Controllo sicurezza: Protezione dei dati

Nota

Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.

Le raccomandazioni sulla protezione dei dati si concentrano sulla risoluzione dei problemi relativi alla crittografia, agli elenchi di controllo di accesso, al controllo degli accessi in base all'identità e alla registrazione dei controlli per l'accesso ai dati.

4.1: gestire un inventario delle informazioni riservate

ID di Azure	ID CIS	Responsabilità
4.1	13.1	Customer

Usare Tag per facilitare il rilevamento delle risorse di Azure che archiviano o elaborano informazioni riservate.

• Come creare e usare i tag

4.2: isolare i sistemi che archiviano o elaborano informazioni riservate

ID di Azure	ID CIS	Responsabilità
4.2	13.2, 2.10	Customer

Implementare l'isolamento usando sottoscrizioni separate e gruppi di gestione per singoli domini di sicurezza, ad esempio il tipo di ambiente e il livello di riservatezza dei dati. È possibile limitare il livello di accesso alle risorse di Azure richieste dalle applicazioni e dagli ambienti aziendali. È possibile controllare l'accesso alle risorse di Azure tramite il controllo degli accessi in base al ruolo di Azure ( Controllo degli accessi in base al ruolo di Azure).

• Come creare sottoscrizioni di Azure aggiuntive

• Come creare gruppi di gestione

• Come creare e usare i tag

4.3: monitorare e bloccare il trasferimento non autorizzato di informazioni riservate

ID di Azure	ID CIS	Responsabilità
4.3	13.3	Condiviso

Sfruttare una soluzione di terze parti da Azure Marketplace su perimetrali di rete che monitora il trasferimento non autorizzato di informazioni sensibili e blocca tali trasferimenti durante l'avviso dei professionisti della sicurezza delle informazioni.

Per la piattaforma sottostante gestita da Microsoft, Microsoft considera tutti i contenuti dei clienti sensibili e sorvegliati dalla perdita e dall'esposizione dei dati dei clienti. Per garantire che i dati dei clienti in Azure rimangano protetti, Microsoft ha implementato e applica un gruppo di controlli e funzionalità affidabili per la protezione dei dati.

• Informazioni sulla protezione dei dati dei clienti in Azure

4.4: crittografare tutte le informazioni riservate in transito

ID di Azure	ID CIS	Responsabilità
4.4	14.4	Condiviso

Crittografare tutte le informazioni riservate in transito. Assicurarsi che tutti i client che si connettono alle risorse di Azure siano in grado di negoziare TLS 1.2 o versione successiva.

Seguire Centro sicurezza di Azure raccomandazioni per la crittografia inattivi e la crittografia in transito, se applicabile.

• Informazioni sulla crittografia in transito con Azure

4.5: usare uno strumento di individuazione attivo per identificare i dati sensibili

ID di Azure	ID CIS	Responsabilità
4.5	14.5	Condiviso

Quando non è disponibile alcuna funzionalità per il servizio specifico in Azure, usare uno strumento di individuazione attivo di terze parti per identificare tutte le informazioni riservate archiviate, elaborate o trasmesse dai sistemi tecnologici dell'organizzazione, incluse quelle presenti sul sito o in un provider di servizi remoti e aggiornare l'inventario delle informazioni sensibili dell'organizzazione.

Usare Azure Information Protection per identificare le informazioni riservate all'interno dei documenti di Microsoft 365.

Usare Azure SQL Information Protection per facilitare la classificazione e l'etichettatura delle informazioni archiviate in Azure SQL Database.

• Come implementare l'individuazione dati SQL di Azure

• Come implementare Information Protection di Azure

• Informazioni sulla protezione dei dati dei clienti in Azure

4.6: usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso alle risorse

ID di Azure	ID CIS	Responsabilità
4,6	14.6	Customer

Usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso ai dati e alle risorse, in caso contrario, usare metodi di controllo degli accessi specifici del servizio.

• Come configurare il controllo degli accessi in base al ruolo di Azure

4.7: usare la prevenzione della perdita dei dati basata su host per applicare il controllo di accesso

ID di Azure	ID CIS	Responsabilità
4.7	14.7	Condiviso

Se necessario per la conformità sulle risorse di calcolo, implementare uno strumento di terze parti, ad esempio una soluzione di prevenzione della perdita di dati basata su host automatizzata, per applicare i controlli di accesso ai dati anche quando i dati vengono copiati da un sistema.

Per la piattaforma sottostante gestita da Microsoft, Microsoft considera tutti i contenuti dei clienti come sensibili e si impegna per difendersi dalla perdita di dati e dall'esposizione dei clienti. Per garantire che i dati dei clienti in Azure rimangano protetti, Microsoft ha implementato e applica un gruppo di controlli e funzionalità affidabili per la protezione dei dati.

• Informazioni sulla protezione dei dati dei clienti in Azure

4.8: crittografare le informazioni riservate inattive

ID di Azure	ID CIS	Responsabilità
4.8	14.8	Customer

Usare la crittografia inattivi in tutte le risorse di Azure. Microsoft consiglia di consentire ad Azure di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi in alcune istanze.

• Informazioni sulla crittografia dei dati inattivi in Azure

• Come configurare le chiavi di crittografia gestite dal cliente

4.9: registrare e inviare avvisi per le modifiche alle risorse di Azure critiche

ID di Azure	ID CIS	Responsabilità
4.9	14.9	Customer

Usare Monitoraggio di Azure con il log attività di Azure per creare avvisi per quando si apportano modifiche alle risorse critiche di Azure.

• Come creare avvisi per gli eventi del log attività di Azure

Passaggi successivi

• Vedere il controllo di sicurezza successivo: Gestione delle vulnerabilità