安全性控制 v3:數據保護
數據保護涵蓋待用數據保護、傳輸中,以及透過授權的存取機制來控制,包括使用 Azure 中的訪問控制、加密、密鑰和憑證管理來探索、分類、保護及監視敏感數據資產。
DP-1:探索、分類及標記敏感性資料
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2、SC-28 | A3.2 |
安全性準則:根據定義的敏感數據範圍,建立和維護敏感數據的清查。 使用工具來探索、分類和標記範圍內敏感數據。
Azure 指引:使用 Microsoft Purview、Azure 資訊保護 和 Azure SQL 數據探索和分類等工具,集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 和其他位置的敏感數據。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-2:監視以敏感性資料為目標的異常和威脅
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.13 | AC-4、SI-4 | A3.2 |
安全性準則:監視敏感數據的異常狀況,例如未經授權的數據傳輸至企業可見度和控制外部的位置。 這通常牽涉到監視是否有異常活動 (大規模或不尋常的傳輸) 可能意味著未經授權的資料外洩。
Azure 指引:使用 Azure 資訊保護 (AIP) 來監視已分類和標示的數據。
使用適用於記憶體的 Azure Defender、適用於 SQL 的 Azure Defender 和 Azure Cosmos DB 來警示異常傳輸可能表示未經授權傳輸敏感數據信息的資訊。
注意:如果需要符合數據外泄防護 (DLP) ,您可以使用主機型 DLP 解決方案,從 Azure Marketplace 或 Microsoft 365 DLP 解決方案強制執行偵測和/或預防控件,以防止數據外泄。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-3:加密傳輸中的敏感性資料
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
安全策略:保護傳輸中的數據免於遭受「頻外」攻擊 (,例如使用加密) 的流量擷取,以確保攻擊者無法輕鬆地讀取或修改數據。
設定網路界限和服務範圍,其中傳輸加密中的數據在網路內外是必要的。 雖然這對於私人網路的流量而言為選擇性,但對於外部和公用網路的流量而言不可或缺。
Azure 指引:在 Azure 記憶體等服務中強制執行安全傳輸,其中內建傳輸中的原生數據加密功能。
藉由確保連線到 Azure 資源的任何用戶端都使用傳輸層安全性 (TLS) v1.2 或更新版本,強制執行工作負載 Web 應用程式和服務的 HTTPS。 若要遠端管理 VM,請使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
注意:傳輸中加密的數據會針對在 Azure 資料中心之間移動的所有 Azure 流量啟用。 預設會在大部分的 Azure PaaS 服務上啟用 TLS v1.2 或更新版本。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-4:預設啟用待用資料加密
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4、3.5 |
安全性準則:為了補充訪問控制,待用數據應該受到保護,以防止「頻外」攻擊 (,例如使用加密存取基礎記憶體) 。 這有助於確保攻擊者無法輕鬆地讀取或修改數據。
Azure 指引:許多 Azure 服務預設會在基礎結構層使用服務管理的密鑰啟用待用加密。
在技術上可行且預設未啟用的情況下,您可以在 Azure 服務中啟用待用數據加密,或在 VM 中啟用記憶體層級、檔案層級或資料庫層級加密。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 3.11 | SC-12、SC-28 | 3.4, 3.5, 3.6 |
安全性準則:如果需要法規合規性,請定義需要客戶管理密鑰選項的使用案例和服務範圍。 在服務中使用客戶管理的密鑰啟用和實作待用數據加密。
Azure 指引:Azure 也提供加密選項,使用由您自己管理的密鑰, (特定服務的客戶自控密鑰) 。 不過,使用客戶管理的金鑰選項需要額外的作業工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-6:使用安全金鑰管理程序
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-28 | 3.6 |
