Raccomandazioni per la classificazione dei dati
Si applica alla raccomandazione dell'elenco di controllo per la sicurezza di Azure Well-Architected Framework:
| SE:03 | Classificare e applicare in modo coerente etichette di riservatezza a tutti i dati e i sistemi del carico di lavoro coinvolti nell'elaborazione dati. Usare la classificazione per influenzare la progettazione, l'implementazione e la definizione delle priorità per la sicurezza dei carichi di lavoro. |
|---|
Questa guida descrive le raccomandazioni per la classificazione dei dati. La maggior parte dei carichi di lavoro archivia vari tipi di dati. Non tutti i dati sono ugualmente sensibili. La classificazione dei dati consente di classificare i dati in base al livello di riservatezza, al tipo di informazioni e all'ambito di conformità, in modo da poter applicare il livello di protezione corretto. La protezione include controlli di accesso, criteri di conservazione per tipi di informazioni diversi e così via. Anche se i controlli di sicurezza effettivi basati sulla classificazione dei dati non rientrano nell'ambito di questo articolo, fornisce raccomandazioni per la categorizzazione dei dati in base ai criteri precedenti impostati dall'organizzazione.
Definizioni
| Termine | Definizione |
|---|---|
| Classificazione | Processo per classificare gli asset del carico di lavoro in base a livelli di riservatezza, tipo di informazioni, requisiti di conformità e altri criteri forniti dall'organizzazione. |
| Metadati | Implementazione per l'applicazione della tassonomia alle risorse. |
| Tassonomia | Un sistema per organizzare i dati classificati utilizzando una struttura concordata. In genere, una rappresentazione gerarchica della classificazione dei dati. Ha entità denominate che indicano i criteri di categorizzazione. |
Strategie di progettazione chiave
La classificazione dei dati è un esercizio fondamentale che spesso determina la creazione di un sistema di record e la relativa funzione. La classificazione consente anche di ridimensionare correttamente le garanzie di sicurezza e di aiutare il team a valutare l'individuazione durante la risposta agli eventi imprevisti. Un prerequisito per il processo di progettazione consiste nel comprendere chiaramente se i dati devono essere considerati riservati, limitati, pubblici o qualsiasi altra classificazione di riservatezza. È anche essenziale determinare le posizioni in cui vengono archiviati i dati, perché i dati potrebbero essere distribuiti in più ambienti.
L'individuazione dei dati è necessaria per individuare i dati. Senza tale conoscenza, la maggior parte dei progetti adotta un approccio intermedio, che potrebbe o potrebbe non soddisfare i requisiti di sicurezza. I dati possono essere sovraprotetti, con conseguente inefficienze in termini di costi e prestazioni. Oppure potrebbe non essere abbastanza protetto, che aggiunge alla superficie di attacco.
La classificazione dei dati è spesso un esercizio complesso. Sono disponibili strumenti che consentono di individuare gli asset di dati e suggerire classificazioni. Ma non si basano solo sugli strumenti. È possibile eseguire un processo in cui i membri del team eseguono diligentemente gli esercizi. Usare quindi gli strumenti per automatizzare quando questo è pratico.
Oltre a queste procedure consigliate, vedere Create un framework di classificazione dei dati ben progettato.
Informazioni sulla tassonomia definita dall'organizzazione
La tassonomia è una rappresentazione gerarchica della classificazione dei dati. Ha entità denominate che indicano i criteri di categorizzazione.
In generale, non esiste uno standard universale per la classificazione o per la definizione della tassonomia. È basata sulla motivazione di un'organizzazione per la protezione dei dati. La tassonomia potrebbe acquisire i requisiti di conformità, le funzionalità promesse per gli utenti del carico di lavoro o altri criteri basati sulle esigenze aziendali.
Di seguito sono riportate alcune etichette di classificazione di esempio per livelli di riservatezza, tipo di informazioni e ambito di conformità.
| Sensibilità | Tipo di informazioni | Ambito di conformità |
|---|---|---|
| Public, General, Confidential, Highly Confidential, Secret, Top Secret, Sensitive | Financial, Credit Card, Name, Contact Info, Credentials, Banking, Networking, SSN, Health fields, Date of Birth, Intellectual Property, personal data | HIPAA, PCI, CCPA, SOX, RTB |
I proprietari del carico di lavoro si affidano all'organizzazione per fornire una tassonomia ben definita. Tutti i ruoli del carico di lavoro devono avere una conoscenza condivisa della struttura, della classificazione e della definizione dei livelli di riservatezza. Non definire il proprio sistema di classificazione.
