Segurança na computação em nuvem

Prévia do material em texto

Segurança na computação
em nuvem
Prof. Marcondes Josino Alexandre
Descrição
A escolha certa das ferramentas, serviços e controle de segurança que
precisam ser definidos para um ambiente computacional em nuvem,
constituem uma importante tarefa a ser realizada pela equipe de
segurança da informação da empresa.
Propósito
Analisar e mitigar ameaças e riscos de segurança para os ativos
presente no ambiente de nuvem que fora provisionado numa assinatura
do Azure, por meio das tecnologias de serviços de segurança no
Microsoft Azure.
Objetivos
Módulo 1
Mecanismos para operação e segurança da
computação em nuvem
Identificar os mecanismos de segurança na plataforma Azure.
Módulo 2
Tecnologias de segurança no ambiente Azure
Aplicar meios tecnológicos para garantir a segurança no ambiente
Azure.
Módulo 3
Impacto da LGPD nos sistemas de Big Data
na nuvem
Relacionar a LGPD com as ferramentas de segurança do Azure.
1 - Mecanismos para operação e segurança da computação em
nuvem
No passado, especialistas em segurança cibernética aconselhavam
as organizações a simplesmente investir mais na proteção de seus
ativos. Hoje, no entanto, apenas se preocupar com a proteção do
patrimônio não é suficiente. Em vez disso, as organizações devem
investir na construção de uma postura de segurança sólida. Os
invasores passam em média 200 dias na rede sem serem
detectados, o que, sem dúvida, é muito tempo para ter invasores
em sua rede.
Mas aqui a palavra-chave é realmente detecção. Os ataques não
podem ser interrompidos sem bons mecanismos de detecção.
Portanto, é imperativo investir em uma solução holística para
monitorar recursos baseados em nuvem e ativos locais. Você deve
ser capaz de detectar ataques rapidamente e usar dados
acionáveis para melhorar as suas respostas. Resumindo: coletar
dados sem analisá-los apenas atrasará o processo de resposta.
Então, vamos conhecer no ambiente Azure como essa atividade
pode ser realizada.
Introdução
Ao �nal deste módulo, você será capaz de identi�car os mecanismos de segurança na
plataforma Azure.
Segurança na nuvem
A segurança dos ativos em computação em nuvem é um dos serviços
que mais crescem atualmente e seus recursos estão relacionados à
segurança de TI. Envolve a proteção de informações críticas contra
roubo, exclusão ou violação de dados.
O benefício da nuvem é que você pode operar em
escala enquanto permanece seguro. Quando se trata
de segurança na nuvem, adotamos uma abordagem
semelhante à segurança de TI, incluindo prevenção,
detecção e ação corretiva.
Felizmente, adoção de práticas de segurança na nuvem pode ser feitas
de forma mais ágil e organizada devido, é claro, à natureza da nuvem,
que proporciona meios necessários para implementação de medidas
apropriadas para gerenciamento de identidade, privacidade e controle
de acesso. Estas ações de segurança de computação em nuvem devem
abordar todos os controles de segurança que o provedor de nuvem
incorporará para manter a segurança dos dados do cliente, privacidade e
conformidade com as normas de segurança da informação.
As medidas de segurança da computação em nuvem também devem
incluir planos de continuidade de negócios e backup de dados para que
as organizações possam continuar suas operações em caso de violação
de segurança.
A nuvem é um serviço muito acessível, portanto é onipresente, pois os
usuários podem acessá-la usando vários dispositivos. Algumas
organizações mantêm a maioria de seus dados confidenciais na nuvem,
o que significa que, no caso de uma grave violação de segurança, as
operações da organização podem ser paralisadas.
A segurança na nuvem precisa ser vista pela empresa usuária deste
ambiente computacional como algo que exige seriedade e
comprometimento dos seus colaboradores.
Quando se trata de segurança na nuvem, esse não é o papel de um
único indivíduo ou empresa, mas todos os indivíduos que acessam e
usam a nuvem podem desempenhar um papel ativo.
Na maioria das empresas, a computação em nuvem e a segurança na
nuvem andam de mãos dadas. Usar a nuvem pública é uma maneira
barata de qualquer organização armazenar dados e seus serviços. No
entanto, se as medidas de proteção adequadas não forem corretamente
adotadas, elas poderão gerar novos riscos, ameaças de invasão, dentre
outros perigos.
Atenção!
O simples fato de algum serviço estar provisionado em qualquer que
seja o ambiente de computação em nuvem pública não quer dizer que
esteja seguro. Essa é uma questão que precisa ser desmitificada
quando se pensa em segurança em computação em nuvem.
Imagine um bolo que possui diversas camadas de recheio que
apresenta certos ingredientes necessários para fazer cada andar do
bolo. Pois é, em segurança em nuvem, não é diferente. Precisamos
definir controles e mecanismos de segurança que viabilizem a
segurança em camadas, aplicando corretamente de acordo com o
cenário de implantação dos serviços e recursos em um provedor de
nuvem pública. Logo, estes itens são indispensáveis:
definição do perímetro da rede;
controle de acesso à rede;
firewall;
acesso remoto seguro e conectividade entre instalações;
disponibilidade;
resolução de nomes;
arquitetura de rede de perímetro (DMZ);
proteção contra DDoS, banco de dados, aplicações e
armazenamento de dados;
gerenciador de tráfego; e
monitoramento e detecção de ameaças.
Os ambientes em nuvem, mesmo implementando as boas práticas, a
saber, as normas e as diretrizes de segurança, enfrentam os mesmos
desafios das redes tradicionais.
Comentário
Em caso de violação de dados, informações confidenciais, como os
dados de cartão de crédito, segredos comerciais e propriedade
intelectual podem ser expostas, com sérias consequências, dentre elas,
o prejuízo da imagem e/ou marca da empresa perante o mercado, o que
poderia durar anos.
Os serviços de nuvem pública, como Microsoft Azure, apresentam
vários protocolos de segurança para proteger informações
confidenciais. Todavia, a organização deve criar uma maneira de
proteger os dados confidenciais que mantêm na nuvem. A autenticação
com o uso de mais de um fator e criptografia são meios que podem
melhorar a confidencialidade dos dados na nuvem. Vamos observar
esse cenário e entender a importância do uso da criptografia como
instrumento que favorece a segurança.
 Imagine um cenário onde determinado usuário
utilize uma máquina virtual para monitorar a
chegada de uma chave de criptografia em outra
máquina virtual em execução no mesmo host. Caso
tenha sucesso, os dados confidenciais de uma
organização podem cair nas mãos de estranhos e
até mesmo de concorrentes.
 Se a organização mantiver alguns dados
confidenciais na nuvem e ocorrer uma violação de
segurança, talvez seja necessário notificar e alertar
possíveis vítimas. Isso é exigido pela maioria de
normas técnicas e especialmente para empresas
t d úd D i i l õ ã
Você precisa conhecer as políticas de conformidade, que ditam o que
você pode ou não fazer com os dados coletados. Isso te ajudará a
entender como se manter protegido em caso de violação de dados, pois,
se houver perda de dados, os clientes deixarão de confiar em você ou na
empresa que administra.
