Controllo di sicurezza v3: Protezione dei dati
La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la chiave e la gestione dei certificati in Azure.
DP-1: Individuare, classificare ed etichettare i dati sensibili
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Principio di sicurezza: stabilire e gestire un inventario dei dati sensibili, in base all'ambito dei dati sensibili definito. Usare gli strumenti per individuare, classificare ed etichettare i dati sensibili nell'ambito.
Indicazioni su Azure: usare strumenti come Microsoft Purview, Azure Information Protection e Azure SQL individuazione e classificazione dei dati per analizzare, classificare ed etichettare centralmente i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 e in altre posizioni.
Implementazione e contesto aggiuntivo:
- Panoramica della classificazione dei dati
- Etichettare i dati sensibili con Microsoft Purview
- Assegnare tag alle informazioni riservate usando Azure Information Protection
- Come implementare l'individuazione dati SQL di Azure
- Origini dati di Microsoft Purview
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
- Sicurezza dell'infrastruttura e degli endpoint
DP-2: Monitorare anomalie e minacce che prendono di mira dati sensibili
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Principio di sicurezza: monitorare le anomalie relative ai dati sensibili, ad esempio il trasferimento non autorizzato dei dati in posizioni esterne alla visibilità e al controllo dell'organizzazione. Ciò comporta in genere il monitoraggio di attività anomale (trasferimenti insoliti o di grandi quantità di dati) che potrebbero indicare un'esfiltrazione di dati non autorizzata.
Linee guida di Azure: usare Azure Information Protection (AIP) per monitorare i dati classificati ed etichettati.
Usare Azure Defender per Archiviazione, Azure Defender per SQL e Azure Cosmos DB per avvisare il trasferimento anomalo di informazioni che potrebbero indicare trasferimenti non autorizzati di informazioni riservate.
Nota: se necessario per la conformità della prevenzione della perdita dei dati ,è possibile usare una soluzione DLP basata su host da Azure Marketplace o una soluzione DLP di Microsoft 365 per applicare controlli detective e/o preventivi per impedire l'esfiltrazione dei dati.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Operazioni per la sicurezza
- Sicurezza delle applicazioni e DevOps
- Sicurezza dell'infrastruttura e degli endpoint
DP-3: Crittografare i dati sensibili in movimento
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Principio di sicurezza: proteggere i dati in transito da attacchi "fuori banda", ad esempio l'acquisizione del traffico, usando la crittografia per garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Impostare il limite di rete e l'ambito del servizio in cui la crittografia dei dati in transito è obbligatoria all'interno e all'esterno della rete. Sebbene ciò sia facoltativo per il traffico nelle reti private, è fondamentale per il traffico nelle reti esterne e pubbliche.
Linee guida di Azure: applicare il trasferimento sicuro in servizi come Archiviazione di Azure, in cui è integrata una funzionalità nativa di crittografia dei dati in transito.
Applicare HTTPS per l'applicazione Web e i servizi del carico di lavoro assicurando che tutti i client che si connettono alle risorse di Azure usino tls (Transport Layer Security) v1.2 o versione successiva. Per la gestione remota delle macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Nota: la crittografia dei dati in transito è abilitata per tutto il traffico di Azure in viaggio tra i data center di Azure. TLS v1.2 o versione successiva è abilitato per la maggior parte dei servizi PaaS di Azure per impostazione predefinita.
Implementazione e contesto aggiuntivo:
- Doppia crittografia per i dati di Azure in transito
- Informazioni sulla crittografia in transito con Azure
- Informazioni sulla sicurezza TLS
- Applicare il trasferimento sicuro in Archiviazione di Azure
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Architettura di sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Principio di sicurezza: per integrare i controlli di accesso, i dati inattivi devono essere protetti da attacchi "fuori banda", ad esempio l'accesso all'archiviazione sottostante, usando la crittografia. Ciò garantisce che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Linee guida di Azure: molti servizi di Azure hanno la crittografia dei dati inattivi abilitata per impostazione predefinita a livello di infrastruttura usando una chiave gestita dal servizio.
