Управление безопасностью, версия 3. Защита данных
Защита данных охватывает управление защитой неактивных и передаваемых данных через механизмы санкционированного доступа, включая обнаружение, классификацию, защиту и мониторинг ресурсов конфиденциальной информации с помощью управления доступом, шифрования, а также управления ключами и сертификатами в Azure.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Принцип безопасности. Обеспечьте и поддерживайте учет конфиденциальной информации на основе указанной области данных. Используйте средства обнаружения, классификации и добавления меток для конфиденциальной информации, входящей в область проверки.
Руководство по Azure. Используйте такие средства, как Microsoft Purview, Azure Information Protection и Azure SQL обнаружение и классификация данных для централизованного сканирования, классификации и маркировки конфиденциальных данных, которые находятся в Azure, локальной среде, Microsoft 365 и других расположениях.
Реализация и дополнительный контекст:
- Общие сведения о классификации данных
- Пометка конфиденциальных данных с помощью Microsoft Purview
- Добавление тегов к конфиденциальной информации с помощью Azure Information Protection
- Реализация обнаружения данных Azure SQL
- Источники данных Microsoft Purview
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Принцип безопасности. Отслеживайте аномалии, связанные с конфиденциальной информацией, например несанкционированный перенос данных в расположения вне зоны видимости и управления организации. Обычно этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных.
Руководство по Azure. Воспользуйтесь средством Azure Information Protection, чтобы отслеживать классифицированные и помеченные данные.
Используйте Azure Defender для хранилища, Azure Defender для SQL и Azure Cosmos DB, чтобы создавать оповещения об аномальной передаче данных, что может свидетельствовать о несанкционированной передаче конфиденциальной информации.
Примечание. Если необходимо обеспечить соответствие политике защиты от потери данных (DLP), можно использовать решение DLP на основе узла из Azure Marketplace или решение DLP Microsoft 365, чтобы выявляющие и (или) предупреждающие элементы управления предотвратили кражу данных.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-3: шифрование передаваемых конфиденциальных данных
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Принцип безопасности. Защищайте передаваемые данные от внешних атак (например, от перехвата трафика) с помощью шифрования, чтобы злоумышленники не могли легко прочитать или изменить данные.
Задайте границы сети и область службы, для которой обязательно шифрование передаваемых данных как в сети, так и за ее пределами. Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях.
Руководство по Azure. Обеспечьте безопасную передачу данных в службах со встроенной возможностью шифрования собственных передаваемых данных, таких как служба хранилища Azure.
Применяйте протокол HTTPS для веб-приложений и служб рабочей нагрузки, убедившись, что все клиенты, подключенные к вашим ресурсам Azure, используют протокол TLS версии 1.2 или более поздней. Для удаленного управления виртуальными машинами вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Примечание. Шифрование передаваемых данных включено для всего трафика Azure, перемещаемого между центрами обработки данных Azure. По умолчанию протокол TLS версии 1.2 или более поздней включен в большинстве служб Azure PaaS.
Реализация и дополнительный контекст:
- Двойное шифрование данных Azure при передаче
- Общие сведения о шифровании при передаче с помощью Azure
- Сведения о безопасности TLS
- Реализация безопасного переноса данных в службе хранилища Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность инфраструктуры и конечных точек
- Безопасность приложений и DevOps
- Безопасность данных
DP-4: включение шифрования неактивных данных по умолчанию
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Принцип безопасности. В дополнение к средствам управления доступом неактивные данные необходимо защищать от внешних атак (например, доступа к базовому хранилищу) с помощью шифрования. Это позволяет гарантировать, что злоумышленники не смогут легко считать или изменить данные.
Руководство по Azure. Во многих службах Azure шифрование неактивных данных включено по умолчанию на уровне инфраструктуры с помощью ключей, управляемых этими службами.
В тех службах Azure, в которых шифрование неактивных данных технически возможно, но не включено по умолчанию, можно включить эту возможность, а также включить шифрование на ваших виртуальных машинах на уровне хранилища, файла или базы данных.
Реализация и дополнительный контекст:
- Общие сведения о шифровании неактивных данных в Azure
- Двойное шифрование неактивных данных в Azure
- Модель шифрования и таблица управления ключами
- Архитектура безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Принцип безопасности. Определите варианты использования и область службы, где необходим ключ, управляемый клиентом, если это необходимо для соответствия нормативным требованиям. Включите и реализуйте шифрование неактивных данных в службах с помощью ключей, управляемых клиентами.
Руководство по Azure. Azure также предоставляет возможность шифрования с помощью ключей, управляемых клиентом (т. е. вами), для определенных служб. Однако использование ключа, управляемого клиентом, требует дополнительных фактических усилий для управления жизненным циклом ключа. К ним относятся создание ключа шифрования, его ротация, отзыв, управление доступом и т. д.
Реализация и дополнительный контекст:
- Модель шифрования и таблица управления ключами
- Службы, поддерживающие шифрование с помощью ключей, управляемых клиентом
- Настройка ключей шифрования, управляемых клиентом, в службе хранилища Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность инфраструктуры и конечных точек
- Безопасность приложений и DevOps
- Безопасность данных
DP-6: безопасное управление ключами
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | IA-5, SC-12, SC-28 | 3,6 |
Принцип безопасности. Оформляйте и реализуйте стандарт, процессы и методики управления криптографическими ключами организации, чтобы управлять жизненным циклом вашего ключа. Если в службах требуется использовать ключ, управляемый клиентом, воспользуйтесь службой защищенного хранилища ключей для его создания, размещения и хранения. Выполняйте ротацию и отзывайте ключи согласно установленному графику, а также при выводе ключа из употребления или его компрометации.
