Azure Local e ISO/IEC 27001:2022
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve como o Azure Local ajuda as organizações a atender aos requisitos de controle de segurança da ISO/IEC 27001:2022, tanto na nuvem quanto no local. Saiba mais sobre o Azure Local e outros padrões de segurança em Azure Local e padrões de segurança.
ISO/IEC 27001:2022
A ISO/IEC 27001 é um padrão de segurança global que especifica os requisitos para estabelecer, implementar, operar, monitorar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação (SGSI). A certificação ISO/IEC 27001:2022 ajuda as organizações a aprimorar sua postura de segurança, construir confiança com seus clientes e pode ajudar a cumprir várias obrigações legais e regulatórias que envolvem segurança da informação, como PCI DSS, HIPAA, HITRUST e FedRAMP. Saiba mais sobre a norma na ISO/IEC 27001.
Local do Azure
O Azure Local é uma solução híbrida que fornece integração perfeita entre a infraestrutura local das organizações e os serviços de nuvem do Azure, ajudando a consolidar cargas de trabalho e contêineres virtualizados e obter eficiência na nuvem quando os dados precisam permanecer no local por motivos legais ou de privacidade. As organizações que buscam a certificação ISO/IEC 27001:2022 para suas soluções devem considerar seus ambientes de nuvem e locais.
Serviços de nuvem conectados
O Azure Local fornece integração profunda com vários serviços do Azure, como Azure Monitor, Backup do Azure e Azure Site Recovery, para fornecer novos recursos ao ambiente híbrido. Esses serviços em nuvem passam por auditorias regulares independentes de terceiros para conformidade com a ISO/IEC 27001:2022. Você pode examinar o certificado ISO/IEC 27001:2022 do Azure e o relatório de auditoria em Ofertas de conformidade do Azure – ISO/IEC 27001:2022.
Importante
O status de conformidade do Azure não confere o credenciamento ISO/IEC 27001 para os serviços que uma organização cria ou hospeda na plataforma do Azure. As organizações são responsáveis por garantir a conformidade de suas operações com os requisitos da ISO/IEC 27001:2022.
Soluções locais
No local, o Azure Local fornece uma variedade de recursos que ajudam as organizações a atender aos requisitos de segurança da ISO/IEC 27001:2022. As seções a seguir fornecem mais informações.
Recursos locais do Azure relevantes para ISO/IEC 27001:2022
Esta seção descreve como as organizações podem usar a funcionalidade local do Azure para atender aos controles de segurança no Anexo A da ISO/IEC 27001:2022. As informações que se seguem abrangem apenas os requisitos técnicos. Os requisitos relacionados às operações de segurança estão fora do escopo, pois o Azure Local não pode afetá-los. A orientação é organizada pelos nove domínios do Anexo A:
- Segurança de rede
- Gerenciamento de identidade e acesso
- Proteção de dados
- Logging
- Monitoring
- Configuração segura
- Proteção contra ameaças
- Backup e recuperação
- Escalabilidade e disponibilidade
As diretrizes neste artigo descrevem como os recursos locais do Azure podem ser utilizados para atender aos requisitos de cada domínio. É importante observar que nem todos os controles são obrigatórios. As organizações devem analisar seu ambiente e realizar avaliações de risco para determinar quais controles são necessários. Para obter mais informações sobre os requisitos, consulte ISO/IEC 27001.
Segurança de rede
A funcionalidade de segurança de rede descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados no padrão ISO/IEC 27001.
- 8.20 – Segurança de rede
- 8.21 – Segurança dos serviços de rede
- 8.22 – Segregação de redes
- 8.23 – Filtragem da Web
Com o Azure Local, você pode aplicar controles de segurança de rede para proteger sua plataforma e as cargas de trabalho em execução contra ameaças de rede externas e internas. O Azure Local também garante uma alocação de rede justa em um host e melhora o desempenho e a disponibilidade da carga de trabalho com recursos de balanceamento de carga. Saiba mais sobre segurança de rede no Azure Local nos artigos a seguir.