Se tecnicamente fattibile e non abilitato per impostazione predefinita, è possibile abilitare la crittografia dei dati inattivi nei servizi di Azure o nelle macchine virtuali per la crittografia a livello di archiviazione, a livello di file o a livello di database.
Implementazione e contesto aggiuntivo:
- Informazioni sulla crittografia dei dati inattivi in Azure
- Doppia crittografia dei dati inattivi in Azure
- Modello di crittografia e tabella di gestione delle chiavi
- Architettura di sicurezza
Stakeholder della sicurezza dei clienti (Altre informazioni):
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
| CIS Controls v8 ID(s) | ID NIST SP 800-53 r4 | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Principio di sicurezza: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria l'opzione chiave gestita dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente nei servizi.
Linee guida di Azure: Azure offre anche l'opzione di crittografia usando chiavi gestite manualmente (chiavi gestite dal cliente) per determinati servizi. Tuttavia, l'uso dell'opzione chiave gestita dal cliente richiede ulteriori sforzi operativi per gestire il ciclo di vita delle chiavi. Ciò può includere la generazione della chiave di crittografia, la rotazione, la revoca e il controllo di accesso e così via.
Implementazione e contesto aggiuntivo:
- Tabella di gestione delle chiavi e del modello di crittografia
- Servizi che supportano la crittografia tramite la chiave gestita dal cliente
- Come configurare le chiavi di crittografia gestite dal cliente in Archiviazione di Azure
Stakeholder della sicurezza dei clienti (altre informazioni):
- Architettura di sicurezza
- Sicurezza dell'infrastruttura e degli endpoint
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
DP-6: Usare un processo di gestione delle chiavi sicure
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-28 | 3,6 |
Principio di sicurezza: documentare e implementare uno standard di gestione della chiave crittografica aziendale, processi e procedure per controllare il ciclo di vita della chiave. Quando è necessario usare la chiave gestita dal cliente nei servizi, usare un servizio di insieme di credenziali delle chiavi protetto per la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in base alla pianificazione definita e quando si verifica un ritiro o un compromesso chiave.
Linee guida di Azure: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui la generazione di chiavi, la distribuzione e l'archiviazione. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base alla pianificazione definita e quando si verifica un ritiro o un compromesso chiave.
Quando è necessario usare la chiave gestita dal cliente (CMK) nei servizi o nelle applicazioni del carico di lavoro, assicurarsi di seguire le procedure consigliate:
- Usare una gerarchia di chiavi per generare una chiave di crittografia dei dati separata con la chiave di crittografia delle chiavi (KEK) nell'insieme di credenziali delle chiavi.
- Assicurarsi che le chiavi siano registrate con Azure Key Vault e implementano tramite ID chiave in ogni servizio o applicazione.
Se è necessario portare la propria chiave (BYOK) ai servizi ,ad esempio importando chiavi protette da HSM dalle macchine virtuali locali in Azure Key Vault), seguire le linee guida consigliate per eseguire la generazione e il trasferimento delle chiavi.
Nota: fare riferimento ai seguenti livelli per il livello FIPS 140-2 per i tipi di Key Vault di Azure e il livello di conformità FIPS.
- Chiavi protette dal software negli insiemi di credenziali (SKU Standard di & Premium): FIPS 140-2 Level 1
- Chiavi protette da HSM negli insiemi di credenziali (SKU Premium): FIPS 140-2 Livello 2
- Chiavi protette da HSM in Managed HSM: FIPS 140-2 Level 3
Implementazione e contesto aggiuntivo:
- Panoramica di Azure Key Vault
- Crittografia dei dati di Azure nella gerarchia rest-Key
- Specifica BYOK(Bring Your Own Key)
- Gestione delle identità e delle chiavi
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-7: Usare un processo di gestione dei certificati sicuro
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3,6 |
Principio di sicurezza: documentare e implementare uno standard di gestione dei certificati aziendale, processi e procedure che includono il controllo del ciclo di vita del certificato e i criteri di certificato (se è necessaria un'infrastruttura chiave pubblica).
