Blueprint de segurança e conformidade do Azure: análise para serviços financeiros do FFIEC

  • Artigo

Visão geral

Este Blueprint de segurança e conformidade do Azure fornece as diretrizes para a implantação de uma arquitetura de análise de dados no Azure adequada para a coleta, o armazenamento e a recuperação de dados financeiros, regulamentada pelo FFIEC (Federal Financial Institution Examination Council).

Essa arquitetura de referência, o guia de implementação e o modelo de ameaça fornecem uma base para que os clientes fiquem em conformidade com os requisitos do FFIEC. Essa solução fornece uma linha de base para ajudar os clientes a implantar cargas de trabalho no Azure de forma compatível com o FFIEC. No entanto, essa solução não deve ser usada no estado em que se encontra em um ambiente de produção porque é necessário realizar uma configuração adicional.

Para alcançar a conformidade com o FFIEC é necessário que auditores qualificados certifiquem a solução de produção do cliente. As auditorias são supervisionadas por examinadores de agências membros do FFIEC, incluindo o Comitê de Administradores dos órgãos FRB (Federal Reserve System), FDIC (Federal Deposit Insurance Corporation), NCUA (National Credit Union Administration), OCC (Office of the Comptroller of the Currency) e CFPB (Consumer Financial Protection Bureau). Esses examinadores certificam que as auditorias sejam realizadas por avaliadores independentes da instituição auditada. Os clientes são responsáveis por realizar as devidas avaliações de segurança e conformidade de qualquer solução criada usando essa arquitetura, uma vez que os requisitos podem variar com base nas particularidades da implementação de cada cliente.

Diagrama e componentes da arquitetura

Este Blueprint de conformidade e segurança do Azure fornece uma plataforma de análise na qual os clientes podem criar suas próprias ferramentas de análise. A arquitetura de referência descreve um caso de uso genérico em que os clientes inserem dados por meio de importações em massa de dados pelo Administrador de dados/SQL ou por meio de atualizações de dados operacionais de um Usuário operacional. Os dois fluxos de trabalho incorporam o Azure Functions para importar dados para o Banco de Dados SQL do Azure. O Azure Functions precisa ser configurado pelo cliente por meio do portal do Azure para lidar com as tarefas de importação exclusivas aos requisitos de análise de cada cliente.

O Azure oferece uma variedade de serviços de relatórios e análises para os clientes. Essa solução incorpora o Azure Machine Learning em conjunto com o Banco de Dados SQL do Azure para navegar rapidamente pelos dados e fornecer resultados mais rápidos por meio de modelagem mais inteligente. O Azure Machine Learning aumenta a velocidade das consultas descobrindo novas relações entre os conjuntos de dados. Depois que os dados forem treinados usando várias funções estatísticas, até sete pools de consulta adicionais (total de oito incluindo o servidor do cliente) podem ser sincronizados com os mesmos modelos de tabela para distribuir a carga de trabalho de consulta e reduzir o tempo de resposta.

Para análises e relatórios aprimorados, os bancos de dados SQL do Azure podem ser configurados com índices columnstore. Os bancos de dados do Azure Machine Learning e SQL do Azure podem ser ampliados ou reduzidos ou desligados completamente em resposta ao uso do cliente. Todo o tráfego SQL é criptografado com SSL por meio da inclusão de certificados autoassinados. Como melhor prática, o Azure recomenda o uso de uma autoridade de certificação confiável para aumentar a segurança.

Após serem carregador no Banco de Dados SQL do Azure e treinados pelo Azure Machine Learning, os dados são ingeridos pelo Usuário operacional e pelo Administrador de dados/SQL com o Power BI. O Power BI exibe dados intuitivamente e reúne informações em vários conjuntos de dados para gerar insights mais amplos. Seu alto nível de adaptabilidade e fácil integração com o Banco de Dados SQL do Azure garantem que os clientes possam configurá-lo para lidar com uma ampla gama de cenários, conforme exigido por suas necessidades de negócio.

