Řízení zabezpečení V2: Ochrana dat
Poznámka
Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.
Ochrana dat zahrnuje kontrolu neaktivních uložených uložených dat, přenosu a prostřednictvím autorizovaných přístupových mechanismů. To zahrnuje zjišťování, klasifikaci, ochranu a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování a protokolování v Azure.
Pokud chcete zobrazit příslušné integrované Azure Policy, přečtěte si podrobnosti o integrované iniciativě dodržování právních předpisů srovnávacích testů zabezpečení Azure: Data Protection
DP-1: Zjišťování, klasifikace a označení citlivých dat
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Objevte, klasifikujte a označte citlivá data, abyste mohli navrhnout odpovídající ovládací prvky, které zajistí, aby se citlivé informace ukládaly, zpracovávaly a přenášely bezpečně v technologických systémech organizace.
V případě citlivých informací v rámci dokumentů Office v Azure, místním prostředí, Office 365 a dalších umístěních můžete využít službu Azure Information Protection (a přidružený nástroj pro zjišťování).
Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
DP-2: Ochrana citlivých dat
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Chraňte citlivá data omezením přístupu pomocí řízení přístupu na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování v SQL a dalších databázích).
Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
Pro základní platformu spravovanou Microsoftem platí, že Microsoft považuje veškerý obsah zákazníků za citlivý a zajišťuje ochranu před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
DP-3: Monitorování neoprávněného přenosu citlivých dat
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Monitorujte neoprávněný přenos dat do umístění mimo viditelnost a řízení podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.
Azure Defender for Storage a Azure SQL ATP může upozorňovat na neobvyklý přenos informací, které můžou znamenat neoprávněné přenosy citlivých informací.
Azure Information Protection (AIP) nabízí funkce monitorování důvěrných a označených informací.
Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
DP-4: Šifrování citlivých informací při přenosu
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
Aby bylo možné doplnit řízení přístupu, měla by být přenášená data chráněna před útoky mimo pásma (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.
I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že se klienti připojující k prostředkům Azure můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS a SSH a slabé šifry by měly být zakázané.
Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):
DP-5: Šifrování citlivých neaktivních uložených dat
| Azure ID | Id ovládacích prvků CIS v7.1 | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Pokud chcete doplnit řízení přístupu, měla by být neaktivní uložená data chráněna před útoky mimo pásma (jako je přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst nebo upravovat.
Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. Pro vysoce citlivá data máte možnosti implementovat další šifrování neaktivních uložených uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče, ale Azure nabízí možnosti správy vlastních klíčů (klíče spravované zákazníkem) pro určité služby Azure.
Odpovědnost: Sdílené
Účastníci zabezpečení zákazníků (další informace):