Beveiligingsbeheer: Gegevensbeveiliging

Notitie

De meest recente Azure Security Benchmark is hier beschikbaar.

Aanbevelingen voor gegevensbeveiliging richten zich op het oplossen van problemen met betrekking tot versleuteling, toegangsbeheerlijsten, identiteitstoegangsbeheer en auditlogboekregistratie voor gegevenstoegang.

4.1: Een inventaris van gevoelige informatie onderhouden

Azure-id	CIS-id's	Verantwoordelijkheid
4.1	13.1	Klant

Gebruik tags om Azure-resources bij te houden die gevoelige informatie opslaan of verwerken.

• Tags maken en gebruiken

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Azure-id	CIS-id's	Verantwoordelijkheid
4.2	13.2, 2.10	Klant

Implementeer isolatie met behulp van afzonderlijke abonnementen en beheergroepen voor afzonderlijke beveiligingsdomeinen, zoals het type omgeving en het vertrouwelijkheidsniveau van gegevens. U kunt het toegangsniveau beperken tot uw Azure-resources die door uw toepassingen en bedrijfsomgevingen worden gevraagd. U kunt de toegang tot Azure-resources beheren via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).

• Aanvullende Azure-abonnementen maken

• Beheergroepen maken

• Tags maken en gebruiken

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Azure-id	CIS-id's	Verantwoordelijkheid
4.3	13.3	Gedeeld

Maak gebruik van een externe oplossing van Azure Marketplace op netwerkperimeters die bewaakt op onbevoegde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten tijdens het waarschuwen van beveiligingsprofessionals voor informatie.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van de klant als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

• Informatie over beveiliging van klantgegevens in Azure

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Azure-id	CIS-id's	Verantwoordelijkheid
4.4	14.4	Gedeeld

Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure-resources, tls 1.2 of hoger kunnen onderhandelen.

Volg Azure Security Center aanbevelingen voor versleuteling at rest en versleuteling tijdens overdracht, indien van toepassing.

• Inzicht in versleuteling tijdens overdracht met Azure

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Azure-id	CIS-id's	Verantwoordelijkheid
4.5	14.5	Gedeeld

Wanneer er geen functie beschikbaar is voor uw specifieke service in Azure, gebruikt u een actief detectieprogramma van derden om alle gevoelige informatie te identificeren die is opgeslagen, verwerkt of verzonden door de technologiesystemen van de organisatie, inclusief de systemen die zich op locatie of bij een externe serviceprovider bevinden en de inventaris van gevoelige informatie van de organisatie bijwerken.

Gebruik Azure Information Protection voor het identificeren van gevoelige informatie in Microsoft 365-documenten.

Gebruik Azure SQL Information Protection om u te helpen bij het classificeren en labelen van informatie die is opgeslagen in Azure SQL Database.

• Azure SQL-gegevensdetectie implementeren

• Azure Information Protection implementeren

• Informatie over beveiliging van klantgegevens in Azure

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Azure-id	CIS-id's	Verantwoordelijkheid
4,6	14.6	Klant

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de toegang tot gegevens en resources te beheren en gebruik anders servicespecifieke methoden voor toegangsbeheer.

• Azure RBAC configureren

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Azure-id	CIS-id's	Verantwoordelijkheid
4.7	14.7	Gedeeld

Implementeer, indien vereist voor naleving van rekenresources, een hulpprogramma van derden, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer voor gegevens af te dwingen, zelfs wanneer gegevens uit een systeem worden gekopieerd.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

• Informatie over beveiliging van klantgegevens in Azure

4.8: Gevoelige informatie-at-rest versleutelen

Azure-id	CIS-id's	Verantwoordelijkheid
4.8	14.8	Klant

Versleuteling at rest gebruiken voor alle Azure-resources. Microsoft raadt Azure aan om uw versleutelingssleutels te beheren, maar in sommige gevallen kunt u uw eigen sleutels beheren.

• Meer informatie over versleuteling van data-at-rest in Azure

• Door de klant beheerde versleutelingssleutels configureren

4.9: Logboek en waarschuwing bij wijzigingen in kritieke Azure-resources

Azure-id	CIS-id's	Verantwoordelijkheid
4.9	14.9	Klant

Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in kritieke Azure-resources.

• Waarschuwingen maken voor Azure-activiteitenlogboeken

Volgende stappen

• Zie het volgende beveiligingsbeheer: Beheer van beveiligingsproblemen