Freigeben über


Sicherheitskontrolle v3: Schutz von Daten

Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen, einschließlich des Auffindens, Klassifizierens, Schützens und Überwachens sensibler Datenbestände mithilfe von Zugriffssteuerung, Verschlüsselung, Schlüssel- und Zertifikatverwaltung in Azure.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Sicherheitsprinzip: Richten Sie einen Bestand der sensiblen Daten basierend auf dem definierten sensiblen Datenbereich ein, und verwalten Sie ihn. Verwenden Sie Tools zum Erkennen, Klassifizieren und Bezeichnen der vertraulichen Daten im betreffenden Bereich.

Azure-Leitfaden: Verwenden Sie Tools wie Microsoft Purview, Azure Information Protection und Azure SQL Datenermittlung und -klassifizierung, um die vertraulichen Daten, die sich in Azure, lokal, Microsoft 365 und an anderen Standorten befinden, zentral zu scannen, zu klassifizieren und zu kennzeichnen.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.13 AC-4, SI-4 A3.2

Sicherheitsprinzip: Überwachen Sie auf Anomalien im Bereich vertraulicher Daten, z. B. die nicht autorisierte Übertragung von Daten an Standorte außerhalb des Sichtbereichs und der Kontrolle des Unternehmens. Dies umfasst in der Regel die Überwachung anomaler Aktivitäten (große oder ungewöhnliche Übertragungen), die auf eine nicht autorisierte Datenexfiltration hindeuten können.

Azure-Leitfaden: Verwenden Sie Azure Information Protection (AIP), um die klassifizierten und bezeichneten Daten zu überwachen.

Verwenden Sie Azure Defender für Storage, Azure Defender für SQL und Azure Cosmos DB, um bei anomaler Übertragung von Informationen Warnungen zu erhalten, die auf nicht autorisierte Übertragungen vertraulicher Daten hindeuten können.

Hinweis: Wenn Compliance im Hinblick auf das Verhindern von Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung aus dem Azure Marketplace oder eine Microsoft 365-DLP-Lösung verwenden, um Erkennungs- und/oder präventive Kontrollen zu erzwingen und so die Datenexfiltration zu verhindern.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Sicherheitsprinzip: Schützen Sie in Übertragung begriffene Daten durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. Abfangen des Datenverkehrs), um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Legen Sie die Netzwerkgrenze und den Dienstbereich fest, in dem die Verschlüsselung von Daten während der Übertragung innerhalb und außerhalb des Netzwerks obligatorisch ist. Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung.

Azure-Leitfaden: Erzwingen Sie die sichere Übertragung in Diensten wie Azure Storage, in denen eine native Verschlüsselungsfunktion für in Übertragung begriffene Daten bereitgestellt wird.

Erzwingen Sie HTTPS für Workloadwebanwendungen und -dienste, indem Sie sicherstellen, dass alle Clients, die eine Verbindung mit Ihren Azure-Ressourcen herstellen, TLS (Transport Layer Security) v1.2 oder höher verwenden. Verwenden Sie für die Remoteverwaltung von VMs SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.

Hinweis: Die Verschlüsselung von Daten während der Übertragung ist für den gesamten Azure-Datenverkehr zwischen Azure-Rechenzentren aktiviert. TLS v1.2 oder höher ist für die meisten Azure-PaaS-Dienste standardmäßig aktiviert.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3,11 SC-28 3.4, 3.5

Sicherheitsprinzip: Als Ergänzung zu Zugriffssteuerungen sollten ruhende Daten durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. Zugriffen auf den zugrunde liegenden Speicher) geschützt werden. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.

Azure-Leitfaden: Für viele Azure-Dienste ist die Verschlüsselung ruhender Daten mit einem vom Dienst verwalteten Schlüssel standardmäßig auf Infrastrukturebene aktiviert.

