Řízení zabezpečení v3: Ochrana dat

  • Článek

Ochrana dat zahrnuje kontrolu nad ochranou neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a certifikátů v Azure.

DP-1: Zjišťování, klasifikace a označování citlivých dat

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Princip zabezpečení: Vytvořte a udržujte inventář citlivých dat na základě definovaného rozsahu citlivých dat. Pomocí nástrojů můžete zjišťovat, klasifikovat a označovat citlivá data v oboru.

Pokyny pro Azure: Pomocí nástrojů, jako jsou Microsoft Purview, Azure Information Protection a Azure SQL Data Discovery and Classification, můžete centrálně kontrolovat, klasifikovat a označovat citlivá data, která se nacházejí v Azure, místním prostředí, Microsoftu 365 a dalších umístěních.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-2: Monitorování anomálií a hrozeb cílených na citlivá data

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.13 AC-4, SI-4 A3.2

Princip zabezpečení: Monitorujte anomálie týkající se citlivých dat, jako je neoprávněný přenos dat do umístění mimo viditelnost a kontrolu podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.

Pokyny pro Azure: Pomocí služby Azure Information Protection (AIP) můžete monitorovat klasifikovaná a označená data.

Pomocí Azure Defenderu for Storage, Azure Defenderu pro SQL a Azure Cosmos DB můžete upozorňovat na neobvyklý přenos informací, které můžou znamenat neautorizované přenosy citlivých dat.

Poznámka: Pokud to vyžaduje dodržování předpisů v oblasti ochrany před únikem informací, můžete použít řešení ochrany před únikem informací založené na hostiteli z Azure Marketplace nebo řešení Microsoft 365 ochrany před únikem informací k vynucení detektivních nebo preventivních kontrolních mechanismů, které zabrání exfiltraci dat.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-3: Šifrování přenášených citlivých dat

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Princip zabezpečení: Chraňte přenášená data před útoky mimo pásmo (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli snadno číst nebo upravovat data.

Nastavte hranici sítě a obor služby, kde je šifrování přenášených dat povinné v síti i mimo síť. I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích.

Pokyny pro Azure: Vynucování zabezpečeného přenosu ve službách, jako je Azure Storage, kde je integrovaná funkce nativního šifrování přenášených dat.

Vynucujte https pro webové aplikace a služby úloh tím, že zajistíte, aby klienti připojující se k vašim prostředkům Azure používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější. Pro vzdálenou správu virtuálních počítačů použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).

Poznámka: Šifrování přenášených dat je povolené pro veškerý provoz Azure přenášený mezi datovými centry Azure. Ve většině služeb Azure PaaS je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.11 SC-28 3.4, 3.5

Princip zabezpečení: V rámci řízení přístupu by měla být neaktivní uložená data chráněná před útoky mimo pásmo (například přístup k základnímu úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli snadno číst ani upravovat data.

Pokyny pro Azure: Mnoho služeb Azure má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou.

Pokud je to technicky možné a ve výchozím nastavení není povolené, můžete povolit šifrování neaktivních uložených dat ve službách Azure nebo na virtuálních počítačích pro šifrování na úrovni úložiště, na úrovni souborů nebo databáze.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Princip zabezpečení: V případě potřeby pro dodržování právních předpisů definujte případ použití a rozsah služby, kde je potřeba klíč spravovaný zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službách.

Pokyny pro Azure: Azure také poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro určité služby. Použití možnosti klíče spravovaného zákazníkem však vyžaduje další provozní úsilí ke správě životního cyklu klíče. To může zahrnovat generování šifrovacího klíče, obměna, odvolávání a řízení přístupu atd.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-6: Použití zabezpečeného procesu správy klíčů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-28 3,6

Princip zabezpečení: Zdokumentujte a implementujte standard správy kryptografických klíčů podniku, procesy a postupy pro řízení životního cyklu klíče. Pokud ve službách potřebujete použít klíč spravovaný zákazníkem, použijte pro generování, distribuci a ukládání klíčů zabezpečenou službu trezoru klíčů. Obměňujte a odvolávejte své klíče na základě definovaného plánu a v případě, že dojde k vyřazení nebo ohrožení zabezpečení klíče.

Pokyny k Azure: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte klíče v Azure Key Vault a vaší službě na základě definovaného plánu a v případě klíčového vyřazení nebo ohrožení zabezpečení.