Definire l'ambito di classificazione
La maggior parte delle organizzazioni ha un set diversificato di etichette.
Identificare chiaramente gli asset di dati e i componenti inclusi nell'ambito e nell'ambito esterno per ogni livello di riservatezza. È necessario avere un obiettivo chiaro sul risultato. L'obiettivo può essere una valutazione più rapida, un ripristino di emergenza accelerato o controlli normativi. Quando si comprendono chiaramente gli obiettivi, si garantisce una corretta dimensione delle attività di classificazione.
Iniziare con queste semplici domande ed espandersi in base alle esigenze in base alla complessità del sistema:
- Qual è l'origine dei dati e del tipo di informazioni?
- Qual è la restrizione prevista in base all'accesso? Ad esempio, si tratta di dati informativi pubblici, normative o altri casi d'uso previsti?
- Qual è il footprint dei dati? Dove vengono archiviati i dati? Per quanto tempo devono essere conservati i dati?
- Quali componenti dell'architettura interagiscono con i dati?
- In che modo i dati vengono spostati nel sistema?
- Quali informazioni sono previste nei report di controllo?
- È necessario classificare i dati di preproduzione?
Eseguire l'inventario degli archivi dati
Se si dispone di un sistema esistente, eseguire l'inventario di tutti gli archivi dati e i componenti inclusi nell'ambito. D'altra parte, se si progetta un nuovo sistema, creare una dimensione del flusso di dati dell'architettura e avere una categorizzazione iniziale per definizioni di tassonomia. La classificazione si applica al sistema nel suo complesso. È diversa dalla classificazione dei segreti di configurazione e dei nonsecret.
Definire l'ambito
Essere granulari ed espliciti quando si definisce l'ambito. Si supponga che l'archivio dati sia un sistema tabulare. Si vuole classificare la riservatezza a livello di tabella o anche le colonne all'interno della tabella. Assicurarsi inoltre di estendere la classificazione ai componenti dell'archivio non dati che potrebbero essere correlati o che hanno una parte nell'elaborazione dei dati. Ad esempio, è stato classificato il backup dell'archivio dati altamente sensibile? Se si memorizzano nella cache i dati sensibili agli utenti, l'archivio dati di memorizzazione nella cache è nell'ambito? Se si usano archivi dati analitici, come vengono classificati i dati aggregati?
Progettare in base alle etichette di classificazione
La classificazione deve influenzare le decisioni relative all'architettura. L'area più ovvia è la strategia di segmentazione, che deve considerare le varie etichette di classificazione.
Ad esempio, le etichette influenzano i limiti di isolamento del traffico. Potrebbero esserci flussi critici in cui è necessaria la sicurezza del livello di trasporto end-to-end , mentre altri pacchetti possono essere inviati tramite HTTP. Se sono presenti messaggi trasmessi tramite un broker di messaggi, potrebbe essere necessario firmare determinati messaggi.
Per i dati inattivi, i livelli influiscono sulle scelte di crittografia. È possibile scegliere di proteggere i dati altamente sensibili tramite la doppia crittografia. I segreti dell'applicazione diversi potrebbero anche richiedere il controllo con diversi livelli di protezione. Potrebbe essere possibile giustificare l'archiviazione dei segreti in un archivio HSM (Hardware Security Module), che offre restrizioni più elevate. Le etichette di conformità determinano anche decisioni relative agli standard di protezione corretti. Ad esempio, lo standard PCI-DSS impone l'uso della protezione FIPS 140-2 Livello 3, disponibile solo con i moduli di protezione hardware. In altri casi, potrebbe essere accettabile archiviare altri segreti in un archivio di gestione dei segreti normale.
Se è necessario proteggere i dati in uso, potrebbe essere necessario incorporare il confidential computing nell'architettura.
