Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита данных охватывает управление защитой неактивных и передаваемых данных через механизмы санкционированного доступа, включая обнаружение, классификацию, защиту и мониторинг ресурсов конфиденциальной информации с помощью управления доступом, шифрования, а также управления ключами и сертификатами в Azure.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | РА-2, СК-28 | A3.2 |
Принцип безопасности: создание и обслуживание инвентаризации конфиденциальных данных на основе определенной области конфиденциальных данных. Используйте средства обнаружения, классификации и добавления меток для конфиденциальной информации, входящей в область проверки.
Руководство по Azure. Используйте такие средства, как Microsoft Purview, Azure Information Protection и Обнаружение и классификация данных SQL Azure для централизованного сканирования, классификации и маркировки конфиденциальных данных, находящихся в Azure, локальной среде, Microsoft 365 и других расположениях.
Реализация и дополнительный контекст:
- Обзор классификации данных
- Метка конфиденциальных данных с помощью Microsoft Purview
- Пометить конфиденциальную информацию с помощью Azure Information Protection
- Реализация обнаружения данных SQL Azure
- Источники данных Microsoft Purview
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevOps
- безопасность данных
- Безопасность инфраструктуры и конечной точки
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Принцип безопасности. Мониторинг аномалий вокруг конфиденциальных данных, таких как несанкционированная передача данных в расположения за пределами корпоративной видимости и контроля. Обычно этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных.
Руководство по Azure. Используйте Azure Information Protection (AIP) для мониторинга данных, которые были классифицированы и помечены.
Используйте Azure Defender для хранилища, Azure Defender для SQL и Azure Cosmos DB, чтобы создавать оповещения об аномальной передаче данных, что может свидетельствовать о несанкционированной передаче конфиденциальной информации.
Примечание. Если необходимо обеспечить соответствие политике защиты от потери данных (DLP), можно использовать решение DLP на основе узла из Azure Marketplace или решение DLP Microsoft 365, чтобы выявляющие и (или) предупреждающие элементы управления предотвратили кражу данных.
Реализация и дополнительный контекст:
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
DP-3: шифрование передаваемых конфиденциальных данных
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3,10 | SC-8 | 3.5, 3.6, 4.1 |
Принцип безопасности. Защита передаваемых данных от атак вне полосы (например, записи трафика) с помощью шифрования, чтобы злоумышленники не могли легко считывать или изменять данные.
Задайте границы сети и область службы, для которой обязательно шифрование передаваемых данных как в сети, так и за ее пределами. Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях.
Руководство по Azure: Принудительное использование безопасной передачи в таких службах, как Azure Storage, где встроена функция шифрования данных при их передаче.
Применяйте протокол HTTPS для веб-приложений и служб рабочей нагрузки, убедившись, что все клиенты, подключенные к вашим ресурсам Azure, используют протокол TLS версии 1.2 или более поздней. Для удаленного управления виртуальными машинами вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Примечание. Шифрование передаваемых данных включено для всего трафика Azure, перемещаемого между центрами обработки данных Azure. По умолчанию протокол TLS версии 1.2 или более поздней включен в большинстве служб Azure PaaS.
Реализация и дополнительный контекст:
- Двойное шифрование для передаваемых данных Azure
- Общие сведения о шифровании при передаче с помощью Azure
- Сведения о безопасности TLS
- Обеспечение безопасной передачи в хранилище Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность инфраструктуры и конечной точки
- Безопасность приложений и DevOps
- безопасность данных
DP-4: включение шифрования неактивных данных по умолчанию
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Принцип безопасности. Чтобы дополнить элементы управления доступом, неактивных данных следует защитить от атак вне полосы (таких как доступ к базовому хранилищу) с помощью шифрования. Это позволяет гарантировать, что злоумышленники не смогут легко считать или изменить данные.
Руководство по Azure: Многие службы Azure имеют шифрование данных в состоянии покоя, включено по умолчанию на уровне инфраструктуры с использованием ключа, управляемого службой.
