Kontrol Keamanan v3: Perlindungan data
Perlindungan Data mencakup kontrol perlindungan data pada saat istirahat, saat transit, dan melalui metode akses resmi, termasuk menemukan, mengklasifikasikan, melindungi, dan memantau aset data sensitif menggunakan kontrol akses, enkripsi, kunci dan manajemen sertifikat di Azure.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Prinsip Keamanan: Bangun dan pelihara inventaris data sensitif, berdasarkan cakupan data sensitif yang ditentukan. Gunakan alat untuk menemukan, mengklasifikasikan, dan memberi label data sensitif dalam cakupan.
Panduan Azure: Gunakan alat seperti Microsoft Purview, Azure Information Protection dan Azure SQL Penemuan dan Klasifikasi Data untuk memindai, mengklasifikasikan, dan memberi label data sensitif secara terpusat yang berada di Azure, lokal, Microsoft 365, dan lokasi lainnya.
Implementasi dan konteks tambahan:
- Ringkasan klasifikasi data
- Memberi label data sensitif Anda menggunakan Microsoft Purview
- Memberi tag informasi sensitif menggunakan Microsoft Azure Information Protection
- Cara menerapkan Penemuan Data Azure SQL
- Sumber data Microsoft Purview
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Prinsip Keamanan: Pantau anomali seputar data sensitif, seperti transfer data yang tidak sah ke lokasi di luar visibilitas dan kontrol perusahaan. Ini biasanya melibatkan pemantauan untuk aktivitas anomali (transfer besar atau tidak biasa) yang dapat menunjukkan eksfiltrasi data yang tidak sah.
Panduan Azure: Gunakan perlindungan Informasi Azure (AIP) untuk memantau data yang telah diklasifikasikan dan diberi label.
Gunakan Azure Defender untuk Storage, Azure Defender untuk SQL dan Azure Cosmos DB untuk memberi tahu tentang transfer informasi anomali yang mungkin mengindikasikan transfer informasi data sensitif yang tidak sah.
Catatan: Jika diperlukan untuk kepatuhan pencegahan kehilangan data (DLP), Anda dapat menggunakan solusi DLP berbasis host dari Marketplace Azure atau solusi DLP Microsoft 365 guna menerapkan kontrol detektif dan/atau pencegahan untuk mencegah penyelundupan data.
Implementasi dan konteks tambahan:
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
DP-3: Mengenkripsi data sensitif saat transit
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Prinsip Keamanan: Lindungi data saat transit dari serangan "out of band" (seperti penangkapan lalu lintas) menggunakan enkripsi untuk memastikan bahwa penyerang tidak dapat dengan mudah membaca atau memodifikasi data.
Atur batas jaringan dan cakupan layanan di mana enkripsi data saat transit wajib baik di dalam dan di luar jaringan. Meskipun bersifat opsional untuk lalu lintas pada jaringan privat, ini sangat penting untuk lalu lintas di jaringan eksternal dan publik.
Panduan Azure: Terapkan transfer aman di layanan seperti Azure Storage, tempat fitur enkripsi data asli saat transit merupakan fitur bawaan.
Terapkan HTTPS untuk aplikasi dan layanan web beban kerja dengan memastikan bahwa setiap klien yang terhubung ke sumber daya Azure Anda menggunakan keamanan lapisan transportasi (TLS) v1.2 atau yang lebih baru. Untuk manajemen jarak jauh, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.
Catatan: Enkripsi data saat transit diaktifkan untuk semua lalu lintas Azure yang bepergian antar pusat data Azure. TLS v1.2 atau yang lebih baru diaktifkan di sebagian besar layanan PaaS Azure secara default.
Implementasi dan konteks tambahan:
- Enkripsi ganda untuk data Microsoft Azure saat transit
- Memahami enkripsi saat transit dengan Microsoft Azure
- Informasi tentang Keamanan TLS
- Menerapkan transfer aman di penyimpanan Azure
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
- Arsitektur keamanan
- Infrastruktur dan keamanan titik akhir
- Keamanan Aplikasi dan DevOps
- Keamanan data
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Prinsip Keamanan: Untuk melengkapi kontrol akses, data tidak aktif harus dilindungi dari serangan 'out of band' (seperti mengakses penyimpanan yang mendasarinya) menggunakan enkripsi. Perlindungan ini membantu memastikan bahwa penyerang tidak dapat dengan mudah membaca atau merubah data.
