共用方式為

安全性控制 V2:資料保護

  • 發行項

注意

這裡 提供最新的Azure 安全性基準測試。

資料保護涵蓋待用、傳輸中,以及透過授權存取機制來控制待用資料保護。 這包括使用存取控制、加密和記錄在 Azure 中探索、分類、保護及監視敏感性資料資產。

若要查看適用的內建Azure 原則,請參閱Azure 安全性基準法規合規性內建方案的詳細資料:資料保護

DP-1:探索、分類及標記敏感性資料

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
DP-1 13.1, 14.5, 14.7 SC-28

探索、分類和標記敏感性資料,以便設計適當的控制項,以確保組織技術系統安全地儲存、處理及傳輸敏感性資訊。

在 Azure、內部部署、Office 365 和其他位置,請對 Office 文件中的敏感資訊使用 Azure 資訊保護 (及其相關聯的掃描工具)。

您可以利用 Azure SQL 資訊保護來分類和標示儲存在 Azure SQL 資料庫中的資訊。

責任:共用

客戶安全性專案關係人 (深入瞭解) :

DP-2:保護敏感性資料

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
DP-2 13.2, 2.10 SC-7、AC-4

使用 Azure 角色型存取控制來限制存取 (Azure RBAC) 、網路型存取控制,以及 Azure 服務中的特定控制 (,例如 SQL 和其他資料庫的加密) ,來保護敏感性資料。

為確保存取控制的一致性,所有類型的存取控制都應與您的企業分割策略相符。 企業分割策略也應傳達至敏感性或業務關鍵資料和系統的所在位置。

針對 Microsoft 管理的基礎平台,Microsoft 會將所有客戶內容視為敏感性資訊,並防範客戶資料外洩和暴露。 為確保 Azure 中的客戶資料安全無虞,Microsoft 已實作某些預設的資料保護控制項和功能。

責任:共用

客戶安全性專案關係人 (深入瞭解) :

DP-3:監視未經授權轉送敏感性資料

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
DP-3 13.3 AC-4、SI-4

監視未經授權的資料傳輸至企業可見度和控制外部的位置。 這通常牽涉到監視是否有異常活動 (大規模或不尋常的傳輸) 可能意味著未經授權的資料外洩。

適用于儲存體和Azure SQL ATP 的 Azure Defender 可能會針對可能表示未經授權傳輸敏感性資訊的資訊異常傳輸發出警示。

Azure 資訊保護 (AIP) 提供對已分類和標示的資訊進行監視的功能。

為了符合資料外洩防護 (DLP) 的合規性,您可以使用主機型 DLP 解決方案來強制執行偵測和/或預防控制措施,以防止資料外洩。

責任:共用

客戶安全性專案關係人 (深入瞭解) :

DP-4:加密傳輸中的敏感性資訊

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
DP-4 14.4 SC-8

為了補充存取控制,傳輸中的資料應該受到保護,以防止「頻外」攻擊 (,例如使用加密擷取流量擷取) ,以確保攻擊者無法輕鬆地讀取或修改資料。

雖然這對於私人網路的流量而言為選擇性,但對於外部和公用網路的流量而言不可或缺。 針對 HTTP 流量,請確定任何連線到 Azure 資源的用戶端都可以交涉 TLS v1.2 或更新版本。 針對遠端管理,請使用 SSH (Linux) 或 RDP/TLS (Windows),而不是未加密的通訊協定。 應停用過時的 SSL、TLS 和 SSH 版本和通訊協定,以及弱式加密。

對於 Azure 資料中心之間的傳輸中資料,Azure 預設支援加密。

責任:共用

客戶安全性專案關係人 (深入瞭解) :

DP-5:將敏感性待用資料加密

Azure 識別碼 CIS 控制項 v7.1 識別碼 (s) NIST SP 800-53 r4 識別碼 (s)
DP-5 14.8 SC-28、SC-12

為了補充存取控制,待用資料應該受到保護,以防止「頻外」攻擊 (,例如使用加密存取基礎儲存體) 。 這有助於確保攻擊者無法輕鬆地讀取或修改資料。

Azure 預設會提供待用資料的加密。 對於高度敏感性資料,您可以選擇在所有可用的 Azure 資源上實作其他待用加密。 Azure 預設會管理加密金鑰,但 Azure 會提供選項來管理您自己的金鑰, (特定 Azure 服務的客戶受控金鑰) 。

責任:共用

客戶安全性專案關係人 (深入瞭解) :