Mapeamento do Microsoft Copilot para CMMC Nível 2: O Que é Herdado e o Que Não é

Organizações que buscam a certificação Cybersecurity Maturity Model Certification CMMC Nível 2 precisam entender como o Microsoft Copilot se encaixa em seu perímetro de conformidade. O Copilot opera sobre serviços do Microsoft 365 já certificados FedRAMP High, o que fornece uma base de controles herdados. No entanto, nem todas as práticas do CMMC Nível 2 são cobertas pelos controles herdados da Microsoft. Este artigo explica quais controles de segurança o Copilot herda da plataforma subjacente do Microsoft 365 e quais controles permanecem sob responsabilidade do cliente.

Como os Controles do CMMC Nível 2 se Mapeiam para o Copilot

O CMMC Nível 2 exige que as organizações implementem 110 práticas de segurança alinhadas ao NIST SP 800-171. O Microsoft Copilot opera como um serviço de IA que se conecta ao Microsoft Graph, aplicativos do Microsoft 365 e Azure OpenAI. A segurança do Copilot depende da infraestrutura subjacente do Microsoft 365 e da configuração do Copilot pelo cliente.

A Microsoft publica uma Matriz de Responsabilidade do Cliente CRM no Service Trust Portal. Essa matriz mostra quais controles são herdados da autorização FedRAMP High da Microsoft e quais controles o cliente deve implementar. Para o Copilot, o padrão de herança segue a mesma estrutura dos serviços do Microsoft 365.

Controles Herdados

As seguintes famílias de controle são herdadas da linha de base FedRAMP High do Microsoft 365:

• Controle de Acesso AC: Gerenciamento de contas, privilégio mínimo e controles de acesso remoto são herdados. A Microsoft gerencia o acesso físico e lógico à infraestrutura que hospeda o Copilot.
• Auditoria e Responsabilidade AU: A auditoria de logs para interações do Copilot é herdada. A Microsoft registra chamadas de API, ações do usuário e eventos do sistema no Azure Monitor e nos logs de auditoria do Microsoft 365.
• Gerenciamento de Configuração CM: A configuração de linha de base e o gerenciamento de mudanças para o serviço Copilot são herdados. A Microsoft aplica atualizações de segurança e linhas de base de configuração.
• Identificação e Autenticação IA: O gerenciamento de identidade do usuário e a autenticação são herdados por meio do Microsoft Entra ID. A autenticação multifator MFA está disponível, mas deve ser ativada pelo cliente.
• Proteção de Mídia MP: A sanitização e o descarte de mídia são herdados. A Microsoft segue as diretrizes do NIST SP 800-88 para destruição de dados.
• Proteção Física e Ambiental PE: A segurança física dos data centers é herdada. A Microsoft controla o acesso às instalações que hospedam o Copilot.
• Proteção do Sistema e Comunicações SC: A criptografia em repouso e em trânsito é herdada. Os dados do Copilot são criptografados usando AES-256 e TLS 1.2 ou superior.
• Integridade do Sistema e da Informação SI: A correção de falhas e a proteção contra código malicioso são herdadas. A Microsoft verifica vulnerabilidades e aplica patches.

Controles Gerenciados pelo Cliente

Os seguintes controles não são herdados e exigem ação do cliente:

• Controle de Acesso AC-3: Aplicação de políticas de controle de acesso para funções específicas do Copilot, como administrador do Copilot e usuário do Copilot. Os clientes devem definir e aplicar o controle de acesso baseado em função RBAC no Microsoft Entra ID.
• Auditoria e Responsabilidade AU-6: Revisão, análise e relatório de auditoria. Os clientes devem configurar políticas de retenção de logs de auditoria no centro de conformidade do Microsoft 365 e revisar os logs de atividade do Copilot.
• Gerenciamento de Configuração CM-7: Funcionalidade mínima para o Copilot. Os clientes devem desativar recursos desnecessários do Copilot, como plugins de pesquisa na web, se não forem necessários.
• Resposta a Incidentes IR: Tratamento de incidentes para eventos de segurança relacionados ao Copilot. Os clientes devem definir procedimentos de resposta a incidentes e testá-los.
• Avaliação de Risco RA: Avaliação de risco para o processamento de dados do Copilot. Os clientes devem avaliar a sensibilidade dos dados enviados ao Copilot e aplicar rótulos de classificação de dados.
• Aquisição de Sistemas e Serviços SA: Aquisição do Copilot como serviço. Os clientes devem revisar o Adendo de Proteção de Dados DPA da Microsoft e garantir a conformidade contratual.
• Proteção do Sistema e Comunicações SC-12: Gerenciamento de chaves criptográficas para chaves de criptografia gerenciadas pelo cliente, se usar Customer Key. Os clientes devem gerenciar as chaves no Azure Key Vault.
• Integridade do Sistema e da Informação SI-12: Tratamento da saída de informações do Copilot. Os clientes devem implementar políticas de prevenção contra perda de dados DLP para evitar que dados sensíveis sejam expostos nas respostas do Copilot.

Passos para Mapear os Controles do Copilot para o CMMC Nível 2

Siga estes passos para mapear os controles do Copilot para seu escopo de CMMC Nível 2.