В тех службах Azure, в которых шифрование неактивных данных технически возможно, но не включено по умолчанию, можно включить эту возможность, а также включить шифрование на ваших виртуальных машинах на уровне хранилища, файла или базы данных.
Реализация и дополнительный контекст:
- Общие сведения о шифровании неактивных данных в Azure
- Данных в состоянии покоя двойное шифрование в Azure
- Модель шифрования и таблица управления ключами
- Архитектура безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность инфраструктуры и конечной точки
- Безопасность приложений и DevOps
- безопасность данных
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| 3.11 | СК-12, ПК-28 | 3.4, 3.5, 3.6 |
Принцип безопасности. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется параметр ключа, управляемого клиентом. Включите и реализуйте шифрование неактивных данных в службах с помощью ключей, управляемых клиентами.
Руководство по Azure. Azure также предоставляет возможность шифрования с помощью ключей, управляемых самостоятельно (управляемыми клиентом ключами) для определенных служб. Однако использование ключа, управляемого клиентом, требует дополнительных фактических усилий для управления жизненным циклом ключа. К ним относятся создание ключа шифрования, его ротация, отзыв, управление доступом и т. д.
Реализация и дополнительный контекст:
- Модель шифрования и таблица управления ключами
- Службы, поддерживающие шифрование с помощью управляемого клиентом ключа
- Настройка ключей шифрования, управляемых клиентом, в службе хранилища Azure
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность инфраструктуры и конечной точки
- Безопасность приложений и DevOps
- безопасность данных
DP-6: безопасное управление ключами
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/П | IA-5, SC-12, SC-28 | 3,6 |
Принцип безопасности: документируйте и реализуйте стандарт управления криптографическими ключами предприятия, процессы и процедуры для управления жизненным циклом ключей. Если в службах требуется использовать ключ, управляемый клиентом, воспользуйтесь службой защищенного хранилища ключей для его создания, размещения и хранения. Выполняйте ротацию и отзывайте ключи согласно установленному графику, а также при выводе ключа из употребления или его компрометации.
Руководство по Azure. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Выполняйте ротацию и отзывайте ключи в Azure Key Vault и своей службе согласно установленному графику, а также при выводе ключа из употребления или его компрометации.
При необходимости использовать ключ, управляемый клиентом, в службах или приложениях рабочей нагрузки обеспечьте следование следующим рекомендациям:
- Используйте иерархию ключей для создания ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей.
- Убедитесь, что ключи зарегистрированы в Azure Key Vault, и реализуйте их с помощью идентификаторов в каждой службе или приложении.
Если вам необходимо создать собственные ключи (BYOK) в службах (т. е. импортировать ключи, защищенные модулем HSM, из локальных модулей HSM в Azure Key Vault), следуйте основным рекомендациям по созданию и переносу ключей.
Примечание. Сведения об уровне FIPS 140-2 для типов Azure Key Vault и уровне соответствия требованиям FIPS см. ниже.
- Ключи, защищенные программным обеспечением в хранилищах (номера SKU уровня "Премиум" и "Стандартный"): FIPS 140-2 уровня 1
- Ключи, защищенные модулем HSM, в хранилищах (цен. категория "Премиум"): FIPS 140-2, уровень 2
- Ключи, защищенные модулем HSM, в управляемом модуле HSM: FIPS 140-2, уровень 3
Реализация и дополнительный контекст:
- Обзор Azure Key Vault
- Шифрование данных Azure в состоянии покоя — Иерархия ключей
- СПЕЦИФИКАЦИЯ BYOK (Использование собственного ключа)
- Управление удостоверениями и ключами
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность приложений и DevOps
- безопасность данных
DP-7: безопасное управление сертификатами
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/П | IA-5, SC-12, SC-17 | 3,6 |
Принцип безопасности: документируйте и реализуйте стандарт управления корпоративными сертификатами, процессы и процедуры, которые включают управление жизненным циклом сертификатов и политики сертификатов (если требуется инфраструктура открытого ключа).