- Visão geral do Firewall do Datacenter
- SLB (Balanceador de Carga de Software) para SDN (Rede de Definição de Software)
- Gateway do Serviço de Acesso Remoto (RAS) para SDN
- Políticas de Qualidade de Serviço para suas cargas de trabalho hospedadas no Azure Local
Gerenciamento de identidade e de acesso
A funcionalidade de gerenciamento de identidade e acesso descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados no padrão ISO/IEC 27001.
- 8.2 – Direitos de acesso privilegiado
- 8.3 – Restrições de acesso à informação
- 8.5 – Autenticação segura
O Azure Local fornece acesso total e direto ao sistema subjacente em execução em computadores por meio de várias interfaces, como Azure Arc e Windows PowerShell. Você pode usar ferramentas convencionais do Windows em ambientes locais ou soluções baseadas em nuvem, como o Microsoft Entra ID (antigo Azure Active Directory) para gerenciar a identidade e o acesso à plataforma. Em ambos os casos, você pode aproveitar os recursos de segurança internos, como MFA (autenticação multifator), acesso condicional, RBAC (controle de acesso baseado em função) e PIM (gerenciamento de identidade privilegiada) para garantir que seu ambiente seja seguro e compatível.
Saiba mais sobre o gerenciamento de identidade e acesso local em Microsoft Identity Manager e Gerenciamento de Acesso Privilegiado para Active Directory Domain Services. Saiba mais sobre o gerenciamento de identidade e acesso baseado em nuvem no Microsoft Entra ID.
Proteção de dados
A funcionalidade de proteção de dados descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados no padrão ISO/IEC 27001.
- 8.5 – Autenticação segura
- 8.20 – Segurança de rede
- 8.21 - Segurança dos serviços de rede
- 8.24 – Uso de criptografia
Criptografando dados com o BitLocker
Em instâncias locais do Azure, todos os dados em repouso podem ser criptografados por meio da criptografia BitLocker XTS-AES de 256 bits. Por padrão, o sistema recomendará que você habilite o BitLocker para criptografar todos os volumes do sistema operacional (SO) e CSV (volumes compartilhados clusterizados) em sua implantação local do Azure. Para todos os novos volumes de armazenamento adicionados após a implantação, você precisa ativar manualmente o BitLocker para criptografar o novo volume de armazenamento. O uso do BitLocker para proteger dados pode ajudar as organizações a permanecerem em conformidade com a ISO/IEC 27001. Saiba mais em Usar o BitLocker com CSV (Volumes Compartilhados Clusterizados).
Protegendo o tráfego de rede externa com TLS/DTLS
Por padrão, todas as comunicações de host para pontos de extremidade locais e remotos são criptografadas usando TLS1.2, TLS1.3 e DTLS 1.2. A plataforma desabilita o uso de protocolos/hashes mais antigos, como TLS/DTLS 1.1 SMB1. O Azure Local também dá suporte a pacotes de criptografia fortes, como curvas elípticas compatíveis com SDL, limitadas apenas às curvas NIST P-256 e P-384.
Protegendo o tráfego de rede interna com o Server Message Block (SMB)
A assinatura SMB é habilitada por padrão para conexões de cliente em instâncias locais do Azure. Para tráfego intracluster, a criptografia SMB é uma opção que as organizações podem habilitar durante ou após a implantação para proteger os dados em trânsito entre sistemas. Os pacotes criptográficos AES-256-GCM e AES-256-CCM agora são suportados pelo protocolo SMB 3.1.1 usado pelo tráfego de arquivos cliente-servidor e pela malha de dados intracluster. O protocolo continua a oferecer suporte ao conjunto AES-128 mais amplamente compatível. Saiba mais em Aprimoramentos de segurança para PMEs.
Logging
A funcionalidade de registro descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados no padrão ISO/IEC 27001.
