Security Control V2: Ochrona danych

  • Artykuł

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu. Obejmuje to odnajdywanie, klasyfikowanie, ochronę i monitorowanie poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania i rejestrowania na platformie Azure.

Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Ochrona danych

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie danych poufnych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-1 13.1, 14.5, 14.7 SC-28

Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych w celu zaprojektowania odpowiednich mechanizmów kontroli w celu zapewnienia, że poufne informacje są przechowywane, przetwarzane i przesyłane bezpiecznie przez systemy technologiczne organizacji.

Użyj usługi Azure Information Protection (i skojarzonego z nią narzędzia do skanowania), aby zlokalizować informacje poufne w dokumentach pakietu Office na platformie Azure, lokalnie, w pakiecie Office 365 i w innych lokalizacjach.

Usługa Azure SQL Information Protection może pomóc w klasyfikacji i etykietowaniu informacji przechowywanych w bazach danych Azure SQL Database.

Odpowiedzialność: Współużytkowane

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-2: Ochrona poufnych danych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-2 13.2, 2.10 SC-7, AC-4

Ochrona poufnych danych przez ograniczenie dostępu przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w języku SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W odniesieniu do platformy podstawowej zarządzanej przez firmę Microsoft, firma Microsoft traktuje całą zawartość kliencką jako poufną i zapewnia ochronę przed utratą i narażeniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-3 13.3 AC-4, SI-4

Monitorowanie nieautoryzowanego transferu danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Usługa Azure Defender for Storage i Azure SQL ATP mogą otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Usługa Azure Information Protection (AIP) oferuje funkcje monitorowania informacji, które zostały sklasyfikowane i oznaczone etykietami.

Jeśli jest to wymagane do zapewnienia zgodności pod kątem ochrony przed utratą danych (DLP), można użyć rozwiązania DLP opartego na hoście, aby wymusić wykrywające i/lub prewencyjne mechanizmy kontrolne w celu zapobiegania eksfiltracji danych.

Odpowiedzialność: Współużytkowane

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-4 14,4 SC-8

Aby uzupełnić mechanizmy kontroli dostępu, dane przesyłane powinny być chronione przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-5: Szyfrowanie poufnych danych nieużywanych

Identyfikator platformy Azure Kontrolki CIS w wersji 7.1 Identyfikatory NIST SP 800-53 r4
DP-5 14,8 SC-28, SC-12

Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami typu "poza pasmem" (takimi jak uzyskiwanie dostępu do bazowego magazynu) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych dostępne są opcje implementowania dodatkowego szyfrowania magazynowanych na wszystkich zasobach platformy Azure. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale platforma Azure udostępnia opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure.

Odpowiedzialność: Współużytkowane

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):