Logo, podemos inferir que a segurança é um componente central de
qualquer ambiente bem planejado, e o Azure não é uma exceção. Cada
carga de trabalho que sua organização implementa no Microsoft Azure
precisa ser executada com foco na segurança. Os riscos de não agir
dessa forma podem variar, desde invasores usarem seus recursos do
Azure para minerar criptomoedas a outros invasores conseguirem
acessar dados confidenciais de clientes, o que acarretaria sanções
contra sua empresa ou danos à reputação, como já citamos.
Mas como funciona a segurança na nuvem? Qual é a
diferença da segurança tradicional? Você precisa
no setor de saúde. Depois que as violações são
divulgadas, os auditores podem multar a empresa
enquanto os consumidores, cujas informações
vazaram, podem processá-la.
 As violaçõesde dados geralmente são causadas
por atividades maliciosas e provavelmente
intrusivas que podem incorrer em perda intencional
de dados. As chances de um indivíduo ou empresa
perder todos os dados que mantêm na nuvem são
pequenas.
 Doravante, pessoas mal-intencionadas, que
supostamente tenham acesso a determinado data
center em nuvem, poderiam excluir todos os dados
de empresas ou indivíduos. Isso demonstra a
importância de se distribuir aplicativos em várias
regiões e fazer backup de dados em
armazenamento externo sempre que possível.
esquecer tudo sobre o gerenciamento da segurança
local e começar do zero?
Resposta
Você ficará tranquilo em saber que a resposta para a última pergunta
será sempre "não".
Quer suas cargas de trabalho estejam em um data center local
tradicional ou em um ambiente de nuvem como o Microsoft Azure, os
princípios de segurança digital são os mesmos. No entanto, a maneira
como você aplica esses princípios é bem diferente. Algumas dessas
diferenças se devem à natureza dinâmica e elástica dos ambientes em
nuvem. A capacidade de provisionar e liberar recursos rapidamente
apresenta novos desafios que os modelos de segurança tradicionais
não podem abordar com eficácia.
Em qualquer discussão sobre segurança do Azure, é fundamental
entender o "modelo de responsabilidade compartilhada", isto é, quais
tarefas de segurança são tratadas pelo provedor de nuvem (neste caso,
a Microsoft) e quais tarefas são tratadas pelo consumidor de nuvem
(nós).
Modelo de segurança compartilhada
À medida que as organizações movem suas cargas de trabalho de data
centers locais para a plataforma de nuvem do Azure, as
responsabilidades de segurança mudam. Veja que mudanças são
essas.
Uma das mudanças é
que você não é mais o
único responsável
(como organização) por
todos os aspectos de
segurança, como estava
acostumado em
ambientes tradicionais.
A segurança agora é
uma preocupação
compartilhada por
provedores de nuvem
(Microsoft) e clientes de
nuvem (nós).
Isso é chamado de modelo de responsabilidade compartilhada e
também é seguido por todos os provedores de nuvem, incluindo

concorrentes da Microsoft, como AWS (Amazon Web Services) e GCP
(Google Cloud Plataform).
À medida que as organizações movem suas cargas de trabalho de data
centers locais para a plataforma de nuvem do Azure, as
responsabilidades de segurança mudam. Uma das mudanças é que
você não é mais o único responsável (como organização) por todos os
aspectos de segurança, como estava acostumado em ambientes
tradicionais. A segurança agora é uma preocupação compartilhada por
provedores de nuvem (Microsoft) e clientes de nuvem (nós). Isso é
chamado de modelo de responsabilidade compartilhada e também é
seguido por todos os provedores de nuvem, incluindo concorrentes da
Microsoft, como AWS (Amazon Web Services) e GCP (Google Cloud
Plataform).
Veja, a seguir, que a imagem a seguir, extraída do white paper, publicado
pela Microsoft sobre o modelo de segurança compartilhada, enfatiza
isso claramente.
Imagem 1- Modelo de segurança compartilhada.
Pelo que é mostrado, nossas responsabilidades de segurança como
clientes da nuvem dependem do modelo de serviço que você usa no
Azure. Se você estiver usando um serviço IaaS (como uma máquina
virtual), terá responsabilidades de segurança adicionais.
Exemplo
Você é responsável por corrigir o sistema operacional de uma máquina
virtual hospedada no Azure. Se você estiver usando um serviço:
PaaS, como o Serviço de Aplicativo do Azure, haverá menos
responsabilidades de segurança para lidar. Você não é responsável por
corrigir o sistema operacional usado pelo serviço, mas ainda é
responsável por como configurar o serviço e controlar o acesso a ele,
por exemplo.
SaaS como o Exchange On-line do Microsoft 365, terá menos
responsabilidades de segurança, mas ainda será responsável por
controlar o acesso aos seus dados. O não cumprimento de suas
responsabilidades de segurança expõem você a ameaças e ataques
nessas áreas.
Para que você possa ter uma visão prática de como é implementada a
segurança física, que é de responsabilidade do provedor de nuvem,
imagine como é um projeto de um edifício no qual é necessário planejar,
arquitetar, construir e operacionalizar vários elementos para que o
prédio esteja pronto e seguro.
A Microsoft implementa seus data centers presentes
nos cinco continentes, seguindo um projeto que atenda
à necessidade computacional que se almeja de forma
segura e confiável.
Sendo assim, todo o acesso físico ao data center segue medidas rígidas
e estritas de segurança relativo ao local onde os dados são
armazenados. Cada um desses data centers possui proteções para
garantir que usuários não autorizados não tenham acesso físico aos
dados de seu cliente.
Consequentemente, as medidas de segurança física presente nos data
centers da Microsoft incluem acesso de aprovação para:
o perímetro da instalação;
o perímetro do edifício;
dentro do edifício; e
o chão do data center.
As revisões de segurança física das instalações são realizadas
periodicamente para garantir que os data centers atendam
adequadamente aos requisitos de segurança do Azure e às normas de
segurança internacionais.
Entendendo as ameaças de segurança na
nuvem
Uma ameaça é oportunidade de exploração de vulnerabilidades de
recursos que podem estar disponíveis em um ambiente de computação
em nuvem, bem como na infraestrutura local da empresa. Um cenário
comum envolve segredos de chave privada compartilhados em nuvens
públicas.
As organizações devem entender os problemas de
segurança inerentes ao modelo de computação em nuvem
antes de adotá-la.
O ideal é que, durante o processo de planejamento, algumas questões
sobre o prisma de segurança sejam verificadas. Vejamos tais questões:
Conformidade
As organizações devem continuar a aderir às suas obrigações de
conformidade durante e após a migração para a nuvem. Essas
obrigações podem ser impostas por normas internas ou regulamentos
externos, como padrão da indústria.
Os provedores de soluções em nuvem (PSNs) devem ser capazes de
ajudar os clientes a atender a esses requisitos de conformidade. De
fato, em muitos casos, os PSNs tornam-se parte da cadeia de
conformidade. Trabalhe em estreita colaboração com seu PSN para
identificar as necessidades de conformidade de sua organização e
determinar como seu PSN atende a essas necessidades. Verifique
também se o PSN tem um histórico comprovado de manutenção da
privacidade e segurança dos dados do cliente, ao mesmo tempo em que
fornece serviços de nuvem confiáveis.