Руководство по Azure. Используйте Azure Key Vault для создания жизненного цикла ваших ключей шифрования и управления ими. Сюда входят создание ключей, размещение и хранение. Выполняйте ротацию и отзывайте ключи в Azure Key Vault и своей службе согласно установленному графику, а также при выводе ключа из употребления или его компрометации.
При необходимости использовать ключ, управляемый клиентом, в службах или приложениях рабочей нагрузки обеспечьте следование следующим рекомендациям:
- Используйте иерархию ключей для создания ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей.
- Убедитесь, что ключи зарегистрированы в Azure Key Vault, и реализуйте их с помощью идентификаторов в каждой службе или приложении.
Если вам необходимо создать собственные ключи (BYOK) в службах (т. е. импортировать ключи, защищенные модулем HSM, из локальных модулей HSM в Azure Key Vault), следуйте основным рекомендациям по созданию и переносу ключей.
Примечание. Сведения об уровне FIPS 140-2 для типов Azure Key Vault и уровне соответствия требованиям FIPS см. ниже.
- Ключи, защищенные программной защитой в хранилищах (номера SKU premium & Standard): FIPS 140-2 уровня 1
- Ключи, защищенные модулем HSM, в хранилищах (цен. категория "Премиум"): FIPS 140-2, уровень 2
- Ключи, защищенные модулем HSM, в управляемом модуле HSM: FIPS 140-2, уровень 3
Реализация и дополнительный контекст:
- Общие сведения об Azure Key Vault
- Шифрование неактивных данных Azure. Иерархия ключей
- Спецификация BYOK (создание собственных ключей)
- Управление удостоверениями и ключами
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-7: безопасное управление сертификатами
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | IA-5, SC-12, SC-17 | 3,6 |
Принцип безопасности. Оформляйте и реализуйте стандарт, процессы и методики управления сертификатами организации, включая управление жизненным циклом сертификата и его политики (если требуется инфраструктура открытых ключей).
Убедитесь, что для всех сертификатов, которые используются в важнейших службах вашей организации, обеспечены учет, отслеживание, мониторинг и своевременное обновление с помощью автоматического механизма, чтобы избежать нарушений работы службы.
Руководство по Azure. Используйте Azure Key Vault для создания жизненного цикла сертификата и управления им. Сюда входят импорт, ротация, отзыв, хранение и очистка сертификата. Убедитесь, что создание сертификата соответствует заданному стандарту и не используются небезопасные свойства, такие как недостаточный размер ключа, слишком длинный срок действия, незащищенное шифрование и т. д. Настройте автоматическую ротацию сертификата в Azure Key Vault и службах Azure (если это поддерживается) согласно установленному графику, а также при истечении срока действия сертификата. Если во внешнем приложении не поддерживается автоматическая ротация, выполните ее вручную в Azure Key Vault.
Не используйте самозаверяющие и групповые сертификаты в важнейших службах из-за ограничений обеспечения безопасности. Вместо этого можно создать общедоступный подписанный сертификат в Azure Key Vault. Ниже перечислены центры сертификации, которые являются партнерскими поставщиками Azure Key Vault.
- DigiCert, из которого Azure Key Vault предоставляет сертификаты OV TLS/SSL.
- GlobalSign, из которого Azure Key Vault предоставляет сертификаты OV TLS/SSL.
Примечание. Используйте только проверенные центры сертификации (ЦС) и убедитесь, что корневые и промежуточные сертификаты недействительных ЦС отключены.
Реализация и дополнительный контекст:
- Начало работы с сертификатами Key Vault
- Управление доступом к сертификатам в Azure Key Vault
- Управление удостоверениями и ключами
- Архитектура безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-8: обеспечение безопасности репозитория ключей и сертификатов
| Идентификаторы элементов управления CIS v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/Д | IA-5, SC-12, SC-17 | 3,6 |
Принцип безопасности. Обеспечьте безопасность службы хранилища ключей, которая используется для криптографического ключа и управления жизненным циклом сертификатов. Укрепите службу хранилища ключей с помощью управления доступом, сетевой безопасности, ведения журнала, мониторинга и резервного копирования, чтобы обеспечить наивысший уровень защиты ключей и сертификатов.
Руководство по Azure. Защитите криптографические ключи и сертификаты, укрепив службу Azure Key Vault с помощью следующих мер:
- Ограничьте доступ к ключам и сертификатам в Azure Key Vault с помощью встроенных политик доступа или RBAC Azure, чтобы применить принцип наименьших привилегий для доступа к плоскости управления и плоскости данных.
- Защитите Azure Key Vault с помощью Приватного канала и Брандмауэра Azure, чтобы обеспечить минимальную доступность службы.
- Убедитесь, что у пользователей, которые управляют ключами шифрования, нет доступа к зашифрованным данным и наоборот.
- Используйте управляемое удостоверение для доступа к ключам, хранящимся в Azure Key Vault в приложениях рабочей нагрузки.
- Не храните ключи в формате открытого текста вне Azure Key Vault.
- Перед очисткой фактических данных, резервных копий и архивов убедитесь, что ваши ключи не удалены.
- Выполните резервное копирование ключей и сертификатов с помощью Azure Key Vault. Включите обратимое удаление и защиту от очистки, чтобы избежать случайного удаления ключей.
- Включите ведение журнала Azure Key Vault, чтобы записывать критические события плоскости управления и плоскости данных.
Реализация и дополнительный контекст:
- Общие сведения об Azure Key Vault
- Рекомендации по обеспечению безопасности Azure Key Vault
- Использование управляемого удостоверения для доступа к Azure Key Vault
- Управление удостоверениями и ключами
Заинтересованные лица по безопасности клиентов (дополнительные сведения):