Delen via

Beveiligingsbeheer v3: Gegevensbeveiliging

  • Artikel

Data Protection omvat het beheer van data protection-at-rest, in transit en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutel- en certificaatbeheer in Azure.

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Beveiligingsprincipe: stel een inventaris van de gevoelige gegevens vast en onderhoud deze op basis van het gedefinieerde bereik van gevoelige gegevens. Gebruik hulpprogramma's om gevoelige gegevens binnen het bereik te detecteren, classificeren en labelen.

Azure-richtlijnen: gebruik hulpprogramma's zoals Microsoft Purview, Azure Information Protection en Azure SQL Data Discovery en Classificatie om de gevoelige gegevens die zich in Azure, on-premises, Microsoft 365 en andere locaties bevinden centraal te scannen, classificeren en labelen.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.13 AC-4, SI-4 A3.2

Beveiligingsprincipe: bewaken op afwijkingen rond gevoelige gegevens, zoals niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van ondernemingen. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.

Azure-richtlijnen: Azure Information Protection (AIP) gebruiken om de gegevens te bewaken die zijn geclassificeerd en gelabeld.

Gebruik Azure Defender voor Storage, Azure Defender voor SQL en Azure Cosmos DB om te waarschuwen over afwijkende overdracht van gegevens die kunnen duiden op onbevoegde overdracht van gevoelige gegevens.

Opmerking: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing van Azure Marketplace of een Microsoft 365 DLP-oplossing gebruiken om rechercheur en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-3: Gevoelige gegevens versleutelen tijdens overdracht

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Beveiligingsprincipe: beveilig de gegevens die onderweg zijn tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Stel de netwerkgrens en het servicebereik in waarbij gegevens in transitversleuteling verplicht zijn binnen en buiten het netwerk. Hoewel dit optioneel is voor verkeer op privénetwerken, is dit essentieel voor verkeer op externe en openbare netwerken.

Azure-richtlijnen: veilige overdracht afdwingen in services zoals Azure Storage, waarbij een systeemeigen functie voor gegevensversleuteling in transit is ingebouwd.

Dwing HTTPS af voor workloadwebtoepassingen en -services door ervoor te zorgen dat clients die verbinding maken met uw Azure-resources tls (Transport Layer Security) v1.2 of hoger gebruiken. Gebruik voor extern beheer van VM's SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.

Opmerking: Versleuteling van gegevens in transit is ingeschakeld voor al het Verkeer tussen Azure-datacenters. TLS v1.2 of hoger is standaard ingeschakeld voor de meeste Azure PaaS-services.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-4: Gegevens-at-rest-versleuteling standaard inschakelen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.11 SC-28 3.4, 3.5

Beveiligingsprincipe: Om toegangsbeheer aan te vullen, moeten data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure-richtlijnen: voor veel Azure-services is data-at-rest-versleuteling standaard ingeschakeld op de infrastructuurlaag met behulp van een door de service beheerde sleutel.

Waar technisch haalbaar en niet standaard ingeschakeld, kunt u data-at-rest-versleuteling inschakelen in de Azure-services of in uw VM's voor versleuteling op opslagniveau, bestandsniveau of versleuteling op databaseniveau.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Beveiligingsprincipe: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar de door de klant beheerde sleuteloptie nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel in services.

Azure-richtlijnen: Azure biedt ook versleutelingsopties met behulp van sleutels die door uzelf worden beheerd (door de klant beheerde sleutels) voor bepaalde services. Het gebruik van de door de klant beheerde sleuteloptie vereist echter aanvullende operationele inspanningen om de levenscyclus van de sleutel te beheren. Dit kan bestaan uit het genereren van versleutelingssleutels, rotatie, intrekken en toegangsbeheer, enzovoort.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-6: Een beveiligd sleutelbeheerproces gebruiken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-28 3,6

Beveiligingsprincipe: documenteer en implementeer een cryptografische sleutelbeheerstandaard, -processen en -procedures voor het beheren van de levenscyclus van uw sleutel. Wanneer er een door de klant beheerde sleutel in de services moet worden gebruikt, gebruikt u een beveiligde sleutelkluisservice voor het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in op basis van de gedefinieerde planning en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder het genereren, distribueren en opslaan van sleutels. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van de gedefinieerde planning en wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd.

Wanneer u CMK (Door de klant beheerde sleutel) in de workloadservices of -toepassingen moet gebruiken, moet u de aanbevolen procedures volgen:

  • Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis.
  • Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en implementeer via sleutel-id's in elke service of toepassing.

Als u uw eigen sleutel (BYOK) naar de services moet overbrengen (d.w.z. het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijn om de sleutelgeneratie en sleuteloverdracht uit te voeren.

