Control de seguridad v3: protección de datos

Protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, como detectar, clasificar, proteger y supervisar recursos de datos confidenciales mediante el control de acceso, el cifrado, la administración de claves y certificados en Azure.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Principio de seguridad:establezca y mantenga un inventario de los datos confidenciales, en función del ámbito de datos confidenciales definido. Use herramientas para detectar, clasificar y etiquetar los datos confidenciales dentro del ámbito.

Guía de Azure:use herramientas como Azure Purview, Azure Information Protection y Clasificación y detección de datos de Azure SQL para examinar, clasificar y etiquetar de forma centralizada los datos confidenciales que residen en Azure, el entorno local, Microsoft 365 y otras ubicaciones.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.13 AC-4, SI-4 A3.2

Principio de seguridad:supervise si hay anomalías en torno a datos confidenciales, como la transferencia no autorizada de datos a ubicaciones fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada.

Guía de Azure:use Azure Information Protection (AIP) para supervisar los datos clasificados y etiquetados.

Use Azure Defender para Storage, Azure Defender for SQL y Azure Cosmos DB para alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de información confidencial.

Nota: Si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host de Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles de seguridad o prevención para evitar la filtración de datos.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-3: Cifrado de datos confidenciales en tránsito

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Principio de seguridad:proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico) mediante el cifrado para asegurarse de que los atacantes no puedan leer ni modificar fácilmente los datos.

Establezca el límite de red y el ámbito del servicio donde los datos en el cifrado de tránsito son obligatorios dentro y fuera de la red. Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas.

Guía de Azure:aplique la transferencia segura en servicios como Azure Storage, donde se ha integrado una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS para servicios y aplicaciones web de carga de trabajo asegurándose de que todos los clientes que se conectan a los recursos de Azure usen la versión 1.2 o posterior de seguridad de la capa de transporte (TLS). Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Nota: El cifrado de datos en tránsito está habilitado para todo el tráfico de Azure que viaja entre centros de datos de Azure. TLS v1.2 o posterior está habilitado en la mayoría de los servicios PaaS de Azure de forma predeterminada.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3,11 SC-28 3.4, 3.5

Principio de seguridad:para complementar los controles de acceso, los datos en reposo deben protegerse frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Guía de Azure:muchos servicios de Azure tienen el cifrado de datos en reposo habilitado de forma predeterminada en el nivel de infraestructura mediante una clave administrada por el servicio.

Cuando sea técnicamente factible y no esté habilitado de forma predeterminada, puede habilitar el cifrado de datos en reposo en los servicios de Azure o en las máquinas virtuales para el nivel de almacenamiento, el nivel de archivo o el cifrado de nivel de base de datos.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-5: Usar la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3,11 SC-12, SC-28 3.4, 3.5, 3.6

Principio de seguridad:si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita la opción de clave administrada por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Guía de Azure:Azure también proporciona la opción de cifrado mediante claves administradas por usted mismo (claves administradas por el cliente) para determinados servicios. Sin embargo, el uso de la opción de clave administrada por el cliente requiere esfuerzos operativos adicionales para administrar el ciclo de vida de la clave. Esto puede incluir la generación de claves de cifrado, la rotación, la revocación y el control de acceso, etc.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-6: Uso de un proceso de administración de claves segura

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-28 3.6

Principio de seguridad:documente e implemente un estándar de administración de claves criptográficas empresarial, procesos y procedimientos para controlar el ciclo de vida de las claves. Cuando sea necesario usar la clave administrada por el cliente en los servicios, use un servicio de almacén de claves protegido para la generación, distribución y almacenamiento de claves. Rote y revoque las claves según la programación definida y cuando haya una retirada o un riesgo de clave.

Guía de Azure:use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Rote y revoque las claves en Azure Key Vault servicio en función de la programación definida y cuando haya una retirada o un riesgo clave.

Cuando sea necesario usar la clave administrada por el cliente (CMK) en los servicios o aplicaciones de carga de trabajo, asegúrese de seguir los procedimientos recomendados:

  • Use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves.
  • Asegúrese de que las claves se registran Azure Key Vault e implemente a través de los IDs de clave en cada servicio o aplicación.

