O que é conformidade na nuvem (Cloud Compliance) ?
A conformidade com a nuvem é a série de procedimentos, controles e medidas organizacionais que você precisa ter em vigor para garantir que seus ativos baseados em nuvem atendam aos requisitos dos regulamentos, padrões e estruturas de proteção de dados relevantes para sua organização.
A conformidade com a nuvem é a série de procedimentos, controles e medidas organizacionais que você precisa ter em vigor para garantir que seus ativos baseados em nuvem atendam aos requisitos dos regulamentos de proteção de dados, Padrõese estruturas relevantes para sua organização.
Os requisitos regulatórios em si geralmente são os mesmos, independentemente de você hospedar seus dados no local ou na nuvem. No entanto, esses dois ambientes são completamente diferentes um do outro e, portanto, as etapas que você deve tomar para atender a esses requisitos também são completamente diferentes. Isso se deve à natureza dinâmica e mais complexa da nuvem, que exige uma abordagem nova e diferente para a governança de dados.
Além disso,'É importante ter em mente que a conformidade com a nuvem é uma disciplina distintamente diferente da segurança cibernética. A conformidade é um exercício de box-ticking, enquanto a segurança cibernética é a implementação de Controles técnicos que são específicos da sua própria organização, dos dados que armazena e processa e das tecnologias que utiliza.
Além disso, o âmbito de aplicação da conformidade é muitas vezes muito mais vasto. Por exemplo, a segurança cibernética é apenas um componente do Regulamento Geral sobre a Proteção de Dados (RGPD), que inclui uma série de outras disposições, como os direitos dos titulares dos dados e limitações sobre o que você faz com seus dados e por quanto tempo você pode armazená-los.
Tendo em vista a ampla gama de diferentes leis e padrões de proteção de dados que se aplicam até hoje's organizações orientadas por dados e os novos desafios de proteção de dados que uma mudança para a nuvem apresenta, a importância da conformidade com a nuvem tornou-se maior do que nunca.
Quem é responsável pela conformidade com a nuvem?
Ao hospedar suas cargas de trabalho em seu data center local, você é responsável por praticamente todos os aspectos de segurança e conformidade. Mas, na nuvem,'É uma história completamente diferente, pois você abre mão de parte dessa responsabilidade para o provedor de nuvem.
Em outras palavras, a conformidade com a nuvem é uma responsabilidade compartilhada. Mas quem exatamente é responsável por quê?
Para ajudar os clientes a entender a demarcação entre responsabilidades, cada um dos principais provedores de serviços de nuvem (CSPs) fornece um conjunto de diretrizes, conhecido como modelo de responsabilidade compartilhada. Estes são, em geral, muito semelhantes, onde o:
CSP'suas responsabilidades incluem: a segurança de seus data centers, infraestrutura de TI, hipervisores e sistemas operacionais host, além da tarefa de garantir a disponibilidade e confiabilidade dos serviços que presta aos clientes.
Cliente'suas responsabilidades incluem:a configuração dos serviços de nuvem que ele usa, juntamente com a segurança e a conformidade dos sistemas operacionais convidados e dos aplicativos que hospeda no fornecedor's plataforma.
Governança de nuvem
Governança de nuvem e a conformidade com a nuvem são aspectos integrais do gerenciamento eficaz dos recursos da nuvem. A governança de nuvem abrange o estabelecimento de políticas, procedimentos e controles para alinhar o uso de serviços de nuvem com uma organização', garantindo a conformidade regulatória e aderindo às melhores práticas. Envolve o desenvolvimento e a implementação de diretrizes para a utilização de recursos em nuvem, enfatizando o monitoramento e a auditoria para garantir a adesão contínua aos padrões estabelecidos.
Por outro lado, a conformidade na nuvem se concentra especificamente em atender aos requisitos legais, regulatórios e específicos do setor no ambiente de nuvem. Envolve abordar áreas como segurança de dados, privacidade, obrigações regulatórias e conformidade com acordos de nível de serviço (SLAs) com provedores de serviços em nuvem.
