注释
此处提供了最 up-to日期的 Azure 安全基准。
数据保护建议侧重于解决与加密、访问控制列表、基于身份的访问控制和数据访问的审计日志记录相关的问题。
4.1:维护敏感信息的清单
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.1 | 13.1 | 客户 |
使用标记来帮助跟踪存储或处理敏感信息的 Azure 资源。
4.2:隔离存储或处理敏感信息的系统
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.2 | 13.2, 2.10 | 客户 |
使用单独的订阅和管理组为各个安全域(例如环境类型和数据敏感度级别)实施隔离。 您可以限制应用程序和企业环境所需的 Azure 资源访问级别。 您可以通过 Azure 基于角色的访问控制 (Azure RBAC) 控制对 Azure 资源的访问。
4.3:监视和阻止未经授权的敏感信息传输
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.3 | 13.3 | 共享 |
在网络外围利用 Azure Marketplace 中的第三方解决方案,监控敏感信息的未授权传输并阻止此类传输,同时提醒信息安全专业人员。
对于由 Microsoft 管理的基础平台,Microsoft 将所有客户内容视为敏感内容,并防止客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft已实施和维护一套可靠的数据保护控制和功能。
4.4:加密传输中的所有敏感信息
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.4 | 14.4 | 共享 |
加密传输中的所有敏感信息。 确保连接到 Azure 资源的任何客户端都能够协商 TLS 1.2 或更高版本。
如果适用,请遵循 Azure 安全中心关于静态加密和传输中加密的建议。
4.5:使用有效的发现工具识别敏感数据
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.5 | 14.5 | 共享 |
当 Azure 中的特定服务没有可用的功能时,请使用第三方主动发现工具来识别组织的技术系统(包括位于现场或远程服务提供商处的系统)存储、处理或传输的所有敏感信息,并更新组织的敏感信息清单。
使用 Azure 信息保护来识别 Microsoft 365 文档中的敏感信息。
使用 Azure SQL 信息保护来帮助对 Azure SQL 数据库中存储的信息进行分类和标记。
4.6:使用 Azure RBAC 控制对资源的访问
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.6 | 14.6 | 客户 |
使用 Azure 基于角色的访问控制 (Azure RBAC) 来控制对数据和资源的访问,否则使用特定于服务的访问控制方法。
4.7:使用基于主机的数据丢失防护来强制实施访问控制
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.7 | 14.7 | 共享 |
如果计算资源的合规性要求,请实施第三方工具,例如基于主机的自动化数据丢失防护解决方案,以实施对数据的访问控制,即使数据从系统复制也是如此。
对于由 Microsoft 管理的基础平台,Microsoft 将所有客户内容视为敏感内容,并竭尽全力防止客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft已实施和维护一套可靠的数据保护控制和功能。
4.8:加密静态敏感信息
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.8 | 14.8 | 客户 |
对所有 Azure 资源使用静态加密。 Microsoft 建议允许 Azure 管理您的加密密钥,但在某些情况下,您可以选择管理自己的密钥。
4.9:记录关键 Azure 资源的更改并发出警报
| Azure ID | CIS ID号 | 责任 |
|---|---|---|
| 4.9 | 14.9 | 客户 |
将 Azure Monitor 与 Azure 活动日志结合使用,在关键 Azure 资源发生更改时创建警报。
后续步骤
- 请参阅下一个 Security Control: 漏洞管理