共用方式為

安全性控制 V2:數據保護

備註

您可以 在這裡取得最 up-to日期的 Azure 安全性效能評定。

數據保護涵蓋靜止數據、傳輸過程中的數據,以及透過授權的存取機制對數據保護的控制。 這包括使用 Azure 中的訪問控制、加密和記錄來探索、分類、保護及監視敏感數據資產。

若要查看適用的內建 Azure 原則,請參閱 Azure 安全性基準檢驗法規合規性內建方案的詳細數據:數據保護

DP-1:探索、分類和標記敏感數據

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
DP-1 13.1, 14.5, 14.7 SC-28

探索、分類和標記敏感數據,以便設計適當的控件,以確保機密資訊會由組織的技術系統安全地儲存、處理和傳輸。

使用 Azure 資訊保護(及其相關聯的掃描工具)在 Azure、內部部署、Office 365 和其他位置的 Office 檔內取得敏感性資訊。

您可以使用 Azure SQL 資訊保護來協助分類和標記儲存在 Azure SQL Database 中的資訊。

責任:共用

客戶安全性項目關係人深入瞭解):

DP-2:保護敏感數據

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
DP-2 13.2, 2.10 SC-7、AC-4

使用 Azure 角色型存取控制(Azure RBAC)、網路型存取控制,以及 Azure 服務中的特定控制項來限制存取,以保護敏感數據(例如 SQL 和其他資料庫中的加密)。

為了確保一致的訪問控制,所有類型的訪問控制都應該符合您的企業分割策略。 企業的分割策略也應根據敏感或業務關鍵的資料與系統的位置來制定。

對於由 Microsoft 管理的基礎平臺,Microsoft會將所有客戶內容視為敏感性,並防範客戶數據遺失和暴露。 為了確保 Azure 中的客戶數據保持安全,Microsoft已實作一些預設數據保護控件和功能。

責任:共用

客戶安全性項目關係人深入瞭解):

DP-3:監視未經授權的敏感數據傳輸

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
DP-3 13.3 AC-4、SI-4

監視未經授權將數據傳輸到企業可見度和控制範圍以外的位置。 這通常牽涉到監視異常活動(大型或不尋常的傳輸),這可能表示未經授權的數據外洩。

適用於記憶體的 Azure Defender 和 Azure SQL ATP 可以針對可能表示未經授權傳輸敏感性資訊的資訊異常傳輸發出警示。

Azure 資訊保護 (AIP) 提供已分類和標示之資訊的監視功能。

如果需要符合數據外洩防護 (DLP),您可以使用主機型 DLP 解決方案來強制執行偵測和/或預防控制,以防止數據外流。

責任:共用

客戶安全性項目關係人深入瞭解):

DP-4:加密傳輸中的敏感性資訊

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
DP-4 14.4 SC-8

為了補充訪問控制,傳輸中的數據應該受到保護,以防止使用加密的「頻外」攻擊(例如流量擷取),以確保攻擊者無法輕易讀取或修改數據。

雖然這對於私人網路的流量而言為選擇性,但對於外部和公用網路的流量而言不可或缺。 針對 HTTP 流量,請確定任何連線到 Azure 資源的用戶端都可以交涉 TLS v1.2 或更高版本。 針對遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS (適用於 Windows),而不是未加密的通訊協定。 已淘汰的 SSL、TLS 和 SSH 版本和通訊協定,以及弱式加密應該停用。

根據預設,Azure 會為 Azure 資料中心之間的傳輸中數據提供加密。

責任:共用

客戶安全性項目關係人深入瞭解):

DP-5:加密靜止敏感數據

Azure 識別碼 CIS 控制項 v7.1 識別碼 NIST SP 800-53 r4 識別碼
DP-5 14.8 SC-28、SC-12

為了補充訪問控制,待用數據應受到保護,以防止使用加密的「頻外」攻擊(例如存取基礎記憶體)。 這有助於確保攻擊者無法輕易讀取或修改數據。

Azure 預設會提供待用數據的加密。 對於高度敏感數據,您可以選擇在所有可用的 Azure 資源中實作額外的靜態加密。 Azure 預設會管理您的加密金鑰,但 Azure 會提供選項來管理特定 Azure 服務的您自己的金鑰(客戶自控密鑰)。

責任:共用

客戶安全性項目關係人深入瞭解):

  • Last updated on