A relação entre governança de nuvem e conformidade está em seu alinhamento, pois as estruturas de governança geralmente incluem políticas que atendem diretamente às necessidades de conformidade, e os mecanismos de governança impõem essas políticas para garantir a adesão a padrões e regulamentos externos. Os esforços de governança e conformidade contribuem para o gerenciamento eficaz de riscos no ambiente de nuvem, enfatizando a identificação e mitigação de possíveis problemas.
Regulamentos
Abaixo, abordamos os regulamentos e estruturas de conformidade com a nuvem mais importantes, incluindo:
Regulamento Geral sobre a Proteção de Dados (RGPD)
Uma lei de privacidade de dados projetada para proteger os dados pessoais dos cidadãos do Espaço Econômico Europeu (EEE). O GDPR abrange qualquer pessoa residente dentro dos limites territoriais da UE, juntamente com a Noruega, Islândia e Liechtenstein, no momento da coleta de dados.
Embora o GDPR seja uma legislação europeia, ainda é global em âmbito territorial. Isso porque se aplica a qualquer organização que atende residentes da EEA ou processa seus dados como parte rotineira de sua operação de negócios.
Os requisitos de cibersegurança do RGPD são muito vagamente definidos, limitando-se a afirmar que deve dar aos dados pessoais níveis adequados de proteção em linha com o risco para esses dados e o custo de implementação. Isso destaca a importância da responsabilidade e da responsabilidade pela segurança de suas implantações baseadas em nuvem, por meio de políticas, medidas e procedimentos claros de governança de dados que ajudam a demonstrar conformidade.
E don'Não se esqueça que o GDPR abrange muito mais do que apenas a segurança cibernética. Por exemplo, você'será necessário considerar:
Minimização de dados: Você só deve coletar dados pessoais que's realmente necessário para cumprir seu propósito.
Limitação de armazenamento: Você deve armazená-lo por não mais do que o necessário.
Residência de dados: Você só deve processá-lo e armazená-lo dentro do EEE, a menos que o titular dos dados tenha consentido ou a transferência de dados para um país terceiro atenda a requisitos muito específicos do GDPR.
Direito de acesso: Você deve atender às solicitações dos titulares dos dados para obter uma cópia dos dados pessoais que você mantém sobre eles.
Direito de apagamento: Em determinadas circunstâncias, você também deve excluir os dados pessoais de qualquer indivíduo que solicite que você o faça.
Desde que deixou a UE, o Reino Unido adotou sua própria implementação do GDPR, que é praticamente o mesmo que seu homólogo da UE.
Regulamento Resiliência Operacional Digital (DORA)
O Regulamento Resiliência Operacional Digital (DORA) visa proteger a Europa's setor financeiro de interrupções e ataques cibernéticos, criando uma estrutura uniforme de gerenciamento de risco de TIC. Estima-se que o ato afetam mais de 22.000 entidades financeiras e provedores de TIC, incluindo bancos, seguradoras e serviços em nuvem.
Os principais objetivos do DORA são:
criar uma estrutura abrangente de gerenciamento de riscos de TIC
realizar avaliações de risco regulares
garantir que todos os principais incidentes de TIC sejam prontamente relatados às autoridades
Lei Federal de Gestão da Segurança da Informação (FISMA)
FISMA é E.U. marco legislativo que os órgãos federais, juntamente com as empresas privadas que atendem ao setor público, devem adotar para proteger as informações governamentais sob seus cuidados. Ele é construído sobre a base de FIPS 199, FIPS 200e NIST SP 800-53, onde você usaria:
FIPS 199 para categorizar suas informações e sistemas de informação com base no impacto potencial (baixo, moderado ou alto) em caso de perda de confidencialidade, integridade ou disponibilidade.
FIPS 200 para determinar os objetivos de segurança de sua organização com base em sua avaliação FIPS 199.
Os resultados das avaliações FIPS 199 e FIPS 200 para selecionar os controles de segurança de linha de base NIST SP 800-53 apropriados que se aplicam à sua organização.
