Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as melhores práticas de segurança e criptografia de dados.
As recomendações baseiam-se um consenso de opinião, e trabalhar com recursos da plataforma Windows Azure atuais e conjuntos de recursos. As opiniões e as tecnologias mudam ao longo do tempo, e este artigo será atualizado regularmente para refleti-las.
Proteger dados
Para ajudar a proteger os dados na nuvem, você precisa levar em consideração os possíveis estados em que seus dados podem ocorrer e quais controles estão disponíveis para esse estado. Práticas recomendadas para criptografia e segurança de dados do Azure se relacionam aos seguintes estados de dados:
- Em repouso: isso inclui todos os objetos de armazenamento, contêineres e tipos de informações que existem estaticamente em mídia física, seja ela magnética ou disco óptico.
- Em trânsito: quando os dados estão sendo transferidos entre componentes, locais ou programas, estará em trânsito. Os exemplos são a transferência pela rede, através de um barramento de serviço (do local para a nuvem e vice-versa, incluindo conexões híbridas, como o ExpressRoute), ou durante um processo de entrada/saída.
- Em Uso: quando os dados estiverem sendo processados, as VMs de computação confidencial baseadas em chipset AMD &Intel especializadas manterão os dados criptografados na memória usando chaves gerenciadas por hardware.
Escolha uma solução de gerenciamento de chaves
Proteger suas chaves é essencial para proteger seus dados na nuvem.
O Azure oferece vários serviços diferentes para proteger suas chaves criptográficas usando HSMs. Essas ofertas fornecem escalabilidade e disponibilidade na nuvem, oferecendo controle total sobre suas chaves. Para obter mais informações e diretrizes sobre como escolher entre essas principais ofertas de gerenciamento, consulte Como escolher a solução de gerenciamento de chaves do Azure correta. O Azure Key Vault Premium ou o Azure Key Vault Managed HSM são recomendados para gerenciar suas chaves de criptografia em repouso.
Gerenciar com estações de trabalho protegidas
Observação
O proprietário ou administrador da assinatura deve usar uma estação de trabalho para proteger o acesso ou uma estação de trabalho de acesso privilegiado.
Uma vez que a maioria dos ataques tem o usuário final como alvo, o ponto de extremidade se torna um dos principais pontos de ataque. Um invasor que compromete o ponto de extremidade pode usar as credenciais do usuário para obter acesso aos dados da organização. A maioria dos ataques de ponto de extremidade aproveita o fato dos usuários finais serem os administradores em suas estações de trabalho locais.
Prática recomendada: usar uma estação de trabalho de gerenciamento seguro para proteger contas confidenciais, tarefas e dados. Detalhe: Use uma estação de trabalho de acesso privilegiado para reduzir a superfície de ataque em estações de trabalho. Essas estações de trabalho de gerenciamento seguras podem ajudar a atenuar alguns desses ataques e a garantir que seus dados ficarão mais seguros.
Prática recomendada: assegurar a proteção de ponto de extremidade. Detalhes: impor políticas de segurança em todos os dispositivos que são usados para consumir dados, independentemente do local de dados (nuvem ou local).
Proteger dados em repouso
A criptografia de dados em repouso é uma etapa obrigatória para garantir a privacidade de dados, conformidade e soberania.
Prática recomendada: aplicar criptografia no host para ajudar a proteger seus dados. Detalhe: Utilize a criptografia no host – criptografia de ponta a ponta para sua VM. A criptografia no host é uma opção de Máquina Virtual que aprimora a criptografia do lado do servidor do Armazenamento em Disco do Azure para garantir que todos os discos temporários e caches de disco sejam criptografados em repouso e criptografados em fluxo para os clusters de armazenamento.
A maioria dos serviços do Azure, como o Armazenamento do Azure e o Banco de Dados SQL do Azure, criptografa os dados em repouso por padrão. Você pode usar o Azure Key Vault para manter o controle das chaves que acessam e criptografar seus dados. Consulte suporte ao modelo de criptografia de provedores do recurso do Azure para saber mais.
Práticas recomendadas: usar criptografia para ajudar a atenuar os riscos relacionados ao acesso não autorizado. Detalhe: criptografe a criptografia em seus serviços antes de gravar dados confidenciais neles.
Organizações que não impõem a criptografia de dados estão mais expostas a problemas de confidencialidade de dados. As empresas também devem provar que são diligentes e que usam controles de segurança corretos para melhorar a segurança de seus dados para estar em conformidade com as regulamentações do setor.
Proteger dados em trânsito
A proteção dos dados em trânsito deve ser parte essencial de sua estratégia de proteção de dados. Uma vez que os dados se movem de e para trás em vários locais, geralmente recomendamos que você sempre use protocolos SSL/TLS para trocar dados entre diferentes locais. Em algumas circunstâncias, convém isolar o canal de toda comunicação entre seu local e nuvem infra-estruturas usando uma VPN.
Para dados que se movem entre sua infraestrutura local e o Azure, considere proteções adequadas, como HTTPS ou VPN. Ao enviar tráfego criptografado entre uma rede virtual do Azure e um local na Internet pública, use Gateway de VPN do Azure.
Estas são melhores práticas específicas para o uso de HTTPS, SSL/TLS e o Gateway de VPN do Azure.
Prática recomendada: acesso seguro de várias estações de trabalho locais para uma rede virtual do Azure. Detalhe: Use VPN site a site.
Prática recomendada: acesso seguro de uma estação de trabalho individual localizada no local a uma rede virtual do Azure. Detalhe: Use VPN ponto a site.
Prática recomendada: mover grandes conjuntos de dados em um link WAN de alta velocidade dedicado. Opção: Use ExpressRoute. Se você optar por usar o ExpressRoute, também poderá criptografar os dados no nível do aplicativo usando SSL/TLS ou outros protocolos para proteção adicional.
