Controllo di sicurezza v3: Protezione dei dati
La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la chiave e la gestione dei certificati in Azure.
DP-1: Individuare, classificare ed etichettare i dati sensibili
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Principio di sicurezza: stabilire e gestire un inventario dei dati sensibili, in base all'ambito dei dati sensibili definito. Usare gli strumenti per individuare, classificare ed etichettare i dati sensibili nell'ambito.
Linee guida di Azure: usare strumenti come Microsoft Purview, Azure Information Protection e Individuazione dati SQL di Azure e Classificazione per analizzare, classificare ed etichettare centralmente i dati sensibili che risiedono in Azure, in locale, In Microsoft 365 e in altre posizioni.
Implementazione e contesto aggiuntivo:
- Panoramica della classificazione dei dati
- Etichettare i dati sensibili con Microsoft Purview
- Assegnare tag alle informazioni riservate usando Azure Information Protection
- Come implementare l'individuazione dati SQL di Azure
- Origini dati di Microsoft Purview
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-2: Monitorare anomalie e minacce destinate ai dati sensibili
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3,13 | AC-4, SI-4 | A3.2 |
Principio di sicurezza: monitorare le anomalie relative ai dati sensibili, ad esempio il trasferimento non autorizzato dei dati in posizioni esterne alla visibilità e al controllo dell'organizzazione. Ciò comporta in genere il monitoraggio di attività anomale (trasferimenti insoliti o di grandi quantità di dati) che potrebbero indicare un'esfiltrazione di dati non autorizzata.
Linee guida di Azure: usare Azure Information Protection (AIP) per monitorare i dati classificati ed etichettati.
Usare Azure Defender per Archiviazione, Azure Defender per SQL e Azure Cosmos DB per avvisare il trasferimento anomalo di informazioni che potrebbero indicare trasferimenti non autorizzati di informazioni riservate.
Nota: se necessario per la conformità della prevenzione della perdita dei dati (DLP), è possibile usare una soluzione DLP basata su host da Azure Marketplace o una soluzione DLP di Microsoft 365 per applicare controlli detective e/o preventivi per impedire l'esfiltrazione dei dati.
Implementazione e contesto aggiuntivo:
Stakeholder della sicurezza dei clienti (altre informazioni):
- Operazioni per la sicurezza
- Sicurezza delle applicazioni e DevOps
- Infrastruttura e sicurezza degli endpoint
DP-3: Crittografare i dati sensibili in movimento
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Principio di sicurezza: proteggere i dati in transito da attacchi "fuori banda", ad esempio l'acquisizione del traffico, usando la crittografia per garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Impostare il limite di rete e l'ambito del servizio in cui la crittografia dei dati in transito è obbligatoria all'interno e all'esterno della rete. Sebbene ciò sia facoltativo per il traffico nelle reti private, è fondamentale per il traffico nelle reti esterne e pubbliche.
Linee guida di Azure: applicare il trasferimento sicuro nei servizi, ad esempio Archiviazione di Azure, in cui è incorporata una funzionalità nativa di crittografia dei dati in transito.
Applicare HTTPS per applicazioni Web e servizi del carico di lavoro assicurandosi che tutti i client che si connettono alle risorse di Azure usino tls (Transport Layer Security) v1.2 o versione successiva. Per la gestione remota delle macchine virtuali, usare SSH (per Linux) o RDP/TLS (per Windows) anziché un protocollo non crittografato.
Nota: la crittografia dei dati in transito è abilitata per tutto il traffico di Azure in viaggio tra data center di Azure. TLS v1.2 o versione successiva è abilitato per la maggior parte dei servizi PaaS di Azure per impostazione predefinita.
Implementazione e contesto aggiuntivo:
- Doppia crittografia per i dati di Azure in transito
- Informazioni sulla crittografia in transito con Azure
- Informazioni sulla sicurezza TLS
- Applicare il trasferimento sicuro in Archiviazione di Azure
Stakeholder della sicurezza dei clienti (altre informazioni):
- Architettura di sicurezza
- Infrastruttura e sicurezza degli endpoint
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
DP-4: Abilitare la crittografia dei dati inattivi per impostazione predefinita
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Principio di sicurezza: per integrare i controlli di accesso, i dati inattivi devono essere protetti da attacchi "fuori banda", ad esempio l'accesso all'archiviazione sottostante, usando la crittografia. Ciò consente di garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.