1. Acesse o Service Trust Portal
   Vá para servicetrust.microsoft.com. Faça login com sua conta de administrador global do Microsoft 365. Navegue até Compliance Manager > Customer Responsibility Matrix.
2. Baixe a CRM do Microsoft 365
   Selecione a CRM do Microsoft 365 para CMMC Nível 2. O arquivo contém uma planilha com todas as 110 práticas. Cada linha mostra se o controle é herdado, compartilhado ou gerenciado pelo cliente para cada carga de trabalho do Microsoft 365, incluindo o Copilot.
3. Identifique as Linhas Específicas do Copilot
   Filtre a planilha pela coluna “Serviço” e selecione “Copilot”. Revise os IDs de controle e seu status de herança. Anote quais controles estão marcados como “Cliente” ou “Compartilhado”.
4. Configure os Controles Gerenciados pelo Cliente
   Para cada controle marcado como gerenciado pelo cliente, implemente as medidas de segurança necessárias. Por exemplo, para AC-3, crie uma função personalizada no Microsoft Entra ID chamada “Usuário Restrito do Copilot” com permissões para usar o Copilot apenas em aplicativos específicos.
5. Ative a Auditoria de Logs para o Copilot
   No centro de conformidade do Microsoft 365, vá em Auditoria > Retenção de auditoria. Defina a retenção para pelo menos 365 dias para conformidade com CMMC Nível 2. Ative o registro de eventos do Copilot sob a carga de trabalho “Microsoft Copilot”.
6. Aplique Rótulos de Classificação de Dados
   Use o Microsoft Purview Information Protection para aplicar rótulos de sensibilidade aos dados que o Copilot pode acessar. Rótulos como “Confidencial” ou “Altamente Confidencial” restringem o Copilot de usar esses dados nas respostas.
7. Revise as Configurações de Residência de Dados do Copilot
   No centro de administração do Microsoft 365, vá em Configurações > Configurações da organização > Copilot. Em Residência de dados, confirme que os dados do seu locatário estão armazenados na região geográfica aprovada para conformidade com CMMC.

Equívocos Comuns Sobre o Copilot e o CMMC Nível 2

O Copilot Herda Todos os Controles do Microsoft 365

Isso é falso. O Copilot herda controles de infraestrutura, mas não controles de nível de aplicativo. Por exemplo, a criptografia em repouso é herdada, mas a classificação de dados e DLP para a saída do Copilot não são. A CRM separa claramente os controles herdados dos gerenciados pelo cliente.

O Copilot é Certificado FedRAMP High

O Copilot em si não é certificado FedRAMP High. Ele opera em serviços do Microsoft 365 que são autorizados FedRAMP High. A autorização FedRAMP da Microsoft cobre a plataforma subjacente, não a camada de aplicativo do Copilot. Os clientes devem verificar com seu avaliador se o serviço Copilot está dentro do perímetro autorizado.

Todos os Recursos do Copilot São Conformes por Padrão

Recursos como pesquisa na web, acesso a plugins e upload de arquivos não são conformes por padrão. Os clientes devem desativar ou restringir esses recursos para atender aos requisitos do CMMC Nível 2. Use as políticas de configuração do Copilot no centro de administração do Microsoft 365 para desligar a pesquisa na web e o acesso a plugins.

Customer Key Não é Obrigatório

O Customer Key é opcional para CMMC Nível 2, mas recomendado para conformidade com SC-12. Se você optar por não usar o Customer Key, a Microsoft gerencia as chaves de criptografia sob sua linha de base FedRAMP High. Documente essa decisão em seu Plano de Segurança do Sistema SSP.

Item	Controles Herdados	Controles Gerenciados pelo Cliente
Controle de Acesso	Gerenciamento de contas, privilégio mínimo, acesso remoto	Controle de acesso baseado em função para funções do Copilot
Auditoria e Responsabilidade	Registro de auditoria de chamadas de API e eventos do sistema	Revisão de logs de auditoria, configuração de política de retenção
Gerenciamento de Configuração	Configuração de linha de base, gerenciamento de mudanças	Funcionalidade mínima, desativação de recursos não utilizados do Copilot
Resposta a Incidentes	Nenhum herdado	Procedimentos de tratamento de incidentes para eventos do Copilot
Avaliação de Risco	Nenhum herdado	Avaliação da sensibilidade dos dados e uso do Copilot
Proteção do Sistema e Comunicações	Criptografia em repouso e em trânsito	Gerenciamento de Customer Key, configuração de residência de dados
Integridade do Sistema e da Informação	Correção de falhas, proteção contra código malicioso	Políticas de DLP para saída do Copilot, classificação de dados

O Microsoft Copilot herda uma forte linha de base de segurança da autorização FedRAMP High do Microsoft 365. No entanto, o CMMC Nível 2 exige que os clientes gerenciem ativamente os controles relacionados a acesso, revisão de auditoria, resposta a incidentes e proteção de dados. Use a Matriz de Responsabilidade do Cliente no Service Trust Portal para identificar exatamente quais controles são herdados e quais não são. Configure configurações específicas do Copilot, como residência de dados, acesso baseado em função e políticas de DLP para fechar a lacuna de conformidade. Para uma avaliação completa, trabalhe com uma Organização de Avaliadores Terceirizados CMMC C3PAO para validar sua implementação.