安全性控制 v3：數據保護

數據保護涵蓋待用數據保護的控制、傳輸中，以及透過授權的存取機制，包括使用 Azure 中的訪問控制、加密、密鑰和憑證管理來探索、分類、保護及監視敏感數據資產。

DP-1：探索、分類及標記敏感性資料

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
3.2, 3.7, 3.13	RA-2、SC-28	A3.2

安全性準則：根據定義的敏感數據範圍，建立和維護敏感數據的清查。 使用工具來探索、分類和標記範圍內敏感數據。

Azure 指引：使用 Microsoft Purview、Azure 資訊保護 和 Azure SQL 數據探索和分類等工具，集中掃描、分類和標記位於 Azure、內部部署、Microsoft 365 和其他位置的敏感數據。

實作和其他內容：

• 數據分類概觀
• 使用 Purview Microsoft 標記敏感數據
• 使用 Azure 資訊保護 標記敏感性資訊
• 如何實作 Azure SQL 數據探索
• Microsoft Purview 數據源

客戶安全性項目關係人（深入瞭解）：

• 應用程式安全性和DevOps
• 資料安全性
• 基礎結構和端點安全性

DP-2：監視以敏感性資料為目標的異常和威脅

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
3.13	AC-4、SI-4	A3.2

安全性原則：監視敏感數據的異常狀況，例如未經授權的數據傳輸至企業可見度和控制範圍以外的位置。 這通常牽涉到監視異常活動（大型或不尋常的傳輸），這可能表示未經授權的數據外洩。

Azure 指引：使用 Azure 資訊保護 （AIP） 來監視已分類和標示的數據。

使用適用於記憶體的 Azure Defender、適用於 SQL 的 Azure Defender 和 Azure Cosmos DB 來警示可能表示未經授權傳輸敏感數據資訊的資訊異常傳輸。

注意：如果需要符合數據外泄防護 （DLP），您可以使用來自 Azure Marketplace 的主機型 DLP 解決方案或 Microsoft 365 DLP 解決方案來強制執行偵測和/或預防控制，以防止數據外流。

實作和其他內容：

• 啟用適用於 SQL 的 Azure Defender
• 啟用適用於記憶體的 Azure Defender

客戶安全性項目關係人（深入瞭解）：

• 安全性作業
• 應用程式安全性和DevOps
• 基礎結構和端點安全性

DP-3：加密傳輸中的敏感性資料

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
3.10	SC-8	3.5, 3.6, 4.1

安全性原則：使用加密保護傳輸中的數據不受「頻外」攻擊（例如流量擷取），以確保攻擊者無法輕易讀取或修改數據。

設定網路界限和服務範圍，其中傳輸加密中的數據在網路內外是強制性的。 雖然這對於私人網路的流量而言為選擇性，但對於外部和公用網路的流量而言不可或缺。

Azure 指引：在 Azure 儲存體 等服務中強制執行安全傳輸，其中內建傳輸加密功能的原生數據。

藉由確保連線到 Azure 資源的任何用戶端都使用傳輸層安全性 （TLS） v1.2 或更新版本，強制執行工作負載 Web 應用程式和服務的 HTTPS。 針對 VM 的遠端管理，請使用 SSH（適用於 Linux）或 RDP/TLS（適用於 Windows），而不是未加密的通訊協定。

注意：傳輸中加密中的數據會針對在 Azure 資料中心之間傳輸的所有 Azure 流量啟用。 根據預設，大部分的 Azure PaaS 服務都會啟用 TLS v1.2 或更新版本。

