Security Control V2: Dataskydd

Anteckning

Det senaste Azure Security Benchmark finns här.

Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer. Detta omfattar identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering och loggning i Azure.

Information om det inbyggda Azure Policy finns i Information om det inbyggda initiativet Azure Security Benchmark Regulatory Compliance: Dataskydd

DP-1: Identifiera, klassificera och märk upp känsliga data

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
DP-1	13.1, 14.5, 14.7	SC-28

Identifiera, klassificera och märka känsliga data så att du kan utforma lämpliga kontroller för att säkerställa att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.

Använd Azure Information Protection (och dess associerade skanningsverktyg) för känslig information i Office-dokument på Azure, lokalt, i Office 365 och på andra platser.

Du kan använda Azure SQL-Information Protection för att hjälpa till med klassificering och märkning av information som lagras i Azure SQL-databaser.

• Tagga känslig information med Azure Information Protection

• Så här implementerar du identifiering av Azure SQL-data

Ansvar: Delad

Intressenter för kundsäkerhet (läs mer):

• Programsäkerhet och DevOps

• Datasäkerhet

• Infrastruktur- och slutpunktssäkerhet

DP-2: Skydda känsliga data

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
DP-2	13.2, 2.10	SC-7, AC-4

Skydda känsliga data genom att begränsa åtkomsten med rollbaserad åtkomstkontroll i Azure (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering i SQL och andra databaser).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll justeras mot din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

När det gäller den underliggande plattformen, som hanteras av Microsoft, behandlar Microsoft allt kundinnehåll som känsligt och skyddar det mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

• Azure RBAC (rollbaserad åtkomstkontroll)

• Förstå skydd av kunddata i Azure

Ansvar: Delad

Intressenter för kundsäkerhet (läs mer):

• Programsäkerhet och DevOps

• Datasäkerhet

• Infrastruktur- och slutpunktssäkerhet

DP-3: Övervaka obehörig överföring av känsliga data

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
DP-3	13.3	AC-4, SI-4

Övervaka obehörig överföring av data till platser utanför företagets synlighet och kontroll. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.

Azure Defender för Storage och Azure SQL ATP kan avisera om avvikande överföring av information som kan tyda på obehörig överföring av känslig information.

Azure Information Protection (AIP) innehåller övervakningsfunktioner för information som har klassificerats och märkts.

Om det krävs för att förhindra skydd mot dataförlust (DLP) kan du använda en värdbaserad DLP-lösning för att genomdriva detektionskontroller och/eller förebyggande kontroller för att förhindra dataexfiltrering.

• Azure Defender för SQL

• Azure Defender för Storage

Ansvar: Delad

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsåtgärder

• Programsäkerhet och DevOps

• Infrastruktur- och slutpunktssäkerhet

DP-4: Kryptera känslig information under överföring

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
DP-4	14,4	SC-8

För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out-of-band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll och svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

• Förstå kryptering under överföring med Azure

• Information om TLS-säkerhet

• Dubbel kryptering för Azure-data under överföring

Ansvar: Delad

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsarkitektur

• Infrastruktur- och slutpunktssäkerhet

• Programsäkerhet och DevOps

• Datasäkerhet

DP-5: Kryptera känsliga data i vila

Azure-ID	CIS-kontroller v7.1 ID:n	NIST SP 800-53 r4 ID:n
DP-5	14,8	SC-28, SC-12

För att komplettera åtkomstkontroller bör vilande data skyddas mot out-of-band-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data har du alternativ för att implementera ytterligare kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster.

• Förstå kryptering vid vila i Azure

• Så här konfigurerar du kundhanterade krypteringsnycklar

• Krypteringsmodell och nyckelhanteringstabell

• Dubbel kryptering av vilande data i Azure

Ansvar: Delad

Intressenter för kundsäkerhet (läs mer):

• Säkerhetsarkitektur

• Infrastruktur- och slutpunktssäkerhet

• Programsäkerhet och DevOps

• Datasäkerhet