Assicurarsi che i certificati usati dai servizi critici dell'organizzazione vengano inventariati, monitorati, monitorati e rinnovati tempestivamente usando il meccanismo automatizzato per evitare interruzioni del servizio.
Linee guida di Azure: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione/importazione, rotazione, revoca, archiviazione ed eliminazione del certificato. Assicurarsi che la generazione del certificato segue lo standard definito senza usare proprietà non sicure, ad esempio dimensioni di chiavi insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura e così via. Configurare la rotazione automatica del certificato in Azure Key Vault e servizio di Azure (se supportato) in base alla pianificazione definita e quando è presente una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione frontale, usare una rotazione manuale in Azure Key Vault.
Evitare di usare il certificato autofirmato e il certificato jolly nei servizi critici a causa della garanzia di sicurezza limitata. È invece possibile creare un certificato firmato pubblico in Azure Key Vault. Le autorità di certificazione seguenti sono i provider partner correnti con Azure Key Vault.
- DigiCert: Azure Key Vault offre certificati OV TLS/SSL con DigiCert.
- GlobalSign: Azure Key Vault offre certificati OV TLS/SSL con GlobalSign.
Nota: usare solo l'autorità di certificazione approvata (CA) e assicurarsi che i certificati e i certificati radice/intermedi ca noti rilasciati da queste autorità di certificazione siano disabilitati.
Implementazione e contesto aggiuntivo:
- Introduzione ai certificati di Key Vault
- Certificato Controllo di accesso in Azure Key Vault
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-8: Garantire la sicurezza del repository di chiavi e certificati
| CONTROLLI CIS v8 ID | ID R4 NIST SP 800-53 | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3,6 |
Principio di sicurezza: verificare la sicurezza del servizio key vault usato per la gestione della chiave crittografica e del ciclo di vita del certificato. Proteggere il servizio dell'insieme di credenziali delle chiavi tramite il controllo di accesso, la sicurezza di rete, la registrazione e il monitoraggio e il backup per garantire che le chiavi e i certificati siano sempre protetti usando la massima sicurezza.
Linee guida di Azure: proteggere le chiavi e i certificati crittografici grazie alla protezione avanzata del servizio azure Key Vault tramite i controlli seguenti:
- Limitare l'accesso alle chiavi e ai certificati in Azure Key Vault usando i criteri di accesso predefiniti o il controllo degli accessi in base al ruolo di Azure per garantire che il principio dei privilegi minimi sia disponibile per l'accesso al piano di gestione e l'accesso al piano dati.
- Proteggere l'Key Vault di Azure usando collegamento privato e Firewall di Azure per garantire l'esposizione minima del servizio
- Assicurarsi che la separazione dei compiti sia destinata agli utenti che gestiscono le chiavi di crittografia non hanno la possibilità di accedere ai dati crittografati e viceversa.
- Usare l'identità gestita per accedere alle chiavi archiviate nell'Key Vault di Azure nelle applicazioni del carico di lavoro.
- Non hanno mai le chiavi archiviate in formato testo non crittografato all'esterno dell'Key Vault di Azure.
- Quando si eliminano i dati, assicurarsi che le chiavi non vengano eliminate prima che i dati effettivi, i backup e gli archivi vengano eliminati.
- Eseguire il backup delle chiavi e dei certificati usando l'Key Vault di Azure. Abilitare la protezione di eliminazione temporanea ed eliminazione per evitare l'eliminazione accidentale delle chiavi.
- Attivare la registrazione di Azure Key Vault per garantire la registrazione del piano di gestione critico e delle attività del piano dati.
Implementazione e contesto aggiuntivo:
- Panoramica di Azure Key Vault
- Procedure consigliate per la sicurezza di Azure Key Vault
- Usare l'identità gestita per accedere ad Azure Key Vault
- Gestione delle identità e delle chiavi
Stakeholder della sicurezza dei clienti (altre informazioni):