Gestão de riscos
Os clientes de nuvem devem poder confiar nos PSNs com seus dados.
Os PSNs devem desenvolver políticas e programas para gerenciar os
riscos de segurança de forma dinâmica e on-line. O cliente deve
trabalhar em estreita colaboração com o PSN e exigir total transparência
para entender as decisões de risco, pois sensibilidade e nível de
proteção exigido variam de acordo com os dados.
Gerenciamento de identidade e acesso
As organizações que planejam adotar a computação em nuvem devem
entender os métodos de gerenciamento de identidade e acesso
disponíveis, e como eles se integrarão aos seus métodos atuais e sua
infraestrutura local. Atualmente, os usuários trabalham e acessam
aplicativos de qualquer lugar em diferentes dispositivos e serviços de
nuvem, portanto, é fundamental manter as identidades dos usuários
seguras.
Comentário
De fato, com a utilização da nuvem, o gerenciamento de identidade se
torna o novo limite, haja vista que esta configuração visa estabelecer
como usuários e/ou dispositivos terão o controle na infraestrutura.
Quanto ao gerenciamento de acesso, as organizações devem considerar
os recursos de auditoria e registros que podem ajudar os
administradores a monitorar a atividade do usuário. Os administradores
devem ser capazes de aproveitar o que a plataforma em nuvem oferece
para avaliar atividades de login suspeitase tomar medidas preventivas
imediatas, por exemplo.
Segurança operacional
As organizações que migram para a nuvem devem melhorar seus
processos internos, como segurança, monitoramento, auditoria e
resposta a incidentes apropriados. A plataforma em nuvem deve
permitir que os administradores de TI monitorem os serviços em tempo
real e observem sua integridade. Esses serviços fornecem a capacidade
de restaurar rapidamente os serviços interrompidos. Ele também deve
garantir que os serviços implantados sejam operados, mantidos e
suportados de acordo com o acordo de nível de serviço (SLA)
estabelecido com o PSN.
Proteção de endpoint
A segurança na nuvem é mais do que a segurança da infraestrutura de
um PSN. É uma responsabilidade compartilhada. Um aspecto de
segurança pelo qual uma organização é responsável pela proteção dos
endpoints. As organizações que adotam a computação em nuvem
devem considerar aumentar a segurança do endpoint, pois serão
expostos a mais conexões externas e acessarão aplicativos que podem
ser hospedados por diferentes provedores de nuvem.
Os usuários são o principal alvo dos ataques e os
endpoints são os dispositivos empregados por eles.
Um endpoint pode ser a estação de trabalho, o
smartphone do usuário ou qualquer outro dispositivo
que possa ser empregado para acessar os recursos da
nuvem.
Os invasores sabem que o usuário final é o elo mais fraco na cadeia de
segurança e continuarão a investir em técnicas de engenharia social,
como phishing e-mails, para atrair os usuários a realizar ações que
podem comprometer um endpoint.
Proteção de dados
Possivelmente, os dados sejam o tesouro almejado por invasores de
qualquer ambiente computacional e, no contexto de nuvem, eles
precisam ser tratados com a maior atenção possível. Independente de
qual data center os dados estão localizados na nuvem, as informações
precisam estar seguras. Portanto, os dados precisam estar protegidos
tanto em repouso, sendo armazenados no data center da nuvem, como
também em trânsito, quando acessados de uma infraestrutura local de
uma empresa.
Desse modo, entendendo os principais tipos de ameaças que podem ser
empregadas na busca e exploração de vulnerabilidades, é necessário
estabelecer mecanismos de respostas a estes incidentes de segurança
na nuvem.
Abordagem de gerenciamento de incidentes de
segurança
Em cada data center do Azure, há um serviço global de resposta a
incidentes da Microsoft que atua todos os dias para mitigar os efeitos
de ataques e atividades maliciosas. Com isso, o objetivo do
gerenciamento de incidentes de segurança é identificar e remediar
ameaças rapidamente, mais do que isso, investigar minuciosamente e
notificar as partes afetadas. A equipe de resposta a incidentes segue
um conjunto estabelecido de procedimentos para gerenciamento de
incidentes, comunicação e recuperação que podem ser definidos da
seguinte forma:
Detecção
Este é o primeiro sinal de que um incidente de segurança ocorreu
e que foi iniciada uma investigação.
Avaliação
Os membros da equipe de resposta a incidentes avaliam o
impacto e a gravidade do incidente evento. Com base nas
evidências coletadas, a avaliação pode ou não levar a outra
prioridade e, sendo assim, ser indicada para a equipe de
segurança específica deste incidente.
Diagnóstico
Os especialistas em resposta de segurança conduzem
investigações técnicas ou forenses, buscam identificar
estratégias de contenção, mitigação e uma solução alternativa
para o incidente encontrado.
Estabilização e recuperação
As equipes de resposta a incidentes desenvolvem planos de
recuperação para amortecer o problema. Medidas de controle de
crises, como quarentenas, são empregadas, fazendo com que o
sistema possa ocorrer imediata e concomitantemente ao
diagnóstico.
Encerramento
As equipes de respostas a incidentes cria um registro que
descreve os detalhes do incidente, com a intenção de revisar
políticas, procedimentos e processos para evitar a reincidência.
A Microsoft reconhece que a responsabilidade compartilhada significa
que você precisa de ferramentas para conduzir suas próprias respostas
a incidentes, sendo assim, esta abordagem para o tratamento de
incidentes de segurança poderá ser usada em suas implementações no
ambiente de nuvem, com o intuito de fazer você pensar segurança
desde o cerne da concepção do projeto que almeja implementar.
Estudo comparativo da segurança do
IaaS e do PaaS no Azure
Veja agora uma demonstração dos aspectos relativos à segurança na
solução IaaS, ou seja, de uma VM no Azure e do PaaS no Azure. Vamos
lá!
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Qual modelo de serviço em nuvem exige o maior esforço de
segurança por parte do cliente?

A Infraestrutura como Serviço (IaaS)
B Plataforma como Serviço (PaaS)
C Software como Serviço (SaaS)
D Dados como Serviço (DaaS)
Parabéns! A alternativa A está correta.
O modelo de serviço que exige maior participação do cliente na
implementação de controles e mecanismos de segurança na nuvem
é o modelo de Infraestrutura como Serviço (IaaS).
Questão 2
Analise as afirmativas:
I - Os princípios de segurança digital são os mesmos,
independentemente de seu servidor estar em um data center local
tradicional ou em um ambiente de nuvem como o Microsoft Azure.
Porque
II – Os ambientes de nuvem enfrentam os mesmos desafios das
redes tradicionais.
Parabéns! A alternativa A está correta.
E Segurança como Serviço (SaaS)
A I e II são verdadeiros e II justifica I.
B I e II são verdadeiros, porém II não justifica I.
C I e II são falsos.
D I é falso e II é verdadeiro.
E I é verdadeiro e II é falso.
