Security Control v3: Dataskydd

Dataskydd omfattar kontroll över vilande dataskydd, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckel- och certifikathantering i Azure.

DP-1: Identifiera, klassificera och märka känsliga data

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
3.2, 3.7, 3.13 RA-2, SC-28 A3.2

Säkerhetsprincip: Upprätta och underhålla en inventering av känsliga data baserat på det definierade omfånget för känsliga data. Använd verktyg för att identifiera, klassificera och märka känsliga data i omfånget.

Azure-vägledning: Använd verktyg som Microsoft Purview, Azure Information Protection och Azure SQL Data Discovery and Classification för att centralt genomsöka, klassificera och märka känsliga data som finns i Azure, lokalt, Microsoft 365 och andra platser.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-2: Övervaka avvikelser och hot mot känsliga data

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
3.13 AC-4, SI-4 A3.2

Säkerhetsprincip: Övervaka avvikelser kring känsliga data, till exempel obehörig överföring av data till platser utanför företagets synlighet och kontroll. Detta omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar) som kan tyda på obehörig dataexfiltrering.

Azure Guidance: Använd Azure Information Protection (AIP) för att övervaka de data som har klassificerats och märkts.

Använd Azure Defender för Storage, Azure Defender för SQL och Azure Cosmos DB för att varna om avvikande överföring av information som kan tyda på obehörig överföring av känslig datainformation.

Obs! Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en värdbaserad DLP-lösning från Azure Marketplace eller en Microsoft 365 DLP-lösning för att framtvinga detektiv- och/eller förebyggande kontroller för att förhindra dataexfiltrering.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-3: Kryptera känsliga data under överföring

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
3.10 SC-8 3.5, 3.6, 4.1

Säkerhetsprincip: Skydda data under överföring mot out-of-band-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Ange nätverksgräns och tjänstomfång där data under överföringskryptering är obligatoriska i och utanför nätverket. Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik i externa och offentliga nätverk.

Azure-vägledning: Framtvinga säker överföring i tjänster som Azure Storage, där inbyggda data i krypteringsfunktionen för överföring är inbyggd.

Framtvinga HTTPS för webbprogram och tjänster för arbetsbelastningar genom att se till att alla klienter som ansluter till dina Azure-resurser använder transportnivåsäkerhet (TLS) v1.2 eller senare. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.

Obs! Data under överföringskryptering är aktiverad för all Azure-trafik som färdas mellan Azure-datacenter. TLS v1.2 eller senare är aktiverat på de flesta Azure PaaS-tjänster som standard.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-4: Aktivera vilande datakryptering som standard

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
3.11 SC-28 3.4, 3.5

Säkerhetsprincip: För att komplettera åtkomstkontroller bör vilande data skyddas mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Azure-vägledning: Många Azure-tjänster har data i vila-kryptering aktiverat som standard på infrastrukturnivån med hjälp av en tjänsthanterad nyckel.

Om det är tekniskt möjligt och inte aktiverat som standard kan du aktivera vilande datakryptering i Azure-tjänsterna eller på dina virtuella datorer för kryptering på lagringsnivå, filnivå eller databasnivå.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
3.11 SC-12, SC-28 3.4, 3.5, 3.6

Säkerhetsprincip: Om det krävs för regelefterlevnad definierar du användningsfall och tjänstomfång där alternativet för kundhanterad nyckel behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel i tjänster.

Azure-vägledning: Azure tillhandahåller även krypteringsalternativ med nycklar som hanteras av dig själv (kundhanterade nycklar) för vissa tjänster. Men att använda alternativet kundhanterad nyckel kräver ytterligare operativa åtgärder för att hantera nyckellivscykeln. Detta kan omfatta generering av krypteringsnycklar, rotation, återkallande och åtkomstkontroll osv.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-6: Använd en säker nyckelhanteringsprocess

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
Ej tillämpligt IA-5, SC-12, SC-28 3,6

Säkerhetsprincip: Dokumentera och implementera en standard för hantering av kryptografiska nycklar för företag, processer och procedurer för att styra din nyckellivscykel. När du behöver använda kundhanterad nyckel i tjänsterna använder du en säker nyckelvalvstjänst för nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.

Azure-vägledning: Använd Azure Key Vault för att skapa och styra livscykeln för krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på det definierade schemat och när det finns en viktig tillbakadragning eller kompromiss.

När det finns ett behov av att använda kundhanterad nyckel (CMK) i arbetsbelastningstjänster eller program bör du följa metodtipsen:

  • Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet.
  • Se till att nycklar registreras med Azure Key Vault och implementera via nyckel-ID:t i varje tjänst eller program.

