Security Control V2: Dataskydd
Anteckning
Det senaste Azure Security Benchmark finns här.
Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer. Detta omfattar identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering och loggning i Azure.
DP-1: Identifiera, klassificera och märk upp känsliga data
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Identifiera, klassificera och märka känsliga data så att du kan utforma lämpliga kontroller för att säkerställa att känslig information lagras, bearbetas och överförs på ett säkert sätt av organisationens tekniksystem.
Använd Azure Information Protection (och dess associerade skanningsverktyg) för känslig information i Office-dokument på Azure, lokalt, i Office 365 och på andra platser.
Du kan använda Azure SQL-Information Protection för att hjälpa till med klassificering och märkning av information som lagras i Azure SQL-databaser.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
DP-2: Skydda känsliga data
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Skydda känsliga data genom att begränsa åtkomsten med rollbaserad åtkomstkontroll i Azure (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering i SQL och andra databaser).
För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll justeras mot din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.
När det gäller den underliggande plattformen, som hanteras av Microsoft, behandlar Microsoft allt kundinnehåll som känsligt och skyddar det mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
DP-3: Övervaka obehörig överföring av känsliga data
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
DP-3 | 13.3 | AC-4, SI-4 |
Övervaka obehörig överföring av data till platser utanför företagets synlighet och kontroll. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.
Azure Defender för Storage och Azure SQL ATP kan avisera om avvikande överföring av information som kan tyda på obehörig överföring av känslig information.
Azure Information Protection (AIP) innehåller övervakningsfunktioner för information som har klassificerats och märkts.
Om det krävs för att förhindra skydd mot dataförlust (DLP) kan du använda en värdbaserad DLP-lösning för att genomdriva detektionskontroller och/eller förebyggande kontroller för att förhindra dataexfiltrering.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
DP-4: Kryptera känslig information under överföring
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
DP-4 | 14,4 | SC-8 |
För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out-of-band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.
Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll och svaga chiffer bör inaktiveras.
Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):
DP-5: Kryptera känsliga data i vila
Azure-ID | CIS-kontroller v7.1 ID:n | NIST SP 800-53 r4 ID:n |
---|---|---|
DP-5 | 14,8 | SC-28, SC-12 |
För att komplettera åtkomstkontroller bör vilande data skyddas mot out-of-band-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.
Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data har du alternativ för att implementera ytterligare kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster.
Ansvar: Delad
Intressenter för kundsäkerhet (läs mer):