MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Tags

Auditando acesso a dados sensiveis no Azure SQL Database

A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.

Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.

Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.

Azure SQL Data Discovery & Classification

Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.

As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.

01

02

E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!

03

Configurando o SQL Data Discovery & Classification

A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.

04

Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.

A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.

05

A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.

Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.

06

Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).

Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).

07

Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.

Log Analytics Solutions

Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.

08

09

Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.

Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.

Acesso Condicional com Uso de GPS

Uma mudança importante implantada em Preview no final de Novembro no Azure Active Directory é a localização por GPS.

Anteriormente só tinhamos a opção de usar o endereço IP, porem se a empresa utilizasse proxies externos ou o funcionário estivesse em uma rede com VPN como é o caso agora de muitos antivirus modernos com Web Protection, temos um problema!

Agora é possivel incluir nas politicas de acesso condicional que o usuário habilite o GPS do celular e com isso ter a localização geográfica real ao invés do IP.

Para isso entre nas politicas de Localizações e utilize a opção Determinar localização por coordenadas GPS:

image

Compliance com Termo de Uso no Azure AD Acesso Condicional

Uma necessidade das empresas com a LGPD (Lei Geral de Proteção de Dados) é que os funcionários, terceiros e contratados com logins no ambiente é ter um termo de aceite.

Algumas empresas já o fazem na admissão de colaborados ou contratação quando terceiros. Esses termos de uso frequentemente se tornam obsoletos e enviar por email nem sempre se tem a “prova” de que o colaborador leu os novos termos.

Por outro lado, mesmo que não tenha renovação dos termos, um registro de que o colaborador leu periodicamente para relembrá-lo das normas de segurança é desejável para muitas empresas ou corporações.

Criando os Termos de Uso

O termo de uso precisa ser alinhado com o departamento legal junto com RH, uma vez que existem padrões e termos obrigatórios.

Uma vez definidos, gere um PDF que fará upload no portal do Azure em Acesso Condicional em Gerenciamento – Termos de Uso:

image

Veja que nessa opção já será onde poderemos auditar quem leu os termos e também fazer upload em diversos idiomas!

Importante: Veja a opção Periodicidade onde deixei como Mensal para que todos os meses (a cada 30 dias) os usuários tenham que aceitar novamente os termos. Outro item importante é a opção Exigir que os Termos sejam Expandidos.

Criando a Regra de Acesso Condicional para Termos de Uso

Para criar a Politica de Acesso, use o menu Politicas:

image

Nas politicas defina como regra de Permissão o Termo de Uso criado anteriormente. Veja que se houverem diversos termos de uso por conta de colaboradores e terceiros terem diferentes regras, poderá escolher qual se aplica.

image

No exemplo acima, seguimos a recomendação de termos uma politica de acesso especifica para os Termos de Uso e obrigando a leitura.

Claro que existem outras opções como a quem se aplica, regras combinadas, etc.

Resultado

E aqui o resultado, a cada 30 dias eu preciso expandir o Termo de Uso para acessar os recursos do Office 365:

Marcelo Sincic 
0365sincic Terms of Use 
In order to access 03-65sincic resource(s). you must read the Terms of use. 
Termo de uso 
Please click Accept to confirm that you have read and the terms of use,

No caso, eu já havia expandido os termos para que o botão Acessar estivesse habilitado  Winking smile

Azure ARC–Integração de Updates, Change Monitoring e Inventario

Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.

Criando ou Habilitando uma conta de Automação existente

Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.

Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.

Zonas

Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.

2-Captura de tela 2021-05-03 115936

No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.

Habilitando os recursos

Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.

2-Integrando

Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.

3-Inventario

Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.

5-Updates

Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.

4-ARC integrado

Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.

6-Habilitando Alteracoes

Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.

7-

Novo conector para Consumo de Azure no Power BI

Uma ferramenta muito interessante para validar e verificar os custos em Azure é o Cost Managment do próprio Azure e a integração com um painel de App no Power BI.

Porem, com a desativação do App do Power BI muitos perderam uma ferramenta onde era possível manipular os dados e passaram a importar em Excel/CSV para criar seus reports customizados.

Conector para Azure Cost Management no Power BI Desktop

Pois bem, a Microsoft liberou um conector no Power BI desktop que irá permitir trazer dados mais detalhados do que se pode enxergar no Cost Management.

Esse conector pode ser acessado utilizando o conector que em português irá ter o nome Gerenciamento de Custos do Azure e irá permitir utilizar para quem tem um contrato Enterprise Agreement ou assinaturas individuais.

 Conexao-1

No caso de Enterprise Agreement basta informar o numero do contrato e fazer o login na tela seguinte:

Conexão-2

Conexao-3

É importante lembrar que se o contrato for muito grande e escolher 12 meses pode acontecer do Power BI demorar para conseguir acessar os dados e ocorrer timeout no refresh então recomendamos que crie com períodos menores.

Caso queira testar com meses adicionais ou diminuir o numero de meses, entre no Editor Avançado da consulta e altere o numero de meses como o exemplo abaixo, lembrando que precisará fazer isso em cada uma das tabelas.

Editor de conexao

Trabalhando com as tabelas de custos

Uma vez feita a conexão é possível escolher as tabelas que irá trabalhar.

Todas as tabelas são intuitivas e detalhadas com os dados que você já tem acesso ao exportar o CSV no portal do Azure, porem ele acrescenta o conjunto de dados para Instancia Reservada e Orçamentos.

Tabelas

Particularmente gostei muito da opção das tabelas de RI pois ele detalha as VMs e recursos que estão sendo cobrados e o custo original, permitindo mostrar de forma muito mais simples a economia gerada!

Dashboard reservas

As recomendações também podem ser vistas em detalhes:

Recomendacoes

E por fim, o uso das reservas com o percentual de “qualidade” onde poderá ter uma ideia se elas realmente estão sendo utilizadas é um dos mais importantes:

Uso
Posted: fev 08 2021, 13:27 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login