Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Observação
O mais up-torecente Benchmark de Segurança do Azure está disponível aqui.
As recomendações de proteção de dados se concentram em resolver problemas relacionados à criptografia, listas de controle de acesso, controle de acesso baseado em identidade e registro de auditoria para acesso a dados.
4.1: Manter um inventário de informações confidenciais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.1 | 13.1 | Cliente |
Use Tags para ajudar no rastreamento de recursos do Azure que armazenam ou processam informações confidenciais.
4.2: Isolar sistemas que armazenam ou processam informações confidenciais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.2 | 13.2, 2.10 | Cliente |
Implemente o isolamento usando assinaturas e grupos de gerenciamento separados para domínios de segurança individuais, como tipo de ambiente e nível de sensibilidade de dados. Você pode restringir o nível de acesso aos recursos do Azure que seus aplicativos e ambientes corporativos exigem. Você pode controlar o acesso aos recursos do Azure por meio do controle de acesso baseado em função do Azure (Azure RBAC).
4.3: Monitorar e bloquear a transferência não autorizada de informações confidenciais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.3 | 13.3 | Partilhado |
Aproveite uma solução de terceiros do Azure Marketplace em perímetros de rede que monitora a transferência não autorizada de informações confidenciais e bloqueia essas transferências enquanto alerta os profissionais de segurança da informação.
Para a plataforma subjacente que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e protege contra a perda e exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou e mantém um conjunto de controles e recursos robustos de proteção de dados.
4.4: Criptografar todas as informações confidenciais em trânsito
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.4 | 14.4 | Partilhado |
Criptografe todas as informações confidenciais em trânsito. Certifique-se de que todos os clientes que se conectam aos seus recursos do Azure possam negociar o TLS 1.2 ou superior.
Siga as recomendações da Central de Segurança do Azure para criptografia em repouso e criptografia em trânsito, quando aplicável.
4.5: Use uma ferramenta de descoberta ativa para identificar dados confidenciais
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4,5 | 14.5 | Partilhado |
Quando nenhum recurso estiver disponível para seu serviço específico no Azure, use uma ferramenta de descoberta ativa de terceiros para identificar todas as informações confidenciais armazenadas, processadas ou transmitidas pelos sistemas de tecnologia da organização, incluindo aqueles localizados no local ou em um provedor de serviços remoto, e atualize o inventário de informações confidenciais da organização.
Use a Proteção de Informações do Azure para identificar informações confidenciais em documentos do Microsoft 365.
Use a Proteção de Informações SQL do Azure para ajudar na classificação e rotulagem de informações armazenadas no Banco de Dados SQL do Azure.
4.6: Usar o RBAC do Azure para controlar o acesso aos recursos
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.6 | 14.6 | Cliente |
Use o controle de acesso baseado em função do Azure (Azure RBAC) para controlar o acesso a dados e recursos, caso contrário, use métodos de controle de acesso específicos do serviço.
4.7: Use a prevenção de perda de dados baseada em host para impor o controle de acesso
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.7 | 14.7 | Partilhado |
Se necessário para conformidade com recursos de computação, implemente uma ferramenta de terceiros, como uma solução automatizada de prevenção de perda de dados baseada em host, para impor controles de acesso aos dados, mesmo quando os dados são copiados de um sistema.
Para a plataforma subjacente que é gerenciada pela Microsoft, a Microsoft trata todo o conteúdo do cliente como confidencial e faz um grande esforço para se proteger contra a perda e exposição de dados do cliente. Para garantir que os dados do cliente no Azure permaneçam seguros, a Microsoft implementou e mantém um conjunto de controles e recursos robustos de proteção de dados.
4.8: Criptografar informações confidenciais em repouso
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4.8 | 14.8 | Cliente |
Use criptografia em repouso em todos os recursos do Azure. A Microsoft recomenda permitir que o Azure gerencie suas chaves de criptografia, no entanto, há a opção de gerenciar suas próprias chaves em alguns casos.
4.9: Registrar e alertar sobre alterações em recursos críticos do Azure
| Azure ID | IDs do CIS | Responsabilidade |
|---|---|---|
| 4,9 | 14.9 | Cliente |
Use o Azure Monitor com o Log de Atividades do Azure para criar alertas para quando ocorrerem alterações em recursos críticos do Azure.
Próximos passos
- Consulte o próximo Controlo de Segurança: Gestão de Vulnerabilidades