Linee guida di Azure: molti servizi di Azure hanno la crittografia dei dati inattivi abilitata per impostazione predefinita a livello di infrastruttura usando una chiave gestita dal servizio.
Se tecnicamente fattibile e non abilitato per impostazione predefinita, è possibile abilitare la crittografia dei dati inattivi nei servizi di Azure o nelle macchine virtuali per il livello di archiviazione, il livello di file o la crittografia a livello di database.
Implementazione e contesto aggiuntivo:
- Informazioni sulla crittografia dei dati inattivi in Azure
- Doppia crittografia dei dati inattivi in Azure
- Modello di crittografia e tabella di gestione delle chiavi
- Architettura di sicurezza
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-5: Usare l'opzione della chiave gestita dal cliente nella crittografia dei dati inattivi quando necessario
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Principio di sicurezza: se necessario per la conformità alle normative, definire il caso d'uso e l'ambito del servizio in cui è necessaria l'opzione chiave gestita dal cliente. Abilitare e implementare la crittografia dei dati inattivi usando la chiave gestita dal cliente nei servizi.
Linee guida di Azure: Azure offre anche l'opzione di crittografia usando chiavi gestite manualmente (chiavi gestite dal cliente) per determinati servizi. Tuttavia, l'uso dell'opzione chiave gestita dal cliente richiede ulteriori sforzi operativi per gestire il ciclo di vita delle chiavi. Ciò può includere la generazione, la rotazione, il controllo di accesso e revoca della chiave di crittografia e così via.
Implementazione e contesto aggiuntivo:
- Modello di crittografia e tabella di gestione delle chiavi
- Servizi che supportano la crittografia tramite la chiave gestita dal cliente
- Come configurare le chiavi di crittografia gestite dal cliente in Archiviazione di Azure
Stakeholder della sicurezza dei clienti (altre informazioni):
- Architettura di sicurezza
- Infrastruttura e sicurezza degli endpoint
- Sicurezza delle applicazioni e DevOps
- Sicurezza dei dati
DP-6: Usare un processo di gestione delle chiavi sicure
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-28 | 3.6 |
Principio di sicurezza: documentare e implementare uno standard, processi e procedure di gestione delle chiavi crittografiche aziendali per controllare il ciclo di vita delle chiavi. Quando è necessario usare la chiave gestita dal cliente nei servizi, usare un servizio di insieme di credenziali delle chiavi protetto per la generazione, la distribuzione e l'archiviazione delle chiavi. Ruotare e revocare le chiavi in base alla pianificazione definita e in caso di ritiro o compromissione della chiave.
Linee guida di Azure: usare Azure Key Vault per creare e controllare il ciclo di vita delle chiavi di crittografia, tra cui generazione, distribuzione e archiviazione delle chiavi di crittografia. Ruotare e revocare le chiavi in Azure Key Vault e il servizio in base alla pianificazione definita e in caso di ritiro o compromissione della chiave.
Quando è necessario usare la chiave gestita dal cliente (CMK) nei servizi o nelle applicazioni del carico di lavoro, assicurarsi di seguire le procedure consigliate:
- Usare una gerarchia di chiavi per generare una chiave DEK separata con la chiave di crittografia della chiave (KEK) nell'insieme di credenziali delle chiavi.
- Assicurarsi che le chiavi siano registrate con Azure Key Vault e implementare tramite ID chiave in ogni servizio o applicazione.
Se è necessario portare la propria chiave (BYOK) nei servizi ,ad esempio importando chiavi protette dal modulo di protezione hardware dai moduli di protezione hardware locali in Azure Key Vault, seguire le linee guida consigliate per eseguire la generazione e il trasferimento delle chiavi.
Nota: vedere quanto segue per il livello FIPS 140-2 per i tipi di Azure Key Vault e il livello di conformità FIPS.
- Chiavi protette da software negli insiemi di credenziali (SKU Premium e Standard): FIPS 140-2 Livello 1
- Chiavi protette dal modulo di protezione hardware negli insiemi di credenziali (SKU Premium): FIPS 140-2 Livello 2
- Chiavi protette dal modulo di protezione hardware in HSM gestito: FIPS 140-2 Livello 3
Implementazione e contesto aggiuntivo:
- Panoramica di Azure Key Vault
- Crittografia dei dati di Azure nella gerarchia delle chiavi inattive
- Specifica BYOK (Bring Your Own Key)
- Gestione delle identità e delle chiavi
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-7: Usare un processo di gestione dei certificati sicuro
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Principio di sicurezza: documentare e implementare uno standard di gestione dei certificati aziendale, processi e procedure che includono il controllo del ciclo di vita dei certificati e i criteri di certificato (se è necessaria un'infrastruttura a chiave pubblica).
