Portfólio de políticas do Microsoft Cloud for Sovereignty
O Azure oferece uma série de iniciativas integradas que se alinham com vários quadros de conformidade regulamentar e padrões do setor. Estas iniciativas abrangem aspectos críticos como proteção de dados, segurança de rede e controles de acesso. Ao impor configurações e controles robustos, você pode aprimorar a soberania e a posição de segurança dos recursos do Azure da sua organização e proteger dados confidenciais contra acesso não autorizado.
O Microsoft Cloud for Sovereignty estende as iniciativas integradas do Azure existentes adicionando mais iniciativas regularmente.
Iniciativas de políticas internas do Azure
As iniciativas de políticas integradas do Azure são um conjunto avançado de ferramentas que permite o controle centralizado dos recursos do Azure e a aplicação de configurações específicas. Essas iniciativas compreendem uma coleção de definições de políticas e apoiam a conformidade com diversas estruturas regulatórias, padrões do setor e melhores práticas de segurança.
As iniciativas oferecem uma abordagem simplificada e automatizada à governança, permitindo que as organizações gerenciem e monitorem a conformidade em grande escala. Para obter mais informações sobre as iniciativas da política, consulte O que é política do Azure?.
Iniciativas de políticas do Microsoft Cloud for Sovereignty
As iniciativas e mapeamentos de conformidade do Microsoft Cloud for Sovereignty, que expandem as iniciativas integradas do Azure, ajudam a automatizar a aplicação de políticas e a promover uma estrutura de governança robusta que reduz o risco de não conformidade. Além disso, as iniciativas também reforçam as medidas de proteção de dados. As organizações podem usar o grande conjunto de iniciativas integradas de conformidade regulatória disponíveis enquanto continuamos a expandir outras estruturas.
Iniciativas de políticas de conformidade regulatória
O Microsoft Cloud for Sovereignty mantém várias iniciativas de políticas de conformidade regulatória.
Uma dessas iniciativas de políticas é apoiar os requisitos técnicos específicos da nuvem dentro da Linha de base de segurança da informação do governo (Baseline informatiebeveiliging Overheid ou BIO em holandês), a estrutura de padrões fundamentais para a segurança da informação em todos os níveis do governo holandês (governo central, municípios, províncias e autoridades de água). Para obter mais informações sobre a iniciativa temática da nuvem da BIO, consulte azure-policy/built-in-policies/policySetDefinitions.
O Microsoft Cloud for Sovereignty publicou recentemente duas iniciativas adicionais de políticas integradas de conformidade regulatória; as Políticas Globais de Linha de Base do Microsoft Cloud for Sovereignty e as Políticas Confidenciais de Linha de Base do Microsoft Cloud for Sovereignty.
Iniciativas da política de Linha de Base de Soberania
As iniciativas de políticas do Microsoft Clouds for Sovereignty são projetadas principalmente para ajudar a demonstrar a conformidade com uma estrutura de controle de segurança específica. No entanto, a política de Linha de Base de Soberania é um conjunto especial de Iniciativas internas do Azure Policy destinadas a complementar as estruturas com controles de soberania.
Os controles de soberania ajudam a permitir o uso adequado das ofertas de Computação Confidencial do Azure que fornecem barreiras de proteção de dados além do que as estruturas de controle de segurança existentes normalmente exigem, de uma maneira fácil de ser adotada pelas organizações.
As iniciativas da política de Linha de Base de Soberania fornecem às organizações um método simples para configurar várias políticas do Azure de uma forma que aborde um ou mais dos objetivos de controle de soberania, listados a seguir:
- Os dados do cliente devem ser armazenados e processados inteiramente em datacenters localizados em regiões geopolíticas aprovadas com base nos requisitos definidos pelo cliente.
- Os clientes devem aprovar o acesso aos dados dos clientes por operadores de nuvem e de serviços gerenciados.
- Os dados confidenciais definidos pelo cliente só devem ser acessíveis de maneira criptografada para operadores de nuvem e de serviços gerenciados.
- O cliente deve ter controle exclusivo sobre a decisão de quais identidades podem acessar as chaves usadas para descriptografar dados confidenciais definidos pelo cliente.
Estes objetivos de controle são as melhores práticas recomendadas pelo Azure para abordar questões de soberania de dados, apoiando a utilização e configurações adequadas dentro de várias ofertas do Azure que armazenam ou processam dados de clientes. Se você achar que há outros objetivos de controle necessários para incluir na linha de base, crie uma solicitação de recurso.
As iniciativas da política de Linha de Base de Soberania vêm pré-instaladas com a Zona de Destino Soberana ou podem ser implantadas em qualquer locatário do Azure como uma Azure Policy interna.
As inciativas da política de Linha de Base de Soberania não substituem as iniciativas internas de conformidade regulatória nem são mapeadas diretamente para qualquer uma das estruturas. As organizações devem continuar a utilizar as suas iniciativas existentes para demonstrar a conformidade com todos os quadros regulamentares apropriados.
Para obter mais informações sobre como a Microsoft vê a soberania dos dados, consulte nossos white papers.
Iniciativas de políticas personalizadas
O Microsoft Cloud for Sovereignty torna acessíveis várias iniciativas de políticas personalizadas e mapeamentos de conformidade por meio do Portfólio de Políticas do Cloud for Sovereignty no GitHub. As iniciativas da política do Microsoft Cloud for Sovereignty auxiliam na personalização de implantações para reduzir o tempo e a complexidade necessários para auditar ambientes e ajudam a atender às estruturas de conformidade regulatória estabelecidas e aos requisitos governamentais.
As atuais iniciativas personalizadas concentram-se em:
A Estratégia Italiana de Nuvem, que contém as diretrizes estratégicas para a migração para a nuvem de dados e serviços digitais da Administração Pública Italiana, a ACN (Agência Nacional de Cibersegurança) emitiu um conjunto de requisitos para a qualificação de Serviços de Nuvem e Infraestruturas de Serviços de Nuvem. As iniciativas políticas e os arquivos contidos neste repositório pretendem servir como ponto de partida. Esses arquivos não pretendem ser soluções finais ou abrangentes, mas sim um recurso útil para impulsionar seus esforços.
Uma iniciativa de política personalizada do Azure e um mapeamento de controle que ajudam os clientes a cumprir as diretrizes definidas pela estrutura de controle de segurança cibernética CCM (Matriz de Controles de Nuvem) v4 da CSA (Cloud Security Alliance) para computação em nuvem.
Para ajudar na implantação de iniciativas de política personalizada, consulte o script New-PolicySets.ps1 no GitHub. Além disso, você pode usar os recursos do Microsoft Defender for Cloud para iniciativas personalizadas.
Importante
As organizações são totalmente responsáveis por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas neste documento não constituem aconselhamento jurídico e as organizações devem consultar seus consultores jurídicos para quaisquer dúvidas relacionadas à conformidade regulatória.