Säkerhetskontroll: Dataskydd

Anteckning

Den senaste Azure Security Benchmark finns här.

Dataskyddsrekommendationer fokuserar på att åtgärda problem som rör kryptering, åtkomstkontrollistor, identitetsbaserad åtkomstkontroll och granskningsloggning för dataåtkomst.

4.1: Upprätthålla en inventering av känslig information

Azure-ID	CIS-ID:n	Ansvar
4.1	13,1	Kund

Använd taggar för att spåra Azure-resurser som lagrar eller bearbetar känslig information.

• Skapa och använda taggar

4.2: Isolera system som lagrar eller bearbetar känslig information

Azure-ID	CIS-ID:n	Ansvar
4.2	13.2, 2.10	Kund

Implementera isolering med separata prenumerationer och hanteringsgrupper för enskilda säkerhetsdomäner, till exempel miljötyp och datakänslighetsnivå. Du kan begränsa åtkomstnivån till dina Azure-resurser som dina program och företagsmiljöer kräver. Du kan styra åtkomsten till Azure-resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC).

• Så här skapar du ytterligare Azure-prenumerationer

• Skapa hanteringsgrupper

• Skapa och använda taggar

4.3: Övervaka och blockera obehörig överföring av känslig information

Azure-ID	CIS-ID:n	Ansvar
4.3	13.3	Delad

Utnyttja en tredjepartslösning från Azure Marketplace på nätverksperimeter som övervakar obehörig överföring av känslig information och blockerar sådana överföringar samtidigt som informationssäkerhetspersonal varnas.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

• Förstå skydd av kunddata i Azure

4.4: Kryptera all känslig information under överföring

Azure-ID	CIS-ID:n	Ansvar
4.4	14,4	Delad

Kryptera all känslig information under överföring. Se till att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS 1.2 eller senare.

Följ Azure Security Center rekommendationer för kryptering i vila och kryptering under överföring, om tillämpligt.

• Förstå kryptering under överföring med Azure

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Azure-ID	CIS-ID:n	Ansvar
4,5	14,5	Delad

När ingen funktion är tillgänglig för din specifika tjänst i Azure använder du ett aktivt identifieringsverktyg från tredje part för att identifiera all känslig information som lagras, bearbetas eller överförs av organisationens tekniksystem, inklusive de som finns på plats eller hos en fjärrtjänstleverantör, och uppdaterar organisationens inventering av känslig information.

Använd Azure Information Protection för att identifiera känslig information i Microsoft 365-dokument.

Använd Azure SQL Information Protection för att hjälpa till med klassificering och etikettering av information som lagras i Azure SQL Database.

• Så här implementerar du identifiering av Azure SQL-data

• Så här implementerar du Azure Information Protection

• Förstå skydd av kunddata i Azure

4.6: Använd Azure RBAC för att styra åtkomsten till resurser

Azure-ID	CIS-ID:n	Ansvar
4,6	14.6	Kund

Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att styra åtkomsten till data och resurser, annars använder du tjänstspecifika åtkomstkontrollmetoder.

• Så här konfigurerar du Azure RBAC

4.7: Använd värdbaserad dataförlustskydd för att framtvinga åtkomstkontroll

Azure-ID	CIS-ID:n	Ansvar
4.7	14,7	Delad

Om det krävs för efterlevnad av beräkningsresurser implementerar du ett verktyg från tredje part, till exempel en automatiserad värdbaserad lösning för dataförlustskydd, för att framtvinga åtkomstkontroller till data även när data kopieras från ett system.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft allt kundinnehåll som känsligt och räcker till för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

• Förstå skydd av kunddata i Azure

4.8: Kryptera känslig information i vila

Azure-ID	CIS-ID:n	Ansvar
4.8	14,8	Kund

Använd kryptering i vila på alla Azure-resurser. Microsoft rekommenderar att Azure kan hantera dina krypteringsnycklar, men det finns ett alternativ för dig att hantera dina egna nycklar i vissa fall.

• Förstå kryptering vid vila i Azure

• Så här konfigurerar du kundhanterade krypteringsnycklar

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Azure-ID	CIS-ID:n	Ansvar
4,9	14,9	Kund

Använd Azure Monitor med Azure-aktivitetsloggen för att skapa aviseringar för när ändringar sker i viktiga Azure-resurser.

• Så här skapar du aviseringar för Händelser i Azure-aktivitetsloggen

Nästa steg

• Se nästa säkerhetskontroll: Sårbarhetshantering