Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Adatvédelem magában foglalja az inaktív, a tranzit és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcs- és tanúsítványkezeléssel az Azure-ban.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Biztonsági alapelv: Hozzon létre és tartson fenn leltárt a bizalmas adatokról a meghatározott bizalmas adatok hatóköre alapján. Eszközökkel felderítheti, osztályozhatja és címkézheti a hatókörön belüli bizalmas adatokat.
Azure-útmutató: Az Azure-ban, a helyszínen, a Microsoft 365-ben és más helyeken található bizalmas adatok központi vizsgálatához, besorolásához és címkézéséhez használjon olyan eszközöket, mint a Microsoft Purview, az Azure Information Protection és az Azure SQL Data Discovery és a Besorolás.
Megvalósítás és további környezet:
- Az adatbesorolás áttekintése
- Bizalmas adatok címkézése a Microsoft Purview használatával
- Bizalmas adatok címkézése az Azure Information Protection használatával
- Az Azure SQL Data Discovery implementálása
- Microsoft Purview-adatforrások
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Biztonsági alapelv: Figyelheti a bizalmas adatokkal kapcsolatos rendellenességeket, például az adatok jogosulatlan átvitelét a vállalati láthatóságon és ellenőrzésen kívüli helyekre. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.
Azure-útmutató: Az Azure Information Protection (AIP) használatával figyelheti a besorolt és címkézett adatokat.
Az Azure Defender for Storage, az SQL-hez készült Azure Defender és az Azure Cosmos DB használatával riasztást kaphat a bizalmas adatok jogosulatlan átvitelét jelző rendellenes adattovábbításokról.
Megjegyzés: Ha az adatveszteség-megelőzés (DLP) megfelelőségéhez szükséges, az Azure Marketplace-ről származó gazdagépalapú DLP-megoldással vagy a Microsoft 365 DLP-megoldással kényszerítheti ki a detektív- és/vagy megelőző vezérlőket az adatszivárgás megakadályozása érdekében.
Megvalósítás és további környezet:
DP-3: Bizalmas adatok titkosítása átvitel közben
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3,10 | SC-8 | 3.5, 3.6, 4.1 |
Biztonsági alapelv: Az átvitt adatok védelme a "sávon kívüli" támadásokkal szemben (például forgalomrögzítés) titkosítással annak biztosítása érdekében, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.
Adja meg azt a hálózati határt és szolgáltatási hatókört, amelyben az átviteltitkosításban lévő adatok a hálózaton belül és kívül kötelezőek. Bár ez nem kötelező a magánhálózatok forgalmához, ez a külső és a nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú.
Azure-útmutató: Biztonságos átvitel kényszerítése olyan szolgáltatásokban, mint az Azure Storage, ahol egy natív adattitkosítási funkció van beépítve.
Kényszerítse a HTTPS-t a számítási feladat webalkalmazásaihoz és szolgáltatásaihoz annak biztosításával, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek a szállítási réteg biztonsági (TLS) 1.2-es vagy újabb verzióját használják. Virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Megjegyzés: Az átviteltitkosításban lévő adatok az Azure-adatközpontok közötti összes Azure-forgalom esetében engedélyezve van. A TLS 1.2-s vagy újabb verziója alapértelmezés szerint engedélyezve van a legtöbb Azure PaaS-szolgáltatásban.
Megvalósítás és további környezet:
- Dupla titkosítás az átvitel alatt lévő Azure-adatokhoz
- Az Azure-ral történő átvitel közbeni titkosítás ismertetése
- Információk a TLS biztonságáról
- Biztonságos átvitel kényszerítése az Azure Storage-ban
- Biztonsági architektúra
- Infrastruktúra és végpont biztonsága
- Alkalmazásbiztonság és DevOps
- Adatbiztonság
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Biztonsági alapelv: A hozzáférés-vezérlés kiegészítése érdekében a inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.
Azure-útmutató: Számos Azure-szolgáltatás rendelkezik olyan adatokkal, amelyek inaktív titkosítással rendelkeznek, alapértelmezés szerint engedélyezve vannak az infrastruktúrarétegen egy szolgáltatás által felügyelt kulccsal.