Sofern technisch möglich und standardmäßig nicht aktiviert, können Sie die Verschlüsselung ruhender Daten in den Azure-Diensten oder für die Verschlüsselung auf Speicherebene, Dateiebene oder Datenbankebene auf Ihren VMs aktivieren.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
3,11 SC-12, SC-28 3.4, 3.5, 3.6

Sicherheitsprinzip: Wenn dies für die Einhaltung gesetzlicher Bestimmungen benötigt wird, definieren Sie den Anwendungsfall und den Dienstbereich, in dem die Option für kundenseitig verwaltete Schlüssel erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Azure-Leitfaden: Azure bietet für bestimmte Dienste auch eine Verschlüsselungsoption mithilfe von Schlüsseln, die von Ihnen selbst verwaltet werden (kundenseitig verwaltete Schlüssel). Die Verwendung der Option kundenseitig verwalteter Schlüssel erfordert jedoch zusätzliche betriebliche Maßnahmen zur Verwaltung des Schlüssellebenszyklus. Dazu können beispielsweise die Generierung von Verschlüsselungsschlüsseln, die Rotation, das Widerrufen und die Zugriffssteuerung gehören.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
IA-5, SC-12, SC-28 3.6

Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Unternehmensstandard für die Kryptografieschlüsselverwaltung sowie Prozesse und Verfahren zur Steuerung des Schlüssellebenszyklus. Wenn ein kundenseitig verwalteter Schlüssel in den Diensten verwendet werden muss, nutzen Sie einen geschützten Schlüsseltresordienst für die Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels.

Azure-Leitfaden: Verwenden Sie Azure Key Vault, um ihren Lebenszyklus von Verschlüsselungsschlüsseln zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf dem definierten Zeitplan und bei Außerbetriebnahme oder Kompromittierung eines Schlüssels.

Wenn kundenseitig verschlüsselte Schlüssel (Customer-Managed Key, CMK) in den Workloaddiensten oder -anwendungen verwendet werden müssen, befolgen Sie die bewährten Methoden:

  • Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) in Ihrem Schlüsseltresor zu generieren.
  • Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs in jedem Dienst und jeder Anwendung implementiert werden.

Wenn Sie Ihren eigenen Schlüssel (Bring Your Own Key, BYOK) in die Dienste importieren müssen (d. h. HSM-geschützte Schlüssel von Ihren lokalen HSMs in Azure Key Vault importieren), befolgen Sie die empfohlene Richtlinie bei der Schlüsselgenerierung und Schlüsselübertragung.

Hinweis: Im Folgenden finden Sie den FIPS 140-2 Level für Azure Key Vault-Typen und die FIPS-Konformitätsstufe.

  • Softwaregeschützte Schlüssel in Tresoren (Premium & Standard-SKUs): FIPS 140-2 Level 1
  • Durch HSM geschützte Schlüssel in Tresoren (Premium-SKU): FIPS 140-2 Level 2
  • Durch HSM geschützte Schlüssel in verwaltetem HSM: FIPS 140-2 Level 3

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
IA-5, SC-12, SC-17 3.6

Sicherheitsprinzip: Dokumentieren und implementieren Sie einen Verwaltungsstandard für Unternehmenszertifikate sowie Prozesse und Verfahren, die die Steuerung des Zertifikatlebenszyklus und Zertifikatrichtlinien umfassen (wenn eine Infrastruktur mit öffentlichem Schlüssel erforderlich ist).

Stellen Sie sicher, dass die von den kritischen Diensten in Ihrer Organisation verwendeten Zertifikate rechtzeitig inventarisiert, nachverfolgt, überwacht und erneuert werden, indem Sie automatisierte Mechanismen einsetzen, um Dienstunterbrechungen zu vermeiden.

Azure-Leitfaden: Verwenden Sie Azure Key Vault, um den Zertifikatlebenszyklus zu erstellen und zu steuern, einschließlich Erstellung/Import, Rotation, Sperrung, Speicherung und Bereinigung des Zertifikats. Stellen Sie sicher, dass die Zertifikatgenerierung dem definierten Standard entspricht, ohne unsichere Eigenschaften wie beispielsweise eine unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer oder unsichere Kryptografie zu verwenden. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault und dem Azure-Dienst (sofern unterstützt) basierend auf dem definierten Zeitplan und nach Ablauf eines Zertifikats ein. Wenn die automatische Rotation in der Frontanwendung nicht unterstützt wird, verwenden Sie eine manuelle Rotation in Azure Key Vault.

