安全控制 v3:数据保护
数据保护涵盖控制静态数据保护、传输中的数据保护以及通过授权访问机制实现的数据保护,包括使用 Azure 中的访问控制、加密、密钥和证书管理发现、分类、保护和监视敏感数据资产。
DP-1:对敏感数据进行发现、分类和标记
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.2、3.7、3.13 | RA-2、SC-28 | A3.2 |
安全原则:根据定义的敏感数据范围,建立和维护敏感数据的清单。 使用工具发现、分类和标记范围内的敏感数据。
Azure 指南:使用 Microsoft Purview、Azure 信息保护 和 Azure SQL 数据发现和分类等工具集中扫描、分类和标记驻留在 Azure、本地、Microsoft 365 和其他位置的敏感数据。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-2:监视针对敏感数据的异常情况和威胁
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.13 | AC-4、SI-4 | A3.2 |
安全原则:监控敏感数据周围的异常情况,例如未经授权将数据传输到企业可见性和控制范围之外的位置。 这通常涉及监视那些可能意味着未经授权的数据外泄的异常活动(大型或异常传输)。
Azure 指导:使用 Azure 信息保护 (AIP) 监视已分类和标记的数据。
使用 Azure Defender for Storage、Azure Defender for SQL 和 Azure Cosmos DB 在信息传输异常时发出警报,这些异常传输可能指示传输敏感数据信息未获得授权。
注意:根据数据丢失防护 (DLP) 的合规性要求,如果需要,可以使用 Azure 市场中基于主机的 DLP 解决方案或 Microsoft 365 DLP 解决方案来强制实施检测和/或预防性控制,以防止数据泄露。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-3:加密传输中的敏感数据
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5、3.6、4.1 |
安全原则:使用加密保护传输中的数据免受“带外”攻击(例如流量捕获),确保攻击者无法轻松读取或修改数据。
设置网络边界和服务范围,并在网络内部和外部强制实施传输中数据加密。 虽然这对于专用网络上的流量来说是可选的,但对于外部和公共网络上的流量来说,这是至关重要的。
Azure 指导:对于内置了传输中数据加密本机功能的服务(例如 Azure 存储),请强制实施安全传输。
通过确保连接到 Azure 资源的任何客户端使用传输层安全性 (TLS) v1.2 或更高版本,为工作负载 Web 应用程序和服务强制实施 HTTPS。 对于 VM 的远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。
注意:为在 Azure 数据中心之间传输的所有 Azure 流量启用传输中数据加密。 默认情况下,在大多数 Azure PaaS 服务上启用 TLS v1.2 或更高版本。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-4:默认启用静态数据加密
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4、3.5 |
安全原则:为了对访问控制进行补充,应使用加密保护静态数据,以免遭受“带外”攻击(例如访问底层存储)。 这有助于确保攻击者无法轻松读取或修改数据。
Azure 指导:许多 Azure 服务使用服务管理的密钥在基础结构层默认启用了静态数据加密。
如果技术可行且默认情况下未启用,则可以在 Azure 服务或 VM 中启用静态数据加密,以进行存储级别、文件级别或数据库级别加密。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-5:需要时在静态数据加密中使用客户管理的密钥选项
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.11 | SC-12、SC-28 | 3.4、3.5、3.6 |
安全原则:根据法规合规性要求,如果需要,请定义需要客户管理的密钥选项的用例和服务范围。 在服务中使用客户管理的密钥启用和实施静态数据加密。
Azure 指导:Azure 还为某些服务提供使用由你自己管理的密钥(客户管理的密钥)的加密选项。 但是,使用客户管理的密钥选项需要额外的操作工作来管理密钥生命周期。 这可能包括加密密钥生成、轮换、撤销和访问控制等。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-6:使用安全密钥管理流程
