Biztonságvezérlés: Adatvédelem

Megjegyzés

A legfrissebb Azure Security Benchmark itt érhető el.

Az adatvédelmi javaslatok a titkosítással, a hozzáférés-vezérlési listákkal, az identitásalapú hozzáférés-vezérléssel és az adathozzáférés naplózásával kapcsolatos problémák kezelésére összpontosítanak.

4.1: Bizalmas információk leltárának karbantartása

Azure-azonosító	CIS-azonosítók	Felelősség
4.1	13,1	Ügyfél

Címkék használatával nyomon követheti a bizalmas adatokat tároló vagy feldolgozó Azure-erőforrásokat.

• Címkék létrehozása és használata

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Azure-azonosító	CIS-azonosítók	Felelősség
4.2	13.2, 2.10	Ügyfél

Az elkülönítést különálló előfizetések és felügyeleti csoportok használatával valósíthatja meg az egyes biztonsági tartományokhoz, például a környezettípushoz és az adatok bizalmassági szintjéhez. Korlátozhatja az alkalmazások és vállalati környezetek által igényelt Azure-erőforrásokhoz való hozzáférést. Az Azure-erőforrásokhoz való hozzáférést azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) szabályozhatja.

• További Azure-előfizetések létrehozása

• Felügyeleti csoportok létrehozása

• Címkék létrehozása és használata

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Azure-azonosító	CIS-azonosítók	Felelősség
4.3	13.3	Megosztott

Használja ki a Azure Marketplace egy külső megoldását a hálózati szegélyhálózatokon, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

• Az ügyféladatok Azure-beli védelmének ismertetése

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Azure-azonosító	CIS-azonosítók	Felelősség
4.4	14,4	Megosztott

Titkosítsa az átvitel alatt lévő összes bizalmas információt. Győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére.

Kövesse Azure Security Center inaktív állapotban történő titkosításra és adott esetben az átvitel közbeni titkosításra vonatkozó javaslatokat.

• Az Azure-ral történő átvitel közbeni titkosítás ismertetése

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Azure-azonosító	CIS-azonosítók	Felelősség
4,5	14,5	Megosztott

Ha az Azure-ban nem érhető el funkció az adott szolgáltatáshoz, használjon egy külső gyártótól származó aktív felderítési eszközt a szervezet technológiai rendszerei által tárolt, feldolgozott vagy továbbított bizalmas információk azonosítására, beleértve a helyszínen vagy egy távoli szolgáltatónál található adatokat is, és frissítse a szervezet bizalmas adatainak leltárát.

Az Azure Information Protection használatával azonosíthat bizalmas adatokat a Microsoft 365-dokumentumokban.

A Azure SQL Information Protection használatával segítheti az Azure SQL Database-ben tárolt információk besorolását és címkézését.

• Az Azure SQL-adatfelderítés implementálása

• Az Azure Information Protection implementálása

• Az ügyféladatok Azure-beli védelmének ismertetése

4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés szabályozásához

Azure-azonosító	CIS-azonosítók	Felelősség
4,6	14.6	Ügyfél

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával szabályozhatja az adatokhoz és erőforrásokhoz való hozzáférést, máskülönben szolgáltatásspecifikus hozzáférés-vezérlési módszereket használhat.

• Az Azure RBAC konfigurálása

4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez

Azure-azonosító	CIS-azonosítók	Felelősség
4.7	14,7	Megosztott

Ha a számítási erőforrások megfelelőségéhez szükséges, implementáljon egy harmadik féltől származó eszközt, például egy automatizált, gazdagépalapú adatveszteség-megelőzési megoldást, amely akkor is kényszeríti a hozzáférés-vezérlést az adatokra, ha az adatokat kimásolják egy rendszerből.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

• Az ügyféladatok Azure-beli védelmének ismertetése

4.8: Bizalmas adatok titkosítása inaktív állapotban

Azure-azonosító	CIS-azonosítók	Felelősség
4.8	14,8	Ügyfél

Inaktív titkosítás használata az összes Azure-erőforráson. A Microsoft azt javasolja, hogy az Azure kezelje a titkosítási kulcsokat, egyes esetekben azonban lehetősége van saját kulcsok kezelésére.

• Inaktív adatok Azure-ban való titkosításának ismertetése

• Ügyfél által felügyelt titkosítási kulcsok konfigurálása

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Azure-azonosító	CIS-azonosítók	Felelősség
4.9	14,9	Ügyfél

Az Azure Monitor és az Azure-tevékenységnapló használatával riasztásokat hozhat létre a kritikus Fontosságú Azure-erőforrások változásairól.

• Riasztások létrehozása az Azure-tevékenységnapló-eseményekhez

Következő lépések

• Lásd a következő biztonsági vezérlőt: Biztonsági rések kezelése