Udostępnij za pośrednictwem

Security Control v3: Ochrona danych

  • Artykuł

Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, klucza i zarządzania certyfikatami na platformie Azure.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Zasada zabezpieczeń: ustanów i zachowaj spis poufnych danych na podstawie zdefiniowanego zakresu danych poufnych. Użyj narzędzi do odnajdywania, klasyfikowania i etykietowania poufnych danych w zakresie.

Wskazówki dotyczące platformy Azure: użyj narzędzi, takich jak Microsoft Purview, Azure Information Protection i Azure SQL Data Discovery and Classification, aby centralnie skanować, klasyfikować i oznaczać poufne dane, które znajdują się na platformie Azure, lokalnie, na platformie Microsoft 365 i w innych lokalizacjach.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.13 AC-4, SI-4 A3.2

Zasada zabezpieczeń: Monitoruj anomalie dotyczące poufnych danych, takich jak nieautoryzowany transfer danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Wskazówki dotyczące platformy Azure: monitorowanie danych sklasyfikowanych i oznaczonych etykietami za pomocą usługi Azure Information Protection (AIP).

Użyj usługi Azure Defender for Storage, usługi Azure Defender dla sql i usługi Azure Cosmos DB, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.

Uwaga: Jeśli jest to wymagane w celu zapewnienia zgodności z zapobieganiem utracie danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z witryny Azure Marketplace lub rozwiązania DLP platformy Microsoft 365, aby wymusić wykrywanie i/lub środki zapobiegające eksfiltracji danych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-3: Szyfrowanie poufnych danych podczas przesyłania

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3,10 SC-8 3.5, 3.6, 4.1

Zasada zabezpieczeń: Ochrona danych przesyłanych przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Ustaw granicę sieci i zakres usługi, w którym dane przesyłane są obowiązkowe wewnątrz i poza siecią. Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych.

Wskazówki dotyczące platformy Azure: Wymuszanie bezpiecznego transferu w usługach, takich jak Azure Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.

Wymuszanie protokołu HTTPS dla aplikacji internetowej i usług obciążeń przez zapewnienie, że wszyscy klienci łączący się z zasobami platformy Azure używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.

Uwaga: szyfrowanie tranzytowe jest włączone dla całego ruchu platformy Azure przesyłanego między centrami danych platformy Azure. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług PaaS platformy Azure.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.11 SC-28 3.4, 3.5

Zasada zabezpieczeń: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure ma domyślnie włączone szyfrowanie danych magazynowanych w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę.

Jeśli technicznie możliwe i nie jest włączone domyślnie, można włączyć szyfrowanie danych magazynowanych w usługach platformy Azure lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub na poziomie bazy danych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Zasada zabezpieczeń: w razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym jest wymagana opcja klucza zarządzanego przez klienta. Włączanie i implementowanie szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta w usługach.

Wskazówki dotyczące platformy Azure: platforma Azure udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych samodzielnie (kluczy zarządzanych przez klienta) dla niektórych usług. Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowych działań operacyjnych w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-6: Używanie bezpiecznego procesu zarządzania kluczami

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-5, SC-12, SC-28 3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu, procesów i procedur zarządzania kluczami kryptograficznymi przedsiębiorstwa w celu kontrolowania cyklu życia klucza. Jeśli w usługach jest konieczne użycie klucza zarządzanego przez klienta, użyj zabezpieczonej usługi magazynu kluczy na potrzeby generowania, dystrybucji i magazynu kluczy. Obracanie i odwoływanie kluczy na podstawie zdefiniowanego harmonogramu oraz po przejściu na emeryturę lub naruszenie klucza.

Wskazówki dotyczące platformy Azure: używanie usługi Azure Key Vault do tworzenia i kontrolowania cyklu życia kluczy szyfrowania, w tym generowania kluczy, dystrybucji i magazynu. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i usłudze na podstawie zdefiniowanego harmonogramu oraz po wycofaniu klucza lub naruszeniu zabezpieczeń.

Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) w usługach lub aplikacjach obciążeń, upewnij się, że stosujesz najlepsze rozwiązania:

  • Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania klucza (KEK) w magazynie kluczy.
  • Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i implementują je za pośrednictwem identyfikatorów kluczy w każdej usłudze lub aplikacji.

Jeśli musisz przenieść własny klucz (BYOK) do usług (tj. zaimportować klucze chronione przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi przeprowadzania generowania kluczy i transferu kluczy.

Uwaga: zapoznaj się z poniższymi tematami dotyczącymi poziomu FIPS 140-2 dla typów usługi Azure Key Vault i poziomu zgodności ze standardem FIPS.

