通过

安全控制 V2:数据保护

  • 项目

注意

此处提供了最新的 Azure 安全基准。

数据保护包括对静态数据保护、传输中数据保护以及通过授权访问机制进行的数据保护进行控制。 这包括使用 Azure 中的访问控制、加密和日志记录对敏感数据资产进行发现、分类、保护和监视操作。

若要查看适用的内置 Azure Policy,请参阅 Azure 安全基准管理法规合规性内置计划的详细信息:数据保护

DP-1:对敏感数据进行发现、分类和标记

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
DP-1 13.1、14.5、14.7 SC-28

对敏感数据进行发现、分类和标记,以便设计合适的控件,确保组织的技术系统能够安全地存储、处理和传输敏感信息。

对于 Azure 中的、本地的、Office 365 中的和其他位置中的 Office 文档内的敏感信息,请使用 Azure 信息保护(及其关联的扫描工具)。

使用 Azure SQL 信息保护有助于对 Azure SQL 数据库中存储的信息进行分类和标记。

责任:共享

客户安全利益干系人了解详细信息):

DP-2:保护敏感数据

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
DP-2 13.2、2.10 SC-7、AC-4

使用 Azure 基于角色的访问控制 (Azure RBAC)、基于网络的访问控制以及 Azure 服务中的特定控制(例如 SQL 和其他数据库中的加密)来限制访问,从而保护敏感数据。

为了确保一致的访问控制,所有类型的访问控制都应符合企业分段策略。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。

对于 Microsoft 管理的基础平台,Microsoft 会将所有客户内容视为敏感数据,全方位防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据始终安全,Microsoft 实施了一些默认的数据保护控制机制和功能。

责任:共享

客户安全利益干系人了解详细信息):

DP-3:监视未经授权的敏感数据传输

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
DP-3 13.3 AC-4、SI-4

监视是否存在未经授权将数据传输到企业不可见且无法控制的位置的行为。 这通常涉及监视那些可能意味着未经授权的数据外泄的异常活动(大型或异常传输)。

Azure Defender for Storage 和 Azure SQL ATP 可以对可能意味着未经授权传输敏感信息的异常传输行为发出警报。

Azure 信息保护 (AIP) 提供的监视功能针对已分类并标记的信息。

如果要求满足数据丢失防护 (DLP) 规范,可以使用基于主机的 DLP 解决方案来强制实施检测性的和/或预防性的控制,以防止数据外泄。

责任:共享

客户安全利益干系人(了解详细信息):

DP-4:加密传输中的敏感信息

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
DP-4 14.4 SC-8

为了对访问控制进行补充,应使用加密保护传输中的数据,以免遭受“带外”攻击(例如流量捕获),确保攻击者无法轻松读取或修改数据。

虽然这对于专用网络上的流量来说是可选的,但对于外部和公共网络上的流量来说,这是至关重要的。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端能够协商 TLS v1.2 或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。 应当禁用已过时的 SSL、TLS 和 SSH 版本和协议,以及弱密码。

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:共享

客户安全利益干系人(了解详细信息):

DP-5:加密静态敏感数据

Azure ID CIS Controls v7.1 ID NIST SP 800-53 r4 ID
DP-5 14.8 SC-28、SC-12

为了对访问控制进行补充,应使用加密保护静态数据,以免遭受“带外”攻击(例如访问底层存储)。 这有助于确保攻击者无法轻松读取或修改数据。

默认情况下,Azure 为静态数据提供加密。 对于高度敏感的数据,你可以选择在所有可用的 Azure 资源上进行额外的静态加密。 默认情况下,Azure 管理你的加密密钥,但是 Azure 为某些 Azure 服务提供了管理你自己的密钥(客户管理的密钥)的选项。

责任:共享

客户安全利益干系人(了解详细信息):