Kontrola zabezpieczeń: Ochrona danych
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Zalecenia dotyczące ochrony danych koncentrują się na rozwiązywaniu problemów związanych z szyfrowaniem, listami kontroli dostępu, kontrolą dostępu opartą na tożsamościach i rejestrowaniem inspekcji na potrzeby dostępu do danych.
4.1: Utrzymywanie spisu informacji poufnych
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.1 | 13,1 | Klient |
Użyj tagów, aby pomóc w śledzeniu zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.
4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.2 | 13.2, 2.10 | Klient |
Zaimplementuj izolację przy użyciu oddzielnych subskrypcji i grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak typ środowiska i poziom poufności danych. Możesz ograniczyć poziom dostępu do zasobów platformy Azure, których wymagają aplikacje i środowiska przedsiębiorstwa. Dostęp do zasobów platformy Azure można kontrolować za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure.
4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.3 | 13.3 | Udostępniona |
Skorzystaj z rozwiązania innej firmy od Azure Marketplace w obwodach sieci, które monitorują nieautoryzowany transfer poufnych informacji i blokują takie transfery podczas zgłaszania alertów specjalistom ds. zabezpieczeń informacji.
W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i chroniącą przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.
4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.4 | 14,4 | Udostępniona |
Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS 1.2 lub nowszy.
Postępuj zgodnie z Azure Security Center zaleceniami dotyczącymi szyfrowania danych magazynowanych i szyfrowania podczas przesyłania, jeśli ma to zastosowanie.
4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.5 | 14,5 | Udostępniona |
Jeśli żadna funkcja nie jest dostępna dla określonej usługi na platformie Azure, użyj narzędzia do odnajdywania aktywnego innej firmy, aby zidentyfikować wszystkie poufne informacje przechowywane, przetwarzane lub przesyłane przez systemy technologiczne organizacji, w tym te znajdujące się w lokacji lub u dostawcy usług zdalnych, i zaktualizować spis informacji poufnych organizacji.
Użyj usługi Azure Information Protection do identyfikowania poufnych informacji w dokumentach platformy Microsoft 365.
Użyj Azure SQL Information Protection, aby ułatwić klasyfikację i etykietowanie informacji przechowywanych w usłudze Azure SQL Database.
4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4,6 | 14.6 | Klient |
Kontrola dostępu oparta na rolach (RBAC) na platformie Azure umożliwia kontrolowanie dostępu do danych i zasobów. W przeciwnym razie użyj metod kontroli dostępu specyficznych dla usługi.
4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.7 | 14,7 | Udostępniona |
Jeśli jest to wymagane w celu zapewnienia zgodności z zasobami obliczeniowymi, zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie ochrony przed utratą danych oparte na hoście, aby wymusić kontrolę dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.
W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i znacznie chroni przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.
4.8: Szyfrowanie poufnych informacji magazynowanych
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4.8 | 14,8 | Klient |
Używaj szyfrowania magazynowanych we wszystkich zasobach platformy Azure. Firma Microsoft zaleca umożliwienie platformie Azure zarządzania kluczami szyfrowania, jednak istnieje możliwość zarządzania własnymi kluczami w niektórych przypadkach.
Informacje o szyfrowaniu danych magazynowanych na platformie Azure
Jak skonfigurować klucze szyfrowania zarządzane przez klienta
4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure
| Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
|---|---|---|
| 4,9 | 14,9 | Klient |
Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpienia zmian w krytycznych zasobach platformy Azure.
Następne kroki
- Zobacz następną kontrolę zabezpieczeń: zarządzanie lukami w zabezpieczeniach