Beveiligingsbeheer v3: Gegevensbescherming
Gegevensbescherming omvat het beheer van gegevensbeveiliging at rest, tijdens overdracht en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutel- en certificaatbeheer in Azure.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Beveiligingsprincipe: maak en onderhoud een inventaris van de gevoelige gegevens op basis van het gedefinieerde bereik voor gevoelige gegevens. Gebruik hulpprogramma's om gevoelige gegevens binnen het bereik te detecteren, classificeren en labelen.
Azure-richtlijnen: Gebruik hulpprogramma's zoals Microsoft Purview, Azure Information Protection en Azure SQL Gegevensdetectie en -classificatie om de gevoelige gegevens centraal te scannen, classificeren en labelen in de Azure-, on-premises, Microsoft 365- en andere locaties.
Implementatie en aanvullende context:
- Overzicht van gegevensclassificatie
- Uw gevoelige gegevens labelen met Microsoft Purview
- Gevoelige gegevens labelen met Azure Information Protection
- Azure SQL-gegevensdetectie implementeren
- Microsoft Purview-gegevensbronnen
Belanghebbenden bij de beveiliging van klanten (meer informatie):
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Beveiligingsprincipe: Controleer op afwijkingen rond gevoelige gegevens, zoals onbevoegde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van de onderneming. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.
Azure-richtlijnen: Gebruik Azure Information Protection (AIP) om de gegevens te bewaken die zijn geclassificeerd en gelabeld.
Gebruik Azure Defender for Storage, Azure Defender voor SQL en Azure Cosmos DB om te waarschuwen bij afwijkende overdracht van gegevens die kunnen duiden op onbevoegde overdracht van gevoelige gegevens.
Opmerking: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een hostgebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om detective- en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.
Implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie):
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Beveiligingsprincipe: beveilig de gegevens die onderweg zijn tegen out-of-band-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.
Stel de netwerkgrens en het servicebereik in waar versleuteling van gegevens in transit binnen en buiten het netwerk verplicht is. Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken.
Azure-richtlijnen: Veilige overdracht afdwingen in services zoals Azure Storage, waar een systeemeigen versleutelingsfunctie voor gegevens in overdracht is ingebouwd.
Dwing HTTPS af voor webtoepassingen en -services voor workloads door ervoor te zorgen dat clients die verbinding maken met uw Azure-resources tls (Transport Layer Security) v1.2 of hoger gebruiken. Voor extern beheer van VM's gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Opmerking: Versleuteling van gegevens in transit is ingeschakeld voor al het Azure-verkeer tussen Azure-datacenters. TLS v1.2 of hoger is standaard ingeschakeld op de meeste Azure PaaS-services.
Implementatie en aanvullende context:
- Dubbele versleuteling voor Azure-gegevens in transit
- Informatie over versleuteling in transit met Azure
- Informatie over TLS-beveiliging
- Veilige overdracht afdwingen in Azure Storage
Belanghebbenden bij de beveiliging van klanten (meer informatie):
- Beveiligingsarchitectuur
- Infrastructuur- en eindpuntbeveiliging
- Toepassingsbeveiliging en DevOps
- Gegevensbeveiliging
DP-4: Versleuteling van data-at-rest standaard inschakelen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Beveiligingsprincipe: om toegangsbeheer aan te vullen, moeten data-at-rest worden beveiligd tegen out-of-band-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.
Azure-richtlijnen: voor veel Azure-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel.
Waar dit technisch haalbaar is en niet standaard is ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de Azure-services of op uw VM's voor versleuteling op opslagniveau, bestandsniveau of databaseniveau.
Implementatie en aanvullende context:
- Meer informatie over versleuteling van data-at-rest in Azure
- Dubbele versleuteling van data-at-rest in Azure
- Tabel voor versleutelingsmodel en sleutelbeheer
- Beveiligingsarchitectuur
Belanghebbenden bij de beveiliging van klanten (meer informatie):
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Beveiligingsprincipe: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor door de klant beheerde sleuteloptie nodig is. Versleuteling van data-at-rest inschakelen en implementeren met behulp van door de klant beheerde sleutel in services.
Azure-richtlijnen: Azure biedt ook versleutelingsoptie met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels) voor bepaalde services. Het gebruik van door de klant beheerde sleuteloptie vereist echter extra operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort omvatten.
Implementatie en aanvullende context:
- Tabel voor versleutelingsmodel en sleutelbeheer
- Services die ondersteuning bieden voor versleuteling met behulp van door de klant beheerde sleutel
- Door de klant beheerde versleutelingssleutels configureren in Azure Storage
Belanghebbenden bij de beveiliging van klanten (meer informatie):
- Beveiligingsarchitectuur
- Infrastructuur- en eindpuntbeveiliging
- Toepassingsbeveiliging en DevOps
- Gegevensbeveiliging
DP-6: Een beveiligd sleutelbeheerproces gebruiken
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| N.v.t. | IA-5, SC-12, SC-28 | 3,6 |
Beveiligingsprincipe: documenteer en implementeer een standaard voor cryptografisch sleutelbeheer, processen en procedures voor het beheren van de levenscyclus van uw sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel in de services, gebruikt u een beveiligde sleutelkluisservice voor het genereren, distribueren en opslaan van sleutels. Draai uw sleutels en trek deze in op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel.
Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief sleutelgeneratie, distributie en opslag. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van het gedefinieerde schema en wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel.
Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in de workloadservices of toepassingen, moet u de best practices volgen:
- Gebruik een sleutelhiërarchie om een afzonderlijke gegevensversleutelingssleutel (DEK) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis.
- Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en implementeren via sleutel-id's in elke service of toepassing.
Als u uw eigen sleutel (BYOK) moet meenemen naar de services (dat wil zeggen, het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijn voor het genereren en overdragen van sleutels.
Opmerking: raadpleeg het onderstaande voor het FIPS 140-2-niveau voor Azure Key Vault-typen en fips-nalevingsniveau.
- Met software beveiligde sleutels in kluizen (Premium & Standard-SKU's): FIPS 140-2 Level 1
- Met HSM beveiligde sleutels in kluizen (Premium SKU): FIPS 140-2 Level 2
- Met HSM beveiligde sleutels in beheerde HSM: FIPS 140-2 Niveau 3
Implementatie en aanvullende context:
- Azure Key Vault-overzicht
- Azure-gegevensversleuteling at rest - Sleutelhiërarchie
- BYOK-specificatie (Bring Your Own Key)
- Identiteits- en sleutelbeheer
Belanghebbenden bij de beveiliging van klanten (meer informatie):
DP-7: Een beveiligd certificaatbeheerproces gebruiken
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| N.v.t. | IA-5, SC-12, SC-17 | 3,6 |
Beveiligingsprincipe: documenteer en implementeer een bedrijfscertificaatbeheerstandaard, processen en procedures, waaronder het levenscyclusbeheer van certificaten en certificaatbeleid (als er een openbare-sleutelinfrastructuur nodig is).
Zorg ervoor dat certificaten die worden gebruikt door de kritieke services in uw organisatie tijdig worden geïnventariseerd, bijgehouden, bewaakt en vernieuwd met behulp van een geautomatiseerd mechanisme om serviceonderbreking te voorkomen.
Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken/importeren, draaien, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten de gedefinieerde standaard volgt zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat instellen in Azure Key Vault en Azure-service (indien ondersteund) op basis van het gedefinieerde schema en wanneer er een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de front-toepassing, gebruikt u een handmatige rotatie in Azure Key Vault.
Vermijd het gebruik van zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiliging. In plaats daarvan kunt u een openbaar ondertekend certificaat maken in Azure Key Vault. De volgende CA's zijn de huidige partnerproviders met Azure Key Vault.
- DigiCert: Azure Key Vault biedt OV TLS/SSL-certificaten met DigiCert.
- GlobalSign: Azure Key Vault biedt OV TLS/SSL-certificaten met GlobalSign.
Opmerking: Gebruik alleen goedgekeurde certificeringsinstantie (CA) en zorg ervoor dat de bekende ongeldige BASIS-/tussenliggende certificaten en certificaten die zijn uitgegeven door deze CA's, zijn uitgeschakeld.
Implementatie en aanvullende context:
- Aan de slag met Key Vault-certificaten
- Certificaat Access Control in Azure Key Vault
- Identiteits- en sleutelbeheer
- Beveiligingsarchitectuur
Belanghebbenden bij de beveiliging van klanten (meer informatie):
DP-8: Beveiliging van sleutel- en certificaatopslagplaats garanderen
| CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
|---|---|---|
| N.v.t. | IA-5, SC-12, SC-17 | 3,6 |
Beveiligingsprincipe: zorg voor de beveiliging van de sleutelkluisservice die wordt gebruikt voor het beheer van de levenscyclus van de cryptografische sleutel en het certificaat. Beveilig uw sleutelkluisservice via toegangsbeheer, netwerkbeveiliging, logboekregistratie en bewaking en back-ups om ervoor te zorgen dat sleutels en certificaten altijd worden beveiligd met de maximale beveiliging.
Azure-richtlijnen: beveilig uw cryptografische sleutels en certificaten door uw Azure Key Vault-service te beveiligen via de volgende besturingselementen:
- Beperk de toegang tot sleutels en certificaten in Azure Key Vault met behulp van ingebouwd toegangsbeleid of Azure RBAC om ervoor te zorgen dat het principe van minimale bevoegdheden aanwezig is voor toegang tot het beheervlak en toegang tot het gegevensvlak.
- Beveilig de Azure Key Vault met behulp van Private Link en Azure Firewall om ervoor te zorgen dat de service minimaal wordt blootgesteld
- Zorg ervoor dat scheiding van taken plaatsvindt voor gebruikers die versleutelingssleutels beheren, niet de mogelijkheid hebben om toegang te krijgen tot versleutelde gegevens en vice versa.
- Gebruik een beheerde identiteit voor toegang tot sleutels die zijn opgeslagen in de Azure Key Vault in uw workloadtoepassingen.
- De sleutels zijn nooit in tekst zonder opmaak opgeslagen buiten de Azure Key Vault.
- Wanneer u gegevens opschont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden verwijderd.
- Maak een back-up van uw sleutels en certificaten met behulp van de Azure Key Vault. Schakel voorlopig verwijderen en beveiliging tegen opschonen in om onbedoelde verwijdering van sleutels te voorkomen.
- Schakel Azure Key Vault-logboekregistratie in om ervoor te zorgen dat het kritieke beheervlak en de activiteiten van het gegevensvlak worden geregistreerd.
Implementatie en aanvullende context:
- Azure Key Vault-overzicht
- Best practices voor azure Key Vault-beveiliging
- Beheerde identiteit gebruiken voor toegang tot Azure Key Vault
- Identiteits- en sleutelbeheer
Belanghebbenden bij de beveiliging van klanten (meer informatie):