Panduan Azure: Banyak layanan Azure memiliki enkripsi data tidak aktif yang diaktifkan secara default pada lapisan infrastruktur menggunakan kunci yang dikelola layanan.
Jika secara teknis layak dan tidak diaktifkan secara default, Anda dapat mengaktifkan enkripsi data tidak aktif di layanan Azure, atau di mesin virtual Anda untuk tingkat penyimpanan, tingkat file, atau enkripsi tingkat database.
Implementasi dan konteks tambahan:
- Memahami enkripsi saat tidak aktif di Microsoft Azure
- Enkripsi ganda data tidak aktif di Microsoft Azure
- Model Enkripsi dan tabel manajemen kunci
- Arsitektur keamanan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Prinsip Keamanan: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan tempat opsi kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan dalam layanan.
Panduan Azure: Azure juga menyediakan opsi enkripsi menggunakan kunci yang dikelola sendiri (kunci yang dikelola pelanggan) untuk layanan tertentu. Namun, menggunakan opsi kunci yang dikelola pelanggan memerlukan upaya operasional tambahan untuk mengelola siklus hidup kunci. Hal ini mungkin termasuk pembuatan kunci enkripsi, rotasi, pencabutan, kontrol akses, dll.
Implementasi dan konteks tambahan:
- Model Enkripsi dan tabel manajemen kunci
- Layanan yang mendukung enkripsi menggunakan kunci yang dikelola pelanggan
- Cara mengonfigurasi kunci enkripsi yang dikelola pelanggan di Azure Storage
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
- Arsitektur keamanan
- Infrastruktur dan keamanan titik akhir
- Keamanan Aplikasi dan DevOps
- Keamanan data
DP-6: Menggunakan proses manajemen kunci yang aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IA-5, SC-12, SC-28 | 3.6+ |
Prinsip Keamanan: Dokumentasikan dan terapkan prosedur, proses, dan standar manajemen kunci kriptografi perusahaan untuk mengontrol siklus hidup kunci Anda. Jika terdapat kebutuhan untuk menggunakan kunci yang dikelola pelanggan dalam layanan, gunakan layanan brankas kunci yang aman untuk pembuatan, distribusi, dan penyimpanan kunci. Putar dan cabut kunci Anda berdasarkan jadwal yang ditentukan dan ketika terdapat penyusupan atau penghentian kunci.
Panduan Azure: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup kunci enkripsi Anda, termasuk pembuatan, distribusi, dan penyimpanan kunci. Putar dan cabut kunci Anda di Azure Key Vault dan layanan Anda berdasarkan jadwal yang ditentukan dan ketika terdapat penyusupan atau penghentian kunci.
Ketika terdapat kebutuhan untuk menggunakan kunci yang dikelola pelanggan (CMK) dalam aplikasi atau layanan beban kerja, pastikan Anda mengikuti praktik terbaik:
- Gunakan hierarki kunci untuk menghasilkan kunci enkripsi data (DEK) yang terpisah dengan kunci enkripsi kunci (KEK) di brankas kunci Anda.
- Pastikan kunci terdaftar di Azure Key Vault dan terapkan melalui ID kunci di setiap layanan atau aplikasi.
Jika Anda perlu membawa kunci Anda sendiri (BYOK) ke layanan (yaitu, mengimpor kunci yang dilindungi HSM dari HSM lokal Anda ke Azure Key Vault), ikuti pedoman yang direkomendasikan untuk melakukan pembuatan kunci dan transfer kunci.
Catatan: Lihat di bawah ini untuk level FIPS 140-2 terkait jenis Azure Key Vault dan tingkat kepatuhan FIPS.
- Kunci yang dilindungi perangkat lunak dalam vault (Premium & Standard SKU): FIPS 140-2 Level 1
- Kunci yang dilindungi HSM dalam brankas (Premium SKU): FIPS 140-2 Tingkat 2
- Kunci yang dilindungi HSM di HSM Terkelola: FIPS 140-2 Tingkat 3
Implementasi dan konteks tambahan:
- Ringkasan Azure Key Vault
- Enkripsi data Azure saat tidak aktif--Hierarki Kunci
- Spesifikasi BYOK (Bring Your Own Key)
- Identitas dan manajemen kunci
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
DP-7: Menggunakan proses manajemen sertifikat yang aman
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IA-5, SC-12, SC-17 | 3.6+ |
Prinsip Keamanan: Dokumentasikan dan terapkan prosedur, proses, dan standar manajemen sertifikat perusahaan yang mencakup kontrol siklus hidup sertifikat, dan kebijakan sertifikat (jika infrastruktur kunci publik diperlukan).
Pastikan sertifikat yang digunakan oleh layanan penting dalam organisasi Anda diinventarisasi, dilacak, dipantau, dan diperbarui tepat waktu menggunakan mekanisme otomatis untuk menghindari gangguan layanan.
Panduan Azure: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan/impor, rotasi, pencabutan, penyimpanan, dan pembersihan sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti ukuran kunci yang tidak mencukupi, masa berlaku yang terlalu lama, kriptografi yang tidak aman, dan sebagainya. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan dan saat ada sertifikat yang kedaluwarsa. Jika rotasi otomatis tidak didukung di aplikasi depan, gunakan rotasi manual di Azure Key Vault.
Hindari menggunakan sertifikat yang ditandatangani sendiri dan sertifikat kartubebas di layanan penting Anda karena jaminan keamanan yang terbatas. Sebagai gantinya, Anda dapat membuat sertifikat bertanda tangan publik di Azure Key Vault. CA berikut adalah penyedia yang saat ini bermitra dengan Azure Key Vault.
- DigiCert: Azure Key Vault menawarkan sertifikat OV TLS/SSL dengan DigiCert.
- GlobalSign: Azure Key Vault menawarkan sertifikat OV TLS/SSL dengan GlobalSign.
Catatan: Hanya gunakan Otoritas Sertifikat (CA) yang disetujui dan pastikan sertifikat root/menengah CA buruk yang diketahui dan sertifikat yang diterbitkan oleh CA ini dinonaktifkan.
Implementasi dan konteks tambahan:
- Mulai menggunakan sertifikat Key Vault
- Kontrol Akses Sertifikat di Azure Key Vault
- Identitas dan manajemen kunci
- Arsitektur keamanan
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):
DP-8: Memastikan keamanan repositori sertifikat dan kunci
| ID CIS Controls v8 | NIST SP 800-53 r4 ID(s) | ID PCI-DSS v3.2.1 |
|---|---|---|
| T/A | IA-5, SC-12, SC-17 | 3.6+ |
Prinsip Keamanan: Pastikan keamanan layanan brankas kunci yang digunakan untuk kunci kriptografi dan manajemen siklus hidup sertifikat. Perkuat layanan brankas kunci Anda melalui kontrol akses, keamanan jaringan, pengelogan, dan pemantauan serta pencadangan untuk memastikan kunci dan sertifikat selalu dilindungi menggunakan keamanan yang maksimum.
Panduan Azure: Amankan kunci dan sertifikat kriptografi Anda dengan memperkuat layanan Azure Key Vault melalui kontrol berikut:
- Batasi akses ke kunci dan sertifikat di Azure Key Vault menggunakan kebijakan akses bawaan atau Azure RBAC untuk memastikan prinsip hak istimewa paling sedikit diterapkan untuk akses bidang manajemen dan akses data plane.
- Amankan Azure Key Vault menggunakan Private Link dan Azure Firewall untuk memastikan penggunaan minimal dari layanan
- Pastikan pemisahan tugas diterapkan bagi pengguna yang mengelola kunci enkripsi yang tidak memiliki kemampuan untuk mengakses data terenkripsi, dan sebaliknya.
- Gunakan identitas terkelola untuk mengakses kunci yang disimpan di Azure Key Vault pada aplikasi beban kerja Anda.
- Jangan pernah menyimpan kunci dalam format teks biasa di luar Azure Key Vault.
- Saat membersihkan data, pastikan kunci Anda tidak dihapus sebelum data, cadangan, dan arsip yang sebenarnya dibersihkan.
- Cadangkan kunci dan sertifikat Anda menggunakan Azure Key Vault. Aktifkan penghapusan sementara dan perlindungan pembersihan untuk menghindari penghapusan kunci yang tidak disengaja.
- Aktifkan pengelogan Azure Key Vault untuk memastikan aktivitas data plane dan bidang manajemen kritis dicatat.
Implementasi dan konteks tambahan:
- Ringkasan Azure Key Vault
- Praktik terbaik keamanan Azure Key Vault
- Menggunakan identitas terkelola untuk mengakses Azure Key Vault
- Identitas dan manajemen kunci
Pemangku Kepentingan Keamanan Pelanggan (Pelajari lebih lanjut):