Embora aplicável apenas a agências federais e seus contratados, o cumprimento do FISMA é benéfico para qualquer outra organização, pois pode abrir novas portas para negócios com órgãos governamentais.
Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
Conhecido como o Regra de segurança HIPAA, este conjunto de padrões nacionais de conformidade destina-se a proteger informações confidenciais de saúde do paciente nos Estados Unidos. A regra faz parte dos objetivos mais amplos da HIPAA, como agilizar a administração de saúde e garantir cobertura ininterrupta de seguro de saúde para funcionários que perdem ou mudam de emprego.
A HIPAA cobre qualquer organização que lide diretamente com informações pessoais de saúde, como provedores de serviços de saúde, companhias de seguro de saúde e serviços de faturamento associados.
Lei Sarbanes-Oxley (SOX)
SOX é uma lei federal que visa proteger acionistas, funcionários e membros do público de práticas contábeis e financeiras negligentes ou fraudulentas.
A lei se concentra principalmente na regulamentação de relatórios financeiros, procedimentos de auditoria interna e outras práticas comerciais em empresas de capital aberto. No entanto, também inclui requisitos de conformidade em relação à tecnologia da informação. Por exemplo, você precisa monitorar logs e manter uma trilha de auditoria completa da atividade do usuário envolvendo dados confidenciais. Além disso, inclui uma gama limitada de segurança de dados, disponibilidade e outros controles de acesso.
Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
Um padrão contratual, que se aplica a qualquer organização que aceita ou processa pagamentos com cartão. O PCI DSS foi projetado para ajudar a garantir a segurança de dados confidenciais de titulares de cartão. Ele é administrado pelo PCI Standards Council — um corpo de partes interessadas líderes do setor de pagamentos.
O quadro compreende uma série de requisitos técnicos e operacionais, incluindo disposições para firewalls, encriptaçãoe controle de acesso.
Para ajudar comerciantes e provedores de serviços a entender esses requisitos no contexto da nuvem, o PCI Standards Council publicou um guiar sobre o impacto da computação em nuvem na conformidade com o PCI DSS. Isso inclui um exemplo de matriz de responsabilidade compartilhada, que serve como ponto de partida para entender a maneira pela qual as obrigações de conformidade podem ser compartilhadas entre o cliente e o provedor de serviços em nuvem.
Instituto Nacional de Normas e Tecnologia (NIST SP 800-53)
Essa biblioteca de controles técnicos e operacionais visa proteger a integridade, a confidencialidade e a segurança dos sistemas de informação. É obrigatório para os EUA. órgãos governamentais e contratados com acesso aos sistemas federais, servindo como um componente central do FISMA. Além disso, ele sustenta toda a cascata de diferentes estruturas que suportam a conformidade com o FISMA.
Em termos simples, o NIST SP 800-53 é dividido em diferentes categorias de controles de linha de base, que você seleciona com base no risco dos dados.
Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP)
Esta versão simplificada do FISMA é especificamente adaptada ao uso governamental de provedores de serviços em nuvem (CSPs).
Ele é guiado pelo modelo de responsabilidade compartilhada da nuvem, pelo qual separa os requisitos em dois conjuntos de controles: um para o CSP e outro para o órgão federal ou contratante que usa seus serviços. Isso simplifica a conformidade com o FISMA e ajuda a evitar a duplicação desnecessária de objetivos de segurança.
Para garantir a conformidade total, a agência federal ou contratante deve usar um CSP com autorização do FedRAMP e cumprir suas próprias obrigações do FedRAMP.
Controles do Sistema e da Organização 2 (SOC 2)
Uma estrutura de conformidade voluntária, o SOC 2 ajuda as organizações de serviços a fornecer garantia aos clientes de que têm medidas apropriadas em vigor para proteger dados confidenciais sob seu controle. O atestado SOC 2 é uma necessidade para muitos serviços terceirizados nos Estados Unidos, onde os clientes geralmente o exigem como parte de acordos contratuais.