A solução usa contas de Armazenamento do Azure, que os clientes podem configurar para usar a Criptografia do Serviço de Armazenamento para manter a confidencialidade dos dados em repouso. O Azure armazena três cópias dos dados dentro de um datacenter selecionado do cliente para garantir a resiliência. O armazenamento com redundância geográfica garante que os dados sejam replicados para um datacenter secundário centenas de quilômetros de distância e armazenados novamente como três cópias nesse datacenter, impedindo que um evento prejudicial no datacenter primário do cliente resulte em perda de dados.

Para maior segurança, todos os recursos nessa solução são gerenciados como um grupo de recursos por meio do Azure Resource Manager. O controle de acesso baseado em função do Azure Active Directory é usado para controlar o acesso aos recursos implantados, incluindo as chaves no Azure Key Vault. A integridade do sistema é monitorada por meio da Central de Segurança do Azure e do Azure Monitor. Os clientes configuram os dois serviços de monitoramento para capturar logs e exibir a integridade do sistema em um único painel facilmente navegável.

O Banco de Dados SQL do Azure normalmente é gerenciado por meio do SSMS (SQL Server Management Studio), que é executado de um computador local configurado para acessar o Banco de Dados SQL do Azure usando uma conexão segura do ExpressRoute ou VPN. A Microsoft recomenda configurar uma conexão VPN ou do ExpressRoute para o gerenciamento e a importação de dados para o grupo de recursos da arquitetura de referência.

Análise do diagrama de arquitetura de referência do FFIEC

A solução usa os serviços do Azure a seguir. Os detalhes da arquitetura de implantação estão na seção Arquitetura de Implantação .

  • Application Insights
  • Azure Active Directory
  • Catálogo de Dados do Azure
  • Azure Disk Encryption
  • Grade de Eventos do Azure
  • Funções do Azure
  • Cofre de Chave do Azure
  • Azure Machine Learning
  • Azure Monitor (logs)
  • Central de Segurança do Azure
  • Banco de Dados SQL do Azure
  • Armazenamento do Azure
  • Rede Virtual do Azure
    • (1) /16 rede
    • (2) /24 redes
    • (2) Grupos de segurança de rede
  • Painel do Power BI

Arquitetura de implantação

A seção a seguir fornece detalhes sobre os elementos de implantação e implementação.

Grade de Eventos do Azure: Azure Event Grid permite que os clientes criem aplicativos facilmente com arquiteturas baseadas em evento. Os usuários selecionam o recurso do Azure que desejam assinar e fornecem ao manipulador de eventos ou ao webhook um ponto de extremidade ao qual o evento deverá ser enviado. Os clientes podem proteger os pontos de extremidade do webhook adicionando parâmetros de consulta à URL do webhook ao criar uma Assinatura de Evento. A Grade de Eventos do Azure dá suporte apenas a pontos de extremidade do webhook HTTPS. A Grade de Eventos do Azure permite que os clientes controlem o nível de acesso concedido a usuários diferentes para execução de várias operações de gerenciamento, como listar assinaturas de evento, criar novos e gerar chaves. A Grade de Eventos utiliza o controle de acesso baseado em função do Azure.

Azure Functions: Azure Functions é um serviço de computação sem servidor que permite que os usuários executem o código sob demanda sem precisar provisionar ou gerenciar explicitamente a infraestrutura. Use o Azure Functions para executar um script ou parte do código em resposta a uma variedade de eventos.

Azure Machine Learning: Azure Machine Learning é uma técnica da ciência de dados que permite que os computadores usem os dados existentes para prever tendências, resultados e comportamentos futuros.

Catálogo de Dados do Azure: o Catálogo de Dados torna fontes de dados facilmente identificáveis e compreensíveis para os usuários que gerenciam os dados. Fontes de dados comum podem ser registradas, marcadas e pesquisadas em busca de dados financeiros. Os dados permanecem no local existente, mas uma cópia de seus metadados é adicionada ao Catálogo de Dados, juntamente com uma referência ao local da fonte de dados. Os metadados também são indexados para tornar cada fonte de dados fácil de descobrir por meio de pesquisa e compreensível para os usuários que os descobrirem.

Rede virtual

A arquitetura define uma rede virtual privada com um espaço de endereço de 10.200.0.0/16.

