Control de seguridad v3: protección de datos

La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluida la detección, clasificación, protección y supervisión de los recursos de datos confidenciales mediante el control de acceso, el cifrado y la administración de claves y certificados en Azure.

DP-1: detección, clasificación y etiquetado de datos confidenciales

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Principio de seguridad: Establezca y mantenga un inventario de los datos confidenciales, en función del ámbito de datos confidenciales definido. Use herramientas para detectar, clasificar y etiquetar los datos confidenciales dentro del ámbito.

Guía de Azure: use herramientas como Microsoft Purview, Azure Information Protection y Azure SQL Detección y clasificación de datos para examinar, clasificar y etiquetar de forma centralizada los datos confidenciales que residen en Azure, local, Microsoft 365 y otras ubicaciones.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-2: Supervisión de anomalías y amenazas dirigidas a datos confidenciales

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.13 AC-4, SI-4 A3.2

Principio de seguridad: Supervise si hay anomalías en torno a datos confidenciales, como la transferencia no autorizada de datos a ubicaciones fuera de la visibilidad y el control de la empresa. Normalmente, esto implica la supervisión de actividades anómalas (transferencias grandes o inusuales) que podrían indicar una filtración de datos no autorizada.

Guía de Azure: Use Azure Information Protection (AIP) para supervisar los datos clasificados y etiquetados.

Use Azure Defender para Storage, Azure Defender para SQL and Azure Cosmos DB para alertar sobre la transferencia anómala de información que podría indicar transferencias no autorizadas de información confidencial.

Nota: Si es necesario para el cumplimiento de la prevención de pérdida de datos (DLP), puede usar una solución DLP basada en host de Azure Marketplace o una solución DLP de Microsoft 365 para aplicar controles de seguridad o prevención para evitar la filtración de datos.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-3: Cifrado de datos confidenciales en tránsito

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Principio de seguridad: Proteja los datos en tránsito frente a ataques "fuera de banda" (como la captura de tráfico) mediante cifrado para asegurarse de que los atacantes no puedan leer ni modificar los datos fácilmente-

Establezca el límite de la red y el ámbito del servicio en el que el cifrado de datos en tránsito es obligatorio dentro y fuera de la red. Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas.

Guía de Azure: Aplique la transferencia segura en servicios como Azure Storage, donde se ha integrado una característica nativa de cifrado de datos en tránsito.

Aplique HTTPS para servicios y aplicaciones web de carga de trabajo asegurándose de que todos los clientes que se conectan a los recursos de Azure usen la versión 1.2 o posterior de seguridad de la capa de transporte (TLS). Para la administración remota de máquinas virtuales, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar.

Nota: El cifrado de datos en tránsito está habilitado para todo el tráfico de Azure que viaja entre centros de datos de Azure. TLS v1.2 o posterior está habilitado en la mayoría de los servicios PaaS de Azure de forma predeterminada.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3,11 SC-28 3.4, 3.5

Principio de seguridad: Para complementar los controles de acceso, los datos en reposo deben protegerse frente a ataques de "fuera de banda" (por ejemplo, el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Guía de Azure: Muchos servicios de Azure tienen el cifrado de datos en reposo habilitado de forma predeterminada en el nivel de infraestructura mediante una clave administrada por el servicio.

Cuando sea técnicamente factible y no esté habilitado de forma predeterminada, puede habilitar el cifrado de datos en reposo en los servicios de Azure o en las máquinas virtuales para el cifrado a nivel de almacenamiento, de archivos o de bases de datos.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3,11 SC-12, SC-28 3.4, 3.5, 3.6

Principio de seguridad: Si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito del servicio donde se necesita la opción de clave administrada por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios.

Guía de Azure: Azure también proporciona la opción de cifrado mediante claves administradas por usted mismo (claves administradas por el cliente) para determinados servicios. Sin embargo, el uso de la opción de clave administrada por el cliente requiere esfuerzos operativos adicionales para administrar el ciclo de vida de la clave. Esto puede incluir la generación de claves de cifrado, la rotación, la revocación y el control de acceso, etc.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-6: Uso de un proceso seguro de administración de claves

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-28 3.6

Principio de seguridad: Documente e implemente un estándar empresarial, procesos y procedimientos de administración de claves criptográficas para controlar el ciclo de vida de las claves. Cuando sea necesario usar la clave administrada por el cliente en los servicios, use un servicio de almacén de claves protegido para la generación, distribución y almacenamiento de claves. Rote y revoque las claves según la programación definida y cuando haya una retirada de clave o un riesgo para ella.

Guía de Azure: Use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, distribución y almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella.