As diretrizes de segurança independem do cenário de sua
implementação, portanto, ambiente local ou em uma nuvem pública
seguem os mesmos princípios de segurança.
2 - Tecnologias de segurança no ambiente Azure
Ao �nal deste módulo, você será capaz de aplicar meios tecnológicos para garantir a
segurança no ambiente Azure.
Segurança no Azure
O desenvolvimento e a implementação de aplicações e infraestrutura
como serviço no ambiente de computação em nuvem trouxeram
consigo a necessidade de desenvolver técnicas para o manuseio seguro
da quantidade de recursos provenientes dos serviços prestados pelos
provedores de nuvem pública.
A definição de que a nuvem consiste em um conjunto
de informações concedidas por um ou mais clientes
pode caracterizá-la como alvo de ataques de
potenciais invasores.
Os ataques, ou ameaças, podem afetar diretamente os requisitos de
segurança da informação (disponibilidade, confidencialidade e
integridade) e, consequentemente, comprometer uma aplicação, como
banco de dados.
Assim, é importante garantir que o cumprimento dos princípios de
segurança esteja diretamente ligado ao modelo de implantação
contratado pelo usuário em relação às funcionalidades disponíveis para
fornecer segurança.
Atenção!
No Microsoft Azure, temos uma central de segurança em que é possível,
através de um dashboard, gerenciar e implementar controles para
potenciais ameaças, além de estabelecer mecanismos de proteção
DDoS e implantar políticas de controle de informações sigilosas.
A partir de agora, faremos uma abordagem geral dos aspectos de
segurança disponíveis no Microsoft Azure. Fique ligado!
Explorando o Azure Blueprints
O Azure Blueprints é um processo de implantação automatizado em
que você pode projetar e criar especificações para implantar uma
coleção reproduzível de recursos do Azure que possam atender a
determinados requisitos e padrões.
Ao usar os blueprints do Azure, você pode criar e implantar novos
ambientes que sempre estarão em conformidade com os padrões
organizacionais de segurança, permitindo que você oriente a
implantação de modelos de recursos do Azure e outros artefatos,
incluindo atribuições de função, políticas, grupos de recursos e modelos
de gerenciador de recursos.
O Azure Blueprints oferece suporte a operações típicasde ciclo de vida,
bem como a integração perfeita a pipelines de implantação para
organizações que desejam gerenciar a infraestrutura como código.
O ciclo de vida típico do Azure Blueprints consiste em:
 Criação
Criar um blueprint.
Você pode perceber, então, que a utilização do recurso Azure Blueprints
consiste em um conjunto de etapas que irá contemplar um ciclo de vida
deste processo automatizado. Desse modo, é possível garantir melhor
gestão e administração de quais especificações estão válidas e o
porquê do seu uso.
Ao utilizar no Azure para provisionar recursos de forma programática e
declarativa o ARM (Azure Resource Manager) poderia gerar uma
confusão sobre o uso do Azure Blueprints.
Qual seria, portanto, a diferença entre o Azure
Resource Manager (ARM) e o Azure Blueprints? Por
que não usar os modelos do Resource Manager em vez
de blueprints?
Resposta
É uma pergunta interessante, dado o fato de que os blueprints do Azure
realmente parecem substituir a funcionalidade dos modelos do
Resource Manager.
Empregando o ARM, você poderia implantar não apenas máquinas
virtuais, mas também a infraestrutura de rede e demais elementos
necessários em seu cenário, de forma segura e confiável. No entanto,
 Publicação
Publicar o blueprint.
 Edição
Criar ou editar uma nova versão do blueprint e, em
seguida, publicar essa nova versão.
 Exclusão
Excluir uma versão específica do blueprint.
após a implantação de um script em ARM Template, não haverá mais
conexão ou mesmo uma relação entre o modelo e os recursos
implantados através dele.
Em compensação, com o Azure Blueprints é possível prever que, mesmo
após implantar recursos por meio de um blueprint, a rastreabilidade e a
auditabilidade das implantações seja possível, pois existe uma estrutura
que faz o link e o torna viável. No Azure Blueprints, temos uma relação
entre a definição e atribuição do blueprint que estabelece essa conexão.
Veja, a seguir, algumas etapas que você precisa seguir para criar um
Azure Blueprints.
Na caixa de diálogo Azure Marketplace, digite “blueprints”. Uma tela será
exibida.
Imagem 2 - Tela de criação de recursos do Azure Blueprints.
Você pode observar que existem templates disponíveis para atender às
mais diversas demandas de padronização de artefatos usando um
blueprint que pode ser orientado às normas técnicas, como: ISO 27001,
ISO 27018 e GPDR, ou ainda, a exigência da soberania de dados de um
país, como Austrália.
Agora, escolha a opção “Criar um blueprint”, conforme mostra a
próxima imagem.
Imagem 3 - Criação de um blueprint.
Clique em “Iniciar com blueprint em branco” para que você possa definir
um blueprint especificando o nome que deverá ser usado, uma
descrição que possa corresponder ao objetivo deste blueprint e qual a
assinatura do Azure deverá estar associada a ele (local de definição),
conforme você verá a seguir.
Imagem 4 - Definindo os parâmetros básicos para criação.
Podemos agora selecionar a guia Artefatos e adicionar o tipo de
artefato. Você pode escolher entre as seguintes opções: Atribuição de
política, Atribuição de função, Grupo de recursos e Modelo do Azure
Resource Manager.
A Atribuição de política foi escolhida para ilustrar um conjunto de
políticas que já estão disponíveis e que podem ser usadas. Confira a
seguir.
Imagem 5 - Escolhendo tipo de artefato.
Em seguida, no campo pesquisar, digite “segurança”, para identificar
quais definições de iniciativa e/ou políticas estão disponíveis para a sua
escolha. Na imagem 6, clique em “Definições de Iniciativa” e
posteriormente em “Auditar os computadores com configurações de
segurança de senha não seguras”.
Imagem 6 - Selecionando o Tipo de Artefato: Atribuição de Política com Definições de Iniciativa.
Novamente, na imagem 5, clique em “Adicionar Artefato” para escolher
outro artefato do tipo de política. No campo pesquisar, digite
“segurança”, para identificar quais definições de iniciativa e/ou políticas
estão disponíveis para a sua escolha.
Na imagem 7, clique em “Definições de política” e selecione “A solução
‘Segurança e Auditoria’ do Azure Monitor precisa ser implantada”.
Imagem 7 - Selecionando o Tipo de Artefato: Atribuição de Política com Definições de Iniciativa.
A imagem seguinte mostra os artefatos já adicionados. Na opção,
“Salvar rascunho”, clique para que seja armazenada esta configuração
do blueprint.
Imagem 8 - Salvando o Rascunho do blueprint.
Após o salvamento do blueprint como rascunho, no menu esquerdo, na
opção “Definições de blueprint” é possível identificar que o blueprint foi
salvo e seu estado está em rascunho. Para que seja aplicável aos
recursos provisionados no Azure, torna-se necessário proceder com a
publicação do blueprint, para isso, na imagem exibida a seguir, selecione
a opção “Publicar plano gráfico”.
