Sicherheitskontrolle: Datenschutz

Hinweis

Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.

Die Empfehlungen zum Datenschutz konzentrieren sich auf die Behandlung von Problemen im Zusammenhang mit Verschlüsselung, Zugriffssteuerungslisten, identitätsbasierter Zugriffskontrolle und Überwachungsprotokollen für den Datenzugriff.

4.1: Verwalten eines Bestands an vertraulichen Informationen

Azure-ID	CIS-IDs	Verantwortlichkeit
4,1	Version 13.1	Kunde

Verwenden Sie Tags für die Nachverfolgung von Azure-Ressourcen, die vertrauliche Informationen speichern oder verarbeiten.

• Erstellen und Verwenden von Tags

4.2: Isolieren von Systemen, die vertrauliche Informationen speichern oder verarbeiten

Azure-ID	CIS-IDs	Verantwortlichkeit
4,2	13.2, 2.10	Kunde

Implementieren Sie eine Isolation mit separaten Abonnements und Verwaltungsgruppen für einzelne Sicherheitsdomänen, z. B. Umgebungstyp und Datenvertraulichkeitsstufe. Sie können die Zugriffsebene auf diejenigen Ihrer Azure-Ressourcen beschränken, die von Ihren Anwendungen und Unternehmensumgebungen gefordert werden. Sie können den Zugriff auf Azure-Ressourcen über die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) steuern.

• Erstellen zusätzlicher Azure-Abonnements

• Erstellen von Verwaltungsgruppen

• Erstellen und Verwenden von Tags

4.3: Überwachen und Blockieren einer nicht autorisierten Übertragung vertraulicher Informationen

Azure-ID	CIS-IDs	Verantwortlichkeit
4.3	13.3	Shared

Nutzen Sie eine Drittanbieterlösung von Azure Marketplace an Netzwerkperimetern, die die nicht autorisierte Übertragung von vertraulichen Informationen überwacht, derartige Übertragungen blockiert und gleichzeitig die Informationssicherheitsexperten benachrichtigt.

Bei der zugrundeliegenden Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich und schützt Kundendaten vor Verlust und Gefährdung. Um die Sicherheit von Kundendaten innerhalb von Azure zu gewährleisten, hat Microsoft eine Reihe von robusten Datenschutzkontrollen und -funktionen implementiert und kümmert sich um deren Verwaltung.

• Grundlegendes zum Schutz von Kundendaten in Azure

4.4: Verschlüsseln aller vertraulichen Informationen während der Übertragung

Azure-ID	CIS-IDs	Verantwortlichkeit
4.4	14.4	Shared

Verschlüsseln Sie alle vertraulichen Informationen während der Übertragung. Stellen Sie sicher, dass alle Clients, die sich mit Ihren Azure-Ressourcen verbinden, TLS 1.2 oder höher aushandeln können.

Befolgen Sie ggf. die Empfehlungen von Azure Security Center zur Verschlüsselung ruhender Daten und zur Verschlüsselung während der Übertragung.

• Grundlegendes zur Verschlüsselung während der Übertragung mit Azure

4.5: Verwenden eines aktiven Ermittlungstools zur Bestimmung vertraulicher Daten

Azure-ID	CIS-IDs	Verantwortlichkeit
4,5	14.5	Shared

Wenn für Ihren spezifischen Dienst in Azure keine Funktion verfügbar ist, verwenden Sie ein aktives Ermittlungstools eines Drittanbieters, um alle vertraulichen Informationen zu bestimmen, die von den Technologiesystemen des Unternehmens gespeichert, verarbeitet oder übertragen werden, einschließlich der Systeme, die sich vor Ort oder bei einem Remotedienstanbieter befinden, und um den Bestand an vertraulichen Informationen des Unternehmens zu aktualisieren.

Verwenden Sie Azure Information Protection, um vertrauliche Informationen in Microsoft 365-Dokumenten zu bestimmen.

Verwenden Sie Azure SQL Information Protection, um die Klassifizierung und Bezeichnung von Informationen zu unterstützen, die in Azure SQL-Datenbank gespeichert sind.

• Implementieren von Azure SQL Data Discovery

• Implementieren von Azure Information Protection

• Grundlegendes zum Schutz von Kundendaten in Azure

4.6: Verwenden von Azure RBAC zum Steuern des Zugriffs auf Ressourcen

Azure-ID	CIS-IDs	Verantwortlichkeit
4.6	14.6	Kunde

Verwenden Sie rollenbasierte Zugriffssteuerung (RBAC) in Azure, um den Zugriff auf Daten und Ressourcen zu steuern, und verwenden Sie andernfalls dienstspezifische Zugriffssteuerungsmethoden.

• Konfigurieren von Azure RBAC

4.7: Verwenden der hostbasierten Verhinderung von Datenverlusten zum Erzwingen der Zugriffssteuerung

Azure-ID	CIS-IDs	Verantwortlichkeit
4,7	14.7	Shared

Wenn aus Compliancegründen für Computeressourcen erforderlich, implementieren Sie ein Drittanbietertool, z. B. eine automatisierte Lösung für die hostbasierte Verhinderung von Datenverlust, um Zugriffssteuerungen für Daten auch dann zu erzwingen, wenn Daten von einem System kopiert werden.

Für die zugrundeliegende Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich und unternimmt große Anstrengungen, um Kundendaten vor Verlust und Gefährdung zu schützen. Um die Sicherheit von Kundendaten innerhalb von Azure zu gewährleisten, hat Microsoft eine Reihe von robusten Datenschutzkontrollen und -funktionen implementiert und kümmert sich um deren Verwaltung.

• Grundlegendes zum Schutz von Kundendaten in Azure

4.8: Verschlüsseln vertraulicher, ruhender Informationen

Azure-ID	CIS-IDs	Verantwortlichkeit
4.8	14.8	Kunde

Verwenden Sie die Verschlüsselung ruhender Daten für alle Azure-Ressourcen. Microsoft empfiehlt, Azure die Verwaltung Ihrer Verschlüsselungsschlüssel zu erlauben. Es gibt jedoch in einigen Fällen die Möglichkeit, ihre eigenen Schlüssel zu verwalten.

• Grundlegendes zur Verschlüsselung ruhender Daten in Azure

• Konfigurieren der von Kunden verwalteten Verschlüsselungsschlüssel

4.9: Protokollieren und Warnen bei Änderungen an wichtigen Azure-Ressourcen

Azure-ID	CIS-IDs	Verantwortlichkeit
4,9	14.9	Kunde

Verwenden Sie Azure Monitor mit dem Azure-Aktivitätsprotokoll, um Warnungen zu erstellen, die bei Änderungen an wichtigen Azure-Ressourcen ausgegeben werden.

• Erstellen von Warnungen für Ereignisse des Azure-Aktivitätsprotokolls

Nächste Schritte

• Weitere Informationen finden Sie in der nächsten Sicherheitskontrolle: Verwaltung von Sicherheitsrisiken