Security Control v3: Ochrona danych
Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, klucza i zarządzania certyfikatami na platformie Azure.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Zasada zabezpieczeń: ustanów i zachowaj spis poufnych danych na podstawie zdefiniowanego zakresu poufnych danych. Użyj narzędzi do odnajdywania, klasyfikowania i etykietowania poufnych danych w zakresie.
Wskazówki dotyczące platformy Azure: użyj narzędzi, takich jak Microsoft Purview, Azure Information Protection i Azure SQL odnajdywanie i klasyfikacja danych, aby centralnie skanować, klasyfikować i oznaczać poufne dane znajdujące się na platformie Azure, lokalnie, na platformie Microsoft 365 i w innych lokalizacjach.
Implementacja i dodatkowy kontekst:
- Omówienie klasyfikacji danych
- Etykietowanie poufnych danych przy użyciu usługi Microsoft Purview
- Tagowanie informacji poufnych przy użyciu usługi Azure Information Protection
- Jak wdrożyć usługę Azure SQL Data Discovery
- Źródła danych usługi Microsoft Purview
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia danych
- Zabezpieczenia infrastruktury i punktu końcowego
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Zasada zabezpieczeń: monitoruj anomalie dotyczące poufnych danych, takich jak nieautoryzowany transfer danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.
Wskazówki dotyczące platformy Azure: monitorowanie danych sklasyfikowanych i oznaczonych etykietami za pomocą usługi Azure Information Protection (AIP).
Użyj usługi Azure Defender for Storage, usługi Azure Defender for SQL i usługi Azure Cosmos DB, aby otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji.
Uwaga: Jeśli jest to wymagane do zapewnienia zgodności ochrony przed utratą danych (DLP), możesz użyć rozwiązania DLP opartego na hoście z Azure Marketplace lub rozwiązania DLP platformy Microsoft 365 w celu wymuszania mechanizmów wykrywania i/lub kontroli zapobiegania w celu zapobiegania eksfiltracji danych.
Implementacja i dodatkowy kontekst:
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Operacje zabezpieczeń
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia infrastruktury i punktu końcowego
DP-3: Szyfrowanie poufnych danych przesyłanych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Zasada zabezpieczeń: ochrona danych przesyłanych przed atakami "poza pasmem" (takimi jak przechwytywanie ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.
Ustaw granicę sieci i zakres usługi, w którym dane przesyłane są obowiązkowe wewnątrz i poza siecią. Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych.
Wskazówki dotyczące platformy Azure: wymuszanie bezpiecznego transferu w usługach, takich jak Azure Storage, gdzie wbudowana jest funkcja natywnego szyfrowania danych przesyłanych.
Wymuszaj protokół HTTPS dla aplikacji internetowej i usług obciążeń, zapewniając, że wszyscy klienci łączący się z zasobami platformy Azure używają zabezpieczeń warstwy transportu (TLS) w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania maszynami wirtualnymi użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Uwaga: szyfrowanie tranzytowe danych jest włączone dla całego ruchu platformy Azure przesyłanego między centrami danych platformy Azure. Protokół TLS w wersji 1.2 lub nowszej jest domyślnie włączony w większości usług PaaS platformy Azure.
Implementacja i dodatkowy kontekst:
- Podwójne szyfrowanie danych platformy Azure podczas przesyłania
- Omówienie szyfrowania podczas przesyłania za pomocą platformy Azure
- Informacje o zabezpieczeniach protokołu TLS
- Wymuszanie bezpiecznego transferu w usłudze Azure Storage
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia danych
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Zasada zabezpieczeń: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami typu "poza pasmem" (na przykład uzyskiwaniem dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.
Wskazówki dotyczące platformy Azure: Wiele usług platformy Azure ma domyślnie włączone szyfrowanie magazynowane w warstwie infrastruktury przy użyciu klucza zarządzanego przez usługę.
Jeśli technicznie możliwe i nie jest domyślnie włączone, można włączyć szyfrowanie danych magazynowanych w usługach platformy Azure lub na maszynach wirtualnych na poziomie magazynu, na poziomie pliku lub na poziomie bazy danych.