Ha technikailag megvalósítható, és alapértelmezés szerint nem engedélyezett, engedélyezheti az azure-szolgáltatások inaktív titkosítási adatait, illetve a virtuális gépeken a tárolási szint, a fájlszint vagy az adatbázisszintű titkosítás érdekében.
Megvalósítás és további környezet:
- Az Azure-ban inaktív titkosítás ismertetése
- Inaktív adatok dupla titkosítása az Azure-ban
- Titkosítási modell és kulcskezelési tábla
- Biztonsági architektúra
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Biztonsági alapelv: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol az ügyfél által felügyelt kulcsra van szükség. Adatok engedélyezése és implementálása inaktív titkosításkor az ügyfél által felügyelt kulcs használatával a szolgáltatásokban.
Azure-útmutató: Az Azure titkosítási lehetőséget is biztosít bizonyos szolgáltatásokhoz a saját által felügyelt kulcsok (ügyfél által felügyelt kulcsok) használatával. Az ügyfél által felügyelt kulcsbeállítás használatához azonban további üzemeltetési erőfeszítésekre van szükség a kulcs életciklusának kezeléséhez. Ilyen lehet például a titkosítási kulcs létrehozása, a rotáció, a visszavonás és a hozzáférés-vezérlés stb.
Megvalósítás és további környezet:
- Titkosítási modell és kulcskezelési tábla
- Az ügyfél által felügyelt kulccsal történő titkosítást támogató szolgáltatások
- Ügyfél által felügyelt titkosítási kulcsok konfigurálása az Azure Storage-ban
- Biztonsági architektúra
- Infrastruktúra és végpont biztonsága
- Alkalmazásbiztonság és DevOps
- Adatbiztonság
DP-6: Biztonságos kulcskezelési folyamat használata
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| n/a | IA-5, SC-12, SC-28 | 3,6 |
Biztonsági alapelv: Dokumentáljon és implementáljon egy vállalati titkosítási kulcskezelési szabványt, folyamatokat és eljárásokat a kulcs életciklusának szabályozásához. Ha ügyfél által felügyelt kulcsot kell használni a szolgáltatásokban, használjon biztonságos kulcstartó szolgáltatást a kulcsgeneráláshoz, a terjesztéshez és a tároláshoz. A kulcsok elforgatása és visszavonása a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.
Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban a megadott ütemezés alapján, valamint a kulcsok kivonása vagy feltörése esetén.
Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladatok szolgáltatásaiban vagy alkalmazásaiban, kövesse az ajánlott eljárásokat:
- Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban.
- Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és az egyes szolgáltatásokban vagy alkalmazásokban kulcsazonosítókon keresztül implementálhatók.
Ha saját kulcsot (BYOK) kell használnia a szolgáltatásokhoz (azaz HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott útmutatót a kulcsgenerálás és a kulcsátvitel végrehajtásához.
Megjegyzés: Az alábbiakban az Azure Key Vault-típusok és a FIPS megfelelőségi szint FIPS 140-2-es szintjét találja.
- Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & Standard termékváltozatok): FIPS 140-2 1. szint
- HSM által védett kulcsok tárolókban (prémium termékváltozat): FIPS 140-2 2. szint
- HSM által védett kulcsok a felügyelt HSM-ben: FIPS 140-2 3. szint
Megvalósítás és további környezet:
- Az Azure Key Vault áttekintése
- Azure nyugalmi adattitkosítás – kulcshierarchia
- BYOK(Saját kulcs használata) specifikáció
- Identitás- és kulcskezelés
DP-7: Biztonságos tanúsítványkezelési folyamat használata
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| n/a | IA-5, SC-12, SC-17 | 3,6 |
Biztonsági alapelv: Dokumentáljon és implementáljon egy vállalati tanúsítványkezelési szabványt, folyamatokat és eljárásokat, amelyek tartalmazzák a tanúsítvány életciklus-vezérlését és a tanúsítványszabályzatokat (ha nyilvános kulcsú infrastruktúrára van szükség).
Győződjön meg arról, hogy a szervezet kritikus szolgáltatásai által használt tanúsítványok leltározása, nyomon követése, monitorozása és megújítása automatikus mechanizmussal történik a szolgáltatáskimaradás elkerülése érdekében.
