數據保護建議著重於解決加密、訪問控制清單、身分識別型訪問控制,以及數據存取的稽核記錄相關問題。
4.1:維護敏感性資訊的清查
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.1 | 13.1 | 客戶 |
使用標籤來協助追蹤儲存或處理敏感性資訊的 Azure 資源。
4.2:將儲存或處理敏感性資訊的系統隔離
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.2 | 13.2, 2.10 | 客戶 |
使用個別安全性網域的個別訂用帳戶和管理群組來實作隔離,例如環境類型和數據敏感度層級。 您可以限制應用程式和企業環境所需的 Azure 資源存取層級。 您可以透過 Azure 角色型存取控制 (Azure RBAC) 來控制 Azure 資源的存取權。
4.3:監視並封鎖未獲授權的敏感性資訊傳輸
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.3 | 13.3 | 共用 |
利用來自網路周邊 Azure Marketplace 的第三方解決方案,監視未經授權的敏感性資訊傳輸,並在警示資訊安全專業人員時封鎖這類傳輸。
對於由 Microsoft 管理的基礎平臺,Microsoft會將所有客戶內容視為敏感性,並防範客戶數據遺失和暴露。 為了確保 Azure 內的客戶數據保持安全,Microsoft已實作和維護一套健全的數據保護控制與功能。
4.4:加密傳輸中的所有敏感性資訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.4 | 14.4 | 共用 |
加密傳輸中所有敏感性資訊。 請確定任何連線到 Azure 資源的用戶端都能夠交涉 TLS 1.2 或更新版本。
請遵循 Azure 資訊安全中心的建議,在適用的情況下進行待用加密和傳輸中的加密。
4.5:使用主動探索工具來識別敏感性資料
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.5 | 14.5 | 共用 |
當 Azure 中特定服務沒有可用的功能時,請使用第三方主動發現工具來識別組織技術系統所儲存、處理或傳輸的所有敏感資訊,包括位於現場或遠端服務提供者的資訊。隨後更新組織的敏感資訊清單。
使用 Azure 資訊保護來識別Microsoft 365 份檔中的敏感性資訊。
使用 Azure SQL 資訊保護來協助分類和標記儲存在 Azure SQL Database 中的資訊。
4.6:使用 Azure RBAC 來控制資源的存取
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.6 | 14.6 | 客戶 |
使用 Azure 角色型存取控制 (Azure RBAC) 來控制對資料和資源的存取,否則請使用服務特定的存取控制方法。
4.7:使用主機型數據外泄防護來強制執行訪問控制
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.7 | 14.7 | 共用 |
若需符合計算資源的規範要求,請實施第三方工具,例如自動化主機端資料外洩防護解決方案,以在資料被複製到其他系統上時仍然強制執行訪問控制。
對於由 Microsoft 管理的基礎平台,Microsoft 將所有客戶內容視為敏感資訊,並竭盡全力防止客戶資料的遺失和洩漏。 為了確保 Azure 內的客戶數據保持安全,Microsoft已實作和維護一套健全的數據保護控制與功能。
4.8:加密待用敏感性資訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.8 | 14.8 | 客戶 |
在所有 Azure 資源上使用靜態加密。 Microsoft建議允許 Azure 管理加密金鑰,不過在某些情況下,您可以選擇管理自己的密鑰。
了解 Azure 中的靜止資料加密
4.9:對重要 Azure 資源的變更進行記錄和警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.9 | 14.9 | 客戶 |
搭配 Azure 活動記錄使用 Azure 監視器,以在重大 Azure 資源變更時建立警示。
後續步驟
- 請參閱下一個安全性控制: 弱點管理