Implementacja i dodatkowy kontekst:
- Informacje o szyfrowaniu danych magazynowanych na platformie Azure
- Dane magazynowane podwójne szyfrowanie na platformie Azure
- Model szyfrowania i tabela zarządzania kluczami
- Architektura zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia danych
DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Zasada zabezpieczeń: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym jest wymagana opcja klucza zarządzanego przez klienta. Włączanie i implementowanie szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta w usługach.
Wskazówki dotyczące platformy Azure: platforma Azure udostępnia również opcję szyfrowania przy użyciu kluczy zarządzanych samodzielnie (kluczy zarządzanych przez klienta) dla niektórych usług. Jednak użycie opcji klucza zarządzanego przez klienta wymaga dodatkowych działań operacyjnych w celu zarządzania cyklem życia klucza. Może to obejmować generowanie kluczy szyfrowania, rotację, odwoływanie i kontrolę dostępu itp.
Implementacja i dodatkowy kontekst:
- Model szyfrowania i tabela zarządzania kluczami
- Usługi obsługujące szyfrowanie przy użyciu klucza zarządzanego przez klienta
- Jak skonfigurować klucze szyfrowania zarządzane przez klienta w usłudze Azure Storage
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
- Architektura zabezpieczeń
- Zabezpieczenia infrastruktury i punktu końcowego
- Zabezpieczenia aplikacji i metodyka DevOps
- Zabezpieczenia danych
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | IA-5, SC-12, SC-28 | 3,6 |
Zasada zabezpieczeń: dokumentowanie i implementowanie standardu, procesów i procedur zarządzania kluczami kryptograficznymi przedsiębiorstwa w celu kontrolowania cyklu życia klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta w usługach, użyj zabezpieczonej usługi magazynu kluczy na potrzeby generowania, dystrybucji i magazynowania kluczy. Obracanie i odwoływanie kluczy na podstawie zdefiniowanego harmonogramu oraz wycofanie klucza lub naruszenie zabezpieczeń.
Wskazówki dotyczące platformy Azure: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu oraz w przypadku wycofania klucza lub naruszenia zabezpieczeń.
Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) w usługach lub aplikacjach obciążeń, upewnij się, że są zgodne z najlepszymi rozwiązaniami:
- Użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy.
- Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i implementowane za pomocą identyfikatorów kluczy w każdej usłudze lub aplikacji.
Jeśli musisz przenieść własny klucz (BYOK) do usług (tj. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi przeprowadzania generowania kluczy i transferu kluczy.
Uwaga: zapoznaj się z poniższymi tematami na poziomie FIPS 140-2 dla typów Key Vault platformy Azure i poziomu zgodności ze standardem FIPS.
- Klucze chronione przez oprogramowanie w magazynach (jednostki SKU w warstwie Premium & w warstwie Standardowa): FIPS 140-2 Poziom 1
- Klucze chronione przez moduł HSM w magazynach (jednostka SKU w warstwie Premium): FIPS 140-2 Poziom 2
- Klucze chronione przez moduł HSM w zarządzanym module HSM: FIPS 140-2 Poziom 3
Implementacja i dodatkowy kontekst:
- Omówienie usługi Azure Key Vault
- Szyfrowanie danych platformy Azure w hierarchii kluczy magazynowanych
- SPECYFIKACJA BYOK(Bring Your Own Key)
- Zarządzanie tożsamościami i kluczami
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | IA-5, SC-12, SC-17 | 3,6 |
Zasada zabezpieczeń: dokumentowanie i implementowanie standardu zarządzania certyfikatami przedsiębiorstwa, procesów i procedur obejmujących kontrolę cyklu życia certyfikatu oraz zasady certyfikatów (jeśli wymagana jest infrastruktura klucza publicznego).
Upewnij się, że certyfikaty używane przez usługi krytyczne w organizacji są spisane, śledzone, monitorowane i odnawiane w czasie przy użyciu zautomatyzowanego mechanizmu w celu uniknięcia zakłóceń w działaniu usług.
Wskazówki dotyczące platformy Azure: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie/importowanie, rotację, odwoływanie, przechowywanie i przeczyszczanie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanym standardem bez używania żadnych niezabezpieczonych właściwości, takich jak niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia itd. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) zgodnie ze zdefiniowanym harmonogramem i po wygaśnięciu certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji przedniej, użyj ręcznej rotacji w usłudze Azure Key Vault.