安全性準則:記載並實作企業密碼編譯密鑰管理標準、程式和程式,以控制您的密鑰生命週期。 當需要在服務中使用客戶管理的金鑰時,請使用安全的金鑰保存庫服務來產生、散發和記憶體。 根據定義的排程輪替和撤銷密鑰,以及金鑰淘汰或入侵的時間。
Azure 指引:使用 Azure 金鑰保存庫 來建立和控制加密密鑰生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程,以及當密鑰淘汰或入侵時,輪替和撤銷 Azure 金鑰保存庫 和服務中的密鑰。
當需要在工作負載服務或應用程式中使用客戶管理的金鑰 (CMK) 時,請確定您遵循最佳做法:
- 使用金鑰階層來產生個別的數據加密金鑰, (DEK) 金鑰加密金鑰, (KEK) 密鑰保存庫中。
- 請確定金鑰已向 Azure 金鑰保存庫 註冊,並透過每個服務或應用程式中的金鑰標識碼實作。
如果您需要將自己的金鑰 (BYOK) 帶入服務 (,也就是將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行密鑰產生和密鑰傳輸。
注意:如需 Azure 金鑰保存庫 類型和 FIPS 合規性層級的 FIPS 140-2 層級,請參閱下列內容。
- 保存庫中軟體保護的密鑰 (進階 & 標準 SKU) :FIPS 140-2 層級 1
- 保存庫中受 HSM 保護的金鑰 (進階 SKU) :FIPS 140-2 層級 2
- 受控 HSM 中受 HSM 保護的金鑰:FIPS 140-2 層級 3
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DP-7:使用安全的憑證管理程序
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性準則:記錄並實作企業憑證管理標準、流程和程式,包括憑證生命週期控制,以及在需要公鑰基礎結構時 (憑證原則) 。
請確定組織中重要服務所使用的憑證會使用自動化機制來清查、追蹤、監視及更新,以避免服務中斷。
Azure 指引:使用 Azure 金鑰保存庫 來建立和控制憑證生命週期,包括建立/匯入、輪替、撤銷、記憶體和憑證清除。 請確定憑證產生遵循定義的標準,而不需使用任何不安全的屬性,例如密鑰大小不足、有效期間過長、密碼編譯不安全等等。 ) 根據定義的排程和憑證到期時間,在 Azure 金鑰保存庫 和 Azure 服務中設定憑證的自動輪替 (。 如果前端應用程式中不支援自動輪替,請在 Azure 金鑰保存庫 中使用手動輪替。
請避免在重要服務中使用自我簽署憑證和通配符憑證,因為安全性保證有限。 相反地,您可以在 Azure 金鑰保存庫 中建立公用簽署憑證。 下列 CA 是目前與 Azure 金鑰保存庫 合作的提供者。
- DigiCert:Azure 金鑰保存庫 提供 OV TLS/SSL 憑證與 DigiCert。
- GlobalSign:Azure 金鑰保存庫 提供具有 GlobalSign 的 OV TLS/SSL 憑證。
注意:僅使用已核准的證書頒發機構單位 (CA) ,並確保這些 CA 發出的已知不良 CA 根/中繼憑證和憑證已停用。
實作和其他內容:
- 開始使用 Key Vault 憑證 \(部分機器翻譯\)
- Azure 金鑰保存庫 中的憑證 存取控制
- 身分識別與金鑰管理
- 安全性架構
客戶安全性項目關係人 (深入瞭解) :
DP-8:確保金鑰和憑證存放庫的安全性
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| N/A | IA-5、SC-12、SC-17 | 3.6 |
安全性準則:確保用於密碼編譯密鑰和憑證生命週期管理的密鑰保存庫服務安全性。 透過訪問控制、網路安全性、記錄和監視和備份來強化密鑰保存庫服務,以確保密鑰和憑證一律使用最高安全性受到保護。
Azure 指引:透過下列控件強化您的 Azure 金鑰保存庫 服務,保護您的密碼編譯密鑰和憑證:
- 使用內建存取原則或 Azure RBAC 來限制存取 Azure 金鑰保存庫 中的金鑰和憑證,以確保管理平面存取和數據平面存取的最低許可權原則已就緒。
- 使用 Private Link 和 Azure 防火牆 來保護 Azure 金鑰保存庫,以確保服務暴露程度最低
- 請確定管理加密金鑰的用戶沒有存取加密數據的能力,反之亦然。
- 使用受控識別來存取工作負載應用程式中儲存在 Azure 金鑰保存庫 中的密鑰。
- 絕對不會在 Azure 金鑰保存庫 外部以純文字格式儲存密鑰。
- 清除資料時,請確定您的金鑰不會在實際數據、備份和封存清除之前刪除。
- 使用 Azure 金鑰保存庫 備份金鑰和憑證。 啟用虛刪除和清除保護,以避免意外刪除金鑰。
- 開啟 Azure 金鑰保存庫 記錄,以確保記錄重要的管理平面和數據平面活動。
實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :