Security Control v3: Ochrana dat
Ochrana dat zahrnuje kontrolu neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, klíče a správy certifikátů v Azure.
DP-1: Zjišťování, klasifikace a označování citlivých dat
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Princip zabezpečení: Vytvoření a udržování inventáře citlivých dat na základě definovaného rozsahu citlivých dat. Pomocí nástrojů můžete zjišťovat, klasifikovat a označovat citlivá data v oboru.
Doprovodné materiály k Azure: Pomocí nástrojů, jako jsou Microsoft Purview, Azure Information Protection a Azure SQL Data Discovery a Klasifikace dat SQL, můžete centrálně skenovat, klasifikovat a označovat citlivá data, která se nacházejí v Azure, v místním prostředí, Microsoftu 365 a dalších umístěních.
Implementace a další kontext:
- Přehled klasifikace dat
- Označení citlivých dat pomocí Microsoft Purview
- Označování citlivých informací s využitím služby Azure Information Protection
- Implementace zjišťování dat Azure SQL
- Zdroje dat Microsoft Purview
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Princip zabezpečení: Monitorujte anomálie týkající se citlivých dat, jako je například neoprávněný přenos dat do umístění mimo podnikovou viditelnost a kontrolu. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.
Doprovodné materiály k Azure: Použití služby Azure Information Protection (AIP) k monitorování klasifikovaných a označených dat
Pomocí Azure Defenderu for Storage, Azure Defenderu pro SQL a Azure Cosmos DB můžete upozorňovat na neobvyklý přenos informací, které můžou značit neoprávněné přenosy citlivých dat.
Poznámka: Pokud je vyžadováno dodržování předpisů ochrany před únikem informací, můžete použít řešení ochrany před únikem informací na základě hostitele z Azure Marketplace nebo řešení Microsoftu 365 pro ochranu před únikem informací k vynucení detektivů nebo preventivních ovládacích prvků, které brání exfiltraci dat.
Implementace a další kontext:
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
DP-3: Šifrování citlivých dat během přenosu
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3,10 | SC-8 | 3.5, 3.6, 4.1 |
Princip zabezpečení: Chraňte přenášená data před útoky mimo pásmo (jako je zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat.
Nastavte hranice sítě a obor služby, kde šifrování přenášených dat je povinné uvnitř sítě i mimo síť. I když je tato možnost volitelná pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích.
Pokyny k Azure: Vynucujte zabezpečený přenos ve službách, jako je Azure Storage, kde je integrovaná nativní funkce šifrování přenášených dat.
Vynucujte https pro webové aplikace a služby úloh tím, že zajistíte, aby všichni klienti připojující se k prostředkům Azure používali protokol TLS (Transport Layer Security) verze 1.2 nebo novější. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Poznámka: Šifrování přenášených dat je povolené pro veškerý provoz Azure přenášený mezi datacentry Azure. Ve většině služeb Azure PaaS je ve výchozím nastavení povolený protokol TLS verze 1.2 nebo novější.
Implementace a další kontext:
- Dvojité šifrování přenášených dat Azure
- Principy šifrování během přenosu s Využitím Azure
- Informace o zabezpečení protokolu TLS
- Vynucení zabezpečeného přenosu ve službě Azure Storage
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
- Architektura zabezpečení
- Zabezpečení infrastruktury a koncového bodu
- Zabezpečení aplikací a DevOps
- Zabezpečení dat
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Princip zabezpečení: Pro doplnění řízení přístupu by neaktivní uložená data měla být chráněna před útoky mimo pásmo (jako je přístup k podkladovému úložišti) pomocí šifrování. To pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.
Doprovodné materiály k Azure: Mnoho služeb Azure má ve výchozím nastavení povolené šifrování neaktivních uložených dat ve vrstvě infrastruktury pomocí klíče spravovaného službou.
Pokud technicky proveditelné a nepovoleno ve výchozím nastavení, můžete povolit šifrování neaktivních uložených dat ve službách Azure nebo ve virtuálních počítačích pro úroveň úložiště, úroveň souborů nebo šifrování na úrovni databáze.
Implementace a další kontext:
- Principy šifrování neaktivních uložených dat v Azure
- Dvojité šifrování neaktivních uložených dat v Azure
- Tabulka pro správu šifrovacího modelu a klíčů
- Architektura zabezpečení
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Princip zabezpečení: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba klíč spravovaný zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem ve službách.
Doprovodné materiály k Azure: Azure také poskytuje možnost šifrování pomocí klíčů spravovaných sami (klíče spravované zákazníkem) pro určité služby. Použití klíče spravovaného zákazníkem ale vyžaduje další provozní úsilí ke správě životního cyklu klíče. Může se jednat o generování šifrovacího klíče, obměna, odvolání a řízení přístupu atd.
Implementace a další kontext:
- Tabulka pro správu šifrovacího modelu a klíčů
- Služby, které podporují šifrování pomocí klíče spravovaného zákazníkem
- Konfigurace šifrovacích klíčů spravovaných zákazníkem ve službě Azure Storage
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
- Architektura zabezpečení
- Zabezpečení infrastruktury a koncového bodu
- Zabezpečení aplikací a DevOps
- Zabezpečení dat
DP-6: Použití zabezpečeného procesu správy klíčů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-28 | 3,6 |
Princip zabezpečení: Zdokumentujte a implementujte standard, procesy a postupy správy kryptografických klíčů podniku pro řízení životního cyklu klíče. Pokud je potřeba ve službách používat klíč spravovaný zákazníkem, použijte zabezpečenou službu trezoru klíčů pro generování, distribuci a úložiště klíčů. Obměna a odvolávání klíčů na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení.