  • Klucze chronione programowo w magazynach (jednostki SKU Premium i Standardowa): FIPS 140-2 Poziom 1
  • Klucze chronione przez moduł HSM w magazynach (jednostka SKU Premium): FIPS 140-2 Poziom 2
  • Klucze chronione przez moduł HSM w zarządzanym module HSM: FIPS 140-2 Poziom 3

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-5, SC-12, SC-17 3,6

Zasada zabezpieczeń: Dokumentowanie i implementowanie standardu zarządzania certyfikatami przedsiębiorstwa, procesów i procedur, które obejmują kontrolę cyklu życia certyfikatu i zasady certyfikatów (jeśli wymagana jest infrastruktura klucza publicznego).

Upewnij się, że certyfikaty używane przez usługi krytyczne w organizacji są spisywane, śledzone, monitorowane i odnawiane w odpowiednim czasie przy użyciu zautomatyzowanego mechanizmu, aby uniknąć przerw w działaniu usług.

Wskazówki dotyczące platformy Azure: tworzenie i kontrolowanie cyklu życia certyfikatu za pomocą usługi Azure Key Vault, w tym tworzenia/importowania, rotacji, odwołania, magazynu i przeczyszczania certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanym standardem bez używania żadnych niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) zgodnie ze zdefiniowanym harmonogramem i po wygaśnięciu certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji frontonu, użyj ręcznej rotacji w usłudze Azure Key Vault.

Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolami wieloznacznymi w usługach krytycznych ze względu na ograniczone zabezpieczenie. Zamiast tego możesz utworzyć certyfikat z podpisem publicznym w usłudze Azure Key Vault. Następujące urzędy certyfikacji są bieżącymi dostawcami partnerskimi w usłudze Azure Key Vault.

  • DigiCert: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z firmą DigiCert.
  • GlobalSign: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z elementem GlobalSign.

Uwaga: Użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że znane złe certyfikaty główne/pośrednie urzędu certyfikacji i certyfikaty wystawione przez te urzędy certyfikacji są wyłączone.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

DP-8: Zapewnianie zabezpieczeń klucza i repozytorium certyfikatów

Kontrolki CIS w wersji 8 Identyfikatory NIST SP 800-53 r4 Identyfikatory PCI-DSS w wersji 3.2.1
Nie dotyczy IA-5, SC-12, SC-17 3,6

Zasada zabezpieczeń: upewnij się, że zabezpieczenia usługi magazynu kluczy używanej do zarządzania kluczem kryptograficznym i cyklem życia certyfikatu. Wzmacnianie zabezpieczeń usługi magazynu kluczy za pomocą kontroli dostępu, zabezpieczeń sieci, rejestrowania i monitorowania oraz tworzenia kopii zapasowych w celu zapewnienia, że klucze i certyfikaty są zawsze chronione przy użyciu maksymalnego poziomu zabezpieczeń.

Wskazówki dotyczące platformy Azure: Zabezpieczanie kluczy kryptograficznych i certyfikatów przez wzmocnienie zabezpieczeń usługi Azure Key Vault za pomocą następujących kontrolek:

  • Ogranicz dostęp do kluczy i certyfikatów w usłudze Azure Key Vault przy użyciu wbudowanych zasad dostępu lub kontroli dostępu opartej na rolach platformy Azure, aby zapewnić stosowanie zasady najniższych uprawnień na potrzeby dostępu do płaszczyzny zarządzania i dostępu do płaszczyzny danych.
  • Zabezpieczanie usługi Azure Key Vault przy użyciu usługi Private Link i usługi Azure Firewall w celu zapewnienia minimalnej ekspozycji na usługę
  • Zapewnij rozdzielenie obowiązków dla użytkowników, którzy zarządzają kluczami szyfrowania, nie mają możliwości uzyskiwania dostępu do zaszyfrowanych danych i odwrotnie.
  • Użyj tożsamości zarządzanej, aby uzyskać dostęp do kluczy przechowywanych w usłudze Azure Key Vault w aplikacjach obciążeń.
  • Nigdy klucze nie są przechowywane w formacie zwykłego tekstu poza usługą Azure Key Vault.
  • Podczas przeczyszczania danych upewnij się, że klucze nie są usuwane przed rzeczywistymi danymi, kopie zapasowe i archiwa są czyszczone.
  • Utwórz kopię zapasową kluczy i certyfikatów przy użyciu usługi Azure Key Vault. Włącz ochronę przed usuwaniem nietrwałym i przeczyszczaj, aby uniknąć przypadkowego usunięcia kluczy.
  • Włącz rejestrowanie usługi Azure Key Vault, aby upewnić się, że są rejestrowane krytyczne działania płaszczyzny zarządzania i płaszczyzny danych.

Implementacja i dodatkowy kontekst:

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):