Grupos de segurança de rede: esses grupos contêm listas de controle de acesso que permitem ou negam tráfego dentro de uma rede virtual. Os grupos de segurança de rede podem ser usados para proteger o tráfego no nível da sub-rede ou da VM individual. Existem os seguintes grupos de segurança de rede:

  • Um grupo de segurança de rede para o Active Directory
  • Um grupo de segurança de rede para a carga de trabalho

Cada um dos grupos de segurança de rede têm portas e protocolos específicos abertos para que a solução possa funcionar corretamente e com segurança. Além disso, as configurações a seguir são habilitadas para cada grupo de segurança de rede:

Sub-redes: cada sub-rede está associada a seu grupo de segurança de rede correspondente.

Dados em trânsito

O Azure criptografa todas as comunicações entre datacenters do Azure por padrão. Todas as transações para o Armazenamento do Azure por meio do portal do Azure ocorrem por HTTPS.

Dados em repouso

A arquitetura protege dados em repouso usando criptografia, auditoria de banco de dados e outras medidas.

Armazenamento do Azure: para atender aos requisitos de criptografia de dados em repouso, todo o Armazenamento do Azure usa Criptografia do Serviço de Armazenamento. Isso ajuda a proteger os dados pessoais em apoio aos compromissos de segurança organizacional e aos requisitos de conformidade definidos pelo FFIEC.

Azure Disk Encryption: o Azure Disk Encryption aproveita o recurso BitLocker do Windows para fornecer criptografia de volume para discos de dados. A solução é integrada ao Azure Key Vault para ajudar a controlar e gerenciar as chaves de criptografia de disco.

Banco de Dados SQL do Azure: a instância do Banco de Dados SQL do Azure usa as seguintes medidas de segurança de banco de dados:

  • A autenticação e a autorização do Active Directory permitem o gerenciamento de identidade dos usuários de banco de dados e de outros serviços da Microsoft em uma única localização central.
  • A auditoria do banco de dados SQL controla os eventos de banco de dados e grava-os em um log de auditoria em uma conta de armazenamento do Azure.
  • O Banco de Dados SQL do Azure está configurado para usar a Transparent Data Encryption, que executa criptografia e descriptografia em tempo real do banco de dados, dos backups associados e dos arquivos de log de transações para proteger as informações em repouso. A Transparent Data Encryption oferece a garantia de que os dados armazenados não fiquem sujeitos a acesso não autorizado.
  • Regras de firewall impedem o acesso aos servidores do banco de dados até que as permissões apropriadas sejam concedidas. O firewall concede acesso aos bancos de dados com base no endereço IP de origem de cada solicitação.
  • A Detecção de Ameaças SQL permite detectar e responder a possíveis ameaças conforme elas ocorrem, fornecendo alertas de segurança sobre atividades suspeitas no banco de dados, vulnerabilidades potenciais, ataques de injeção de SQL e padrões anormais de acesso ao banco de dados.
  • As Colunas Criptografadas garantem que os dados confidenciais nunca sejam exibidos como texto não criptografado no sistema do banco de dados. Após a habilitação da criptografia de dados, somente aplicativos cliente ou servidores de aplicativo com acesso às chaves poderão acessar dados de texto não criptografado.
  • As Propriedades Estendidas podem ser usadas para interromper o processamento de titulares dos dados, pois permitem que os usuários adicionem propriedades personalizadas em objetos de banco de dados e marquem os dados como "Descontinuados" para dar suporte à lógica de aplicativo e evitar o processamento de dados financeiros associados.
  • A Segurança em nível de linha permite aos usuários definir políticas para restringir o acesso aos dados para interromper o processamento.
  • A Máscara de Dados Dinâmicos do Banco de Dados SQL limita a exposição de dados confidenciais mascarando os dados para usuários ou aplicativos não privilegiados. A Máscara de Dados Dinâmicos pode descobrir automaticamente dados potencialmente confidenciais e sugerir as máscaras apropriadas a serem aplicadas. Isso ajuda a identificar e reduzir o acesso aos dados, para que eles não saiam do banco de dados por meio de acesso não autorizado. Os clientes são responsáveis por ajustar as configurações da máscara de dados dinâmicos para seguir seu esquema de banco de dados.