Você deve passar por uma auditoria independente anual de sua postura de segurança para manter a conformidade com o SOC 2. A avaliação baseia-se em cinco grandes categorias de controlos:segurança, disponibilidade, Integridade de processamento, confidencialidadee privacidade.
Center for Internet Security Critical Security Controls (Controles CIS)
Um conjunto voluntário de controles de segurança essenciais que as organizações devem implementar como prioridade. Controles CIS são projetados como um ponto de partida para sistemas de endurecimento. Isso porque eles se concentram em medidas que causam o impacto mais efetivo e mais imediato. Eles são particularmente úteis para departamentos de TI com recursos e experiência de segurança limitados.
Resumo dos principais regulamentos e normas de proteção de dados
Regulation or Framework
Applies to
Scope
Territorial Scope
Compliance Responsibility
GDPR
Any organization that processes data about EEA citizens
Data security and availability, handling of personal data, and rights of data subjects
Anywhere in the world
Mandatory
FISMA
Federal agencies and their contractors, along with any CSPs they use
Security and privacy of data on federal systems
United States
Mandatory
HIPAA Privacy Rule
Healthcare providers, health insurance companies, and associated billing services
Security and privacy of healthcare information
United States
Mandatory except where state law takes precedence
SOX
Publicly traded companies
Largely financial and business practices, but also covers IT controls
United States
Mandatory for public companies although some requirements also apply to private companies and non-profit organizations
PCI DSS
Any organization that accepts or processes card payments
Data security
Anywhere in the world
Contractual
NIST SP 800-53
Federal agencies and their contractors, along with any CSPs they use
Security and privacy of federal data
United States
Mandatory
FedRAMP
Federal agencies and their contractors, along with any CSPs they use
Security and privacy of federal data processed or stored in the cloud
United States
Mandatory
SOC 2
Mainly SaaS vendors, companies that provide analytics and business intelligence services, financial institutions, and other organizations that store sensitive customer information
Data security, availability, processing integrity, confidentiality, and privacy
Globally recognized but mainly adopted in United States
Voluntary
CIS Controls
Organizations of any size and in any industry sector
Data security
Globally recognized
Voluntary
Conformidade com a nuvem por CSP
Programas de compliance
No início de sua iniciativa de conformidade com a nuvem, você'precisará garantir que seu CSP seja capaz de cumprir seu lado da negociação de responsabilidade compartilhada. Dado o grande número de regulamentos e padrões que podem afetar sua organização, esse processo de verificação pode parecer um empreendimento formidável.
No entanto, cada um dos três grandes fornecedores – AWS, Microsoft Azuree Google Cloud Platform – Fornece um portal de conformidade on-line para ajudar os clientes a verificar se suas plataformas têm a certificação, atestado ou alinhamento apropriados de que precisam.
Além disso, eles facilitam a revisão de suas ofertas de conformidade, agrupando-as em diferentes categorias, como setores da indústria e regiões territoriais.
Ferramentas de conformidade
Cada fornecedor também oferece uma série de outros serviços internos para dar suporte e ajudar a demonstrar conformidade. Estes incluem:
Artefato da AWS: Um portal de autoatendimento que fornece acesso sob demanda ao fornecedor's documentação de conformidade e acordos. Isso fornece uma maneira rápida e eficiente para os clientes avaliarem a conformidade dos serviços da AWS que usam e obterem evidências de controles de fornecedores apropriados que talvez precisem fornecer a auditores ou reguladores.
Gerente de auditoria da AWS: Uma solução que audita continuamente os controles que você controla'implementada em seus ambientes convidados da AWS para conformidade com uma ampla variedade de regulamentações e padrões diferentes.
Planos do Azure: Um serviço de modelo de recurso para criar e gerenciar ambientes que estejam em conformidade com padrões e requisitos predefinidos. Os blueprints são essencialmente conjuntos empacotados de artefatos para implantar ambientes totalmente controlados na plataforma Azure.
Política do Azure: Um serviço de gerenciamento de políticas centralizado por meio do qual você pode criar e manter conjuntos de regras que garantem que os serviços sejam configurados com propriedades de recurso padrão permitir e negar. Ele também pode alertá-lo sempre que os recursos se desviarem das regras de política e corrigir automaticamente as violações de conformidade.
