Biztonságvezérlés: Adatvédelem
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az adatvédelmi javaslatok a titkosítással, a hozzáférés-vezérlési listákkal, az identitásalapú hozzáférés-vezérléssel és az adathozzáférés naplózásával kapcsolatos problémák kezelésére összpontosítanak.
4.1: Bizalmas információk leltárának karbantartása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.1 | 13,1 | Ügyfél |
Címkék használatával nyomon követheti a bizalmas adatokat tároló vagy feldolgozó Azure-erőforrásokat.
4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.2 | 13.2, 2.10 | Ügyfél |
Az elkülönítést különálló előfizetések és felügyeleti csoportok használatával valósíthatja meg az egyes biztonsági tartományokhoz, például a környezettípushoz és az adatok bizalmassági szintjéhez. Korlátozhatja az alkalmazások és vállalati környezetek által igényelt Azure-erőforrásokhoz való hozzáférést. Az Azure-erőforrásokhoz való hozzáférést azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) szabályozhatja.
4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.3 | 13.3 | Megosztott |
Használja ki a Azure Marketplace egy külső megoldását a hálózati szegélyhálózatokon, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek.
A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.
4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.4 | 14,4 | Megosztott |
Titkosítsa az átvitel alatt lévő összes bizalmas információt. Győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére.
Kövesse Azure Security Center inaktív állapotban történő titkosításra és adott esetben az átvitel közbeni titkosításra vonatkozó javaslatokat.
4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4,5 | 14,5 | Megosztott |
Ha az Azure-ban nem érhető el funkció az adott szolgáltatáshoz, használjon egy külső gyártótól származó aktív felderítési eszközt a szervezet technológiai rendszerei által tárolt, feldolgozott vagy továbbított bizalmas információk azonosítására, beleértve a helyszínen vagy egy távoli szolgáltatónál található adatokat is, és frissítse a szervezet bizalmas adatainak leltárát.
Az Azure Information Protection használatával azonosíthat bizalmas adatokat a Microsoft 365-dokumentumokban.
A Azure SQL Information Protection használatával segítheti az Azure SQL Database-ben tárolt információk besorolását és címkézését.
4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés szabályozásához
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4,6 | 14.6 | Ügyfél |
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával szabályozhatja az adatokhoz és erőforrásokhoz való hozzáférést, máskülönben szolgáltatásspecifikus hozzáférés-vezérlési módszereket használhat.
4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.7 | 14,7 | Megosztott |
Ha a számítási erőforrások megfelelőségéhez szükséges, implementáljon egy harmadik féltől származó eszközt, például egy automatizált, gazdagépalapú adatveszteség-megelőzési megoldást, amely akkor is kényszeríti a hozzáférés-vezérlést az adatokra, ha az adatokat kimásolják egy rendszerből.
A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.
4.8: Bizalmas adatok titkosítása inaktív állapotban
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.8 | 14,8 | Ügyfél |
Inaktív titkosítás használata az összes Azure-erőforráson. A Microsoft azt javasolja, hogy az Azure kezelje a titkosítási kulcsokat, egyes esetekben azonban lehetősége van saját kulcsok kezelésére.
4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól
Azure-azonosító | CIS-azonosítók | Felelősség |
---|---|---|
4.9 | 14,9 | Ügyfél |
Az Azure Monitor és az Azure-tevékenységnapló használatával riasztásokat hozhat létre a kritikus Fontosságú Azure-erőforrások változásairól.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Biztonsági rések kezelése