Cuando sea necesario usar la clave administrada por el cliente en los servicios o aplicaciones de carga de trabajo, asegúrese de seguir los procedimientos recomendados:

  • Use una jerarquía de claves para generar una clave de cifrado de datos (DEK) independiente con la clave de cifrado de claves (KEK) en el almacén de claves.
  • Asegúrese de que las claves se registran en Azure Key Vault y se implementan a través de los identificadores de clave en cada servicio o aplicación.

Si necesita traer su propia clave (BYOK) a los servicios (es decir, importar claves protegidas con HSM desde los HSM locales en Azure Key Vault), siga las instrucciones recomendadas para realizar la generación y transferencia de claves.

Nota: Consulte lo siguiente para el nivel FIPS 140-2 para los tipos de Azure Key Vault y el nivel de cumplimiento de FIPS.

  • Claves protegidas por software en almacenes (SKU premium & estándar): FIPS 140-2 nivel 1
  • Claves protegidas con HSM en almacenes (SKU prémium): FIPS 140-2 nivel 2
  • Claves protegidas con HSM en HSM administrado: FIPS 140-2 nivel 3

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DP-7: Uso de un proceso seguro de administración de certificados

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Principio de seguridad: Documente e implemente un estándar empresarial, procesos y procedimientos de administración de certificados que incluyan el control del ciclo de vida del certificado y las directivas del certificado (si se necesita una infraestructura de clave pública)

Asegúrese de que los certificados utilizados por los servicios críticos de su organización se inventarian, rastrean, supervisan y renuevan oportunamente mediante un mecanismo automatizado para evitar la interrupción del servicio.

Guía de Azure: Use Azure Key Vault para crear y controlar el ciclo de vida del certificado, incluida la creación e importación, la rotación, la revocación, el almacenamiento y la purga del certificado. Asegúrese de que la generación de certificados sigue el estándar definido sin usar propiedades no seguras, como un tamaño de clave insuficiente, un período de validez demasiado largo o criptografía no segura, entre otras. Configure la rotación automática del certificado en Azure Key Vault y el servicio de Azure (si se admite) en función de la programación definida y cuando haya una expiración del certificado. Si la rotación automática no es compatible con la aplicación frontal, utilice una rotación manual en Azure Key Vault.

Evite utilizar el certificado autofirmado y el certificado comodín en sus servicios críticos debido a la limitada garantía de seguridad. En su lugar, puede crear un certificado firmado público en Azure Key Vault. Las siguientes CA son los actuales proveedores asociados con Azure Key Vault.

  • DigiCert: Azure Key Vault ofrece certificados TLS/SSL de OV con DigiCert.
  • GlobalSign: Azure Key Vault ofrece certificados TLS/SSL de OV con GlobalSign.

Nota: use solo las entidades de certificación (CA) aprobadas y asegúrese de que los certificados raíz/intermedios de las CA no válidas conocidas y los certificados emitidos por estas CA están desactivados.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (Más información):

DP-8: Confirmación de la seguridad de un repositorio de claves y certificados

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
N/D IA-5, SC-12, SC-17 3.6

Principio de seguridad: Asegúrese de la seguridad del servicio de almacén de claves que se usa para la administración del ciclo de vida de la clave criptográfica y del certificado. Refuerce su servicio de almacén de claves mediante el control de acceso, la seguridad de la red, el registro y la supervisión y las copias de seguridad para garantizar que las claves y los certificados estén siempre protegidos con la máxima seguridad.

Guía de Azure: Proteja las claves criptográficas y los certificados mediante el refuerzo del servicio Azure Key Vault con los controles siguientes:

  • Restrinja el acceso a claves y certificados de Azure Key Vault mediante directivas de acceso integradas o RBAC de Azure para asegurarse de que el principio de privilegios mínimos está vigente para el acceso al plano de administración y el acceso al plano de datos.
  • Proteja Azure Key Vault mediante Private Link y Azure Firewall para garantizar la exposición mínima del servicio.
  • Garantice la separación de tareas para que los usuarios que administran las claves de cifrado no puedan acceder a los datos cifrados, y viceversa.
  • Use la identidad administrada para acceder a las claves almacenadas en Azure Key Vault en las aplicaciones de carga de trabajo.
  • Nunca tenga las claves almacenadas en formato de texto no cifrado fuera de Azure Key Vault.
  • Al purgar los datos, asegúrese de que sus claves no se eliminen antes de purgar los datos reales, las copias de seguridad y los archivos.
  • Haga una copia de seguridad de las claves y los certificados mediante Azure Key Vault. Habilite la eliminación temporal y la protección de purga para evitar la eliminación accidental de claves.
  • Active el registro de Azure Key Vault para garantizar que se registren las actividades críticas del plano de administración y del plano de datos.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):