Opmerking: Raadpleeg het onderstaande voor het FIPS 140-2-niveau voor Azure Key Vault-typen en het FIPS-nalevingsniveau.

  • Met software beveiligde sleutels in kluizen (Premium & Standard-SKU's): FIPS 140-2 Level 1
  • Met HSM beveiligde sleutels in kluizen (Premium SKU): FIPS 140-2 Level 2
  • Met HSM beveiligde sleutels in beheerde HSM: FIPS 140-2 Niveau 3

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-7: Een beveiligd certificaatbeheerproces gebruiken

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: documenteer en implementeer een standaard voor bedrijfscertificaatbeheer, processen en procedures die het levenscyclusbeheer van het certificaat omvatten en het certificaatbeleid (als een openbare-sleutelinfrastructuur nodig is).

Zorg ervoor dat certificaten die door de kritieke services in uw organisatie worden gebruikt, tijdig worden geïnventariseerd, bijgehouden, bewaakt en vernieuwd met behulp van geautomatiseerd mechanisme om serviceonderbreking te voorkomen.

Azure-richtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken/importeren, rouleren, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van het certificaat voldoet aan de gedefinieerde standaard zonder gebruik te maken van onveilige eigenschappen, zoals onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie, enzovoort. Automatische rotatie van het certificaat instellen in Azure Key Vault en Azure-service (indien ondersteund) op basis van de gedefinieerde planning en wanneer er een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de fronttoepassing, gebruikt u een handmatige rotatie in Azure Key Vault.

Vermijd het gebruik van zelfondertekend certificaat en jokertekencertificaat in uw kritieke services vanwege de beperkte beveiliging. In plaats daarvan kunt u een openbaar ondertekend certificaat maken in Azure Key Vault. De volgende CA's zijn de huidige partnerproviders met Azure Key Vault.

  • DigiCert: Azure Key Vault biedt OV TLS/SSL-certificaten met DigiCert.
  • GlobalSign: Azure Key Vault biedt OV TLS/SSL-certificaten met GlobalSign.

Opmerking: Gebruik alleen goedgekeurde certificeringsinstantie (CA) en zorg ervoor dat de bekende ongeldige ca-basiscertificaten en certificaten die zijn uitgegeven door deze CA's zijn uitgeschakeld.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):

DP-8: Beveiliging van sleutel- en certificaatopslagplaats garanderen

CIS-besturingselementen v8-id('s) NIST SP 800-53 r4 ID('s) PCI-DSS ID(s) v3.2.1
N.v.t. IA-5, SC-12, SC-17 3,6

Beveiligingsprincipe: zorg voor de beveiliging van de sleutelkluisservice die wordt gebruikt voor het beheer van de cryptografische sleutel en het levenscyclusbeheer van certificaten. Beveilig uw sleutelkluisservice via toegangsbeheer, netwerkbeveiliging, logboekregistratie en bewaking en back-up om ervoor te zorgen dat sleutels en certificaten altijd worden beveiligd met de maximale beveiliging.

Azure-richtlijnen: beveilig uw cryptografische sleutels en certificaten door uw Azure Key Vault-service te beveiligen via de volgende besturingselementen:

  • Beperk de toegang tot sleutels en certificaten in Azure Key Vault met behulp van ingebouwd toegangsbeleid of Azure RBAC om ervoor te zorgen dat het principe van minimale bevoegdheden is ingesteld voor toegang tot het beheervlak en toegang tot het gegevensvlak.
  • De Azure Key Vault beveiligen met behulp van Private Link en Azure Firewall om de minimale blootstelling van de service te garanderen
  • Zorg ervoor dat de scheiding van taken plaatsvindt voor gebruikers die versleutelingssleutels beheren, niet de mogelijkheid hebben om toegang te krijgen tot versleutelde gegevens en omgekeerd.
  • Gebruik beheerde identiteit voor toegang tot sleutels die zijn opgeslagen in Azure Key Vault in uw workloadtoepassingen.
  • De sleutels worden nooit opgeslagen in tekst zonder opmaak buiten De Azure Key Vault.
  • Wanneer u gegevens opschoont, moet u ervoor zorgen dat uw sleutels niet worden verwijderd voordat de werkelijke gegevens, back-ups en archieven worden opgeschoond.
  • Maak een back-up van uw sleutels en certificaten met behulp van Azure Key Vault. Schakel voorlopig verwijderen en opschonen in om onbedoelde verwijdering van sleutels te voorkomen.
  • Schakel Azure Key Vault-logboekregistratie in om ervoor te zorgen dat de activiteiten van het kritieke beheervlak en het gegevensvlak worden vastgelegd.

Implementatie en aanvullende context:

Belanghebbenden voor klantbeveiliging (meer informatie):