Doprovodné materiály k Azure: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu a v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení.
Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) ve službách nebo aplikacích úloh, ujistěte se, že dodržujete osvědčené postupy:
- Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů.
- Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a implementují se prostřednictvím ID klíčů v každé službě nebo aplikaci.
Pokud potřebujete ke službám použít vlastní klíč (BYOK) (tj. import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení generování klíčů a přenosu klíčů.
Poznámka: Informace o úrovni FIPS 140–2 pro typy služby Azure Key Vault a úroveň dodržování předpisů FIPS najdete níže.
- Klíče chráněné softwarem v trezorech (SKU Premium &Standard): FIPS 140-2 Level 1
- Klíče chráněné hsm v trezorech (SKU Premium): FIPS 140–2 level 2
- Klíče chráněné hsm ve spravovaném HSM: FIPS 140–2 úroveň 3
Implementace a další kontext:
- Přehled služby Azure Key Vault
- Šifrování dat Azure při nečinnosti – hierarchie klíčů
- Specifikace BYOK (Přineste si vlastní klíč)
- Správa identit a klíčů
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
DP-7: Použití zabezpečeného procesu správy certifikátů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-17 | 3,6 |
Princip zabezpečení: Dokument a implementace standardu správy podnikových certifikátů, procesů a postupů, které zahrnují řízení životního cyklu certifikátů a zásady certifikátů (pokud je potřeba infrastruktura veřejného klíče).
Zajistěte, aby certifikáty používané důležitými službami ve vaší organizaci byly inventarizovány, sledovány, monitorovány a obnovovány včas pomocí automatizovaného mechanismu, aby nedocházelo k přerušení služeb.
Doprovodné materiály k Azure: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření/importu, obměny, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátu dodržuje definovaný standard bez použití nezabezpečených vlastností, jako je nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie atd. Nastavte automatickou obměnu certifikátu ve službě Azure Key Vault a službě Azure (pokud je podporováno) na základě definovaného plánu a vypršení platnosti certifikátu. Pokud přední aplikace nepodporuje automatickou rotaci, použijte ruční otočení ve službě Azure Key Vault.
Vyhýbejte se používání certifikátu podepsaného svým držitelem a certifikátu se zástupným znakem ve vašich důležitých službách kvůli omezenému zabezpečení. Místo toho můžete ve službě Azure Key Vault vytvořit veřejný podepsaný certifikát. Následující certifikační autority jsou aktuální partneři se službou Azure Key Vault.
- DigiCert: Azure Key Vault nabízí certifikáty TLS/SSL OV s DigiCertem.
- GlobalSign: Azure Key Vault nabízí certifikáty TLS/SSL OV s globalSignem.
Poznámka: Používejte pouze schválenou certifikační autoritu (CA) a ujistěte se, že jsou zakázané známé chybné certifikáty kořenové nebo zprostředkující certifikační autority a certifikáty vydané těmito certifikačními autoritami.
Implementace a další kontext:
- Začínáme s certifikáty služby Key Vault
- Řízení přístupu k certifikátům ve službě Azure Key Vault
- Správa identit a klíčů
- Architektura zabezpečení
Zúčastněné strany zabezpečení zákazníků (další informace):a1>
DP-8: Zajištění zabezpečení klíče a úložiště certifikátů
| ID ovládacích prvků CIS v8 | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| – | IA-5, SC-12, SC-17 | 3,6 |
Princip zabezpečení: Zajistěte zabezpečení služby trezoru klíčů používané pro kryptografický klíč a správu životního cyklu certifikátů. Posílení zabezpečení služby trezoru klíčů prostřednictvím řízení přístupu, zabezpečení sítě, protokolování a monitorování a zálohování, aby se zajistilo, že klíče a certifikáty budou vždy chráněny pomocí maximálního zabezpečení.
Doprovodné materiály k Azure: Zabezpečení kryptografických klíčů a certifikátů posílením zabezpečení služby Azure Key Vault pomocí následujících ovládacích prvků:
- Omezte přístup k klíčům a certifikátům ve službě Azure Key Vault pomocí předdefinovaných zásad přístupu nebo Azure RBAC, abyste zajistili, že pro přístup k rovině správy a přístupu k rovině dat platí zásada nejnižších oprávnění.
- Zabezpečení služby Azure Key Vault pomocí služby Private Link a služby Azure Firewall za účelem zajištění minimálního ohrožení služby
- Zajistěte oddělení povinností pro uživatele, kteří spravují šifrovací klíče, nemají možnost přistupovat k šifrovaným datům a naopak.
- Použijte spravovanou identitu pro přístup ke klíčům uloženým ve službě Azure Key Vault v aplikacích úloh.
- Klíče se nikdy neukládají ve formátu prostého textu mimo Azure Key Vault.
- Při mazání dat se ujistěte, že se klíče neodstraní před vyprázdněním skutečných dat, záloh a archivů.
- Zálohujte své klíče a certifikáty pomocí služby Azure Key Vault. Povolte ochranu proti obnovitelnému odstranění a vymazání, abyste zabránili náhodnému odstranění klíčů.
- Zapněte protokolování služby Azure Key Vault, abyste zajistili, že se protokolují důležité aktivity roviny správy a roviny dat.
Implementace a další kontext:
- Přehled služby Azure Key Vault
- Osvědčené postupy zabezpečení služby Azure Key Vault
- Použití spravované identity pro přístup ke službě Azure Key Vault
- Správa identit a klíčů
Zúčastněné strany zabezpečení zákazníků (další informace):a1>