Assicurarsi che i certificati usati dai servizi critici nell'organizzazione vengano inclusi nell'inventario, monitorati, monitorati e rinnovati tempestivamente usando un meccanismo automatizzato per evitare interruzioni del servizio.
Linee guida di Azure: usare Azure Key Vault per creare e controllare il ciclo di vita del certificato, tra cui creazione/importazione, rotazione, revoca, archiviazione ed eliminazione del certificato. Verificare che la generazione del certificato segua lo standard definito senza usare proprietà non sicure, ad esempio dimensioni di chiave insufficienti, periodo di validità eccessivamente lungo, crittografia non sicura e così via. Configurare la rotazione automatica del certificato in Azure Key Vault e nel servizio di Azure (se supportato) in base alla pianificazione definita e quando si verifica una scadenza del certificato. Se la rotazione automatica non è supportata nell'applicazione iniziale, usare una rotazione manuale in Azure Key Vault.
Evitare di usare il certificato autofirmato e il certificato con caratteri jolly nei servizi critici a causa della garanzia di sicurezza limitata. È invece possibile creare un certificato firmato pubblico in Azure Key Vault. Le ca seguenti sono i provider partner correnti con Azure Key Vault.
- DigiCert: Azure Key Vault offre certificati TLS/SSL OV con DigiCert.
- GlobalSign: Azure Key Vault offre certificati OV TLS/SSL con GlobalSign.
Nota: usare solo l'autorità di certificazione approvata e verificare che i certificati radice/intermedi della CA non valida noti rilasciati da queste ca siano disabilitati.
Implementazione e contesto aggiuntivo:
- Introduzione ai certificati di Key Vault
- Controllo di accesso di certificati in Azure Key Vault
- Gestione delle identità e delle chiavi
- Architettura di sicurezza
Stakeholder della sicurezza dei clienti (altre informazioni):
DP-8: Garantire la sicurezza del repository di chiavi e certificati
| CIS Controls v8 ID(s) | NIST SP 800-53 r4 ID | ID PCI-DSS v3.2.1 |
|---|---|---|
| N/D | IA-5, SC-12, SC-17 | 3.6 |
Principio di sicurezza: garantire la sicurezza del servizio key vault usato per la gestione del ciclo di vita della chiave crittografica e del certificato. Rafforzare il servizio key vault tramite il controllo di accesso, la sicurezza di rete, la registrazione e il monitoraggio e il backup per garantire che le chiavi e i certificati siano sempre protetti usando la massima sicurezza.
Linee guida di Azure: proteggere le chiavi crittografiche e i certificati grazie alla protezione avanzata del servizio Azure Key Vault tramite i controlli seguenti:
- Limitare l'accesso alle chiavi e ai certificati in Azure Key Vault usando i criteri di accesso predefiniti o il controllo degli accessi in base al ruolo di Azure per garantire il principio dei privilegi minimi per l'accesso al piano di gestione e l'accesso al piano dati.
- Proteggere Azure Key Vault usando collegamento privato e Firewall di Azure per garantire l'esposizione minima del servizio
- Garantire la separazione dei compiti per gli utenti che gestiscono le chiavi di crittografia non hanno la possibilità di accedere ai dati crittografati e viceversa.
- Usare l'identità gestita per accedere alle chiavi archiviate in Azure Key Vault nelle applicazioni del carico di lavoro.
- Le chiavi non vengono mai archiviate in formato testo non crittografato all'esterno di Azure Key Vault.
- Quando si eliminano i dati, assicurarsi che le chiavi non vengano eliminate prima che i dati effettivi, i backup e gli archivi vengano eliminati.
- Eseguire il backup delle chiavi e dei certificati usando Azure Key Vault. Abilitare l'eliminazione temporanea e la protezione dall'eliminazione temporanea per evitare l'eliminazione accidentale delle chiavi.
- Attivare la registrazione di Azure Key Vault per assicurarsi che il piano di gestione critico e le attività del piano dati vengano registrate.
Implementazione e contesto aggiuntivo:
- Panoramica di Azure Key Vault
- Procedure consigliate per la sicurezza di Azure Key Vault
- Usare l'identità gestita per accedere ad Azure Key Vault
- Gestione delle identità e delle chiavi
Stakeholder della sicurezza dei clienti (altre informazioni):