Imagem 9 - Publicar plano gráfico do blueprint.
Será apresentada, em seguida, uma tela (imagem 10) na qual você
deverá informar a versão da publicação do plano gráfico do blueprint
para controle e administração do que foi modificado e alterado entre as
versões publicadas.
É recomendável realizar anotações para a versão a qual se deseja
publicar, a fim de tornar mais fácil identificar o que contemplará esse
blueprint e seu objetivo para ser usado como instrumento de
normatização de segurança de ativos na nuvem.
Imagem 10 - Especificando detalhes para publicar plano gráfico do blueprint.
Na imagem 11, é possível validar que a versão mostrada para o blueprint
corresponde à versão que publicamos na etapa anterior. Clique no nome
do blueprint (Blueprint-Curso) para que seja atribuído o que foi feito e,
dessa forma, aplicar as políticas incorporadas como artefatos.
Imagem 11 - Validando a publicação do plano gráfico do blueprint.
Será exibida uma tela semelhante à imagem 12, na qual você poderá
selecionar a opção “Atribuir plano gráfico”, a fim de que possa proceder
com associação deste blueprint para determinada região do Azure, por
exemplo.
Imagem 12- Atribuir plano gráfico do blueprint.
Na imagem 13, é necessário especificar o nome do blueprint que possa
seguir uma nomenclatura de mais fácil entendimento e organização
para você ou a empresa. Defina em qual região do Azure deverá ser
aplicado esse blueprint, bem como a sua referida versão.
Na opção “Bloquear atribuição”, é possível determinar se os usuários,
grupos e entidades de serviços poderão ter acesso a apenas leitura ou
modificação. Essa escolha bem como a qual identidade gerenciada
(sistema ou usuário) deverão ser definidas em consonância com as
diretivas e política de segurança da empresa. Neste exemplo, para
tornar apresentação desta configuração mais didática, optamos pela
opção “Não bloquear” em “Bloquear atribuição” e “Sistema atribuído”
para “Identidade gerenciada”.
Observe que, para cada política, há parâmetros que podem ser
definidos. Para este exemplo estabelecemos que:
Artefato 1
Em “A solução ‘Segurança e Auditoria’ do Azure Monitor precisa ser
implementada”, é necessário que seja definido como AuditIfNotExists
para que a auditoria se concretize, se não existir.
Artefato 2
Em “Auditar os computadores com configurações de segurança de
senha não seguras”, foi modificado o parâmetro para true com o intuito
de que sejam vistas as senhas que não atendem aos critérios de
segurança.
Para finalizar essa configuração, clique no botão “Atribuir”, para que o
Azure possa proceder com a configuração.
Imagem 13a - Atribuir plano gráfico do blueprint.
Imagem 13b - Atribuir plano gráfico do blueprint.
Por fim, selecionado no menu da esquerda a opção “Blueprints
atribuídos”. Nele é possível checar que atribuição feita no passo
transcorreu de forma correta.
Imagem 14 - Identificando blueprints atribuídos.
Além dos blueprints do Microsoft Azure que vão te ajudar de forma
simples e prática a automatizar uma política a ser estabelecida, você
também pode utilizar o Compliance Manager da Microsoft. Usando essa
ferramenta, vocêpode avaliar os riscos e simplificar o processo de
compliance de seus recursos no Microsoft Azure, no qual sugere ações
a serem executadas com base na coleta de evidências.
Comentário
Por meio do Compliance Manager, é possível avaliar se sua assinatura
está em conformidade com as normas de segurança da informação,
como ISO 27001, ISO 27018 e GPDR, inclusive.
Adotando as melhores práticas de segurança
no Azure
O Microsoft Defender para Nuvem é um serviço disponível no Microsoft
Azure que pode desempenhar um papel fundamental em sua estratégia
de resposta a incidentes. Ele fornece dados sobre a origem do ataque,
identificando recursos afetados. Além disso, sugere recomendações
baseadas em políticas para ajudá-lo a corrigir problemas detectados e
resolvê-los rapidamente, bem como sugestões para prevenir ataques
futuros.
Comentário
O Microsoft Defender para Nuvem fornece uma visão centralizada de
monitoramento em tempo real da segurança não somente para recursos
provisionados no Azure, mas também para o ambiente local de uma
empresa.
Ter uma assinatura do Azure habilita automaticamente o nível gratuito
do Microsoft Defender para Nuvem. Essa camada gratuita monitora
recursos de computação, rede, armazenamento e aplicativos no Azure.
Ele também fornece políticas de segurança, avaliações de segurança,
recomendações de segurança e a capacidade de se conectar a outras
soluções de parceiros de segurança. As organizações que começam
com Infraestrutura como Serviço (IaaS) no Azure podem até se
beneficiar desse serviço gratuito, pois melhorará sua postura de
segurança.
Além do nível gratuito, o Microsoft Defender para Nuvem também
oferece uma camada paga. Essa camada fornece um conjunto completo
de recursos de segurança para organizações que precisam de mais
controle.
Especificamente, migrar a sua assinatura do Microsoft Defender para
Nuvem do nível gratuito para o nível padrão habilita os seguintes
recursos:
coleta de eventos de segurança e pesquisa avançada;
acesso à VM just-in-time;
controles de aplicativos adaptáveis (lista de permissões de
aplicativos);
alertas integrados e personalizados;
inteligência de ameaças.
Outra vantagem da camada paga é que ela permite monitorar recursos
locais, VMs hospedadas por outros provedores de nuvem e até VMs
aninhadas em execução no Azure. Você pode fazer isso instalando
manualmente o agente do Microsoft Defender para Nuvem no
computador de destino. Além disso, após atualizar para o nível pago,
você pode usá-lo gratuitamente por 60 dias. Esta é uma ótima
oportunidade para avaliar esses recursos, entender como seu ambiente
atual se beneficiará deles e determinar se vale a pena o investimento.
Comentário
O Microsoft Defender para Nuvem fornece uma visão centralizada de
monitoramento em tempo real da segurança não somente para recursos
provisionados no Azure, mas também para o ambiente local de uma
empresa.
O Microsoft Defender para Nuvem usa as seguintes análises:
Inteligência de ameaças integrada, análise comportamental e detecção
de anomalia.
Para acessar o dashboard do Microsoft Defender para Nuvem, ingresse
no Portal do Azure e clique em “Microsoft Defender para Nuvem” no
painel esquerdo, conforme ilustrado na imagem a seguir.
Imagem 15 - Acessando o Microsoft Defender para Nuvem
O que acontece na primeira vez que você abre o painel do Microsoft
Defender para Nuvem pode variar. Para os propósitos deste exemplo, o
painel é totalmente preenchido com recursos, recomendações e alertas,
conforme mostra as imagens 16, 17 e 18.
Imagem 16 – Visão Geral de Segurança sobre os recursos ativos na assinatura do Azure.
Imagem 17 – Recomendações de Segurança.
Um importante dado apresentado na imagem 17 consiste na
quantificação de quão seguro está o seu ambiente com base no
benchmark de segurança do Azure. Em nosso exemplo, apresentou 38%
e o indicativo de que algumas ações precisam ser feitas com o intuito
de aumentar esse score.