Si necesita traer su propia clave (BYOK) a los servicios (es decir, importar claves protegidas con HSM desde los HSM locales en Azure Key Vault), siga las instrucciones recomendadas para realizar la generación y transferencia de claves.

Nota: Consulte lo siguiente para el nivel FIPS 140-2 para los tipos Azure Key Vault y el nivel de cumplimiento de FIPS.

  • Claves protegidas por software en almacenes (Premium & SKU estándar): FIPS 140-2 nivel 1
  • Claves protegidas con HSM en almacenes (PREMIUM SKU): FIPS 140-2 nivel 2
  • Claves protegidas con HSM en HSM administrado: FIPS 140-2 nivel 3

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-7: Uso de un proceso de administración de certificados seguro

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Principio de seguridad:documente e implemente un estándar de administración de certificados de empresa, procesos y procedimientos que incluya el control del ciclo de vida de los certificados y las directivas de certificado (si se necesita una infraestructura de clave pública).

Asegúrese de que los certificados usados por los servicios críticos de su organización se inventarian, se realiza un seguimiento, se supervisan y se renuevan a tiempo mediante un mecanismo automatizado para evitar la interrupción del servicio.

Guía de Azure:use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación e importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue el estándar definido sin usar propiedades no seguras, como un tamaño de clave insuficiente, un período de validez demasiado largo, criptografía no segura, entre otras. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de la programación definida y cuando haya una expiración del certificado. Si no se admite la rotación automática en la aplicación frontal, use una rotación manual en Azure Key Vault.

Evite el uso de certificados autofirmados y certificados comodín en los servicios críticos debido a la garantía de seguridad limitada. En su lugar, puede crear un certificado firmado público en Azure Key Vault. Las siguientes CA son los proveedores asociados actuales con Azure Key Vault.

  • DigiCert: Azure Key Vault ofrece certificados TLS/SSL de OV con DigiCert.
  • GlobalSign: Azure Key Vault ofrece certificados TLS/SSL de OV con GlobalSign.

Nota: Use solo la entidad de certificación (CA) aprobada y asegúrese de que los certificados raíz o intermedios de ca no válidos conocidos emitidos por estas CA están deshabilitados.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):

DP-8: Garantizar la seguridad del repositorio de claves y certificados

Identificadores de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Principio de seguridad:asegúrese de la seguridad del servicio de almacén de claves que se usa para la administración del ciclo de vida de la clave criptográfica y del certificado. Proteger el servicio del almacén de claves mediante el control de acceso, la seguridad de red, el registro y la supervisión y la copia de seguridad para asegurarse de que las claves y los certificados siempre están protegidos con la máxima seguridad.

Guía de Azure:proteja las claves criptográficas y los certificados mediante la protección del Azure Key Vault mediante los siguientes controles:

  • Restrinja el acceso a las claves y los certificados de Azure Key Vault mediante directivas de acceso integradas o RBAC de Azure para asegurarse de que el principio de privilegios mínimos está en su lugar para el acceso al plano de administración y el acceso al plano de datos.
  • Proteja el Azure Key Vault mediante Private Link y Azure Firewall para garantizar la exposición mínima del servicio.
  • Asegúrese de que la separación de tareas se realiza para los usuarios que administran claves de cifrado que no tienen la capacidad de acceder a los datos cifrados, y viceversa.
  • Use la identidad administrada para acceder a las claves almacenadas en el Azure Key Vault en las aplicaciones de carga de trabajo.
  • No tener nunca las claves almacenadas en formato de texto no cifrado fuera del Azure Key Vault.
  • Al purgar datos, asegúrese de que las claves no se eliminan antes de que se purguen los datos reales, las copias de seguridad y los archivos.
  • Realice una copia de seguridad de las claves y los certificados mediante Azure Key Vault. Habilite la eliminación automática y la protección de purga para evitar la eliminación accidental de claves.
  • Active el registro Azure Key Vault datos para asegurarse de que se registran las actividades críticas del plano de administración y del plano de datos.

Implementación y contexto adicional:

Partes interesadas de seguridad del cliente(más información):