Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados. Esto incluye la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado y el registro en Azure.
Para ver la directiva integrada aplicable de Azure Policy, consulte Detalles de la iniciativa integrada cumplimiento normativo de Azure Security Benchmark: Protección de datos.
DP-1: Detección, clasificación y etiquetado de datos confidenciales
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Descubra, clasifique y etiquete los datos confidenciales para que pueda diseñar los controles adecuados para asegurarse de que la información confidencial se almacena, procesa y transmite de forma segura por los sistemas tecnológicos de la organización.
Use Azure Information Protection (y su herramienta de análisis asociada) para obtener información confidencial en documentos de Office en Azure, local, en Office 365 y en otras ubicaciones.
Puede usar Azure SQL Information Protection para ayudar a clasificar y etiquetar la información almacenada en azure SQL Database.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
DP-2: Protección de datos confidenciales
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteja los datos confidenciales mediante la restricción del acceso mediante el control de acceso basado en rol (RBAC de Azure), los controles de acceso basados en red y los controles específicos en los servicios de Azure (como el cifrado en SQL y otras bases de datos).
Para garantizar un control de acceso coherente, todos los tipos de control de acceso deben alinearse con la estrategia de segmentación empresarial. La estrategia de segmentación empresarial también debe ser informada por la ubicación de datos y sistemas críticos para la empresa o confidenciales.
Para la plataforma subyacente, que está administrada por Microsoft, Microsoft trata todo el contenido del cliente como confidencial y protege contra la pérdida y exposición de los datos del cliente. Para asegurarse de que los datos de los clientes dentro de Azure siguen siendo seguros, Microsoft ha implementado algunas funcionalidades y controles de protección de datos predeterminados.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
DP-3: Supervisión de la transferencia no autorizada de datos confidenciales
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Supervise la transferencia no autorizada de datos a ubicaciones fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada.
Azure Defender para Storage y Azure SQL ATP pueden alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de información confidencial.
Azure Information Protection (AIP) proporciona funcionalidades de supervisión para obtener información clasificada y etiquetada.
Si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host para aplicar controles preventivos o de detección para evitar la filtración de datos.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
DP-4: Cifrado de la información confidencial en tránsito
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14,4 | SC-8 |
Para complementar los controles de acceso, los datos en tránsito deben protegerse contra ataques "fuera de banda" (como la captura de tráfico) mediante cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.
Aunque esto es opcional para el tráfico en redes privadas, esto es fundamental para el tráfico en redes públicas y externas. Para el tráfico HTTP, asegúrese de que los clientes que se conectan a los recursos de Azure pueden negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar las versiones y protocolos SSL, TLS y SSH obsoletos y los cifrados débiles.
De forma predeterminada, Azure proporciona cifrado para los datos en tránsito entre los centros de datos de Azure.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):
DP-5: Cifrar datos confidenciales en reposo
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Para complementar los controles de acceso, los datos en reposo deben protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante el cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.
Azure proporciona cifrado para los datos en reposo de forma predeterminada. Para datos altamente confidenciales, tiene opciones para implementar cifrado adicional en reposo en todos los recursos de Azure donde estén disponibles. Azure administra las claves de cifrado de forma predeterminada, pero Azure proporciona opciones para administrar sus propias claves (claves administradas por el cliente) para determinados servicios de Azure.
Responsabilidad: Compartido
Partes interesadas de la seguridad del cliente (más información):