Definir uma estratégia de soberania
Este artigo descreve como planejar sua estratégia de soberania ao usar serviços de nuvem. Muitas regiões geopolíticas têm regulamentos para lidar com tipos específicos de dados, como dados sensíveis à privacidade e dados governamentais. Os regulamentos normalmente impõem requisitos de soberania relacionados à residência de dados, ao controle sobre os dados e, às vezes, à independência operacional (conhecida como autarquia).
Quando sua organização precisa aderir a esses regulamentos, você deve definir uma estratégia para atender aos requisitos de soberania. Se sua organização mudar de serviços locais para serviços de nuvem, você deverá ajustar a estratégia de soberania de acordo.
Modernize sua estratégia de soberania
Para seu datacenter local, você é responsável pela maioria dos aspectos normalmente associados à soberania, incluindo:
- Datacenters, onde os dados são armazenados e processados.
- Acesso aos datacenters e infraestrutura física.
- Hardware e software, incluindo a cadeia de suprimentos de hardware e software.
- Processos de garantia que validam hardware e software.
- Infraestrutura e processos que garantem a continuidade dos negócios em caso de desastre ou evento geopolítico.
- Configurações e processos que determinam quem tem acesso a quais dados e sistemas.
- Ferramentas e processos que protegem dados e sistemas contra ameaças externas e internas.
Quando você adota serviços em nuvem, a responsabilidade desses aspectos muda para uma responsabilidade compartilhada. Sua equipe de conformidade altera a estratégia que eles usam para determinar se os requisitos de soberania são atendidos. A equipe de compliance considera:
A conformidade dos serviços de nuvem. Como os serviços do provedor de nuvem atendem aos requisitos de soberania e conformidade?
A conformidade dos sistemas e processos pelos quais sua organização é responsável. Quais ferramentas estão disponíveis para ajudá-lo a atender aos requisitos de soberania e conformidade e como você usa essas ferramentas?
A equipe de conformidade pode precisar trabalhar com um regulador para obter permissão para usar métodos alternativos que atinjam os mesmos objetivos. Em alguns casos, um regulamento pode ter de ser alterado, adicionando mais opções ou ajustando uma directiva para utilizar uma determinada solução para obter o resultado pretendido. Mudar a regulamentação pode ser um processo demorado. No entanto, poderá ser possível obter isenções se conseguir demonstrar que atingiu a intenção de um regulamento.
Por exemplo, uma regulamentação pode restringir as organizações de usar determinados serviços de nuvem porque os requisitos de isolamento só podem ser atendidos com isolamento de hardware que normalmente não está disponível na nuvem. Mas o resultado pretendido também pode ser obtido com o isolamento virtual. Como parte de sua estratégia, você precisa determinar como trabalhar com reguladores e auditores quando esses potenciais bloqueadores surgirem.
Para obter mais informações sobre como atender às suas necessidades de conformidade e soberania, consulte Microsoft Cloud for Sovereignty.
Conformidade de serviços em nuvem
A equipe de conformidade usa várias fontes e métodos para verificar a conformidade do serviço de nuvem, incluindo:
Documentação do fornecedor sobre como seus serviços funcionam e como usá-los, por exemplo, a documentação do produto do Programa Federal de Gerenciamento de Risco e Autorização dos EUA (FedRAMP) e os planos de segurança do sistema.
Certificações de auditores independentes que certificam a conformidade com as estruturas de conformidade globais, regionais e do setor. Para obter mais informações, consulte Ofertas de conformidade para Microsoft 365, Azure e outros serviços da Microsoft.
Relatórios de auditoria que os auditores independentes criam para fornecer insights sobre como os serviços de nuvem atendem aos requisitos das estruturas de conformidade global, regional e do setor. Alguns relatórios de auditoria estão disponíveis no Portal de Confiança do Serviço.
Auditorias realizadas pela equipe de conformidade ou em seu nome por meio de ofertas de auditoria do fornecedor, como o Programa de Segurança Governamental (disponível apenas para clientes selecionados).
Logs de transparência que fornecem detalhes sobre quando os engenheiros da Microsoft acessam seus recursos.
A combinação de fontes e métodos que sua equipe de conformidade usa depende do nível de insight que você precisa, da confiança que você tem nas diferentes opções e de seus recursos e orçamento. Uma certificação de auditor terceirizado elimina a necessidade de sua equipe realizar uma auditoria e custa menos, mas requer confiança no auditor e no processo de auditoria.