Azure-útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását/importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása a megadott szabványt követi anélkül, hogy nem használná a nem biztonságos tulajdonságokat, például nem megfelelő kulcsméretet, túl hosszú érvényességi időtartamot, nem biztonságos titkosítást stb. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és az Azure-szolgáltatásban (ha támogatott) a megadott ütemezés és a tanúsítvány lejárata alapján. Ha az előtéralkalmazás nem támogatja az automatikus forgatást, használjon manuális forgást az Azure Key Vaultban.
A korlátozott biztonsági garancia miatt ne használjon önaláírt tanúsítványt és helyettesítő tanúsítványt a kritikus szolgáltatásokban. Ehelyett létrehozhat nyilvánosan aláírt tanúsítványt az Azure Key Vaultban. Az alábbi hitelesítésszolgáltatók az Azure Key Vault jelenlegi partneri szolgáltatói.
- DigiCert: Az Azure Key Vault OV TLS/SSL-tanúsítványokat kínál a DigiCerttel.
- GlobalSign: Az Azure Key Vault OV TLS/SSL-tanúsítványokat kínál a GlobalSign használatával.
Megjegyzés: Csak jóváhagyott hitelesítésszolgáltatót használjon, és győződjön meg arról, hogy a hitelesítésszolgáltató által kibocsátott ismert hibás legfelső szintű/köztes tanúsítványok és tanúsítványok le vannak tiltva.
Megvalósítás és további környezet:
- A Key Vault-tanúsítványok használatának első lépései
- Tanúsítványhozzáférés-vezérlés az Azure Key Vaultban
- Identitás- és kulcskezelés
- Biztonsági architektúra
DP-8: A kulcs- és tanúsítványtár biztonságának biztosítása
| CIS-vezérlők v8-azonosítója(i) | NIST SP 800-53 r4 AZONOSÍTÓ(k) | PCI-DSS ID(k) v3.2.1 |
|---|---|---|
| n/a | IA-5, SC-12, SC-17 | 3,6 |
Biztonsági alapelv: A titkosítási kulcs és a tanúsítvány életciklusának kezeléséhez használt kulcstartó szolgáltatás biztonságának biztosítása. A kulcstartó szolgáltatását a hozzáférés-vezérlés, a hálózati biztonság, a naplózás és a figyelés, valamint a biztonsági mentés révén erősítheti meg, hogy a kulcsok és tanúsítványok mindig a maximális biztonsággal legyenek védve.
Azure útmutatás: Titkosítási kulcsok és tanúsítványok biztonságának növeléséhez az Azure Key Vault szolgáltatást az alábbi vezérlőkkel kell megerősíteni:
- A kulcsokhoz és tanúsítványokhoz való hozzáférés korlátozása az Azure Key Vaultban beépített hozzáférési szabályzatok vagy az Azure RBAC használatával annak biztosítása érdekében, hogy a legkisebb jogosultsági elv érvényesüljön a felügyeleti síkhoz való hozzáféréshez és az adatsík-hozzáféréshez.
- Az Azure Key Vault védelme a Private Link és az Azure Firewall használatával a szolgáltatás minimális expozíciójának biztosítása érdekében
- Győződjön meg arról, hogy a feladatok elkülönítése a titkosítási kulcsokat kezelő felhasználók számára nem képes hozzáférni a titkosított adatokhoz, és fordítva.
- Felügyelt identitással érheti el az Azure Key Vaultban tárolt kulcsokat a számítási feladatok alkalmazásaiban.
- A kulcsokat soha ne tárolja egyszerű szöveges formátumban az Azure Key Vaulton kívül.
- Az adatok törlésekor győződjön meg arról, hogy a kulcsok nem törlődnek a tényleges adatok, a biztonsági másolatok és az archívumok törlése előtt.
- Biztonsági másolatot készít a kulcsokról és a tanúsítványokról az Azure Key Vault használatával. A kulcsok véletlen törlésének elkerülése érdekében engedélyezze a helyreállítható törlési és törlési védelmet.
- Kapcsolja be az Azure Key Vault naplózását a kritikus felügyeleti sík és az adatsík tevékenységeinek naplózásához.
Megvalósítás és további környezet:
- Az Azure Key Vault áttekintése
- az Azure Key Vault biztonsági ajánlott eljárásainak
- Felügyelt identitás használata az Azure Key Vault eléréséhez
- Identitás- és kulcskezelés