安全性控制:資料保護
注意
這裡 提供最新的Azure 安全性基準測試。
資料保護建議著重于解決加密、存取控制清單、身分識別型存取控制,以及資料存取的稽核記錄相關問題。
4.1:維護敏感性資訊的清查
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.1 | 13.1 | 客戶 |
使用標籤來協助追蹤儲存或處理敏感性資訊的 Azure 資源。
4.2:隔離儲存或處理敏感性資訊的系統
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.2 | 13.2, 2.10 | 客戶 |
針對個別安全性網域使用個別訂用帳戶和管理群組實作隔離,例如環境類型和資料敏感度層級。 您可以限制對應用程式和企業環境所需 Azure 資源的存取層級。 您可以透過 Azure 角色型存取控制來控制 Azure 資源的存取權, (Azure RBAC) 。
4.3:監視並封鎖未經授權的敏感性資訊傳輸
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.3 | 13.3 | 共用 |
利用來自網路周邊Azure Marketplace的協力廠商解決方案,監視未經授權的敏感性資訊傳輸,並在警示資訊安全性專業人員時封鎖這類傳輸。
針對由 Microsoft 管理的基礎平臺,Microsoft 會將所有客戶內容視為敏感性,並防範客戶資料遺失和暴露。 為了確保 Azure 中的客戶資料安全無虞,Microsoft 已實作並維護一套強大的資料保護控制項和功能。
4.4:加密傳輸中的所有敏感性資訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.4 | 14.4 | 共用 |
加密傳輸中的所有敏感性資訊。 確定任何連線到 Azure 資源的用戶端都可以交涉 TLS 1.2 或更新版本。
請遵循Azure 資訊安全中心在傳輸中加密的建議,視需要進行加密。
4.5:使用作用中探索工具來識別敏感性資料
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.5 | 14.5 | 共用 |
當 Azure 中的特定服務無法使用任何功能時,請使用協力廠商主動探索工具來識別組織技術系統所儲存、處理或傳輸的所有敏感性資訊,包括位於現場或遠端服務提供者的敏感性資訊清查。
使用 Azure 資訊保護來識別 Microsoft 365 檔中的敏感性資訊。
使用Azure SQL 資訊保護協助分類和標記儲存在 Azure SQL 資料庫中的資訊。
4.6:使用 Azure RBAC 來控制資源的存取權
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.6 | 14.6 | 客戶 |
使用 Azure 角色型存取控制 (Azure RBAC) 來控制對資料和資源的存取,否則請使用服務特定的存取控制方法。
4.7:使用主機型資料外洩防護來強制執行存取控制
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.7 | 14.7 | 共用 |
如果計算資源符合規範,請實作協力廠商工具,例如自動化主機型資料外泄防護解決方案,以強制執行資料的存取控制,即使資料從系統複製也一樣。
針對 Microsoft 管理的基礎平台,Microsoft 會將所有客戶內容視為敏感性資訊,並竭盡全力防範客戶資料外洩和暴露。 為了確保 Azure 中的客戶資料安全無虞,Microsoft 已實作並維護一套強大的資料保護控制項和功能。
4.8:加密待用的敏感性資訊
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.8 | 14.8 | 客戶 |
在所有 Azure 資源上使用待用加密。 Microsoft 建議您允許 Azure 管理加密金鑰,不過在某些情況下,您可以選擇管理您自己的金鑰。
4.9:針對重要 Azure 資源的變更留下記錄和發出警示
| Azure 識別碼 | CIS 識別碼 | 責任 |
|---|---|---|
| 4.9 | 14.9 | 客戶 |
使用 Azure 監視器搭配 Azure 活動記錄,以在重大 Azure 資源發生變更時建立警示。
下一步
- 請參閱下一個安全性控制: 弱點管理