Gerenciamento de identidades

As seguintes tecnologias oferecem funcionalidades para gerenciar o acesso a dados no ambiente do Azure:

  • O Azure Active Directory é o serviço de gerenciamento de identidade e diretório baseado em nuvem multilocatário da Microsoft. Todos os usuários dessa solução são criados no Azure Active Directory, incluindo os usuários que acessam o Banco de Dados SQL do Azure.
  • A autenticação no aplicativo é executada usando o Azure Active Directory. Para obter mais informações, consulte a integração de aplicativos ao Azure Active Directory. Além disso, a criptografia da coluna do banco de dados utiliza o Azure Active Directory para autenticar o aplicativo no Banco de Dados SQL do Azure. Para obter mais informações, veja como proteger dados confidenciais no Banco de Dados SQL do Azure.
  • O controle de acesso baseado em função do Azure permite que os administradores definam permissões de acesso refinadas para conceder apenas a quantidade de acesso de que os usuários precisam para realizar seus trabalhos. Em vez de conceder permissão irrestrita aos recursos do Azure a todos os usuários, os administradores podem permitir apenas determinadas ações para acessar os dados. O acesso à assinatura é limitado ao administrador da assinatura.
  • O Azure Active Directory Privileged Identity Management permite que os clientes minimizem o número de usuários que tenham acesso a determinadas informações. Os administradores podem usar o Azure Active Directory Privileged Identity Management para descobrir, restringir e monitorar identidades privilegiadas e seu acesso aos recursos. Essa funcionalidade também pode ser usada para impor o acesso administrativo sob demanda Just-In-Time quando necessário.
  • O Azure Active Directory Identity Protection detecta possíveis vulnerabilidades que afetam as identidades de uma organização, configura respostas automatizadas para ações suspeitas detectadas relacionadas às identidades de uma organização e investiga incidentes suspeitos para tomar as medidas apropriadas para resolvê-las.

Segurança

Gerenciamento de segredos: a solução usa o Azure Key Vault para gerenciar chaves e segredos. O Cofre da Chave do Azure ajuda a proteger chaves criptográficas e segredos usados por aplicativos e serviços em nuvem. As seguintes funcionalidades do Azure Key Vault ajudam os clientes a proteger os dados e o acesso a eles:

  • Políticas de acesso avançadas são configuradas com base na necessidade.
  • As políticas de acesso do Key Vault são definidas com o mínimo de permissões necessárias para chaves e segredos.
  • Todas as chaves e segredos no Key Vault têm datas de validade.
  • Todas as chaves no Key Vault são protegidas por módulos de segurança de hardware especializados. O tipo de chave é uma Chave RSA de 2048 bits protegida por HSM.
  • Todos os usuários e identidades recebem permissões mínimas necessárias usando o controle de acesso baseado em função.
  • Os Logs de diagnóstico para Key Vault são habilitados com um período de retenção de pelo menos 365 dias.
  • As operações criptográficas permitidas para chaves são restritas às necessárias.

Central de Segurança do Azure: com Central de Segurança do Azure, os clientes podem aplicar e gerenciar políticas de segurança de maneira centralizada nas cargas de trabalho, limitar a exposição a ameaças, além de detectar ataques e responder a eles. Além disso, a Central de Segurança do Azure acessa as configurações existentes de serviços do Azure para fornecer recomendações de serviço e configuração, a fim de ajudar a melhorar a postura de segurança e proteger os dados.

A Central de Segurança do Azure usa uma variedade de funcionalidades de detecção para alertar os clientes de ataques potenciais direcionados a seus ambientes. Esses alertas contêm informações valiosas sobre o que disparou o alerta, os recursos de destino e a origem do ataque. A Central de Segurança do Azure tem um conjunto de alertas de segurança predefinidos, que são disparados em caso de ameaça ou atividade suspeita. As regras de alerta personalizadas na Central de Segurança do Azure permitem que os clientes definam novos alertas de segurança com base nos dados já coletados do ambiente.