實作和其他內容：

• Azure 傳輸中資料的雙重加密
• 了解使用 Azure 的傳輸中加密
• TLS 安全性的相關資訊
• 在 Azure 記憶體中強制執行安全傳輸

客戶安全性項目關係人（深入瞭解）：

• 安全性結構
• 基礎結構和端點安全性
• 應用程式安全性和DevOps
• 資料安全性

DP-4：預設啟用待用資料加密

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
3.11	SC-28	3.4, 3.5

安全性原則：為了補充訪問控制，待用數據應受到保護，以防止使用加密的「頻外」攻擊（例如存取基礎記憶體）。 這有助於確保攻擊者無法輕易讀取或修改數據。

Azure 指引：許多 Azure 服務預設會使用服務管理的密鑰，在基礎結構層啟用待用數據加密。

在技術上可行且預設未啟用的情況下，您可以在 Azure 服務或 VM 中啟用待用數據加密，或在 VM 中啟用記憶體層級、檔案層級或資料庫層級加密。

實作和其他內容：

• 了解 Azure 中的待用加密
• Azure 中的待用資料雙重加密
• 加密模型和金鑰管理資料表
• 安全性結構

客戶安全性項目關係人（深入瞭解）：

• 基礎結構和端點安全性
• 應用程式安全性和DevOps
• 資料安全性

DP-5：必要時在待用資料加密中使用客戶自控金鑰選項

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
3.11	SC-12、SC-28	3.4, 3.5, 3.6

安全性準則：如果需要法規合規性，請定義需要客戶管理密鑰選項的使用案例和服務範圍。 在服務中使用客戶管理的密鑰啟用及實作待用數據加密。

Azure 指引：Azure 也會針對特定服務使用由自己管理的密鑰（客戶自控密鑰）來提供加密選項。 不過，使用客戶管理的金鑰選項需要額外的操作工作來管理金鑰生命週期。 這可能包括加密金鑰產生、輪替、撤銷和訪問控制等。

實作和其他內容：

• 加密模型和金鑰管理資料表
• 使用客戶管理的金鑰支援加密的服務
• 如何在 Azure 儲存體 中設定客戶管理的加密金鑰

客戶安全性項目關係人（深入瞭解）：

• 安全性結構
• 基礎結構和端點安全性
• 應用程式安全性和DevOps
• 資料安全性

DP-6：使用安全金鑰管理程序

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
N/A	IA-5、SC-12、SC-28	3.6

安全性準則：記錄並實作企業密碼編譯密鑰管理標準、程式和程式，以控制密鑰生命週期。 當服務中使用客戶管理的金鑰時，請使用安全的金鑰保存庫服務來產生、散發和記憶體。 根據定義的排程輪替和撤銷密鑰，以及金鑰淘汰或洩露時。

Azure 指引：使用 Azure 金鑰保存庫 來建立及控制加密密鑰生命週期，包括密鑰產生、散發和記憶體。 根據定義的排程，輪替和撤銷 Azure 金鑰保存庫 和服務中的密鑰，以及當金鑰淘汰或洩露時。

當工作負載服務或應用程式中需要使用客戶管理的金鑰 （CMK）時，請確定您遵循最佳做法：

• 使用金鑰階層，在金鑰保存庫中產生個別的數據加密金鑰 （DEK） 與金鑰加密金鑰 （KEK）。
• 請確定金鑰會向 Azure 金鑰保存庫 註冊，並透過每個服務或應用程式中的金鑰標識碼實作。

如果您需要將自己的金鑰 （BYOK） 帶入服務（例如，將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫），請遵循建議的指導方針來執行密鑰產生和金鑰傳輸。

注意：如需 Azure 金鑰保存庫 類型和 FIPS 合規性層級的 FIPS 140-2 層級，請參閱下列內容。

• 保存庫中受軟體保護的密鑰（進階和標準 SKU）：FIPS 140-2 層級 1
• 保存庫中受 HSM 保護的金鑰（進階 SKU）：FIPS 140-2 層級 2
• 受控 HSM 中的 HSM 保護密鑰：FIPS 140-2 層級 3