Conformidade de seus sistemas e processos
Os processos e sistemas de conformidade da sua organização podem se beneficiar dos recursos adicionais dos serviços de nuvem. Você pode usar esses recursos para:
Aplicar ou relatar políticas técnicas. Por exemplo, você pode bloquear a implantação de serviços ou configurações ou relatar violações que não atendam aos requisitos técnicos de soberania e conformidade.
Use definições de política pré-criadas alinhadas a estruturas de conformidade específicas.
Registre e monitore auditorias.
Use ferramentas de segurança. Para obter mais informações, confira Definir uma estratégia de segurança.
Execute recursos de garantia técnica e monitoramento, como computação confidencial do Azure.
Considere cuidadosamente esses recursos para o ambiente da sua organização e cargas de trabalho individuais. Para cada capacidade, considere a quantidade de esforço necessária, a aplicabilidade e a função. Por exemplo, a imposição de políticas é um método relativamente simples que oferece suporte à conformidade, mas pode restringir quais serviços você pode usar e como usá-los. Em comparação, a garantia técnica exige um esforço considerável e é mais restritiva porque está disponível apenas para alguns serviços. Também requer uma quantidade significativa de conhecimento.
Adote a responsabilidade compartilhada
Ao adotar serviços em nuvem, você adota um modelo de responsabilidade compartilhada. Determine quais responsabilidades são transferidas para o provedor de nuvem e quais permanecem com você. Entenda como essas mudanças afetam os requisitos de soberania para regulamentações. Para obter mais informações, consulte os recursos em Conformidade de serviços de nuvem. Para obter uma exibição de alto nível, considere os seguintes recursos:
A segurança de infraestrutura do Azure descreve como a Microsoft fornece proteção para a infraestrutura física.
A integridade e a segurança da plataforma Azure descrevem como a Microsoft fornece proteção contra ameaças à plataforma e aos processos de garantia técnica.
A residência de dados no Azure descreve os recursos de residência de dados. Para clientes na União Europeia (UE), consulte Microsoft EU Data Boundary.
O provedor de nuvem fornece parcialmente a continuidade dos negócios por meio da resiliência da plataforma, garantindo a continuidade dos sistemas críticos que operam a nuvem. Os serviços que uma carga de trabalho usa fornecem opções de continuidade que você pode usar para criar suas cargas de trabalho. Ou você pode usar outros serviços, como o Backup do Azure ou o Azure Site Recovery. Para obter mais informações, consulte a documentação de confiabilidade do Azure.
O provedor de nuvem é responsável por proteger o acesso à plataforma de nuvem contra ameaças internas e externas. Os clientes são responsáveis por configurar seus sistemas para proteger seus dados por meio de gerenciamento de identidade e acesso, criptografia e outras medidas de segurança. Para obter mais informações, confira Definir uma estratégia de segurança.
Usar classificações para diferenciar dados
Diferentes tipos de dados e cargas de trabalho podem ter requisitos de soberania diferentes, dependendo de fatores como a confidencialidade dos dados e se eles contêm dados sensíveis à privacidade. É importante entender quais classificações de dados se aplicam à sua organização e quais dados e sistemas estão sujeitos a quais classificações. Alguns dados e aplicativos estão sujeitos a várias regulamentações, o que pode criar a necessidade de requisitos combinados. Por exemplo, pode haver uma regulamentação relacionada à confidencialidade dos dados e à criticidade de um sistema. As classificações resultantes podem ser alta confidencialidade e baixa criticidade ou média confidencialidade e alta criticidade.
Quando você cumpre os requisitos de soberania, isso pode afetar outros fatores, como custo, resiliência, escalabilidade, segurança e riqueza de serviços. Para sua estratégia de soberania, é importante aplicar os controles corretos a uma classificação de dados. Uma abordagem única leva a um ambiente que favorece os mais altos requisitos de conformidade, o que é provavelmente o mais caro e o menos benéfico.
Próximas etapas
O Cloud for Sovereignty fornece insights sobre recursos soberanos na plataforma Azure e descreve como lidar com requisitos de soberania.
Segurança e soberania não são a mesma coisa, mas você não pode ser soberano se não estiver seguro. Você deve, portanto, definir uma estratégia de segurança que se integre à sua estratégia de soberania.