Os backups são essenciais para proteger contra perda ou corrupção de dados. As configurações que prejudicam os backups incluem, mas não se limitam a:
- Desativar o backup de dados
- Falha no backup regular dos dados
- Falha na verificação regular da integridade dos backups
- Período de retenção de backup insuficiente

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.

O roubo de mídia física é um meio comum para os invasores obterem acesso a informações confidenciais.

Por padrão, os Bancos de Dados SQL do Azure usam Transparent Data Encryption (TDE) para criptografar e proteger dados em repouso.

Desabilitar a TDE para um Banco de Dados SQL do Azure expõe os dados a possíveis roubos.

Exemplo 1: O exemplo a seguir mostra uma configuração do Terraform que define um Banco de Dados SQL do Azure que não criptografa seus dados.

resource "azurerm_mssql_database" "aztf008-tp-01" {
  name           = "aztf008-db-d"
  ... 
  sku_name       = "DW100c"
  ...
  transparent_data_encryption_enabled = false
}

Falhas de implementação, configurações incorretas e chaves comprometidas são alguns dos problemas que impedem que a criptografia de camada única proteja totalmente os dados altamente confidenciais. As organizações devem adotar uma abordagem de defesa profunda para proteger dados altamente confidenciais e evitar um único ponto de falha em seu projeto de segurança.

Falhas de implementação, configurações incorretas e chaves comprometidas são alguns dos problemas que impedem que a criptografia de camada única proteja totalmente os dados altamente confidenciais. As organizações devem adotar uma abordagem de defesa profunda para proteger dados altamente confidenciais e evitar um único ponto de falha em seu projeto de segurança.

As atualizações automáticas de software, que garantem a correção oportuna de vulnerabilidades de software conhecidas, são desabilitadas.

Os serviços em nuvem normalmente usam técnicas como cache, replicação e balanceamento de carga para facilitar a escalabilidade do serviço, entregar conteúdo mais rapidamente e mitigar os impactos de ataques volumétricos. Recursos de disponibilidade desabilitados ou mal configurados degradam o desempenho do serviço, mas os efeitos imediatos geralmente não são aparentes até que ocorram eventos extremos, como picos de tráfego e falhas de hardware.

O Azure oferece várias opções de criptografia, cada uma com vantagens e limitações específicas. Por exemplo, a criptografia do lado do servidor (SSE) do armazenamento do Azure executa a criptografia por padrão sem usar recursos de computação, no entanto, ela não criptografa o disco temporário ou os caches. Ela também não protege os dados que fluem de uma instância de computação para o armazenamento. O Azure Disk Encryption (ADE) criptografa discos e caches temporários, bem como dados que fluem para o armazenamento, mas às custas de recursos de computação.

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.

Os backups de dados geralmente são negligenciados como ativos que exigem tanta proteção quanto os dados originais.

Os backups não criptografados deixam os dados de backup acessíveis a invasores em potencial.

Por padrão, as configurações de Backup Automatizado de Máquinas Virtuais SQL do Azure não impõem a criptografia de backups de dados.

Exemplo 1: O exemplo a seguir mostra uma configuração do Terraform que define as configurações de Backup Automatizado de Máquina Virtual SQL do Azure que não impõem a criptografia dos dados de backup.

resource "azurerm_mssql_virtual_machine" "aztf009-tn-03" {
  virtual_machine_id               = data.azurerm_virtual_machine.example.id
  ...
  auto_backup {
    retention_period_in_days = 1
    storage_blob_endpoint = ""
    storage_account_access_key = azurerm_storage_account.example.primary_access_key
  }
}

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.

Falhas de implementação, configurações incorretas e chaves comprometidas são alguns dos problemas que impedem que a criptografia de camada única proteja totalmente os dados altamente confidenciais. As organizações devem adotar uma abordagem de defesa profunda para proteger dados altamente confidenciais e evitar um único ponto de falha em seu projeto de segurança.

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.

O Azure oferece várias opções de criptografia, cada uma com vantagens e limitações específicas. Por exemplo, a criptografia do lado do servidor (SSE) do armazenamento do Azure executa a criptografia por padrão sem usar recursos de computação, no entanto, ela não criptografa o disco temporário ou os caches. Ela também não protege os dados que fluem de uma instância de computação para o armazenamento. O Azure Disk Encryption (ADE) criptografa discos e caches temporários, bem como dados que fluem para o armazenamento, mas às custas de recursos de computação.

As chaves de criptografia mal gerenciadas são a causa de várias violações de segurança. As organizações não devem confiar em chaves gerenciadas pela plataforma para recursos de dados críticos.