Om du behöver ta med din egen nyckel (BYOK) till tjänsterna (dvs. importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du den rekommenderade riktlinjen för att utföra nyckelgenereringen och nyckelöverföringen.

Obs! Se nedan för FIPS 140-2-nivån för Azure Key Vault typer och FIPS-efterlevnadsnivå.

  • Programvaruskyddade nycklar i valv (Premium & Standard-SKU:er): FIPS 140-2 Nivå 1
  • HSM-skyddade nycklar i valv (Premium SKU): FIPS 140-2 Nivå 2
  • HSM-skyddade nycklar i Managed HSM: FIPS 140-2 Nivå 3

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-7: Använd en säker certifikathanteringsprocess

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
Ej tillämpligt IA-5, SC-12, SC-17 3,6

Säkerhetsprincip: Dokumentera och implementera en standard för företagscertifikathantering, processer och procedurer som omfattar livscykelkontroll för certifikat och certifikatprinciper (om en infrastruktur för offentlig nyckel behövs).

Se till att certifikat som används av de kritiska tjänsterna i din organisation inventeras, spåras, övervakas och förnyas i tid med hjälp av automatiserad mekanism för att undvika avbrott i tjänsten.

Azure-vägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive skapande/import, rotation, återkallande, lagring och rensning av certifikatet. Se till att certifikatgenereringen följer den definierade standarden utan att använda några osäkra egenskaper, till exempel otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi och så vidare. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på det definierade schemat och när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i frontprogrammet använder du en manuell rotation i Azure Key Vault.

Undvik att använda självsignerade certifikat och jokerteckencertifikat i dina kritiska tjänster på grund av den begränsade säkerhetsgarantin. I stället kan du skapa ett offentligt signerat certifikat i Azure Key Vault. Följande certifikatutfärdare är de aktuella partnerleverantörerna med Azure Key Vault.

  • DigiCert: Azure Key Vault erbjuder OV TLS/SSL-certifikat med DigiCert.
  • GlobalSign: Azure Key Vault erbjuder OV TLS/SSL-certifikat med GlobalSign.

Obs! Använd endast godkänd certifikatutfärdare (CA) och se till att de kända felaktiga ca-rot-/mellanliggande certifikaten och certifikaten som utfärdats av dessa certifikatutfärdare är inaktiverade.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):

DP-8: Säkerställ säkerheten för nyckel- och certifikatlagringsplatsen

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID:n PCI-DSS ID(s) v3.2.1
Ej tillämpligt IA-5, SC-12, SC-17 3,6

Säkerhetsprincip: Säkerställ säkerheten för nyckelvalvstjänsten som används för livscykelhantering av kryptografiska nycklar och certifikat. Härda nyckelvalvstjänsten genom åtkomstkontroll, nätverkssäkerhet, loggning och övervakning samt säkerhetskopiering för att säkerställa att nycklar och certifikat alltid skyddas med maximal säkerhet.

Azure-vägledning: Skydda dina kryptografiska nycklar och certifikat genom att härda din Azure Key Vault-tjänst med hjälp av följande kontroller:

  • Begränsa åtkomsten till nycklar och certifikat i Azure Key Vault med hjälp av inbyggda åtkomstprinciper eller Azure RBAC för att säkerställa att principen om minsta behörighet finns för åtkomst till hanteringsplanet och åtkomst till dataplanet.
  • Skydda Azure-Key Vault med hjälp av Private Link och Azure Firewall för att säkerställa minimal exponering av tjänsten
  • Se till att uppdelning av uppgifter är plats för användare som hanterar krypteringsnycklar som inte har möjlighet att komma åt krypterade data och vice versa.
  • Använd hanterad identitet för att komma åt nycklar som lagras i Azure-Key Vault i dina arbetsbelastningsprogram.
  • Lagra aldrig nycklarna i klartextformat utanför Azure-Key Vault.
  • När du rensar data kontrollerar du att dina nycklar inte tas bort innan faktiska data, säkerhetskopior och arkiv rensas.
  • Backup dina nycklar och certifikat med hjälp av Azure-Key Vault. Aktivera mjukt borttagnings- och rensningsskydd för att undvika oavsiktlig borttagning av nycklar.
  • Aktivera Azure Key Vault loggning för att säkerställa att aktiviteterna för det kritiska hanteringsplanet och dataplanet loggas.

Implementering och ytterligare kontext:

Intressenter för kundsäkerhet (läs mer):