Unikaj używania certyfikatu z podpisem własnym i certyfikatu z symbolami wieloznacznymi w usługach krytycznych ze względu na ograniczone zabezpieczenie. Zamiast tego możesz utworzyć certyfikat z podpisem publicznym w usłudze Azure Key Vault. Następujące urzędy certyfikacji to obecni dostawcy partnerów z usługą Azure Key Vault.
- DigiCert: usługa Azure Key Vault oferuje certyfikaty OV TLS/SSL z firmą DigiCert.
- GlobalSign: usługa Azure Key Vault oferuje certyfikaty TLS/SSL OV z globalsign.
Uwaga: użyj tylko zatwierdzonego urzędu certyfikacji i upewnij się, że są wyłączone znane nieprawidłowe certyfikaty główne/pośrednie urzędu certyfikacji i certyfikaty wystawione przez te urzędy certyfikacji.
Implementacja i dodatkowy kontekst:
- Wprowadzenie do certyfikatów usługi Key Vault
- Access Control certyfikatów w usłudze Azure Key Vault
- Zarządzanie tożsamościami i kluczami
- Architektura zabezpieczeń
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):
DP-8: Zapewnianie zabezpieczeń repozytorium kluczy i certyfikatów
| Kontrolki CIS w wersji 8 | Identyfikatory NIST SP 800-53 r4 | Identyfikatory PCI-DSS w wersji 3.2.1 |
|---|---|---|
| Nie dotyczy | IA-5, SC-12, SC-17 | 3,6 |
Zasada zabezpieczeń: upewnij się, że zabezpieczenia usługi magazynu kluczy używanej do zarządzania kluczem kryptograficznym i cyklem życia certyfikatu. Zabezpiecz usługę magazynu kluczy za pomocą kontroli dostępu, zabezpieczeń sieci, rejestrowania i monitorowania oraz tworzenia kopii zapasowych, aby zapewnić, że klucze i certyfikaty są zawsze chronione przy użyciu maksymalnych zabezpieczeń.
Wskazówki dotyczące platformy Azure: Zabezpieczanie kluczy kryptograficznych i certyfikatów przez wzmocnienie zabezpieczeń usługi Azure Key Vault za pomocą następujących kontrolek:
- Ogranicz dostęp do kluczy i certyfikatów w usłudze Azure Key Vault przy użyciu wbudowanych zasad dostępu lub kontroli dostępu opartej na rolach platformy Azure, aby upewnić się, że zasady najmniejszych uprawnień obowiązują na potrzeby dostępu do płaszczyzny zarządzania i dostępu do płaszczyzny danych.
- Zabezpieczanie usługi Azure Key Vault przy użyciu Private Link i Azure Firewall w celu zapewnienia minimalnej ekspozycji usługi
- Upewnij się, że rozdzielenie obowiązków jest wykonywane dla użytkowników, którzy zarządzają kluczami szyfrowania, nie mają możliwości uzyskiwania dostępu do zaszyfrowanych danych i odwrotnie.
- Użyj tożsamości zarządzanej, aby uzyskać dostęp do kluczy przechowywanych w usłudze Azure Key Vault w aplikacjach obciążeń.
- Nigdy nie mają kluczy przechowywanych w formacie zwykłego tekstu poza platformą Azure Key Vault.
- Podczas przeczyszczania danych upewnij się, że klucze nie zostaną usunięte przed przeczyszczeniem rzeczywistych danych, kopii zapasowych i archiwów.
- Utwórz kopię zapasową kluczy i certyfikatów przy użyciu usługi Azure Key Vault. Włącz ochronę usuwania nietrwałego i przeczyszczania, aby uniknąć przypadkowego usunięcia kluczy.
- Włącz rejestrowanie w usłudze Azure Key Vault, aby upewnić się, że są rejestrowane krytyczne działania płaszczyzny zarządzania i płaszczyzny danych.
Implementacja i dodatkowy kontekst:
- Omówienie usługi Azure Key Vault
- Najlepsze rozwiązania dotyczące zabezpieczeń Key Vault platformy Azure
- Uzyskiwanie dostępu do usługi Azure Key Vault przy użyciu tożsamości zarządzanej
- Zarządzanie tożsamościami i kluczami
Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):