Prática recomendada: interagir com o Armazenamento do Microsoft Azure por meio do portal do Azure. Detalhes: todas as transações ocorrerão via HTTPS. Também é possível usar a API REST do Armazenamento por HTTPS para interagir com o Armazenamento do Azure.
As organizações que não protegem dados em trânsito são mais suscetíveis a ataques man-in-the-middle, espionageme sequestro de sessão. Esses ataques podem ser a primeira etapa na obtenção de acesso a dados confidenciais.
Proteger dados em uso
Diminuir a necessidade de confiança A execução das cargas de trabalho na nuvem requer confiança. Você dá essa confiança a vários provedores, habilitando diferentes componentes do seu aplicativo.
- Fornecedores de software de aplicativos: Confiar no software implantando no local, usando software de código aberto ou criando software de aplicativo internamente.
- Fornecedores de hardware: confiar no hardware usando hardware local ou hardware interno.
- Provedores de infraestrutura: confiar em provedores de nuvem ou gerenciar seus próprios data centers locais.
Redução da superfície de ataque A Base de Computação Confiável (TCB) refere-se a todos os componentes de hardware, firmware e software de um sistema que fornecem um ambiente seguro. Os componentes dentro do TCB são considerados "críticos". Se um componente dentro do TCB for comprometido, a segurança de todo o sistema poderá ser prejudicada. Uma TCB inferior significa maior segurança. Há menos risco de exposição a várias vulnerabilidades, malwares, ataques e pessoas mal-intencionadas.
A computação confidencial do Azure pode ajudá-lo a:
- Impedir acesso não autorizado: executar dados confidenciais na nuvem. Confie que o Azure oferece a melhor proteção de dados possível, com pouca ou nenhuma alteração no que é feito atualmente.
- Atender à conformidade regulamentar: migrar para a nuvem e manter controle total dos dados para atender às regulamentações governamentais de proteção de informações pessoais e IP seguro da organização.
- Garantir colaboração segura e não confiável: enfrentar problemas de escala de trabalho em toda a indústria combinando dados entre organizações, até mesmo concorrentes, para desbloquear uma ampla análise de dados e insights mais profundos.
- Isolar o processamento: oferecer uma nova sessão de produtos que removem a responsabilidade sobre dados privados com processamento cego. Os dados do usuário não podem ser recuperados nem mesmo pelo provedor de serviços.
Saiba mais sobre Computação confidencial.
Proteger emails, documentos e dados confidenciais
Você deseja controlar e proteger o e-mail, documentos e dados confidenciais que você compartilha fora da sua empresa. O Azure Information Protection é uma solução baseada em nuvem que ajuda uma organização a classificar, rotular e proteger seus documentos e e-mails. Isso pode ser feito automaticamente por administradores que definem regras e condições, manualmente pelos usuários ou uma combinação de onde os usuários obtém recomendações.
A classificação fica identificável o tempo todo, independentemente do local em que os dados são armazenados ou com quem eles são compartilhados. Os rótulos incluem marcas visuais como um cabeçalho, rodapé ou marca d'água. Os metadados são adicionados aos arquivos e cabeçalhos de e-mail em texto não criptografado. O texto não criptografado garante que outros serviços, como soluções para evitar a perda de dados, podem identificar a classificação e tomar as devidas providências.
A tecnologia de proteção usa o Microsoft Azure AD Rights Management (Azure RMS). Essa tecnologia é integrada aos outros serviços e aplicativos de nuvem da Microsoft, como o Microsoft 365 e a ID do Microsoft Entra. Essa tecnologia de proteção usa criptografia, identidade e políticas de autorização. A proteção aplicada por meio do Azure RMS permanece com os documentos e e-mails, independentemente da localização — dentro ou fora de sua organização, redes, servidores de arquivos e aplicativos.
Essa solução de proteção de informações mantém você no controle de seus dados, mesmo quando for compartilhado com outras pessoas. Você também pode usar o Azure RMS com seus próprios aplicativos de linha de negócios e soluções de proteção de informações de fornecedores de software, se esses aplicativos e soluções estiverem no local ou na nuvem.
É recomendável que você:
- Implante a proteção de informações do Azure para sua organização.
- Aplica rótulos que reflitam seus requisitos de negócios. Por exemplo: aplicar um rótulo denominado "altamente confidencial" a todos os documentos e e-mails que contêm dados confidenciais, para classificar e proteger esses dados. Em seguida, somente usuários autorizados podem acessar esses dados, com todas as restrições que você especificar.
- Configure o log de uso para o Azure RMS para que você possa monitorar como a sua organização está usando o serviço de proteção.
As organizações que não priorizam a classificação de dados e a proteção de arquivos pode estar mais vulnerável à perda de dados. Com a proteção de arquivos apropriada, você pode analisar os fluxos de dados para obter informações sobre sua empresa, detectar comportamentos de risco e tomar medidas corretivas, controlar o acesso a documentos e assim por diante.
Próximas etapas
Confira Melhores práticas e padrões de segurança do Azure para ver mais melhores práticas segurança para usar ao projetar, implantar e gerenciar soluções de nuvem usando o Azure.
Os seguintes recursos estão disponíveis para fornecer mais informações gerais sobre a segurança do Azure e os serviços da Microsoft relacionados:
- Blog da equipe de segurança do Azure – para obter informações atualizadas sobre as últimas novidades de Segurança do Azure
- Microsoft Security Response Center – o local em que vulnerabilidades de segurança da Microsoft, incluindo problemas com o Azure, podem ser relatadas ou por email para secure@microsoft.com