Убедитесь, что для всех сертификатов, которые используются в важнейших службах вашей организации, обеспечены учет, отслеживание, мониторинг и своевременное обновление с помощью автоматического механизма, чтобы избежать нарушений работы службы.
Руководство по Azure. Используйте Azure Key Vault для создания и управления жизненным циклом сертификата, включая создание и импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует заданному стандарту и не используются небезопасные свойства, такие как недостаточный размер ключа, слишком длинный срок действия, незащищенное шифрование и т. д. Настройте автоматическую ротацию сертификата в Azure Key Vault и службах Azure (если это поддерживается) согласно установленному графику, а также при истечении срока действия сертификата. Если во внешнем приложении не поддерживается автоматическая ротация, выполните ее вручную в Azure Key Vault.
Не используйте самозаверяющие и групповые сертификаты в важнейших службах из-за ограничений обеспечения безопасности. Вместо этого можно создать общедоступный подписанный сертификат в Azure Key Vault. Ниже перечислены центры сертификации, которые являются партнерскими поставщиками Azure Key Vault.
- DigiCert, из которого Azure Key Vault предоставляет сертификаты OV TLS/SSL.
- GlobalSign, из которого Azure Key Vault предоставляет сертификаты OV TLS/SSL.
Примечание. Используйте только проверенные центры сертификации (ЦС) и убедитесь, что корневые и промежуточные сертификаты недействительных ЦС отключены.
Реализация и дополнительный контекст:
- Начало работы с сертификатами Key Vault
- Управление доступом к сертификатам в Azure Key Vault
- Управление удостоверениями и ключами
- Архитектура безопасности
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Безопасность приложений и DevOps
- безопасность данных
DP-8: обеспечение безопасности репозитория ключей и сертификатов
| Идентификаторы CIS Controls v8 | Идентификатор (-ы) NIST SP 800-53 r4 | Идентификаторы PCI-DSS версии 3.2.1 |
|---|---|---|
| Н/П | IA-5, SC-12, SC-17 | 3,6 |
Принцип безопасности. Обеспечение безопасности службы хранилища ключей, используемой для управления криптографическим ключом и жизненным циклом сертификатов. Укрепите службу хранилища ключей с помощью управления доступом, сетевой безопасности, ведения журнала, мониторинга и резервного копирования, чтобы обеспечить наивысший уровень защиты ключей и сертификатов.
Руководство по Azure. Защита криптографических ключей и сертификатов путем защиты службы Azure Key Vault с помощью следующих элементов управления:
- Ограничьте доступ к ключам и сертификатам в Azure Key Vault с помощью встроенных политик доступа или RBAC Azure, чтобы применить принцип наименьших привилегий для доступа к плоскости управления и плоскости данных.
- Защитите Azure Key Vault с помощью Приватного канала и Брандмауэра Azure, чтобы обеспечить минимальную доступность службы.
- Убедитесь, что у пользователей, которые управляют ключами шифрования, нет доступа к зашифрованным данным и наоборот.
- Используйте управляемое удостоверение для доступа к ключам, хранящимся в Azure Key Vault в приложениях рабочей нагрузки.
- Не храните ключи в формате открытого текста вне Azure Key Vault.
- Перед очисткой фактических данных, резервных копий и архивов убедитесь, что ваши ключи не удалены.
- Выполните резервное копирование ключей и сертификатов с помощью Azure Key Vault. Включите обратимое удаление и защиту от очистки, чтобы избежать случайного удаления ключей.
- Включите ведение журнала Azure Key Vault, чтобы записывать критические события плоскости управления и плоскости данных.
Реализация и дополнительный контекст:
- Обзор Azure Key Vault
- Рекомендации по безопасности Azure Key Vault
- Использование управляемого удостоверения для доступа к Azure Key Vault
- Управление удостоверениями и ключами
Заинтересованные лица по безопасности клиентов (дополнительные сведения):
- Архитектура безопасности
- Безопасность приложений и DevOps
- безопасность данных