chave. Quando for necessário utilizar a chave gerida pelo cliente nos serviços, utilize um serviço de cofre de chaves seguro para geração, distribuição e armazenamento de chaves. Rode e revogue as chaves com base na agenda definida e quando existe uma descontinuação ou comprometimento chave.

Orientação do Azure: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base na agenda definida e quando existe uma descontinuação ou comprometimento chave.

Quando for necessário utilizar a chave gerida pelo cliente (CMK) nos serviços ou aplicações de carga de trabalho, certifique-se de que segue as melhores práticas:

  • Utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves.
  • Confirme que as chaves estão registadas no Azure Key Vault e implemente através de IDs de chave em cada serviço ou aplicação.

Se precisar de trazer a sua própria chave (BYOK) para os serviços (ou seja, importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga a orientação recomendada para realizar a geração de chaves e a transferência de chaves.

Nota: veja o nível FIPS 140-2 para tipos de Key Vault do Azure e o nível de conformidade FIPS abaixo.

  • Chaves protegidas por software em cofres (SKUs Premium & Standard): FIPS 140-2 Nível 1
  • Chaves protegidas por HSM em cofres (SKU Premium): FIPS 140-2 Nível 2
  • Chaves protegidas por HSM no HSM Gerido: FIPS 140-2 Nível 3

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-7: Utilizar um processo de gestão de certificados seguro

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Princípio de Segurança: documente e implemente uma norma de gestão de certificados empresariais, processos e procedimentos que incluam o controlo de ciclo de vida do certificado e políticas de certificados (se for necessária uma infraestrutura de chave pública).

Certifique-se de que os certificados utilizados pelos serviços críticos na sua organização são inventariados, controlados, monitorizados e renovados em tempo útil através de um mecanismo automatizado para evitar a interrupção do serviço.

Orientação do Azure: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação/importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue o padrão definido sem utilizar propriedades inseguras, como tamanho de chave insuficiente, período de validade demasiado longo, criptografia insegura, etc. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base na agenda definida e quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação frontal, utilize uma rotação manual no Azure Key Vault.

Evite utilizar o certificado autoassinado e o certificado de caráter universal nos seus serviços críticos devido à garantia de segurança limitada. Em vez disso, pode criar um certificado assinado público no Azure Key Vault. As seguintes ACs são os fornecedores parceiros atuais com o Azure Key Vault.

  • DigiCert: o Azure Key Vault oferece certificados OV TLS/SSL com DigiCert.
  • GlobalSign: o Azure Key Vault oferece certificados OV TLS/SSL com GlobalSign.

Nota: utilize apenas a Autoridade de Certificação (AC) aprovada e certifique-se de que os certificados e certificados de raiz/intermediários de AC incorretos conhecidos emitidos por estas ACs estão desativados.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):

DP-8: Garantir a segurança da chave e do repositório de certificados

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Princípio de Segurança: garanta a segurança do serviço do cofre de chaves utilizado para a gestão do ciclo de vida da chave criptográfica e do certificado. Proteja o serviço do cofre de chaves através do controlo de acesso, segurança de rede, registo e monitorização e cópia de segurança para garantir que as chaves e certificados estão sempre protegidos com a segurança máxima.

Orientação do Azure: proteja as chaves criptográficas e os certificados ao proteger o serviço de Key Vault do Azure através dos seguintes controlos:

  • Restringir o acesso a chaves e certificados no Azure Key Vault utilizar políticas de acesso incorporadas ou o RBAC do Azure para garantir que o princípio de menor privilégios está em vigor para o acesso ao plano de gestão e o acesso ao plano de dados.
  • Proteger o Key Vault do Azure com Private Link e Azure Firewall para garantir a exposição mínima do serviço
  • Certifique-se de que a separação de deveres é efetuada para os utilizadores que gerem chaves de encriptação que não têm a capacidade de aceder a dados encriptados e vice-versa.
  • Utilize a identidade gerida para aceder a chaves armazenadas na Key Vault do Azure nas aplicações de carga de trabalho.
  • Nunca as chaves são armazenadas em formato de texto simples fora do Key Vault do Azure.
  • Ao remover dados, certifique-se de que as chaves não são eliminadas antes de os dados reais, as cópias de segurança e os arquivos serem removidos.
  • Faça uma cópia de segurança das chaves e certificados com o Key Vault do Azure. Ative a eliminação recuperável e a proteção contra remoção para evitar a eliminação acidental de chaves.
  • Ative o registo de Key Vault do Azure para garantir que as atividades críticas do plano de gestão e do plano de dados são registadas.

Implementação e contexto adicional:

Intervenientes na Segurança do Cliente (Saiba mais):