Comentário
Um falso positivo é acreditar que um score de 100% na classificação de
segurança nos dará a plena certeza de que estamos completamente
seguros.
Já na imagem 18, são mostrados alertas de segurança específicos por
recurso ativo em sua assinatura do Azure, determinando o tipo de
severidade, título do alerta, status e classificação segundo a
metodologia MITRE ATT&CK da ameaça.
Imagem 18 – Alertas de Segurança.
Um importante serviço disponível no Azure que pode ser usado
adicionalmente, visando melhorar a proteção contra ameaças e
habilitando recursos de inteligência artifical, é o Azure Sentinel. Ele
fornece uma experiência totalmente integrada no portal do Azure para
aprimorar outros serviços como o Microsoft Defender para Nuvem e
Azure Machine Learning. Sua utilização contribui para redução de falsos
positivos, podendo detectar ataques mais complexos e em quais
estágios eles se apresentam.
Para o uso desse serviço é necessário proceder com o seu
provisionamento. Para isso, ingresse no Portal do Azure, na caixa de
pesquisa, digite “Sentinel”. Será exibida uma tela semelhante à imagem
a seguir.
Imagem 19 – Criando o recurso Azure Sentinel.
Agora, clique na opção “Criar um Workspace”, de acordo com a imagem
20. Essa configuração é essencial, porque o Azure Sentinel utiliza o Log
Analytics para consultar os dados relacionados aos serviços que são
centralizados nele como se fosse um repositório de dados
analogamente a um Data Warehouse.
Imagem 20 – Criando um Workspace.
Defina na aba “Noções Básicas” assinatura, grupos de recursos, nome
do workspace que será criado e a região de sua implantação e, em
seguida, clique em Avançar: Marcar. Confira a seguir.
Imagem 21 – Alertas de Segurança.
Para melhor organização dos recursos criados, no tocante à gestão de
custos e aplicação de diretivas de segurança, estabeleça rótulos para o
workspace que está sendo criado.
Em nosso exemplo, definimos no campo nome o texto ambiente e
estamos associando ao valor teste, após isso clique em Examinar +
Criar para que o Azure possa provisionar o recurso. Portanto, o que se
deseja com essa configuração é identificar que o workspace que está
sendo criado é utilizado num ambiente de testes. Veja a seguir.
Imagem 22 – Definindo rótulos.
Com o Workspace criado do Log Analytics, poderemos vinculá-lo ao
Azure Sentinel. Para isso selecione o Workspace e clique no botão
“Adicionar”. Confira a seguir.
Imagem 23 – Adicionando Worskpace ao Azure Sentinel.
A tela exibida na imagem 24 apresenta workspace associado ao Azure
Sentinel, no qual você poderá definir conectores para coleta de dados
para análise inicialmente, definir alertas de segurança e estabelecer
automatização para tarefas comuns de análise de risco de segurança.
Imagem 24 – Alertas de Segurança.
Em resumo, vimos aqui as principais tecnologias que podem ser usadas
de maneira mais macro no Microsoft Azure no que se refere à
segurança. Para cada serviço que o Azure possui, poderão ser definidos
outros elementos de segurança que irão contribuir para maior cobertura
da superfície e, dessa forma, mitigar ataques.
Agora que você concluiu este módulo, vamos praticar alguns exercícios!
Construindo blueprints de serviços
Azure
Veja uma demonstração de como usar a ferramenta de blueprints para
criação de serviços de TI no Azure. Vamos lá!
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?

Questão 1
No Azure Blueprints, qual configuração deve ser feita para
estabelecer a ligação entre a definição e a atribuição de um
blueprint?
Parabéns! A alternativa B está correta.
Para que seja possível a conexão entre a definição de um blueprint
com posterior atribuição, é necessário salvar o blueprint criado
como rascunho e posterior publicação, a fim de que seja feita a
atribuição na sequência.
Questão 2
Analise as afirmativas:
I - Microsoft Defender para Nuvem é ferramenta para
gerenciamento de segurança e proteção contra ameaças.
Porque
A Criação do blueprinte publicação do plano gráfico.
B
Criação do blueprint salvando como rascunho e
posterior publicação do plano gráfico.
C
Alterando o blueprint adicionando definições de
política.
D
Alterando o blueprint excluindo definições de
iniciativa.
E
Criação de políticas de seguranças para serem
incorporadas ao blueprint.
II – Ela fornece meios para geração de alertas de ameaças, bem
como recomendações de seguranças que podem ser aplicadas aos
ativos provisionados no Microsoft Azure.
Parabéns! A alternativa A está correta.
O Microsoft Defender para Nuvem oferece uma visão ampla sobre o
estado geral da segurança dos ativos dos serviços implementados
no Microsoft Azure, como também fornece recomendações que
podem ser aplicadas visando reduzir a exploração de
vulnerabilidades e geração de alertas de seguranças por severidade
do evento.
A I e II são verdadeiros, porém II justifica I.
B I e II são verdadeiros, porém II não justifica I.
C I e II são falsos.
D I é falso e II é verdadeiro.
E I é verdadeiro e II é falso.
3 - Impacto da LGPD nos sistemas de Big Data na nuvem
Ao �nal deste módulo, você será capaz de relacionar a LGPD com as ferramentas de
segurança do Azure.
A LGPD e o seu impacto no
armazenamento de dados
A proteção de dados pessoais no ciberespaço tem sido uma
preocupação desde a invenção da internet, mas nas últimas décadas,
com o advento do Big Data e outras novas fontes e métodos de análise
de dados em larga escala, surgiu mais fortemente a preocupação das
pessoas pelas implicações de longo prazo sobre a privacidade dos
dados. Todavia, a questão da privacidade da informação está longe de
ser nova. O conceito de privacidade da informação já existia muito antes
das tecnologias de informação e comunicação mudarem sua
ocorrência, impacto e gestão.
Atualmente, a maior parte da informação é disseminada e transmitida
digitalmente e as tecnologias de comunicação, como smartphones e
acesso gratuito à internet, fazem parte da vida cotidiana. Enquanto isso,
negócios, serviços de saúde e financeiros, educação e entretenimento,
plataformas e infraestrutura se socializam, já a mídia é on-line e
fornecida de forma autêntica. Parece que a vida contemporânea
caminha cada vez mais para uma "sociedade transparente". A tecnologia
da informação e os sistemas de computador que registram cada toque
de tecla e movimento do corpo estão apagando as linhas entre
indivíduos, nações e empresas privadas.
Diante dessas preocupações, em outubro de 2018, o Conselho
Governante de alto nível da Organização das Nações Unidas (ONU)
adotou os Princípios de Proteção de Dados Pessoais e Privacidade, sinal
de que as agências internacionais também estavam preocupadas com o
futuro da regulamentação dos dados, que em âmbito internacional,
contempla os seguintes princípios:
Harmonizar os padrões de proteção de dados pessoais em
todo o sistema das Nações Unidas.
Promover o processamento responsável de dados pessoais
para cumprir o mandato das Nações Unidas
Garantir o respeito pela direitos humanos e liberdades
fundamentais dos indivíduos, em particular o direito à
privacidade.