A Central de Segurança do Azure fornece alertas de segurança e incidentes priorizados, simplificando a descoberta e a resolução por parte dos clientes de possíveis problemas de segurança. Um relatório de inteligência contra ameaças é gerado para cada ameaça detectada, a fim de ajudar as equipes de resposta a incidentes a investigar e corrigir as ameaças.

Registro em log e auditoria

Os serviços do Azure registram em log de forma extensiva as atividades do sistema e do usuário, bem como a integridade do sistema:

  • Logs de atividades: os Logs de atividades fornecem insights sobre as operações executadas nos recursos de uma assinatura. Os logs de atividade podem ajudar a determinar o iniciador, o horário da ocorrência e o status de uma operação.
  • Logs de diagnóstico: os Logs de diagnóstico incluem todos os logs emitidos por todos os recursos. Esses logs são logs do sistema de eventos do Windows, logs de Armazenamento do Azure, logs de auditoria do Key Vault e logs de acesso e firewall do Gateway de Aplicativo. Todos os logs de diagnóstico são gravados em uma conta de armazenamento do Azure centralizada e criptografada para arquivamento. A retenção é configurável pelo usuário, de até 730 dias, para atender aos requisitos de retenção específicos da organização.

Logs do Azure Monitor: esses logs são consolidados nos logs do Azure Monitor para processamento, armazenamento e relatórios de dashboard. Depois de coletados, os dados são organizados em tabelas separadas para cada tipo de dados nos espaços de trabalho do Log Analytics, o que permite que todos os dados sejam analisados juntos, independentemente de sua origem original. Além disso, Central de Segurança do Azure integra-se aos logs do Azure Monitor, permitindo que os clientes usem consultas Kusto para acessar seus dados de evento de segurança e combiná-los com dados de outros serviços.

As seguintes soluções de monitoramento do Azure são incluídas como parte dessa arquitetura:

  • Avaliação do Active Directory: A solução de Verificação de Integridade do Active Directory avalia o risco e a integridade dos ambientes do servidor em um intervalo regular e fornece uma lista priorizada de recomendações específicas à infraestrutura de servidor implantada.
  • Avaliação do SQL: a solução de Verificação de Integridade do SQL avalia o risco e a integridade dos ambientes de servidor em intervalos regulares e fornece aos clientes uma lista priorizada de recomendações específicas da infraestrutura do servidor implantado.
  • Integridade do Agente: a solução de Integridade do Agente informa quantos agentes estão implantados e sua distribuição geográfica, bem como quantos agentes não estão respondendo e o número de agentes que estão enviando dados operacionais.
  • Análise do Log de Atividades: a solução Análise do Log de Atividades ajuda com a análise dos logs de atividades do Azure em todas as assinaturas do Azure de um cliente.

Automação do Azure: a solução Automação do Azure armazena, executa e gerencia runbooks. Nessa solução, os runbooks ajudam a coletar logs do Banco de Dados SQL do Azure. A solução Controle de Alterações da Automação permite que os clientes identifiquem com facilidade as alterações no ambiente.

Azure Monitor: Azure Monitor ajuda os usuários a acompanhar o desempenho, manter a segurança e identificar tendências, permitindo que as organizações auditem, criem alertas e arquivem dados, incluindo o acompanhamento de chamadas à API em seus recursos do Azure.

Application Insights: Application Insights é um serviço de APM (Gerenciamento de Desempenho de Aplicativos) extensível indicado a desenvolvedores para Web em várias plataformas. Ele detecta anomalias de desempenho e inclui ferramentas de análise avançadas para ajudar a diagnosticar problemas e entender o que os usuários realmente fazem com o aplicativo. Ele foi projetado para ajudar os usuários a aprimorar continuamente o desempenho e a usabilidade.

Modelo de ameaça

O diagrama de fluxo de dados dessa arquitetura de referência está disponível para download ou pode ser encontrado abaixo. Esse modelo pode ajudar os clientes a entenderem os pontos de risco em potencial na infraestrutura do sistema ao fazer modificações.

Análise do modelo de ameaças FFIEC

Documentação de conformidade

O Blueprint de segurança e conformidade do Azure – matriz de responsabilidades do cliente do FFIEC lista todos os objetivos exigidos pelo FFIEC. A matriz indica se a implementação de cada controle é responsabilidade da Microsoft, do cliente ou é compartilhada pelos dois.

