Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga / Notatka
Najbardziej aktualny up-tostandard zabezpieczeń platformy Azure jest dostępny tutaj.
Zalecenia dotyczące ochrony danych koncentrują się na rozwiązywaniu problemów związanych z szyfrowaniem, listami kontroli dostępu, kontrolą dostępu opartą na tożsamościach i rejestrowaniem inspekcji na potrzeby dostępu do danych.
4.1. Utrzymywanie spisu poufnych informacji
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.1 | 13.1 | Klient |
Użyj tagów, aby pomóc w śledzeniu zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.
4.2. Izolowanie systemów przechowujące lub przetwarzające poufne informacje
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.2 | 13.2, 2.10 | Klient |
Zaimplementuj izolację przy użyciu oddzielnych subskrypcji i grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak typ środowiska i poziom poufności danych. Możesz ograniczyć poziom dostępu do zasobów platformy Azure, których wymagają aplikacje i środowiska przedsiębiorstwa. Dostęp do zasobów platformy Azure można kontrolować za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure.
4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.3 | 13.3 | Udostępniona |
Skorzystaj z rozwiązania innej firmy z witryny Azure Marketplace na obwodach sieciowych, które monitoruje nieautoryzowany transfer poufnych informacji i blokuje takie transfery, ostrzegając specjalistów ds. bezpieczeństwa informacji.
W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako poufne i chroni przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.
4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.4 | 14.4 | Udostępniona |
Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS 1.2 lub nowszy.
Postępuj zgodnie z zaleceniami usługi Azure Security Center dotyczącymi szyfrowania danych w spoczynku i szyfrowania danych w ruchu, jeśli ma to zastosowanie.
4.5: Używanie aktywnego narzędzia do odnajdywania w celu identyfikowania poufnych danych
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.5 | 14.5 | Udostępniona |
Jeśli żadna funkcja nie jest dostępna dla Twojej określonej usługi na platformie Azure, użyj narzędzia do aktywnego wyszukiwania innej firmy, aby zidentyfikować wszystkie poufne informacje przechowywane, przetwarzane lub przesyłane przez systemy technologiczne organizacji, w tym te znajdujące się na miejscu lub u zdalnego dostawcy usług, i zaktualizować inwentarz informacji poufnych organizacji.
Usługa Azure Information Protection służy do identyfikowania poufnych informacji w dokumentach platformy Microsoft 365.
Usługa Azure SQL Information Protection ułatwia klasyfikację i etykietowanie informacji przechowywanych w usłudze Azure SQL Database.
4.6: Użyj Azure RBAC do kontroli dostępu do zasobów
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.6 | 14.6 | Klient |
Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby kontrolować dostęp do danych i zasobów, w przeciwnym razie użyj metod kontroli dostępu specyficznych dla usługi.
4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.7 | 14.7 | Udostępniona |
Jeśli jest to wymagane w celu zapewnienia zgodności z zasobami obliczeniowymi, zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie do ochrony przed utratą danych oparte na hoście, aby wymusić kontrolę dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.
W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i znacznie chroni przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.
4.8: Szyfruj poufne informacje w stanie spoczynku
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.8 | 14.8 | Klient |
Używaj szyfrowania danych w spoczynku na wszystkich zasobach platformy Azure. Firma Microsoft zaleca umożliwienie platformie Azure zarządzania kluczami szyfrowania, jednak istnieje możliwość zarządzania własnymi kluczami w niektórych przypadkach.
Zrozumienie szyfrowania danych w spoczynku na platformie Azure
Jak skonfigurować klucze szyfrowania zarządzane przez klienta
4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian w krytycznych zasobach platformy Azure
| Identyfikator Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.9 | 14.9 | Klient |
Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące wystąpienia zmian w krytycznych zasobach platformy Azure.
Dalsze kroki
- Zobacz następną kontrolę zabezpieczeń: zarządzanie lukami w zabezpieczeniach