- 8.15 – Registro
- 8.17 – Sincronização do relógio
Logs do sistema local
Por padrão, todas as operações executadas na instância local do Azure são registradas para que você possa acompanhar quem fez o quê, quando e onde na plataforma. Logs e alertas criados pelo Windows Defender também estão incluídos para ajudá-lo a prevenir, detectar e minimizar a probabilidade e o impacto de um comprometimento de dados. No entanto, como o log do sistema geralmente contém um grande volume de informações, muitas delas estranhas ao monitoramento de segurança da informação, você precisa identificar quais eventos são relevantes para serem coletados e utilizados para fins de monitoramento de segurança. Os recursos de monitoramento do Azure ajudam a coletar, armazenar, alertar e analisar esses logs. Consulte a Linha de Base de Segurança do Azure Local para saber mais.
Registros de atividades locais
O Gerenciador de Ciclo de Vida Local do Azure cria e armazena logs de atividades para qualquer plano de ação executado. Esses logs dão suporte a uma investigação e monitoramento mais profundos.
Logs de atividades na nuvem
Ao registrar seus sistemas no Azure, você pode usar os logs de atividades do Azure Monitor para registrar operações em cada recurso na camada de assinatura para determinar o quê, quem e quando para qualquer operação de gravação (colocar, postar ou excluir) executada nos recursos em sua assinatura.
Registros de identidade na nuvem
Se você estiver usando a ID do Microsoft Entra para gerenciar a identidade e o acesso à plataforma, poderá exibir logs nos relatórios do Azure AD ou integrá-los ao Azure Monitor, ao Microsoft Sentinel ou a outras ferramentas de SIEM/monitoramento para casos de uso sofisticados de monitoramento e análise. Se você estiver usando o Active Directory local, use a solução Microsoft Defender para Identidade para consumir seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização.
Integração ao SIEM
O Microsoft Defender para Nuvem e o Microsoft Sentinel são integrados nativamente aos computadores locais do Azure habilitados para Arc. Você pode habilitar e integrar seus logs ao Microsoft Sentinel, que fornece o recurso SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada de orquestração de segurança). O Microsoft Sentinel, assim como outros serviços de nuvem do Azure, também está em conformidade com muitos padrões de segurança bem estabelecidos, como ISO/IEC 27001, que podem ajudá-lo com seu processo de certificação. Além disso, o Azure Local fornece um encaminhador de eventos de syslog nativo para enviar os eventos do sistema para as soluções SIEM de terceiros.
Monitoramento
A funcionalidade de monitoramento descrita nesta seção pode ajudá-lo a atender aos seguintes controles de segurança especificados no padrão ISO/IEC 27001.
- 8.15 – Registro
Insights para o Azure Local
O Insights for Azure Local permite que você monitore informações de integridade, desempenho e uso para sistemas conectados ao Azure e registrados no monitoramento. Durante a configuração do Insights, é criada uma regra de coleta de dados, que especifica os dados a serem coletados. Esses dados são armazenados em um workspace do Log Analytics, que é agregado, filtrado e analisado para fornecer painéis de monitoramento predefinidos usando pastas de trabalho do Azure. Você pode exibir os dados de monitoramento para sistemas de nó único e vários nós na página de recursos locais do Azure ou no Azure Monitor. Saiba mais em Monitorar o Azure Local com o Insights.
Métricas do Azure Local
As métricas do Azure Local armazenam dados numéricos de recursos monitorados em um banco de dados de série temporal. Você pode usar o gerenciador de métricas do Azure Monitor para analisar interativamente os dados em seu banco de dados de métricas e traçar os valores de várias métricas ao longo do tempo. Com o Metrics, você pode criar gráficos a partir de valores de métricas e correlacionar tendências visualmente.
Alertas de registro
Para indicar problemas em tempo real, configure alertas para o Azure Local, usando consultas de log de exemplo pré-existentes, como CPU média do servidor, memória disponível, capacidade de volume disponível e muito mais. Saiba mais em Configurar alertas para sistemas locais do Azure.