Cargas de trabalho garantidas do Google: Uma ferramenta que oferece suporte à conformidade aplicando automaticamente controles a cargas de trabalho para que elas atendam aos requisitos de estruturas regulatórias especificadas. Por exemplo, ele só permitirá que você hospede dados em regiões de nuvem dentro dos limites de território permitidos pelo programa de conformidade que você've selecionado. Ele também configura os serviços de criptografia apropriados, conforme exigido por lei, e impõe controles de acesso de acordo com os requisitos de soberania de dados.
Regiões de nuvem
Além do GDPR, muitos outros regulamentos de proteção de dados em todo o mundo incluem requisitos de residência de dados que regem onde você pode armazenar e processar informações pessoais sobre titulares de dados.
Então você'precisará garantir que seu CSP ofereça uma presença de data center nos países permitidos por lei. Se você optar por hospedar suas cargas de trabalho em uma das três grandes plataformas de fornecedores de nuvem, isso deve ser relativamente simples, pois agora elas têm um total combinado de mais de 130 regiões de data center em todo o mundo.
Práticas recomendadas essenciais de conformidade na nuvem
Deixar'O analisa algumas práticas recomendadas essenciais para garantir a segurança, a conformidade e o gerenciamento eficiente do seu ambiente de nuvem. As práticas são categorizadas em três áreas principais:
1. Segurança de Dados
Garantir a confidencialidade, integridade e disponibilidade dos dados armazenados na nuvem.
Classificação e governança de dados:
Implemente esquemas de classificação de dados para categorizar dados com base na confidencialidade e nos requisitos regulatórios.
Desenvolva e aplique políticas de governança de dados que determinam como os dados são tratados, armazenados e acessados.
Criptografia e gerenciamento de chaves:
Criptografe dados em repouso e em trânsito usando padrões de criptografia fortes (por exemplo, AES-256) para proteger informações confidenciais.
Gerencie chaves de criptografia com segurança, garantindo que apenas pessoal autorizado tenha acesso e use práticas robustas de gerenciamento de chaves.
Controle de acesso e gerenciamento de identidade:
Aplique políticas de acesso com privilégios mínimos, garantindo que os usuários tenham apenas o acesso mínimo necessário para desempenhar suas funções.
Utilize a autenticação multifator (MFA) para adicionar uma camada adicional de segurança para acessar serviços em nuvem.
2. Gerenciamento de configuração
O processo de manter sistemas, servidores e software em um estado desejado e consistente.
Uso seguro da API:
Certifique-se de que as APIs que fazem interface com os serviços de nuvem sejam projetadas com segurança, com autenticação e criptografia fortes para dados em trânsito.
Revise e atualize regularmente as políticas de acesso à API para refletir as alterações nas funções ou serviços do usuário.
Gerenciamento de patches:
Implemente um processo eficaz de gerenciamento de patches para garantir que todos os componentes de software e infraestrutura estejam atualizados com os patches de segurança mais recentes.
Configuração e segmentação de rede:
Defina as configurações de rede na nuvem para impor políticas de segurança, incluindo firewalls, sistemas de detecção de intrusão e outras defesas de perímetro.
Use a segmentação de rede para isolar dados e sistemas confidenciais, reduzindo o impacto potencial de uma violação.
3. Estratégia & Monitorização
Práticas e procedimentos abrangentes para gerenciar e supervisionar a segurança e a conformidade na nuvem.
Conformidade e Conscientização Regulatória:
Mantenha-se informado sobre os regulamentos relevantes e os requisitos de conformidade específicos para seu setor e regiões de operação, como GDPR, HIPAA ou PCI-DSS.
Entenda o modelo de responsabilidade compartilhada na computação em nuvem, delineando claramente as responsabilidades de segurança entre sua organização e o CSP (provedor de serviços em nuvem).
