Udostępnij przez

Kontrola zabezpieczeń V2: Ochrona danych

Uwaga / Notatka

Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.

Ochrona danych obejmuje kontrolę ochrony danych w spoczynku, podczas przesyłania i za pośrednictwem autoryzowanych mechanizmów dostępu. Obejmuje to odnajdywanie, klasyfikowanie, ochronę i monitorowanie poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania i rejestrowania na platformie Azure.

Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: ochrona danych

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-1 13.1, 14.5, 14.7 SC-28

Odnajduj, klasyfikuj i oznaczaj poufne dane, aby można było zaprojektować odpowiednie mechanizmy kontroli w celu zapewnienia bezpiecznego przechowywania, przetwarzania i przesyłania poufnych informacji przez systemy technologiczne organizacji.

Użyj usługi Azure Information Protection (i skojarzonego z nią narzędzia do skanowania) w przypadku poufnych informacji w dokumentach pakietu Office na platformie Azure, lokalnie, w usłudze Office 365 i w innych lokalizacjach.

Za pomocą usługi Azure SQL Information Protection można pomóc w klasyfikowaniu i etykietowaniu informacji przechowywanych w Azure SQL Databases.

Odpowiedzialność: wspólna

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-2: Ochrona poufnych danych

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-2 13.2, 2.10 SC-7, AC-4

Chroń poufne dane, ograniczając dostęp przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure, kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie rodzaje kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategia segmentacji przedsiębiorstwa powinna być również informowana przez lokalizację poufnych lub krytycznych danych i systemów dla funkcjonowania firmy.

W przypadku podstawowej platformy, która jest zarządzana przez firmę Microsoft, firma Microsoft traktuje całą zawartość klienta jako poufną i chroni przed utratą i ujawnieniem danych klienta. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: wspólna

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-3: Monitorowanie nieautoryzowanego transferu poufnych danych

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-3 13.3 AC-4, SI-4

Monitoruj nieautoryzowany transfer danych do lokalizacji znajdujących się poza widocznością i kontrolą przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Usługi Azure Defender for Storage i Azure SQL ATP mogą otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Usługa Azure Information Protection (AIP) zapewnia możliwości monitorowania informacji, które zostały sklasyfikowane i oznaczone etykietami.

Jeśli jest to wymagane w celu zapewnienia zgodności z ochroną przed utratą danych (DLP), można użyć rozwiązania DLP opartego na hoście, aby wymusić mechanizmy kontroli detektywistycznej i/lub zapobiegawczej, aby zapobiec eksfiltracji danych.

Odpowiedzialność: wspólna

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-4 14.4 SC-8

Aby uzupełnić kontrolę dostępu, przesyłane dane powinny być chronione przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania, aby zapewnić, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: wspólna

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-5: Szyfrowanie poufnych danych magazynowanych

Identyfikator Azure Identyfikator(y) Kontroli CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-5 14.8 SC-28, SC-12

Aby uzupełnić mechanizmy kontroli dostępu, dane w spoczynku powinny być chronione przed atakami "poza pasmem" (takimi jak dostęp do podstawowej pamięci masowej) za pomocą szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych dostępne są opcje zaimplementowania dodatkowego szyfrowania magazynowanego we wszystkich zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale platforma Azure udostępnia opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure.

Odpowiedzialność: wspólna

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

  • Last updated on