Security Control v3: Adatvédelem

Az Adatvédelem magában foglalja az inaktív, az átvitel közbeni és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelmet, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcs- és tanúsítványkezeléssel az Azure-ban.

DP-1: Bizalmas adatok felderítése, osztályozása és címkézése

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Biztonsági elv: A bizalmas adatok leltárának létrehozása és karbantartása a meghatározott bizalmas adatok hatóköre alapján. Eszközökkel felderítheti, osztályozhatja és címkézheti a hatókörön belüli bizalmas adatokat.

Azure-útmutató: Az Azure-ban, a helyszínen, a Microsoft 365-ben és más helyeken található bizalmas adatok központi vizsgálatához, besorolásához és címkézéséhez olyan eszközöket használhat, mint a Microsoft Purview, az Azure Information Protection és a Azure SQL Data Discovery és a Classification.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.13 AC-4, SI-4 A3.2

Biztonsági elv: Figyelheti a bizalmas adatokkal kapcsolatos rendellenességeket, például az adatok jogosulatlan átvitelét a vállalati láthatóságon és ellenőrzésen kívüli helyekre. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.

Azure-útmutató: Az Azure Information Protection (AIP) használatával monitorozhatja a besorolt és címkézett adatokat.

Az Azure Defender for Storage, az SQL-hez készült Azure Defender és az Azure Cosmos DB használatával riasztást jeleníthet meg a bizalmas adatok jogosulatlan átvitelét jelző rendellenes adatok átviteléről.

Megjegyzés: Ha az adatveszteség-megelőzés (DLP) megfelelőségéhez szükséges, akkor a Azure Marketplace gazdagépalapú DLP-megoldásával vagy a Microsoft 365 DLP-megoldással kényszerítheti ki a detektív- és/vagy megelőző vezérlőket az adatkiszivárgás megakadályozása érdekében.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-3: Bizalmas adatok titkosítása átvitel közben

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Biztonsági elv: Az átvitt adatok védelme a "sávon kívüli" támadásokkal szemben (például forgalomrögzítés) titkosítással, hogy a támadók ne tudják könnyen beolvasni vagy módosítani az adatokat.

Állítsa be a hálózati határt és a szolgáltatás hatókörét, ahol az átviteltitkosításban lévő adatok kötelezőek a hálózaton belül és kívül. Bár ez nem kötelező a privát hálózatokon történő forgalomhoz, ez a külső és a nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú.

Azure-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Azure Storage, ahol egy natív adattitkosítási funkció van beépítve.

A HTTPS kényszerítése a számítási feladatok webalkalmazásai és szolgáltatásai számára annak biztosításával, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek a szállítási rétegbiztonság (TLS) 1.2-es vagy újabb verzióját használják. Virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windows esetén) a titkosítatlan protokoll helyett.

Megjegyzés: Az átviteli titkosításban lévő adatok az Azure-adatközpontok közötti összes Azure-forgalom esetében engedélyezve van. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb Azure PaaS-szolgáltatásban.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.11 SC-28 3.4, 3.5

Biztonsági elv: A hozzáférés-vezérlés kiegészítése érdekében a inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen beolvasni vagy módosítani az adatokat.

Azure-útmutató: Számos Azure-szolgáltatásban alapértelmezés szerint engedélyezve vannak az inaktív adatok a szolgáltatás által felügyelt kulcs használatával az infrastruktúrarétegben.

Ha technikailag megvalósítható, és alapértelmezés szerint nincs engedélyezve, engedélyezheti az azure-szolgáltatásokban vagy a virtuális gépeken az inaktív adatok titkosítását a tárolási, fájlszintű vagy adatbázisszintű titkosításhoz.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Biztonsági elv: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása ügyfél által felügyelt kulccsal a szolgáltatásokban.

Azure-útmutató: Az Azure titkosítási lehetőséget is biztosít a saját maga által kezelt kulcsok (ügyfél által felügyelt kulcsok) használatával bizonyos szolgáltatásokhoz. Az ügyfél által felügyelt kulcsbeállítás használatához azonban további üzemeltetési erőfeszítésekre van szükség a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

DP-6: Biztonságos kulcskezelési folyamat használata

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N/A IA-5, SC-12, SC-28 3,6

Biztonsági alapelv: Dokumentáljon és implementáljon egy vállalati titkosítási kulcskezelési szabványt, folyamatokat és eljárásokat a kulcséletciklus szabályozásához. Ha ügyfél által felügyelt kulcsot kell használnia a szolgáltatásokban, használjon biztonságos kulcstartó-szolgáltatást kulcslétrehozáshoz, terjesztéshez és tároláshoz. A kulcsok elforgatása és visszavonása a megadott ütemezés és a kulcsok kivonása vagy feltörése alapján.

Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vault-ban és a szolgáltatásban a megadott ütemezés és a kulcsok kivezetése vagy feltörése alapján.

Ha ügyfél által felügyelt kulcsot (CMK) kell használnia a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, győződjön meg arról, hogy követi az ajánlott eljárásokat:

  • Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban.
  • Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure-Key Vault és implementálása az egyes szolgáltatásokban vagy alkalmazásokban található kulcsazonosítókon keresztül.

Ha saját kulcsot (BYOK) kell használnia a szolgáltatásokhoz (azaz HSM által védett kulcsokat importál a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott útmutatót a kulcslétrehozáshoz és a kulcsátvitelhez.

Megjegyzés: Az alábbiakban az Azure Key Vault-típusok FIPS 140-2-es és FIPS-megfelelőségi szintjét találja.

  • Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & Standard termékváltozatok): FIPS 140-2 1. szint
  • HSM által védett kulcsok tárolókban (prémium termékváltozat): FIPS 140-2 2. szint
  • HSM által védett kulcsok a felügyelt HSM-ben: FIPS 140-2 3. szint

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

DP-7: Biztonságos tanúsítványkezelési folyamat használata

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N/A IA-5, SC-12, SC-17 3,6

Biztonsági elv: Dokumentáljon és implementáljon egy vállalati tanúsítványkezelési szabványt, folyamatokat és eljárásokat, amelyek magukban foglalják a tanúsítvány életciklus-vezérlését és a tanúsítványszabályzatokat (ha nyilvános kulcsú infrastruktúrára van szükség).

Győződjön meg arról, hogy a szervezet kritikus szolgáltatásai által használt tanúsítványok leltározása, nyomon követése, monitorozása és megújítása automatikus mechanizmussal történik a szolgáltatáskimaradás elkerülése érdekében.

Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és végleges törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványt, például nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás stb. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vault-ban és az Azure-szolgáltatásban (ha támogatott) a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használjon manuális rotációt az Azure Key Vault.

A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat nyilvánosan aláírt tanúsítványt az Azure Key Vault. A következő hitelesítésszolgáltatók az Azure Key Vault jelenlegi partnerszolgáltatói.

  • DigiCert: Az Azure Key Vault OV TLS-/SSL-tanúsítványokat kínál a DigiCerttel.
  • GlobalSign: Az Azure Key Vault OV TLS-/SSL-tanúsítványokat kínál a GlobalSign használatával.

Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy a hitelesítésszolgáltató által kibocsátott ismert hibás legfelső szintű/köztes tanúsítványok és tanúsítványok le vannak tiltva.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):

DP-8: A kulcs- és tanúsítványtár biztonságának biztosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
N/A IA-5, SC-12, SC-17 3,6

Biztonsági elv: Gondoskodjon a titkosítási kulcs és a tanúsítvány életciklusának kezeléséhez használt Key Vault-szolgáltatás biztonságáról. A kulcstartó-szolgáltatás megerősítéséhez hozzáférés-vezérlést, hálózati biztonságot, naplózást és monitorozást, valamint biztonsági mentést használjon annak érdekében, hogy a kulcsok és tanúsítványok mindig a maximális biztonság mellett legyenek védve.

Azure-útmutató: A titkosítási kulcsok és tanúsítványok biztonságossá tételéhez az Azure Key Vault szolgáltatást a következő vezérlőkkel teheti meg:

  • A kulcsokhoz és tanúsítványokhoz való hozzáférés korlátozása az Azure Key Vault beépített hozzáférési szabályzatokkal vagy az Azure RBAC-vel annak érdekében, hogy a legkisebb jogosultsági elv érvényesüljön a felügyeleti síkhoz és az adatsíkhoz való hozzáféréshez.
  • Az Azure Key Vault védelme Private Link és Azure Firewall használatával a szolgáltatás minimális kitettségének biztosítása érdekében
  • Győződjön meg arról, hogy a titkosítási kulcsokat kezelő felhasználók különválasztják a feladatokat, és nem férnek hozzá a titkosított adatokhoz, és fordítva.
  • A felügyelt identitással elérheti az Azure-Key Vault tárolt kulcsokat a számítási feladatok alkalmazásaiban.
  • Soha ne tárolja a kulcsokat egyszerű szöveges formátumban az Azure Key Vault kívül.
  • Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, biztonsági másolatok és archívumok végleges törlése előtt.
  • Készítsen biztonsági másolatot a kulcsokról és a tanúsítványokról az Azure Key Vault használatával. A kulcsok véletlen törlésének elkerülése érdekében engedélyezze a helyreállítható törlést és a törlés elleni védelmet.
  • Kapcsolja be az Azure Key Vault naplózását, hogy a kritikus felügyeleti sík és az adatsík tevékenységei naplózva legyenek.

Megvalósítás és további környezet:

Ügyfélbiztonsági érdekelt felek (további információ):