Freigeben über

Security Control V2: Datenschutz

Hinweis

Das aktuellste up-to-Update des Azure Security Benchmark ist hier verfügbar.

Der Datenschutz umfasst die Kontrolle des Datenschutzes im Ruhezustand, während der Übertragung und über autorisierte Zugriffsmechanismen. Dazu gehören das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Datenressourcen mithilfe von Zugriffssteuerung, Verschlüsselung und Protokollierung in Azure.

Eine Übersicht über die anwendbare integrierte Azure Policy finden Sie unter Details zur integrierten Initiative zur Einhaltung gesetzlicher Vorschriften für den Azure-Sicherheitsvergleichstest: Datenschutz

DP-1: Ermittlung, Klassifizierung und Bezeichnung vertraulicher Daten

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-1 13.1, 14.5, 14.7 SC-28

Ermitteln, klassifizieren und kennzeichnen Sie Ihre vertraulichen Daten, damit Sie die entsprechenden Kontrollen entwerfen können, um sicherzustellen, dass vertrauliche Informationen von den Technologiesystemen des Unternehmens sicher gespeichert, verarbeitet und übertragen werden.

Verwenden Sie Azure Information Protection (und das zugehörige Überprüfungstool) für vertrauliche Informationen in Office-Dokumenten in Azure, lokal, in Office 365 und an anderen Standorten.

Sie können Azure SQL Information Protection verwenden, um die Klassifizierung und Bezeichnung von Informationen zu unterstützen, die in Azure SQL-Datenbanken gespeichert sind.

Verantwortung: Geteilt

Kundensicherheitsbeteiligte (Weitere Informationen):

DP-2: Schützen von vertraulichen Daten

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-2 13.2, 2.10 SC-7, AC-4

Schützen Sie vertrauliche Daten, indem Sie den Zugriff mithilfe der rollenbasierten Zugriffssteuerung von Azure (Role-Based Access Control, Azure RBAC), netzwerkbasierten Zugriffssteuerungen und spezifischen Steuerelementen in Azure-Diensten (z. B. Verschlüsselung in SQL und anderen Datenbanken) einschränken.

Um eine konsistente Zugriffskontrolle zu gewährleisten, sollten alle Arten der Zugriffskontrolle auf Ihre Unternehmenssegmentierungsstrategie abgestimmt sein. Die Unternehmensegmentierungsstrategie sollte auch über den Standort sensibler oder geschäftskritischer Daten und Systeme informiert werden.

Für die zugrunde liegende Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich und schützt vor Verlust und Offenlegung von Kundendaten. Um sicherzustellen, dass Kundendaten in Azure sicher bleiben, hat Microsoft einige standardmäßige Datenschutzkontrollen und -funktionen implementiert.

Verantwortung: Geteilt

Kundensicherheitsbeteiligte (Weitere Informationen):

DP-3: Überwachung auf nicht autorisierte Übertragung vertraulicher Daten

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-3 13.3 AC-4, SI-4

Überwachen Sie die unbefugte Übertragung von Daten an Standorte außerhalb der Transparenz und Kontrolle des Unternehmens. Dies umfasst in der Regel die Überwachung anomaler Aktivitäten (große oder ungewöhnliche Übertragungen), die auf eine nicht autorisierte Datenexfiltration hindeuten können.

Azure Defender für Storage und Azure SQL ATP können Warnungen bei anomalen Übertragungen von Informationen ausgeben, die auf nicht autorisierte Übertragungen vertraulicher Informationen hinweisen können.

Azure Information Protection (AIP) bietet Überwachungsfunktionen für Informationen, die klassifiziert und gekennzeichnet wurden.

Falls dies für die Konformität von Data Loss Prevention (DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung verwenden, um Erkennungs- und/oder präventive Kontrollen durchzusetzen, um Datenexfiltration zu verhindern.

Verantwortung: Geteilt

Kundensicherheitsbeteiligte (Weitere Informationen):

DP-4: Verschlüsseln vertraulicher Informationen während der Übertragung

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-4 14.4 SC-8

Ergänzend zu den Zugriffskontrollen sollten Daten während der Übertragung vor "Out-of-Band"-Angriffen (z. B. Datenverkehrserfassung) geschützt werden, indem eine Verschlüsselung verwendet wird, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Dies ist zwar optional für den Datenverkehr in privaten Netzwerken, dies ist jedoch für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung. Stellen Sie für HTTP-Datenverkehr sicher, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, TLS v1.2 oder höher aushandeln können. Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungen sollten deaktiviert werden.

Azure ermöglicht standardmäßig die Verschlüsselung von Daten während der Übertragung zwischen Azure-Rechenzentren.

Verantwortung: Geteilt

Kundensicherheitsbeteiligte (Weitere Informationen):

DP-5: Verschlüsseln vertraulicher Daten im Ruhezustand

Azure-ID CIS-Kontrollen v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-5 14.8 SC-28, SC-12

Ergänzend zu den Zugriffskontrollen sollten ruhende Daten durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. dem Zugriff auf den zugrunde liegenden Speicher) geschützt werden. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.

Azure bietet standardmäßig Verschlüsselung für ruhende Daten. Für hochsensible Daten haben Sie die Möglichkeit, eine zusätzliche Verschlüsselung ruhender Daten für alle Azure-Ressourcen zu implementieren, sofern verfügbar. Azure verwaltet Ihre Verschlüsselungsschlüssel standardmäßig, aber Azure bietet Optionen zum Verwalten Ihrer eigenen Schlüssel (kundenseitig verwaltete Schlüssel) für bestimmte Azure-Dienste.

Verantwortung: Geteilt

Kundensicherheitsbeteiligte (Weitere Informationen):

  • Last updated on