Avaliações e auditorias de segurança:
Realize avaliações regulares de segurança, incluindo verificações de vulnerabilidade e testes de penetração, para identificar e mitigar possíveis lacunas de segurança.
Realize auditorias de conformidade para garantir a adesão contínua às políticas internas e regulamentos externos. Mantenha trilhas de auditoria e registros para responsabilidade e análise forense.
Treinamento e conscientização dos funcionários:
Forneça treinamento regular sobre as melhores práticas de segurança, requisitos de conformidade e ameaças emergentes a todos os funcionários.
Promova uma cultura de conscientização sobre segurança, enfatizando a importância do papel de cada indivíduo na manutenção da conformidade e da proteção de dados.
Resposta a incidentes:
Desenvolver e manter um plano documentado de resposta a incidentes que descreva os procedimentos para detectar, conter, erradicar e se recuperar de incidentes de segurança.
Teste regularmente o plano de resposta a incidentes para garantir sua eficácia.
Especificações do provedor de nuvem:
Embora muitas práticas recomendadas sejam comuns entre provedores de nuvem (AWS, Azure, GCP), algumas podem ter pequenas variações na implementação ou utilizar recursos de segurança exclusivos.
Familiarize-se com seu provedor de nuvem específico'documentação de segurança e práticas recomendadas.
O que procurar em uma solução de conformidade com a nuvem
A conformidade com a nuvem não é um desafio fácil, dada a complexidade dos ambientes baseados em nuvem e o grande número de regulamentações e padrões diferentes que podem determinar seu próprio conjunto individual de controles.
A boa notícia é que muitos dos requisitos são basicamente os mesmos — com uma forte sobreposição entre diferentes estruturas. No entanto, acompanhar tanto as responsabilidades sobrepostas quanto as exclusivas de estruturas específicas é uma tarefa manual formidável e demorada.
Então, como superar esse desafio? Como você evita a duplicação de seus esforços de conformidade? Como você mapeia a composição técnica da sua nuvem para a sua postura de compliance? E como você simplifica seus esforços de conformidade em uma implementação multicloud complexa?
Isso's onde ferramentas de conformidade de terceiros podem ajudar.
Eles're projetado para monitorar e comparar continuamente suas implantações de nuvem em relação a uma ampla gama de estruturas de conformidade. Por exemplo, eles devem ser capazes de verificar se você tem controles de segurança de rede apropriados para proteger os dados do titular do cartão de pagamento, de acordo com o Requisito 1 do PCI DSS. Eles também devem avaliar a postura de segurança de implantações complexas baseadas em nuvem, como cargas de trabalho em containers, conforme necessário para ajudar a atender aos requisitos mais recentes de estruturas técnicas, como os Controles CIS. No entanto, essas são apenas duas das literalmente centenas de verificações internas que vêm como parte de uma plataforma de conformidade contínua altamente desenvolvida.
No entanto, o benchmarking não é't o único recurso que você deve procurar em uma solução de conformidade em nuvem.
Além disso, ele deve oferecer uma maneira de criar estruturas personalizadas para que você possa cumprir seus próprios requisitos internos ou os de outras organizações na cadeia de suprimentos de software.
Ele também deve se integrar com plataformas de mensagens e tickets para encaminhar automaticamente os problemas para as equipes certas. E deve fornecer recursos de correção automatizada para que você possa corrigir de forma rápida e eficiente erros de configuração comuns e persistentes.
Por fim, ele deve fornecer uma gama completa de relatórios de avaliação, desde informações granulares detalhadas até visões gerais executivas de alto nível. Dessa forma, todos em sua organização terão os insights de que precisam para acompanhar sua postura de conformidade.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
This article outlines guidelines and best practices for weaving security into every part of your development and DevOps workflows, focusing on practical techniques that are easy to adopt.
In this post, we’ll bring you up to speed on why the EU put this law in place, what it involves, and what you need to know as an AI developer or vendor, including best practices to simplify compliance.
Application security refers to the practice of identifying, mitigating, and protecting applications from vulnerabilities and threats throughout their lifecycle, including design, development, deployment, and maintenance.