Управление безопасностью: защита данных
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Рекомендации по защите касаются решения проблем, связанных с шифрованием, списками управления доступом, контролем доступа на основе удостоверений и ведения журнала аудита.
4.1. Инвентаризация конфиденциальных данных
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.1 | 13.1 | Клиент |
Используйте теги для отслеживания ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные.
4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.2 | 13.2, 2.10 | Клиент |
Реализуйте изоляцию с помощью отдельных подписок и групп управления для отдельных доменов безопасности, таких как тип среды и уровень конфиденциальности данных. Вы можете ограничить уровень доступа к ресурсам Azure, которые требуются приложениям и корпоративным средам. Также можно контролировать доступ к ресурсам Azure с помощью управления доступом на основе ролей Azure (Azure RBAC).
4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.3 | 13.3 | Общая |
Используйте на периметрах сети стороннее решение из Azure Marketplace, которое будет отслеживать несанкционированную передачу конфиденциальных данных и блокировать ее, оповещая специалистов по информационной безопасности.
Для базовой платформы, управляемой Майкрософт, весь контент клиентов считается конфиденциальным и защищается от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.
4.4. Шифрование любой конфиденциальной информации при передаче
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.4 | 14.4 | Общая |
Шифруйте любую конфиденциальную информацию при передаче. Убедитесь, что все клиенты, которые подключаются к ресурсам Azure, могут согласовывать подключение по протоколу TLS 1.2 или более поздней версии.
Следуйте рекомендациям Центра безопасности Azure в отношении шифрования при хранении и передаче данных, если это применимо.
4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.5 | 14.5 | Общая |
Если для вашей службы в Azure нужные возможности не доступны, используйте стороннее средство активного обнаружения конфиденциальных данных, которые хранятся, обрабатываются или передаются технологическими системами организации. Применяйте это средство и для информации, которая хранится локально или у удаленного поставщика услуг. После процедуры обнаружения обновите корпоративный данные об инвентаризации конфиденциальной информации.
Для обнаружения конфиденциальной информации в документах Microsoft 365 используйте Azure Information Protection.
Вы можете использовать службу Azure SQL Information Protection, которая поможет классифицировать и маркировать информацию, хранящуюся в Базе данных SQL Azure.
4.6. Контроль доступа к ресурсам с помощью RBAC
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.6 | 14.6 | Клиент |
Используйте управление доступом на основе ролей Azure (Azure RBAC) для контроля доступа к информации и ресурсам. Либо применяйте методы управления доступом для конкретных служб.
4.7. Использование защиты от потери данных на основе узла для обеспечения контроля доступа
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.7 | 14.7 | Общая |
Если требуется соблюдение требований к вычислительным ресурсам, реализуйте сторонние средства, например автоматизированное решение для защиты от потери данных на основе узла, чтобы принудительно применять элементы управления доступом к данным, даже если они копируются из системы.
Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.
4.8. Шифрование конфиденциальной информации при хранении
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.8 | 14.8 | Клиент |
Используйте шифрование хранимых данных для всех ресурсов Azure. Корпорация Майкрософт рекомендует разрешить Azure управлять ключами шифрования, однако в некоторых экземплярах вы можете сами управлять своими ключами.
4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Ответственность |
|---|---|---|
| 4.9 | 14.9 | Клиент |
Используйте Azure Monitor и журнал действий Azure для создания оповещений об изменениях в критических ресурсах Azure.
Дальнейшие действия
- См. следующую статью об управлении безопасностью: Управление уязвимостями.