Beveiligingscontrole V2: Gegevensbeveiliging
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
Data Protection heeft betrekking op de controle van data protection at rest, in transit en via geautoriseerde toegangsmechanismen. Dit omvat het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling en logboekregistratie in Azure.
Als u de toepasselijke ingebouwde Azure Policy wilt zien, raadpleegt u details van het ingebouwde initiatief naleving van regelgeving in Azure Security Benchmark: Gegevensbescherming
DP-1: Detectie, classificatie en labeling van gevoelige gegevens
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Ontdek, classificeer en label uw gevoelige gegevens, zodat u de juiste besturingselementen kunt ontwerpen om ervoor te zorgen dat gevoelige informatie veilig wordt opgeslagen, verwerkt en verzonden door de technologiesystemen van de organisatie.
Gebruik Azure Information Protection (en de bijbehorende scantool) voor gevoelige informatie binnen Office-documenten in Azure, on-premises, in Office 365 en op andere locaties.
U kunt Azure SQL Information Protection gebruiken bij het classificeren en labelen van informatie die is opgeslagen in Azure SQL-databases.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):
DP-2: Gevoelige gegevens beschermen
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Beveilig gevoelige gegevens door de toegang te beperken met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling in SQL en andere databases).
Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.
Voor het onderliggende platform, dat wordt beheerd door Microsoft, geldt dat alle klantinhoud als gevoelig wordt beschouwd en dat gegevens worden beschermd tegen verlies en blootstelling. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):
DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Controleren op niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van ondernemingen. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.
Azure Defender voor Storage en Azure SQL ATP kan waarschuwen over afwijkende overdracht van gegevens die kunnen wijzen op onbevoegde overdrachten van gevoelige informatie.
Azure Information Protection (AIP) biedt controlevoorzieningen voor informatie die is geclassificeerd en gelabeld.
Als dit nodig is voor de naleving van preventie van gegevensverlies (DLP), kunt u een DLP-oplossing op een host gebruiken om detectie en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):
DP-4: Gevoelige gegevens tijdens een overdracht versleutelen
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
Om toegangsbeheer aan te vullen, moeten gegevens tijdens overdracht worden beveiligd tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.
Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.
Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):
DP-5: Gevoelige data-at-rest versleutelen
| Azure-id | CIS Controls v7.1 ID(s) | NIST SP 800-53 r4 ID(s) |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Om toegangsbeheer aan te vullen, moet data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.
Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens hebt u opties voor het implementeren van extra versleuteling at rest op alle Azure-resources, indien beschikbaar. Azure beheert standaard uw versleutelingssleutels, maar Azure biedt opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services.
Verantwoordelijkheid: Gedeeld
Belanghebbenden voor klantbeveiliging (meer informatie):