Управление безопасностью V2. Защита данных
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Защита данных охватывает аспекты управления, касающиеся защиты данных при хранении, при передаче и при доступе через полномочные механизмы. Сюда входит обнаружение, классификация, защита и мониторинг ресурсов конфиденциальных данных с использованием управления доступом, шифрования и ведения журналов в Azure.
Соответствующую встроенную Политику Azure см. в разделе Сведения о встроенной инициативе Azure Security Benchmark по соответствию нормативным требованиям: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Обнаруживайте, классифицируйте и маркируйте конфиденциальные данные, чтобы вы могли разработать соответствующие средства управления, обеспечивающие безопасное хранение, обработку и передачу конфиденциальной информации технологическими системами организации.
Используйте службу Azure Information Protection (и связанное с ней средство сканирования) для обработки конфиденциальной информации в документах Office в Azure, локальной среде, Office 365 и в других расположениях.
Вы можете использовать службу Azure SQL Information Protection, которая может помочь классифицировать и пометить информацию, хранящуюся в Базах данных SQL Azure.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-2. Защита конфиденциальных данных
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Защитите конфиденциальные данные путем ограничения доступа с помощью управления доступом на основе ролей Azure, сетевых элементов управления доступом и специальных элементов управления в службах Azure (например, шифрования в SQL и других базах данных).
Чтобы гарантировать постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.
Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-3. Мониторинг несанкционированной передачи конфиденциальных данных
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и управления. Обычно этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных.
Azure Defender для службы хранилища и Azure SQL ATP могут оповещать об аномальных передачах информации, что может указывать на несанкционированную передачу конфиденциальной информации.
Azure Information Protection (AIP) предоставляет возможности мониторинга сведений, которые были классифицированы и помечены.
Если необходимо обеспечить соответствие политики защиты от потери данных (DLP), можно использовать решение DLP на основе узла, чтобы принудительно применять выявляющие и (или) профилактические элементы управления для предотвращения кражи данных.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-4: шифрование конфиденциальной информации во время передачи
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14,4 | SC-8 |
В дополнение к элементам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования, чтобы злоумышленники не смогли легко прочитать или изменить данные.
Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут согласовывать TLS версии 1.2 или выше. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены.
Azure по умолчанию обеспечивает шифрование данных, передаваемых между центрами обработки данных Azure.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-5. Шифрование конфиденциальных неактивных данных
| Идентификатор Azure | Идентификатор (ы) элементов управления CIS v7.1 | Идентификатор (-ы) NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14,8 | SC-28, SC-12 |
В дополнение к средствам управления доступом неактивные данные должны быть защищены от "внешних" атак (например, доступа к базовому хранилищу) с помощью шифрования. Это позволяет гарантировать, что злоумышленники не смогут легко считать или изменить данные.
По умолчанию Azure обеспечивает шифрование неактивных данных. Для строго конфиденциальных данных можно реализовать дополнительное шифрование при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию, но также предоставляет варианты для управления собственными ключами (ключи, управляемые клиентом) для определенных служб Azure.
Ответственность: Совмещаемая блокировка
Заинтересованные лица по безопасности клиентов (дополнительные сведения):