Cumplimiento de normativas
Una carga de trabajo puede tener requisitos normativos que pueden obligar a que los datos operativos, como los registros de aplicaciones y las métricas, permanezcan dentro de una determinada región geopolítica.
Estos requisitos pueden necesitar medidas de seguridad estrictas que afecten a la arquitectura general, y a la selección y configuración de servicios de PaaS y SaaS específicos. Los requisitos también tienen implicaciones sobre cómo se debe operacionalizar la carga de trabajo.
Puntos clave
- Asegúrese de conocer y comprender bien todos los requisitos normativos y de gobernanza.
- Realice auditorías de seguridad de la carga de trabajo externas o internas periódicamente.
- Realizar comprobaciones de cumplimiento como parte de las operaciones de carga de trabajo.
- Use el Centro de confianza de Microsoft.
Revisión de los requisitos
Las organizaciones normativas suelen publicar estándares y actualizaciones que ayudan a definir buenas prácticas de seguridad, con el fin de que las organizaciones puedan evitar negligencias. Recuerde que el propósito y el ámbito de estos estándares y normativas varían. En cambio, los requisitos de seguridad pueden influir en el diseño de la protección y retención de datos, el acceso de red y la seguridad del sistema.
Saber si los recursos de nube cumplen las normas que ordenan los gobiernos o las organizaciones del sector es esencial en el mundo globalizado actual.
Por ejemplo, una carga de trabajo que controla las transacciones de tarjetas de crédito está sujeta al estándar del sector de tarjetas de pago (PCI). Uno de los requisitos prohíbe el acceso entre Internet y cualquier componente del sistema del entorno de datos de titulares de tarjetas.
Para proporcionar un entorno restrictivo, puede hacer lo siguiente:
- Hospede la carga de trabajo en diferentes opciones de proceso de Azure que admitan la opción Bring your own VNet.
- Quite los puntos de conexión orientados a Internet mediante puntos de conexión privados.
- Use reglas de grupos de seguridad de red (NSG) que definan el acceso entrante y saliente autorizado.
El incumplimiento puede conducir a multas o a cualquier otro impacto para la empresa. Colabore con los legisladores y revise atentamente los estándares para comprender la intención y el significado literal de cada requisito. Estas son algunas preguntas que pueden ayudarle a comprender cada requisito.
- ¿Cómo se mide el cumplimiento?
- ¿Quién aprueba que la carga de trabajo cumple los requisitos?
- ¿Hay procesos para obtener atestaciones?
- ¿Cuáles son los requisitos de documentación?
Acción sugerida
Use Azure Defender (Azure Security Center) para evaluar la puntuación de cumplimiento actual e identificar las brechas.
Más información
Tutorial: Mejora del cumplimiento normativo
Uso del Centro de confianza de Microsoft
Siga consultando el Centro de confianza de Microsoft para obtener la información, las noticias y los procedimientos recomendados de seguridad, privacidad y cumplimiento normativo más recientes.
Gobernanza de datos. Céntrese en proteger la información de los servicios en la nube, dispositivos móviles, estaciones de trabajo o plataformas de colaboración. Cree la estrategia de seguridad mediante la clasificación y etiquetado de la información. Use una sólida tecnología de cifrado y control de acceso.
Ofertas de cumplimiento. Microsoft ofrece un conjunto completo de ofertas de cumplimiento para ayudar a las organizaciones a cumplir los requisitos nacionales, regionales y específicos del sector que rigen la recopilación y el uso de datos. Para más información, consulte Ofertas de cumplimiento.
Puntuación de cumplimiento. Use la puntuación de cumplimiento de Microsoft para evaluar los controles de protección de datos de forma continuada. Actúe sobre las recomendaciones para avanzar hacia el cumplimiento.
Informes de auditoría. Use los informes de auditoría para estar al día con la información más reciente sobre privacidad, seguridad y cumplimiento de los servicios en la nube de Microsoft. Consulte Informes de auditoría.
Responsabilidad compartida. La carga de trabajo puede estar hospedada en una implementación de software como servicio (SaaS), plataforma como servicio (PaaS), infraestructura como servicio (IaaS) o bien en un centro de datos local. Tiene que comprender claramente las partes de la arquitectura de las que es responsable en comparación con aquellas que son responsabilidad de Azure. Sea cual sea el modelo de hospedaje, siempre conserva las siguientes responsabilidades:
- data
- Puntos de conexión
- Cuenta
- Administración de acceso
Para obtener más información, consulte Responsabilidad compartida en la nube.
Funcionalidades de seguridad elevadas
Considere la posibilidad de usar funcionalidades de seguridad especializadas en la arquitectura de su empresa.
Los HSM dedicados y la computación confidencial tienen el potencial de mejorar la seguridad y cumplir los requisitos normativos, pero pueden introducir una complejidad que podría afectar de manera negativa a las operaciones y la eficiencia.
Acciones sugeridas
Se recomienda considerar cuidadosamente y hacer un uso prudente de estas medidas de seguridad según sea necesario:
Módulos de seguridad de hardware (HSM) dedicados
Los módulos de seguridad de hardware (HSM) dedicados pueden ayudar a cumplir los requisitos normativos o de seguridad.Computación confidencial
La informática confidencial puede ayudar a cumplir los requisitos normativos o de seguridad.
Obtenga información sobre las funcionalidades de seguridad ampliadas para cargas de trabajo de Azure.
Consideraciones acerca de las operaciones
Los requisitos normativos pueden influir en las operaciones de carga de trabajo. Por ejemplo, puede haber un requisito de que los datos operativos, como los registros de aplicaciones y las métricas, permanezcan dentro de una determinada región geopolítica.
Considere la posibilidad de automatizar las tareas de implementación y mantenimiento. La automatización reducirá los riesgos de seguridad y cumplimiento al limitar la oportunidad de introducir errores humanos durante las tareas manuales.
Vínculos relacionados
Azure mantiene una cartera de cumplimiento que cubre los estándares del gobierno de EE. UU., específicos del sector y de la región o el país. Para obtener más información, consulte Ofertas de cumplimiento de Azure.
Supervise el cumplimiento de la carga de trabajo para comprobar si los controles de seguridad están alineados con los requisitos normativos. Para obtener más información, consulte Auditorías de seguridad.
Volver al artículo principal: Gobernanza