注释
此处提供了最 up-to日期的 Azure 安全基准。
数据保护涵盖对静态数据保护、传输中和通过授权访问机制的控制。 这包括使用 Azure 中的访问控制、加密和日志记录发现、分类、保护和监视敏感数据资产。
若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准法规合规性内置计划的详细信息:数据保护
DP-1:对敏感数据进行发现、分类和标记
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
发现、分类和标记敏感数据,以便设计适当的控件,以确保由组织的技术系统安全地存储、处理和传输敏感信息。
使用 Azure 信息保护(及其关联的扫描工具)在 Azure、本地、Office 365 和其他位置的 Office 文档内获取敏感信息。
使用 Azure SQL 信息保护有助于对 Azure SQL 数据库中存储的信息进行分类和标记。
责任:共享
客户安全利益干系人 (了解详细信息):
DP-2:保护敏感数据
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7、AC-4 |
使用 Azure 基于角色的访问控制(Azure RBAC)、基于网络的访问控制以及 Azure 服务中的特定控制(例如 SQL 和其他数据库中的加密)来保护敏感数据。
为了确保一致的访问控制,所有类型的访问控制都应符合企业分段策略。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。
对于由Microsoft管理的基础平台,Microsoft将所有客户内容视为敏感内容,并防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft实现了一些默认数据保护控制和功能。
责任:共享
客户安全利益干系人 (了解详细信息):
DP-3:监视未经授权的敏感数据传输
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-3 | 13.3 | AC-4、SI-4 |
监视未经授权的数据传输,尤其是传输到超出企业的可见性和控制范围的位置。 这通常涉及监视那些可能意味着未经授权的数据外泄的异常活动(大型或异常传输)。
Azure Defender for Storage 和 Azure SQL ATP 可以针对可能指示未经授权的敏感信息传输的信息异常传输发出警报。
Azure 信息保护 (AIP) 提供的监视功能针对已分类并标记的信息。
如果需要符合数据丢失防护(DLP),可以使用基于主机的 DLP 解决方案来强制实施检测和/或预防控制,以防止数据外泄。
责任:共享
客户安全利益干系人 (了解详细信息):
DP-4:加密传输中的敏感信息
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
为了补充访问控制,应使用加密保护传输中的数据免受“带外”攻击(如流量捕获),以确保攻击者无法轻松读取或修改数据。
虽然这对于专用网络上的流量是可选的,但这对于外部和公用网络上的流量至关重要。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端都可以协商 TLS v1.2 或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是未加密的协议。 应禁用已过时的 SSL、TLS 和 SSH 版本和协议以及弱密码。
默认情况下,Azure 为 Azure 数据中心之间的传输中的数据提供加密。
责任:共享
客户安全利益干系人 (了解详细信息):
DP-5:加密静态敏感数据
| Azure ID | CIS Controls v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-5 | 14.8 | SC-28、SC-12 |
为了补充访问控制,静态数据应受到保护,以防止使用加密的“带外”攻击(例如访问基础存储)。 这有助于确保攻击者无法轻松读取或修改数据。
默认情况下,Azure 为静态数据提供加密。 对于高度敏感的数据,可以选择在所有可用的 Azure 资源上实现其他静态加密。 Azure 默认管理加密密钥,但 Azure 提供用于管理某些 Azure 服务自己的密钥(客户管理的密钥)的选项。
责任:共享
客户安全利益干系人 (了解详细信息):