實作和其他內容：

• Azure Key Vault 概觀
• 待用 Azure 數據加密--金鑰階層
• BYOK（自備金鑰） 規格
• 身分識別與金鑰管理

客戶安全性項目關係人（深入瞭解）：

• 安全性結構
• 應用程式安全性和DevOps
• 資料安全性

DP-7：使用安全憑證管理流程

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
N/A	IA-5、SC-12、SC-17	3.6

安全性準則：記錄並實作企業憑證管理標準、流程和程式，包括憑證生命週期控制，以及憑證原則（如果需要公鑰基礎結構）。

請確定組織中重要服務所使用的憑證會使用自動化機制進行清查、追蹤、監視及更新，以避免服務中斷。

Azure 指引：使用 Azure 金鑰保存庫 來建立及控制憑證生命週期，包括建立/匯入、輪替、撤銷、記憶體和清除憑證。 請確定憑證產生遵循已定義的標準，而不需使用任何不安全的屬性，例如密鑰大小不足、有效期間過長、密碼編譯不安全等。 根據定義的排程和憑證到期時間，在 Azure 金鑰保存庫 和 Azure 服務中設定自動輪替憑證。 如果前端應用程式中不支援自動輪替，請在 Azure 金鑰保存庫 中使用手動輪替。

請避免在重要服務中使用自我簽署憑證和通配符憑證，因為安全性保證有限。 相反地，您可以在 Azure 金鑰保存庫 中建立公用簽署憑證。 下列 CA 是目前與 Azure 金鑰保存庫 合作的提供者。

• DigiCert：Azure 金鑰保存庫 使用 DigiCert 提供 OV TLS/SSL 憑證。
• GlobalSign：Azure 金鑰保存庫 提供 OV TLS/SSL 憑證與 GlobalSign。

注意：僅使用核准的證書頒發機構單位 （CA），並確保停用這些 CA 所簽發的已知不良 CA 跟證書/中繼憑證和憑證。

實作和其他內容：

• 開始使用 Key Vault 憑證 \(部分機器翻譯\)
• Azure 金鑰保存庫 中的憑證 存取控制
• 身分識別與金鑰管理
• 安全性結構

客戶安全性項目關係人（深入瞭解）：

• 應用程式安全性和DevOps
• 資料安全性

DP-8：確保金鑰和憑證存放庫的安全性

CIS 控件 v8 ID（s）	NIST SP 800-53 r4 ID（s）	PCI-DSS ID（s） v3.2.1
N/A	IA-5、SC-12、SC-17	3.6

安全性準則：確保用於密碼編譯密鑰和憑證生命週期管理之密鑰保存庫服務的安全性。 透過訪問控制、網路安全性、記錄和監視和備份強化密鑰保存庫服務，以確保密鑰和憑證一律會使用最高安全性來保護。

Azure 指引：透過下列控件強化 Azure 金鑰保存庫 服務，保護您的密碼編譯密鑰和憑證：

• 使用內建存取原則或 Azure RBAC 來限制存取 Azure 金鑰保存庫 中的金鑰和憑證，以確保管理平面存取和數據平面存取的最低許可權原則已就緒。
• 使用 Private Link 保護 Azure 金鑰保存庫，並 Azure 防火牆 以確保服務暴露程度最低
• 請確定管理加密金鑰的使用者無法存取加密數據，反之亦然。
• 使用受控識別來存取儲存在 Azure 金鑰保存庫 工作負載應用程式中的密鑰。
• 在 Azure 金鑰保存庫 之外，絕不會以純文字格式儲存密鑰。
• 清除資料時，請確定您的金鑰不會在清除實際數據、備份和封存之前刪除。
• 使用 Azure 金鑰保存庫 備份金鑰和憑證。 啟用虛刪除和清除保護，以避免意外刪除金鑰。
• 開啟 Azure 金鑰保存庫 記錄，以確保記錄重要的管理平面和數據平面活動。

實作和其他內容：

• Azure Key Vault 概觀
• Azure 金鑰保存庫 安全性最佳做法
• 使用受控識別來存取 Azure 金鑰保存庫
• 身分識別與金鑰管理

客戶安全性項目關係人（深入瞭解）：

• 安全性結構
• 應用程式安全性和DevOps
• 資料安全性