Alertas de métricas
Uma regra de alerta de métrica monitora um recurso avaliando as condições nas métricas de recurso em intervalos regulares. Se as condições forem atendidas, um alerta será acionado. Uma série temporal de métrica é uma série de valores de métrica capturados em um período de tempo. Você pode usar essas métricas para criar regras de alerta. Saiba mais sobre como criar alertas de métrica em Alertas de métrica.
Alertas de serviço e dispositivo
O Azure Local fornece alertas baseados em serviço para conectividade, atualizações do sistema operacional, configuração do Azure e muito mais. Alertas baseados em dispositivo para falhas de integridade do cluster também estão disponíveis. Você também pode monitorar instâncias locais do Azure e seus componentes subjacentes usando o PowerShell ou o Serviço de Integridade.
Configuração segura
A funcionalidade de configuração segura descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.8 – Gestão de vulnerabilidades técnicas
- 8.9 – Gerenciamento de configuração
Seguro por padrão
O Azure Local é configurado com segurança por padrão com ferramentas e tecnologias de segurança que defendem contra ameaças modernas e se alinham às linhas de base do Azure Compute Security. Saiba mais em Gerenciar padrões de segurança para o Azure Local.
Proteção contra desvios
A configuração de segurança padrão e as configurações de núcleo seguro da plataforma são protegidas durante a implantação e o tempo de execução com proteção de controle de desvios. Quando habilitada, a proteção de controle de descompasso atualiza as configurações de segurança regularmente a cada 90 minutos para garantir que todas as alterações do estado especificado sejam corrigidas. Esse monitoramento contínuo e correção automática permitem que você tenha uma configuração de segurança consistente e confiável durante todo o ciclo de vida do dispositivo. Você pode desabilitar a proteção contra desvios durante a implantação ao definir as configurações de segurança.
Linha de base de segurança para carga de trabalho
Para cargas de trabalho em execução no Azure Local, você pode usar a linha de base do sistema operacional recomendada pelo Azure (para Windows e Linux) como um parâmetro de comparação para definir a linha de base de configuração do recurso de computação.
Atualização da plataforma
Todos os componentes do Azure Local, incluindo o sistema operacional, os principais agentes e serviços e a extensão da solução, podem ser mantidos facilmente com o Lifecycle Manager. Esse recurso permite agrupar diferentes componentes em uma versão de atualização e valida a combinação de versões para garantir a interoperabilidade. Saiba mais em Lifecycle Manager para atualizações de solução local do Azure.
As cargas de trabalho do cliente não são cobertas por esta solução de atualização.
Proteção contra ameaças
A funcionalidade de proteção contra ameaças nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.7 – Proteção contra malware
Windows Defender Antivírus
O Windows Defender Antivírus é um aplicativo utilitário que fornece a capacidade de impor a verificação do sistema em tempo real e a verificação periódica para proteger a plataforma e as cargas de trabalho contra vírus, malware, spyware e outras ameaças. Por padrão, o Microsoft Defender Antivírus está habilitado no Azure Local. A Microsoft recomenda usar o Microsoft Defender Antivírus com o Azure Local em vez de antivírus de terceiros e software e serviços de detecção de malware, pois eles podem afetar a capacidade do sistema operacional de receber atualizações. Saiba mais em Microsoft Defender Antivírus no Windows Server.
