Řízení zabezpečení: Ochrana dat

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Doporučení ochrany dat se zaměřují na řešení problémů souvisejících s šifrováním, seznamy řízení přístupu, řízením přístupu na základě identit a protokolováním auditu pro přístup k datům.

4.1: Udržování inventáře citlivých informací

Azure ID	ID CIS	Odpovědnost
4.1	13.1	Zákazník

Pomocí značek můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace.

• Jak vytvářet a používat značky

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Azure ID	ID CIS	Odpovědnost
4.2	13.2, 2.10	Zákazník

Implementujte izolaci pomocí samostatných předplatných a skupin pro správu pro jednotlivé domény zabezpečení, jako je typ prostředí a úroveň citlivosti dat. Úroveň přístupu k prostředkům Azure, které vyžadují vaše aplikace a podniková prostředí, můžete omezit. Přístup k prostředkům Azure můžete řídit prostřednictvím řízení přístupu na základě role Azure (Azure RBAC).

• Jak vytvořit další předplatná Azure

• Vytvoření skupin pro správu

• Jak vytvářet a používat značky

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Azure ID	ID CIS	Odpovědnost
4.3	13.3	Shared

Využijte řešení třetí strany z Azure Marketplace v hraničních sítích, které monitoruje neoprávněný přenos citlivých informací a blokuje takové přenosy při upozorňování odborníků na zabezpečení informací.

Pro základní platformu spravovanou Microsoftem microsoft považuje veškerý obsah zákazníka za citlivý a chrání před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

• Principy ochrany zákaznických dat v Azure

4.4: Šifrování všech citlivých informací při přenosu

Azure ID	ID CIS	Odpovědnost
4.4	14.4	Shared

Zašifrujte všechny citlivé informace při přenosu. Ujistěte se, že se všem klientům, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS 1.2 nebo vyšší.

Postupujte podle doporučení Azure Security Center pro šifrování neaktivních uložených dat a šifrování při přenosu, pokud je to možné.

• Vysvětlení šifrování při přenosu s Využitím Azure

4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat

Azure ID	ID CIS	Odpovědnost
4.5	14.5	Shared

Pokud není pro vaši konkrétní službu v Azure k dispozici žádná funkce, použijte nástroj pro aktivní zjišťování třetí strany k identifikaci všech citlivých informací uložených, zpracovávaných nebo přenášených technologickými systémy organizace, včetně těch, které se nacházejí v lokalitě nebo u vzdáleného poskytovatele služeb, a aktualizujte inventář citlivých informací organizace.

K identifikaci citlivých informací v dokumentech Microsoftu 365 použijte Azure Information Protection.

Pomocí Azure SQL Information Protection vám pomůžete s klasifikací a popiskem informací uložených v databázi Azure SQL.

• Implementace zjišťování dat Azure SQL

• Jak implementovat Azure Information Protection

• Principy ochrany zákaznických dat v Azure

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Azure ID	ID CIS	Odpovědnost
4,6	14.6	Zákazník

Pomocí řízení přístupu na základě role (Azure RBAC) v Azure můžete řídit přístup k datům a prostředkům, jinak použijte metody řízení přístupu specifické pro službu.

• Konfigurace Azure RBAC

4.7: Použití ochrany před únikem informací na základě hostitele k vynucení řízení přístupu

Azure ID	ID CIS	Odpovědnost
4.7	14.7	Shared

V případě potřeby dodržování předpisů u výpočetních prostředků implementujte nástroj třetí strany, jako je řešení ochrany před únikem informací založené na automatizovaném hostiteli, a vynucujte řízení přístupu k datům, i když se data zkopírují ze systému.

Pro základní platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý a má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

• Principy ochrany zákaznických dat v Azure

4.8: Šifrování citlivých informací v klidovém stavu

Azure ID	ID CIS	Odpovědnost
4.8	14.8	Zákazník

Šifrování neaktivních uložených dat používejte u všech prostředků Azure. Microsoft doporučuje povolit Azure správu šifrovacích klíčů, ale v některých případech můžete spravovat vlastní klíče.

• Principy šifrování neaktivních uložených dat v Azure

• Konfigurace šifrovacích klíčů spravovaných zákazníkem

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Azure ID	ID CIS	Odpovědnost
4,9	14.9	Zákazník

Pomocí služby Azure Monitor s protokolem aktivit Azure můžete vytvářet upozornění na to, kdy dojde ke změnám důležitých prostředků Azure.

• Vytváření upozornění pro události protokolu aktivit Azure

Další kroky

• Další kontrola zabezpečení: Správa ohrožení zabezpečení