Controllo di sicurezza V2: Protezione dei dati
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati. Sono inclusi l'individuazione, la classificazione, la protezione e il monitoraggio degli asset di dati sensibili usando il controllo di accesso, la crittografia e la registrazione in Azure.
Per visualizzare l'Criteri di Azure predefinita applicabile, vedere Dettagli dell'iniziativa predefinita Conformità alle normative di Azure Security Benchmark: Protezione dei dati
DP-1: Individuare, classificare e assegnare un'etichetta ai dati sensibili
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Individuare, classificare ed etichettare i dati sensibili in modo da poter progettare i controlli appropriati per garantire che le informazioni riservate vengano archiviate, elaborate e trasmesse in modo sicuro dai sistemi tecnologici dell'organizzazione.
Usare Azure Information Protection (e lo strumento di analisi associato) per le informazioni riservate contenute in documenti di Office archiviati in Azure, in locale, in Office 365 e in altre posizioni.
È possibile usare Azure SQL Information Protection per semplificare la classificazione e l'assegnazione di etichette alle informazioni archiviate nei database SQL di Azure.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (Altre informazioni):
DP-2: Proteggere i dati sensibili
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Proteggere i dati sensibili limitando l'accesso usando il controllo degli accessi in base al ruolo di Azure, i controlli degli accessi in base alla rete e controlli specifici nei servizi di Azure, ad esempio la crittografia in SQL e altri database.
Per garantire un controllo di accesso coerente, tutti i tipi di controllo di accesso devono essere in linea con la strategia di segmentazione aziendale. Questa strategia deve inoltre tenere conto della posizione dei dati e dei sistemi sensibili o business critical.
Per la piattaforma sottostante, gestita da Microsoft, Microsoft considera tutti i contenuti dei clienti come sensibili e li protegge dalla perdita e dall'esposizione. Per garantire che i dati dei clienti in Azure rimangano protetti, Microsoft ha implementato alcuni controlli e funzionalità predefiniti per la protezione dei dati.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (Altre informazioni):
DP-3: Monitorare il trasferimento non autorizzato di dati sensibili
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Monitorare il trasferimento non autorizzato dei dati in posizioni esterne alla visibilità e al controllo dell'organizzazione. Ciò comporta in genere il monitoraggio di attività anomale (trasferimenti insoliti o di grandi quantità di dati) che potrebbero indicare un'esfiltrazione di dati non autorizzata.
Azure Defender per Archiviazione e Azure SQL ATP possono segnalare il trasferimento anomalo di informazioni che potrebbero indicare trasferimenti non autorizzati di informazioni riservate.
Azure Information Protection (AIP) fornisce funzionalità di monitoraggio delle informazioni classificate ed etichettate.
Se necessario per garantire la conformità della prevenzione della perdita dei dati (DLP), è possibile usare una soluzione DLP basata su host per applicare controlli di rilevamento e/o preventivi per impedire l'esfiltrazione di dati.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (Altre informazioni):
DP-4: Crittografare le informazioni sensibili in transito
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
Per integrare i controlli di accesso, i dati in transito devono essere protetti da attacchi "fuori banda", ad esempio l'acquisizione del traffico, usando la crittografia per garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Sebbene ciò sia facoltativo per il traffico nelle reti private, è fondamentale per il traffico nelle reti esterne e pubbliche. Per il traffico HTTP, assicurarsi che tutti i client che si connettono alle risorse di Azure possano negoziare TLS v1.2 o versione successiva. Per la gestione remota, usare SSH (per Linux) o RDP/TLS (per Windows) invece di un protocollo non crittografato. Le versioni e i protocolli SSL, TLS e SSH obsoleti e le crittografie deboli devono essere disabilitate.
Per impostazione predefinita, Azure fornisce la crittografia per i dati in transito tra i data center di Azure.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (Altre informazioni):
DP-5: Crittografare i dati sensibili inattivi
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Per integrare i controlli di accesso, i dati inattivi devono essere protetti da attacchi "fuori banda", ad esempio l'accesso all'archiviazione sottostante, usando la crittografia. Ciò garantisce che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Azure fornisce la crittografia per i dati inattivi per impostazione predefinita. Per i dati altamente sensibili, sono disponibili opzioni per implementare la crittografia aggiuntiva inattivi in tutte le risorse di Azure, dove disponibili. Azure gestisce le chiavi di crittografia per impostazione predefinita, ma Azure offre opzioni per gestire le proprie chiavi (chiavi gestite dal cliente) per determinati servizi di Azure.
Responsabilità: Condiviso
Stakeholder della sicurezza dei clienti (Altre informazioni):