Controle de Aplicativos do Windows Defender (WDAC)
O WDAC (Controle de Aplicativo) do Windows Defender é habilitado por padrão no Azure Local para controlar quais drivers e aplicativos têm permissão para serem executados diretamente em cada computador, ajudando a impedir que malware acesse os sistemas. Saiba mais sobre as políticas básicas incluídas no Azure Local e como criar políticas complementares no Windows Defender Application Control para Azure Local.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem com Endpoint Protection (habilitado por meio do plano Defender para Servidores) fornece uma solução de gerenciamento de segurança com recursos avançados de proteção contra ameaças. Ele fornece ferramentas para avaliar o status de segurança de sua infraestrutura, proteger cargas de trabalho, gerar alertas de segurança e seguir recomendações específicas para corrigir ataques e lidar com ameaças futuras. Ele executa todos esses serviços em alta velocidade na nuvem, sem sobrecarga de implantação por meio de provisionamento automático e proteção com serviços do Azure. Saiba mais em Microsoft Defender para Nuvem.
Backup e recuperação
A funcionalidade de backup e recuperação descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.7 – Proteção contra malware
- 8.13 – Backup de informações
- 8.14 – Redundância de informações
Cluster estendido
O Azure Local fornece suporte interno para recuperação de desastre de cargas de trabalho virtualizadas por meio de clustering estendido. Ao implantar uma instância local do Azure estendida, você pode replicar de forma síncrona suas cargas de trabalho virtualizadas em dois locais separados e fazer failover automaticamente entre eles. Os failovers de site planejados podem ocorrer sem tempo de inatividade usando a migração dinâmica do Hyper-V.
Nós de cluster do Kubernetes
Se você usar o Azure Local para hospedar implantações baseadas em contêiner, a plataforma ajudará a aprimorar a agilidade e a resiliência inerentes às implantações do Kubernetes do Azure. O Azure Local gerencia o failover automático de VMs que servem como nós de cluster do Kubernetes se houver uma falha localizada dos componentes físicos subjacentes. Essa configuração complementará a alta disponibilidade incorporada ao Kubernetes, que reiniciará contêineres com falha de modo automático na mesma VM ou em outra.
Azure Site Recovery
Esse serviço permite replicar cargas de trabalho em execução em suas VMs locais locais do Azure para a nuvem para que seu sistema de informações possa ser restaurado se houver um incidente, falha ou perda de mídia de armazenamento. Como outros serviços de nuvem do Azure, o Azure Site Recovery tem um longo histórico de certificados de segurança, incluindo HITRUST, que você pode usar para dar suporte ao seu processo de credenciamento. Saiba mais em Proteger cargas de trabalho de VM com o Azure Site Recovery no Azure Local.
MABS (Servidor de Backup do Microsoft Azure)
Esse serviço permite que você faça backup de máquinas virtuais locais do Azure, especificando uma frequência e um período de retenção desejados. Você pode usar o MABS para fazer backup da maioria dos seus recursos em todo o ambiente, incluindo:
- BMR (Recuperação Bare-Metal) do Estado do Sistema do Host Local do Azure
- VMs convidadas em um sistema que tem armazenamento local ou diretamente conectado
- VMs convidadas em instâncias locais do Azure com armazenamento CSV
- VM Mover dentro de um cluster
Saiba mais em Fazer backup de máquinas virtuais locais do Azure com o Servidor de Backup do Azure.
Escalabilidade e disponibilidade
A funcionalidade de escalabilidade e disponibilidade descrita nesta seção pode ajudá-lo a atender aos seguintes requisitos de controle de segurança da ISO/IEC 27001.
- 8.6 – Gestão de capacidade
- 8.14 – Redundância de informações
Modelos hiperconvergentes
O Azure Local usa modelos hiperconvergentes de Espaços de Armazenamento Diretos para implantar cargas de trabalho. Esse modelo de implantação permite que você dimensione facilmente adicionando novos nós que expandem automaticamente a computação e o armazenamento ao mesmo tempo com tempo de inatividade zero.
Clusters de failover
As instâncias locais do Azure são clusters de failover. Se um servidor que faz parte do Azure Local falhar ou ficar indisponível, outro servidor no mesmo cluster de failover assumirá a tarefa de fornecer os serviços oferecidos pelo nó com falha. Você cria um cluster de failover habilitando Espaços de Armazenamento diretamente em vários computadores que executam o Azure Local.