De fato, com a revolução da tecnologia da informação, Big Data e
Internet das Coisas, a privacidade de dados tornou-se uma preocupação
de indivíduos, empresas, governos, organizações internacionais e
muitos outros atores de diferentes origens sociais e geográficas. Nesse
sentido, o principal marco regulatório da privacidade de dados que hoje
é frequentemente citado como referência – embora muitos países
tenham introduzido legislação sobre o assunto – tem sido o
Regulamento Geral de Proteção de Dados (GDPR) da União Europeia
(UE).
Saiba mais
O GDPR foi aprovado pelo Parlamento Europeu em 14 de abril de 2016 e
entrou em vigor em 25 de maio de 2018 para harmonizar as leis de
privacidade de dados em toda a Europa, proteger e capacitar a
privacidade de dados de todos os cidadãos da União Europeia e
reformular o modo como as organizações em toda a região abordam a
privacidade de dados.
Com esse pano de fundo, começa a ser gestacionada no Brasil uma
preocupação em elaborar uma lei que pudesse contemplar a proteção
de privacidade de dados. Uma nova legislação foi aprovada pelo
Congresso brasileiro em agosto de 2018 e com vigência a partir de
agosto de 2020: a Lei Geral de Proteção de Dados Pessoais nº 13.709
(doravante denominada "LGPD"). À medida que o Brasil vem tomando
medidas para transformar digitalmente o governo e o setor público, com
vários planos nacionais em torno da transição para uma economia
digital, questões de privacidade e proteção de dados vêm à tona de
políticos, formuladores de políticas e acadêmicos da área.
A LGPD é pautada pela criação de regras para o uso de dados pessoais
(leia Pessoas Físicas, pois as pessoas jurídicas não estão vinculadas a
esta lei).
O âmbito de aplicação das regras da LGPD estipula que
qualquer operação de dados pessoais, como coleta,
utilização, arquivamento, comunicação, transmissão,
dentre outras, inclui qualquer meio de obtenção de
informação, seja digital ou físico.
De acordo com a especificação, dados pessoais são informações que
podem identificar alguém – não apenas nome, mas endereço, telefone
etc. A lei também inclui uma categoria chamada de dados sensíveis,
que consiste em informações sobre origem racial ou étnica, crenças
religiosas, opiniões políticas, orientação sexual, saúde ou vida sexual
que podem ser discriminadas se expostas ou vazadas.
Na prática, as empresas não poderão coletar e usar dados de forma
alguma. A finalidade deve ser informada e a pessoa consciente com o
uso da empresa. Quando de posse desses dados, as empresas devem
respeitar seu propósito e garantir a segurança, confidencialidade e
integridade das informações, inclusive notificando a pessoa relevante
em caso de incidente de segurança.
Pessoa consciente
Em caso de menores de idade, devem ter o consentimento dos pais.
Comentário
Vale ressaltar que as empresas que descumprirem as normas de
segurança ou procedimentos podem ser multadas em até 2% de sua
receita, com multa máxima de R$ 50 milhões por infração. E, conforme
consta no artigo 42, se a violação da lei de proteção causar dano moral,
individual ou coletivo, o titular deve ser indenizado.
No âmbito de projetos de Big Data, no qual apresentam em seu gene
uma grande quantidade de dados, variedade e velocidade de geração, a
LGPD terá um grande impacto, pois inclui a aquisição de dados
pessoais, como técnicas de mineração de dados e geração de perfis,
que nada mais é do que construir uma série de informações sobre uma
pessoa, por meio de dados processados, com base em suas
características e comportamento.
Tal uso pode causar sérios danos aos indivíduos e comprometer
seriamente a privacidade, que é um dos pilares da nova lei. Para reforçar
ainda mais esse entendimento, o artigo 20 da LGPD afirma que os
titulares dos dados têm o direito de solicitar a revisão das decisões
tomadas apenas no tratamento automático de dados pessoais e que
afetem os seus interesses (possivelmente tecnologias de Big Data),
como perfil profissional, consumo, crédito e até personalidade, que
podem ter implicações legais para a empresa.
A aplicação da Lei Geral de Proteção de Dados Pessoais terá um
impacto negativo inicial nas atividades de coleta e processamento de
informações usando Big Data, reduzindo essas atividades até que a
empresa aplique e construa seus planos de conformidade e integridade
de dados para acomodar as regras de processamento de dados.
Todavia, depois disso, teremos um ambiente mais seguro e adequado
para proteger os direitos fundamentais da sociedade, como liberdade e
privacidade.
Classi�cação de dados
A classificação de dados é o processo de organização de dados em
categorias que facilitam a recuperação, classificação e armazenamento
para uso futuro.
Um sistema de classificação de dados bem planejado torna os dados
essenciais fáceis de encontrar e recuperar.Isso é especialmente
importante para gerenciamento de riscos, descoberta legal e
conformidade.
Procedimentos escritos e diretrizes para uma política
de classificação de dados devem estabelecer quais
categorias e critérios a organização usará para
classificar dados e especificar as funções e
responsabilidades dos funcionários dentro da
organização em relação ao gerenciamento de dados.
Depois que um esquema de classificação de dados é criado, os padrões
de segurança que especificam as práticas de processamento
apropriadas para cada categoria e os padrões de armazenamento que
definem os requisitos do ciclo de vida dos dados precisam ser
abordados.
Além de tornar os dados mais fáceis de encontrar e recuperar, um
sistema de classificação de dados bem projetado também facilita a
manipulação e o rastreamento de dados críticos. Embora alguma
combinação de todos os atributos a seguir possa ser alcançada, a
maioria das empresas e profissionais de dados se concentra em
objetivos específicos ao trabalhar em projetos de classificação de
dados. Os objetivos mais comuns incluem, mas não estão limitados ao
seguinte:
Con�dencial
Um sistema de classificação que coloca a confidencialidade acima de
outros atributos se concentrará principalmente em medidas de
segurança, incluindo permissões de usuário e criptografia.
Integridade de dados
Os sistemas focados na integridade dos dados exigirão mais espaço de
armazenamento, permissões de usuário e canais de acesso adequados.
Disponibilidade de dados
A garantia de que os dados estejam presentes para uso por parte do
usuário sempre que ele precisar utilizá-los.
Os cientistas de dados e outros profissionais criam uma estrutura para
organizar os dados. Eles atribuem metadados ou outras tags às
informações, o que permite que máquinas e softwares as classifiquem
imediatamente em diferentes grupos e categorias. É importante manter
todos os esquemas de classificação de dados em todos os estágios em
conformidade com a política da empresa e os regulamentos locais e
federais relativos ao manuseio de dados. A divulgação não autorizada
de informações que se enquadram em uma das categorias protegidas
do sistema de classificação de dados da empresa pode violar o acordo
e, em alguns países, pode até ser considerada um crime grave.
A classificação é uma parte importante do gerenciamento de dados e é
distinta da representação de dados. A classificação de informações e
dados envolvem os sistemas informatizados de cada empresa que os
mantêm. Existem algumas categorias de classificação de dados padrão.
