Security Control V2: Adatvédelem
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az Adatvédelem magában foglalja az inaktív, az átvitel alatt álló és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését. Ebbe beletartozik a bizalmas adategységek felderítése, besorolása, védelme és monitorozása hozzáférés-vezérléssel, titkosítással és naplózással az Azure-ban.
A vonatkozó beépített Azure Policy az Azure Security Benchmark jogszabályi megfelelőség beépített kezdeményezésének részleteiben találhatja meg: Adatvédelem
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Felderítheti, besorolhatja és címkézheti bizalmas adatait, így megtervezheti a megfelelő vezérlőket, hogy a bizalmas adatokat biztonságosan tárolhassa, feldolgozhassa és továbbítsa a szervezet technológiai rendszerei.
Az Azure-ban, a helyszínen, az Office 365-ben és máshol lévő Office-dokumentumokban található bizalmas információkhoz használja az Azure Information Protectiont (és a hozzá tartozó vizsgálati eszközt).
Az Azure SQL Information Protection segítséget nyújthat az Azure SQL-adatbázisokban tárolt adatok besorolásában és címkézésében.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):
DP-2: A bizalmas adatok védelme
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
A bizalmas adatok védelme az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a hálózatalapú hozzáférés-vezérlés és az Azure-szolgáltatások meghatározott vezérlői (például az SQL és más adatbázisok titkosítása) használatával történő hozzáférés korlátozásával.
A következetes hozzáférés-vezérlés biztosításához a hozzáférés-vezérlés összes típusát a vállalati szegmentálási stratégiához kell igazítani. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.
A Microsoft által felügyelt mögöttes platformon a Microsoft az összes ügyféltartalmat bizalmasként kezeli, és védelmet nyújt az ügyfelek adatainak elvesztése és mások általi hozzáférése ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):
DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Figyelheti, hogy nem engedélyezett-e az adatok átvitele a vállalati láthatóságon és ellenőrzésen kívüli helyekre. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.
Az Azure Defender for Storage és a Azure SQL ATP riasztást küld a bizalmas adatok jogosulatlan átvitelére utaló rendellenes adattovábbításokról.
Az Azure Information Protection (AIP) a besorolt és címkézett információk monitorozását teszi lehetővé.
Ha az adatveszteség-megelőzési (data loss prevention, DLP) megfelelőséghez szükséges, egy gazdagépalapú DLP-megoldással észlelési és/vagy megelőzési célú vezérlőket kényszeríthet ki az adatok kiszivárogtatásának megakadályozása érdekében.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):
DP-4: Bizalmas információk átvitel közbeni titkosítása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| DP-4 | 14,4 | SC-8 |
A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal (például a forgalomrögzítéssel), hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.
Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatokon. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-, TLS- és SSH-verziókat és -protokollokat, valamint a gyenge titkosításokat.
Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):
DP-5: Inaktív bizalmas adatok titkosítása
| Azure-azonosító | CIS-vezérlők 7.1-s verziójú azonosító(k) | NIST SP 800-53 r4 AZONOSÍTÓ(k) |
|---|---|---|
| DP-5 | 14,8 | SC-28, SC-12 |
A hozzáférés-vezérlés kiegészítéseként az inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.
Az Azure alapértelmezés szerint titkosítást biztosít az inaktív adatokhoz. A rendkívül bizalmas adatok esetében lehetőség van további titkosítás implementálására az összes Azure-erőforráson, ahol elérhető. Alapértelmezés szerint az Azure kezeli a titkosítási kulcsokat, de az Azure bizonyos Azure-szolgáltatásokhoz saját kulcsok (ügyfél által kezelt kulcsok) kezelésére is kínál lehetőségeket.
Felelősség: Megosztott
Ügyfélbiztonsági érdekelt felek (további információ):