Aufgrund der eingeschränkten Sicherheitsgarantie sollten Sie die Verwendung von selbstsignierten Zertifikaten und Platzhalterzertifikaten in Ihren kritischen Diensten vermeiden. Stattdessen können Sie ein öffentlich signiertes Zertifikat in Azure Key Vault erstellen. Die folgenden Zertifizierungsstellen sind aktuelle Azure Key Vault-Partneranbieter.

  • DigiCert: Azure Key Vault bietet OV-TLS-/SSL-Zertifikate mit DigiCert.
  • GlobalSign: Azure Key Vault bietet OV-TSL-/SSL-Zertifikate mit GlobalSign.

Hinweis: Verwenden Sie nur genehmigte Zertifizierungsstellen,und stellen Sie sicher, dass die fehlerhaften Stamm-/Zwischenzertifikate und die von der bekanntermaßen fehlerhaften Zertifizierungsstelle ausgestellten Zertifikate deaktiviert sind.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-8: Sicherstellen der Sicherheit des Schlüssel- und Zertifikatrepositorys

CIS Controls v8-ID(s) ID(s) von NIST SP 800-53 r4 PCI-DSS-ID(s) v3.2.1
IA-5, SC-12, SC-17 3.6

Sicherheitsprinzip: Stellen Sie die Sicherheit des Schlüsseltresordiensts sicher, der für die Verwaltung des Kryptografieschlüssels und des Zertifikatlebenszyklus verwendet wird. Verstärken Sie Ihren Schlüsseltresordienst durch Zugriffssteuerung, Netzwerksicherheit, Protokollierung, Überwachung und Sicherung, um sicherzustellen, dass Schlüssel und Zertifikate immer mit der maximalen Sicherheit geschützt werden.

Azure-Leitfaden: Schützen Sie Ihre Kryptografieschlüssel und Zertifikate, indem Sie Ihren Azure Key Vault-Dienst mithilfe der folgenden Kontrollen zusätzlich absichern:

  • Schränken Sie den Zugriff auf Schlüssel und Zertifikate in Azure Key Vault mithilfe integrierter Zugriffsrichtlinien oder Azure RBAC ein, um sicherzustellen, dass das Prinzip der geringsten Rechte für den Zugriff auf Verwaltungs- und Datenebene angewendet wird.
  • Schützen Sie Azure Key Vault mit Private Link und Azure Firewall, um eine geringstmögliche Gefährdung des Diensts sicherzustellen.
  • Stellen Sie die Aufgabentrennung sicher, damit Benutzer, die Verschlüsselungsschlüssel verwalten, keine Möglichkeit zum Zugriff auf verschlüsselte Daten haben und umgekehrt.
  • Verwenden Sie eine verwaltete Identität, um in Ihren Workloadanwendungen auf in Azure Key Vault gespeicherte Schlüssel zuzugreifen.
  • Speichern Sie die Schlüssel niemals im Klartextformat außerhalb von Azure Key Vault.
  • Stellen Sie beim endgültigen Löschen von Daten sicher, dass Ihre Schlüssel nicht gelöscht werden, bevor die eigentlichen Daten, Sicherungen und Archive gelöscht wurden.
  • Sichern Sie Ihre Schlüssel und Zertifikate mithilfe von Azure Key Vault. Aktivieren Sie das vorläufige Löschen und den Löschschutz, um das versehentliche Löschen von Schlüsseln zu vermeiden.
  • Aktivieren Sie die Azure Key Vault-Protokollierung, um sicherzustellen, dass die kritischen Aktivitäten auf Verwaltungs- und Datenebene protokolliert werden.

Implementierung und zusätzlicher Kontext:

Sicherheitsverantwortliche beim Kunden (weitere Informationen):