O Blueprint de segurança e conformidade do Azure – matriz de implementação de análise de dados do FFIEC fornece informações sobre quais objetivos do FFIEC são atendidos pela arquitetura de análise de dados, incluindo descrições detalhadas de como a implementação atende aos requisitos de cada objetivo abordado.

Diretrizes e recomendações

VPN e ExpressRoute

Um túnel VPN ou ExpressRoute seguro precisa ser configurado para estabelecer uma conexão de forma segura com os recursos implantados como parte dessa arquitetura de referência de análise de dados. Configurando adequadamente o ExpressRoute ou uma VPN, os clientes podem adicionar uma camada de proteção para os dados em trânsito.

Implementando um túnel de VPN seguro com o Azure, é possível criar uma conexão privada virtual entre uma rede local e uma Rede Virtual do Azure. Essa conexão ocorre pela Internet e permite que os clientes "túnel" informações dentro de um link criptografado entre a rede do cliente e o Azure com segurança. A VPN site a site é uma tecnologia segura e madura implantada por empresas de todos os portes há décadas. O modo de túnel IPsec é usado nessa opção como um mecanismo de criptografia.

Como o tráfego do túnel de VPN passa pela Internet com uma VPN site a site, a Microsoft oferece outra opção de conexão ainda mais segura. O Azure ExpressRoute é um link de WAN dedicado entre o Azure e a instalação local ou um provedor de hospedagem do Exchange. Como as conexões do ExpressRoute não ocorrem pela Internet, elas oferecem mais confiabilidade, mais velocidade, latências mais baixas e maior segurança que as conexões típicas pela Internet. Além disso, como essa é uma conexão direta do provedor de telecomunicações do cliente, os dados não passam pela Internet e, portanto, não estão expostos a ela.

Estão disponíveis práticas recomendadas para a implementação de uma rede híbrida segura que estende uma rede local para o Azure.

Processo de extração, transformação e carregamento

O PolyBase pode carregar dados no Banco de Dados SQL do Azure sem precisar de uma ferramenta separada de extração, transformação e carregamento ou de importação. O PolyBase permite acessar dados por meio de consultas T-SQL. É possível usar a pilha de análise de business intelligence da Microsoft com o PolyBase, bem como ferramentas de terceiros compatíveis com o SQL Server.

Configuração do Azure Active Directory

O Azure Active Directory é essencial para gerenciar a implantação e provisionar acesso para pessoas que interagem com o ambiente. Um Windows Server Active Directory existente pode ser integrado ao Azure Active Directory com quatro cliques. Os clientes também podem associar a infraestrutura implantada (os controladores de domínio) do Active Directory a um Azure Active Directory existente fazendo da infraestrutura do Active Directory implantada um subdomínio de uma floresta do Azure Active Directory.

Isenção de responsabilidade

  • Este documento serve apenas para fins informativos. A MICROSOFT NÃO FORNECE NENHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU REGULAMENTAR, QUANTO ÀS INFORMAÇÕES PRESENTES NESTE DOCUMENTO. Este documento é fornecido "como está". Informações e exibições expressas neste documento, incluindo URL e outras referências de sites da Internet, podem ser alteradas sem aviso prévio. Os clientes que estão lendo este documento arcarão com o risco de usá-lo.
  • Este documento não fornece aos clientes nenhum direito legal a qualquer propriedade intelectual de qualquer produto ou solução da Microsoft.
  • Os clientes podem copiar e usar este documento para fins de consulta interna.
  • Determinadas recomendações neste documento podem resultar em maior uso de recursos de computação, rede ou dados no Azure e podem aumentar os custos de licença ou assinatura do cliente.
  • Essa arquitetura é destinada a servir como base para os clientes se ajustarem a seus requisitos específicos e não deve ser usada no estado em que se encontra em um ambiente de produção.
  • Este documento foi desenvolvido como uma referência e não deve ser usado para definir todos os meios pelos quais um cliente pode atender aos regulamentos e requisitos de conformidade específicos. Os clientes devem procurar suporte jurídico de suas organizações em implementações do cliente aprovadas.