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | IA-5、SC-12、SC-28 | 3.6 |
安全原则:记录并实现企业加密密钥管理标准、流程和过程,以控制密钥生命周期。 如果需要在服务中使用客户管理的密钥,请使用安全的 Key Vault 服务进行密钥生成、分发和存储。 根据定义的计划以及在密钥停用或泄露时轮换和撤销密钥。
Azure 指导:使用 Azure Key Vault 创建和控制加密密钥生命周期,包括密钥生成、分发和存储。 根据定义的计划以及在密钥停用或泄露时,在 Azure Key Vault 和服务轮换和撤销密钥。
如果需要在工作负载服务或应用程序中使用客户管理的密钥 (CMK),请确保遵循最佳做法:
- 使用密钥层次结构生成单独的数据加密密钥 (DEK),其中包含密钥保管库中的密钥加密密钥 (KEK)。
- 确保将密钥注册到 Azure Key Vault,并通过每个服务或应用程序中的密钥 ID 实现。
如果需要将自己的密钥引入 (BYOK) 服务(即,将受 HSM 保护的密钥从本地 HSM 导入 Azure Key Vault),请按照建议的指导执行密钥生成和密钥传输。
注意:有关 Azure Key Vault 类型和 FIPS 合规性级别的 FIPS 140-2 级别,请参阅以下内容。
- 保管库中受软件保护的密钥 (高级 & 标准 SKU) :FIPS 140-2 级别 1
- 保管库中受 HSM 保护的密钥(高级 SKU):FIPS 140-2 级别 2
- 托管 HSM 中受 HSM 保护的密钥:FIPS 140-2 级别 3
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-7:使用安全证书管理流程
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | IA-5、SC-12、SC-17 | 3.6 |
安全原则:记录并实现企业证书管理标准、流程和过程,其中包括证书生命周期控制和证书策略(如果需要公钥基础结构)。
使用自动化机制确保及时清查、跟踪、监视和续订组织中的关键服务使用的证书,以避免服务中断。
Azure 指导:使用 Azure Key Vault 创建和控制证书生命周期,包括证书的创建/导入、轮换、吊销、存储和清除。 确保证书生成遵循定义的标准,而不使用任何不安全的属性,例如密钥大小不足、有效期过长、加密不安全等。 根据定义的计划以及证书过期的时间,在 Azure Key Vault 和 Azure 服务中设置证书的自动轮换(如果支持)。 如果前端应用程序中不支持自动轮换,请在 Azure Key Vault 中使用手动轮换。
由于安全保证有限,请避免在关键服务中使用自签名证书和通配符证书。 相反,可以在 Azure Key Vault 中创建公共签名证书。 以下 CA 是目前可以与 Azure Key Vault 配合使用的提供者。
- DigiCert:Azure Key Vault 提供 DigiCert 的 OV TLS/SSL 证书。
- GlobalSign:Azure Key Vault 提供 GlobalSign 的 OV TLS/SSL 证书。
注意:仅使用批准的证书颁发机构 (CA),并确保禁用已知的错误 CA 根/中间证书和这些 CA 颁发的证书。
实现和其他上下文:
客户安全利益干系人(了解详细信息):
DP-8:确保密钥和证书存储库的安全性
| CIS 控制 v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 空值 | IA-5、SC-12、SC-17 | 3.6 |
安全原则:确保用于加密密钥和证书生命周期管理的密钥保管库服务的安全性。 通过访问控制、网络安全、日志记录和监视以及备份强化 Key Vault 服务,以确保始终使用最大安全性保护密钥和证书。
Azure 指导:通过以下控制强化 Azure Key Vault 服务来保护加密密钥和证书:
- 使用内置访问策略或 Azure RBAC 限制对 Azure Key Vault 中的密钥和证书的访问,以确保管理平面访问和数据平面访问符合最小特权原则。
- 使用专用链接和 Azure 防火墙保护 Azure Key Vault,以确保将服务暴露降至最低
- 确保为管理加密密钥的用户提供职责分离,但其无法访问加密数据,反之亦然。
- 使用托管标识访问存储在工作负载应用程序的 Azure Key Vault 中的密钥。
- 切勿将密钥以纯文本格式存储在 Azure Key Vault 之外。
- 清除数据时,请确保在清除实际数据、备份和存档之前不会删除密钥。
- 使用 Azure Key Vault 备份密钥和证书。 启用软删除和清除保护,以避免意外删除密钥。
- 启用 Azure Key Vault 日志记录,确保记录关键管理平面和数据平面活动。
实现和其他上下文:
客户安全利益干系人(了解详细信息):