Pokud ve službách nebo aplikacích úloh potřebujete použít klíč spravovaný zákazníkem (CMK), ujistěte se, že postupujete podle osvědčených postupů:

  • Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) v trezoru klíčů.
  • Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a implementujte je prostřednictvím ID klíčů v každé službě nebo aplikaci.

Pokud potřebujete do služeb použít vlastní klíč (BYOK) (tj. importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte generování a přenos klíčů.

Poznámka: Níže najdete informace o úrovni FIPS 140-2 pro typy azure Key Vault a úroveň dodržování předpisů FIPS.

  • Klíče chráněné softwarem v trezorech (skladové položky Premium & Standard): FIPS 140-2 Level 1
  • Klíče v trezorech chráněné HSM (SKU Premium): FIPS 140-2 Level 2
  • Klíče chráněné HSM ve spravovaném HSM: FIPS 140-2 Level 3

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-7: Použití zabezpečeného procesu správy certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Zdokumentujte a implementujte standard správy podnikových certifikátů, procesy a postupy, které zahrnují řízení životního cyklu certifikátů a zásady certifikátů (pokud je potřeba infrastruktura veřejných klíčů).

Ujistěte se, že certifikáty používané důležitými službami ve vaší organizaci jsou inventarizovány, sledovány, monitorovány a obnovovány pomocí automatizovaného mechanismu, aby se zabránilo přerušení služeb.

Pokyny k Azure: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus certifikátu, včetně vytvoření/importu, obměně, odvolání, ukládání a vymazání certifikátu. Ujistěte se, že generování certifikátu odpovídá definovanému standardu bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, příliš dlouhá doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu v Azure Key Vault a službě Azure (pokud se podporuje) na základě definovaného plánu a v případě vypršení platnosti certifikátu. Pokud se automatická rotace ve frontové aplikaci nepodporuje, použijte ruční otočení v Azure Key Vault.

Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení zabezpečení. Místo toho můžete vytvořit certifikát s veřejným podpisem v Azure Key Vault. Následující certifikační autority jsou aktuálně poskytovatelé ve spolupráci s Azure Key Vault.

  • DigiCert: Azure Key Vault nabízí certifikáty OV TLS/SSL s DigiCert.
  • GlobalSign: Azure Key Vault nabízí certifikáty OV TLS/SSL s GlobalSign.

Poznámka: Používejte pouze schválenou certifikační autoritu (CA) a ujistěte se, že jsou zakázané známé chybné kořenové nebo zprostředkující certifikáty certifikační autority a certifikáty vydané těmito certifikačními autoritami.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DP-8: Zajištění zabezpečení úložiště klíčů a certifikátů

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
IA-5, SC-12, SC-17 3,6

Princip zabezpečení: Zajistěte zabezpečení služby trezoru klíčů, která se používá pro správu kryptografického klíče a životního cyklu certifikátů. Posílení zabezpečení služby Key Vault prostřednictvím řízení přístupu, zabezpečení sítě, protokolování a monitorování a zálohování, aby se zajistilo, že klíče a certifikáty budou vždy chráněné s využitím maximálního zabezpečení.

Pokyny k Azure: Zabezpečení kryptografických klíčů a certifikátů posílením zabezpečení služby Azure Key Vault pomocí následujících ovládacích prvků:

  • Omezte přístup ke klíčům a certifikátům v Azure Key Vault pomocí předdefinovaných zásad přístupu nebo Azure RBAC, abyste zajistili použití principu nejnižších oprávnění pro přístup k rovině správy a přístupu k rovině dat.
  • Zabezpečení Key Vault Azure pomocí Private Link a Azure Firewall k zajištění minimálního ohrožení služby
  • Zajistěte oddělení povinností pro uživatele, kteří spravují šifrovací klíče, aby neměli přístup k šifrovaným datům a naopak.
  • Spravovanou identitu použijte pro přístup ke klíčům uloženým v Azure Key Vault v aplikacích úloh.
  • Klíče nikdy nesmí být uložené mimo Key Vault Azure ve formátu prostého textu.
  • Při mazání dat se ujistěte, že vaše klíče nejsou odstraněny před vymazáním samotných dat, záloh a archivů.
  • Zálohujte klíče a certifikáty pomocí azure Key Vault. Povolte obnovitelné odstranění a ochranu před vymazáním, abyste zabránili náhodnému odstranění klíčů.
  • Zapněte protokolování Azure Key Vault, abyste zajistili protokolování kritické roviny správy a aktivit roviny dat.

Implementace a další kontext:

Účastníci zabezpečení zákazníků (další informace):