Cada um desses padrões pode ter leis federais e locais sobre como lidar
com eles. Tais padrões incluem o seguinte:
É o padrão mantido por agências estaduais e divulgado como
parte de certas leis.
Consiste num rótulo de dados com o maior grau de proteção de
como deve ser tratado e protegido os dados.
Informação pública 
Informação confidencial 
Trata-se de qualquer informação armazenada ou processada por
órgãos estaduais, incluindo requisitos de autorização e outras
regras rígidas sobre seu uso.
São consideradas protegidas por lei as informações pessoais
dos cidadãos, e elas precisam ser processadas de acordo com
determinados protocolos e regras para serem usadas
corretamente. Às vezes, há uma lacuna entre os requisitos éticos
e as proteções legislativas contemporâneas para o seu uso.
Há várias ferramentas que estão disponíveis para classificação de
dados, incluindo bancos de dados, software de inteligência de negócios
e sistemas de gerenciamento de dados padrão. Logo, o uso da
classificação de dados ajuda as organizações a manter a
confidencialidade, acessibilidade e integridade de seus dados. Também
auxilia na redução da vulnerabilidade de informações confidenciais não
estruturadas a hackers e poupa as empresas dos altos custos de
armazenamento de dados. Armazenar grandes quantidades de dados
não organizados é caro e pode ser um fardo. A LGPD em seu artigo 1º,
diz que: “O tratamento de dados pessoais, inclusive nos meios digitais,
por pessoa natural ou por pessoa jurídica de direito público ou privado,
com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa
natural”.
Governança de dados com Azure
Purview
O Azure Purview é um serviço unificado de governança de dados que
auxiliará você a gerenciar e controlar dados locais, multinuvem e
software como serviço (SaaS). Com ele é possível criar um mapa
atualizado de seu ambiente de dados com descoberta automatizada e
classificação de dados confidenciais. Isso permite que os
administradores de dados gerenciem e protejam seus ativos de dados,
Informação sensível 
Informação pessoal 
favorecendo que consumidores de dados encontrarem dados
confiáveis.
O Azure Purview por meio da automatização de
descoberta de dados proporciona serviços de inspeção
e classificação de dados para ativos dentro de ativos
de dados.
Metadados e descrições de ativos de dados descobertos são integrados
ao mapa geral de ativos de dados. No topo desse mapa estão os
aplicativos criados especificamente para criar um contexto para
descoberta de dados, gerenciamento de acesso e insights sobre o
cenário de dados.
Para o uso desse serviço, é necessário proceder com o seu
provisionamento. Para isso, ingresse no Portal do Azure e na caixa de
pesquisa digite “Purview”. Uma tela semelhante à imagem a seguir será
exibida.
Imagem 25 – Conta do Azure Purview.
Defina na Aba “Noções Básicas” a assinatura, grupos de recursos, nome
da conta do Purview que será criado e a região de sua implantação. Em
seguida, clique em Examinar + Criar. Veja na próxima imagem.
Imagem 26 – Criando uma Conta do Azure Purview.
Na próxima imagem, é possível verificar que o serviço do Purview foi
criado. Para iniciar com as configurações para o mapeamento e
catálogo dos dados, clique em “Abrir o Purview Studio”.
Imagem 27 – Visão Geral da Conta Purview.
Será carregada uma nova página com uma interface própria para que
possa proceder com o catálogo e mapeamento de dados. Veja!
Imagem 28 – Criando uma Conta do Azure Purview.
Em resumo, abordamos as inquietações sobre o uso de dados pessoais
no tocante a projetos de Big Data em consoante a LGPD, bem como uma
solução para governança de dados no Azure que possibilite a
classificação dos dados de forma ágil e centralizada.
Vamos agora praticar alguns exercícios!
PurviewBR e LGPD
Veja uma demonstração de como usar o PurviewBR para adequar-se à
LGPD.
Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Analise as afirmativas:
I - A privacidade dos dados é a habilidade de uma pessoa em
controlar a exposição e a disponibilidade de dados acerca de si.

Porque
II – A segurança de dados está relacionada com os meios de
proteção que uma empresa estabelece para impedir que terceiros
não autorizados acessem aos seus dados.
Parabéns! A alternativa B está correta.
A privacidade de dados se concentra nos direitos dos indivíduos e
não em empresas. Na finalidade de coleta e processamento de
dados, nas preferências de privacidade e na maneira como as
organizações controlam os dados pessoais dos titulares de dados.
Questão 2
Analise as afirmativas:
I - Azure Purview é um serviço de governança de dados que
possibilita mapeamento e classificação de dados presente
unicamente no Microsoft Azure.
Porque
II – Não apresenta conectores para descoberta de dados para
outros ambientes computacionais em nuvem ou para ambiente
local da empresa.
A I e II são verdadeiros e II justifica I.
B I e II são verdadeiros, porém II não justifica I.
C I e II são falsos.
D I é falso e II é verdadeiro.
E I é verdadeiro e II é falso.
A I e II são verdadeiros e II justifica I.
Parabéns! A alternativa C está correta.
Ao criar uma conta do Purview no Microsoft Azure, é possível, por
meio de conectores usando o Purview Studio, realizar um
mapeamento dosdados que podem estar presentes no Azure, no
ambiente local da empresa e até mesmo em outra plataforma de
computação de nuvem pública.
Considerações �nais
Vimos neste conteúdo os mecanismos para operação e segurança em
ambiente de computação em nuvem, as principais tecnologias usadas
no Microsoft Azure que podem proporcionar instrumentos para adoção
de medidas de segurança para os ativos provisionados e, por fim, o
impacto da Lei Geral de Proteção de Dados brasileira no tocante ao uso
de dados de pessoas físicas para projetos de Big Data.
Podcast
Ouça agora uma entrevista abordando os assuntos estudados até aqui.
B I e II são verdadeiros, porém II não justifica I.
C I e II são falsos.
D I é falso e II é verdadeiro.
E I é verdadeiro e II é falso.

Explore +
Confira a seguir o conteúdo indicado especialmente para você!
Sobre documentação de segurança no Azure, pesquise no site da
Microsoft: Monitoramento de Segurança, Gerenciamento de
Identidades, Segurança de Infraestrutura, Rede e Banco de Dados.
Ainda na Microsoft, veja os padrões de conformidade e normas técnicas
de segurança que o Microsoft Azure suporta e implementa em seus
data centers: Azure compliance documentation.
Referências
COPELAND, M. Cloud Defense Strategies with Azure Sentinel: Hands-on
Threat Hunting in Cloud Logs and Services (English Edition) 1. ed.
California, USA: Apress, 2021.
HERATH, P. Azure Cloud Security for Absolute Beginners: Enabling
Cloud Infrastructure Security with Multi-Level Security Options (English
Edition). 1. ed. California, USA: Apress, 2021.
JANETSCHECK, T.; TOROMAN, M. Mastering Azure Security: Safeguard
your Azure workload with innovative cloud security measures (English
Edition). 1. ed. London, UK: Packt, 2020.
Material para download
Clique no botão abaixo para fazer o download do
conteúdo completo em formato PDF.
Download material
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()