Sicherheitskontrolle V2: Datenschutz

  • Artikel

Hinweis

Der aktuelle Vergleichstest für die Azure-Sicherheit ist hier verfügbar.

Datenschutz deckt die Steuerung des Schutzes von Daten im Ruhezustand, während der Übertragung und über autorisierte Zugriffsmechanismen ab. Dies umfasst das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Datenressourcen über Zugriffssteuerung, Verschlüsselung und Protokollierung in Azure.

Die entsprechende integrierte Azure Policy-Instanz finden Sie unter Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß Azure-Sicherheitsvergleichstest: Datenschutz.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

Azure-ID CIS Controls v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-1 13.1, 14.5, 14.7 SC-28

Ermitteln, klassifizieren und bezeichnen Sie Ihre vertraulichen Daten, sodass Sie die entsprechenden Steuerungen entwerfen können, um sicherzustellen, dass vertrauliche Daten von den Technologiesystemen der Organisation sicher gespeichert, verarbeitet und übertragen werden.

Verwenden Sie Azure Information Protection (und das zugehörige Überprüfungstool) für vertrauliche Informationen in Office-Dokumenten in Azure-, lokalen, Office 365- und anderen Speicherorten.

Sie können Azure SQL Information Protection verwenden, um die Klassifizierung und Bezeichnung von Informationen zu vereinfachen, die in Azure SQL-Datenbanken gespeichert sind.

Verantwortlichkeit: Shared

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-2: Schützen von vertraulichen Daten

Azure-ID CIS Controls v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-2 13.2, 2.10 SC-7, AC-4

Schützen Sie vertrauliche Daten, indem Sie den Zugriff mithilfe der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC), der netzwerkbasierten Zugriffssteuerungen und bestimmter Steuerungen in Azure-Diensten (z. B. Verschlüsselung in SQL und anderen Datenbanken) einschränken.

Um eine konsistente Zugriffssteuerung sicherzustellen, sollten alle Zugriffssteuerungstypen an der Segmentierungsstrategie des Unternehmens ausgerichtet werden. Bei der Segmentierungsstrategie des Unternehmens sollte auch der Speicherort vertraulicher und unternehmenskritischer Daten und Systeme berücksichtigt werden.

Für die zugrunde liegende Plattform, die von Microsoft verwaltet wird, behandelt Microsoft alle Kundeninhalte als vertraulich und schützt Kundendaten vor Verlust und Gefährdung. Um die Sicherheit von Kundendaten innerhalb von Azure zu gewährleisten, hat Microsoft eine Reihe von Standard-Datenschutzsteuerungen und -funktionen implementiert.

Verantwortlichkeit: Shared

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-3: Überwachung auf nicht autorisierte Übertragung vertraulicher Daten

Azure-ID CIS Controls v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-3 13.3 AC-4, SI-4

Führen Sie eine Überwachung auf nicht autorisierte Übertragung von Daten an Speicherorte außerhalb der Sichtbarkeit und Kontrolle des Unternehmens durch. Dies umfasst in der Regel die Überwachung anomaler Aktivitäten (große oder ungewöhnliche Übertragungen), die auf eine nicht autorisierte Datenexfiltration hindeuten können.

Azure Defender für Storage und Azure SQL ATP können bei einer anomalen Übertragung von Informationen, die möglicherweise auf nicht autorisierte Übertragungen vertraulicher Informationen hindeutet, eine Warnung ausgeben.

Azure Information Protection (AIP) bietet Überwachungsfunktionen für Informationen, die klassifiziert und bezeichnet wurden.

Wenn Compliance hinsichtlich Datenverlust (Data Loss Prevention, DLP) erforderlich ist, können Sie eine hostbasierte DLP-Lösung verwenden, um Erkennungs- und/oder präventive Steuerungsmaßnahmen zu erzwingen und so die Datenexfiltration verhindern.

Verantwortlichkeit: Shared

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-4: Verschlüsseln vertraulicher Informationen während der Übertragung

Azure-ID CIS Controls v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-4 14.4 SC-8

Als Ergänzung zu Zugriffssteuerungen sollten die Daten während der Übertragung durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. Erfassung des Datenverkehrs) geschützt werden, um sicherzustellen, dass Angreifer die Daten nicht einfach lesen oder ändern können.

Obwohl dies bei Datenverkehr in privaten Netzwerken optional ist, ist es für den Datenverkehr in externen und öffentlichen Netzwerken von entscheidender Bedeutung. Stellen Sie bei HTTP-Datenverkehr sicher, dass alle Clients, die Verbindungen mit Ihren Azure-Ressourcen herstellen, TLS 1.2 oder höher aushandeln können. Verwenden Sie für die Remoteverwaltung SSH (für Linux) bzw. RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls. Veraltete SSL-, TLS- und SSH-Versionen und -Protokolle sowie schwache Verschlüsselungsverfahren sollten deaktiviert werden.

Azure ermöglicht standardmäßig die Verschlüsselung von Daten während der Übertragung zwischen Azure-Rechenzentren.

Verantwortlichkeit: Shared

Sicherheitsverantwortliche beim Kunden (weitere Informationen):

DP-5: Verschlüsseln vertraulicher ruhender Daten

Azure-ID CIS Controls v7.1 ID(s) ID(s) von NIST SP 800-53 r4
DP-5 14.8 SC-28, SC-12

Als Ergänzung zu Zugriffssteuerungen sollten ruhende Daten durch Verschlüsselung vor Out-of-Band-Angriffen (z. B. Zugriffen auf den zugrunde liegenden Speicher) geschützt werden. Dadurch wird sichergestellt, dass die Daten von Angreifern nicht einfach gelesen oder geändert werden können.

Azure bietet standardmäßig Verschlüsselung für ruhende Daten. Bei streng vertraulichen Daten stehen Ihnen ggf. Optionen zur Verfügung, um eine zusätzliche Verschlüsselung im Ruhezustand für alle Azure-Ressourcen zu implementieren. Azure verwaltet standardmäßig Ihre Verschlüsselungsschlüssel, Azure bietet jedoch auch Optionen, mit denen Sie Ihre Schlüssel für bestimmte Azure-Dienste selbst verwalten können (kundenseitig verwaltete Schlüssel).

Verantwortlichkeit: Shared

Sicherheitsverantwortliche beim Kunden (weitere Informationen):