Le informazioni di classificazione devono essere spostate con i dati durante la transizione attraverso il sistema e tra i componenti del carico di lavoro. I dati etichettati come riservati devono essere considerati riservati da tutti i componenti che interagiscono con esso. Ad esempio, assicurarsi di proteggere i dati personali rimuovendoli o offuscandoli da qualsiasi tipo di log applicazioni.
La classificazione influisce sulla progettazione del report nel modo in cui devono essere esposti i dati. Ad esempio, in base alle etichette dei tipi di informazioni, è necessario applicare un algoritmo di maschera dati per offuscare come risultato dell'etichetta del tipo di informazioni? Quali ruoli devono avere visibilità sui dati non elaborati rispetto ai dati mascherati? In caso di requisiti di conformità per la creazione di report, in che modo i dati vengono mappati a normative e standard? Quando si ha questa conoscenza, è più semplice dimostrare la conformità con requisiti specifici e generare report per i revisori.
Influisce anche sulle operazioni di gestione del ciclo di vita dei dati, ad esempio la conservazione dei dati e le pianificazioni di rimozione delle autorizzazioni.
Applicare la tassonomia per l'esecuzione di query
Esistono molti modi per applicare etichette di tassonomia ai dati identificati. L'uso di uno schema di classificazione con metadati è il modo più comune per indicare le etichette. La standardizzazione tramite schema assicura che la creazione di report sia accurata, riduce al minimo le probabilità di variazione ed evita la creazione di query personalizzate. Compilare controlli automatizzati per rilevare voci non valide.
È possibile applicare le etichette manualmente, a livello di codice o usare una combinazione di entrambe. Il processo di progettazione dell'architettura deve includere la progettazione dello schema. Sia che si disponga di un sistema esistente o se ne stia creando uno nuovo, quando si applicano etichette, mantenere la coerenza nelle coppie chiave/valore.
Tenere presente che non tutti i dati possono essere classificati in modo chiaro. Prendere una decisione esplicita sul modo in cui i dati che non possono essere classificati devono essere rappresentati nella creazione di report.
L'implementazione effettiva dipende dal tipo di risorse. Alcune risorse di Azure hanno sistemi di classificazione predefiniti. Ad esempio, Azure SQL Server dispone di un motore di classificazione, supporta la maschera dinamica e può generare report in base ai metadati. bus di servizio di Azure supporta l'inclusione di uno schema di messaggio che può avere metadati associati. Quando si progetta l'implementazione, valutare le funzionalità supportate dalla piattaforma e sfruttarle. Assicurarsi che i metadati usati per la classificazione siano isolati e archiviati separatamente dagli archivi dati.
Sono inoltre disponibili strumenti di classificazione specializzati in grado di rilevare e applicare automaticamente le etichette. Questi strumenti sono connessi alle origini dati. Microsoft Purview offre funzionalità di individuazione automatica. Sono disponibili anche strumenti di terze parti che offrono funzionalità simili. Il processo di individuazione deve essere convalidato tramite la verifica manuale.
Esaminare regolarmente la classificazione dei dati. La manutenzione della classificazione deve essere integrata nelle operazioni. In caso contrario, i metadati non aggiornati possono causare risultati errati per gli obiettivi identificati e i problemi di conformità.
Compromesso: tenere presente il compromesso sui costi sugli strumenti. Gli strumenti di classificazione richiedono il training e possono essere complessi.
In definitiva, la classificazione deve essere implementata nell'organizzazione tramite i team centrali. Ottenere l'input da essi sulla struttura prevista del report. Inoltre, sfruttare gli strumenti e i processi centralizzati per avere l'allineamento dell'organizzazione e ridurre anche i costi operativi.
Facilitazione di Azure
Microsoft Purview unifica le soluzioni Azure Purview e Microsoft Purview per offrire visibilità sugli asset di dati in tutta l'organizzazione. Per altre informazioni, vedere Che cos'è Microsoft Purview?
Azure SQL Database, Istanza gestita di SQL di Azure e Azure Synapse Analytics offrono funzionalità di classificazione predefinite. Usare questi strumenti per individuare, classificare, etichettare e segnalare i dati sensibili nei database. Per altre informazioni, vedere Individuazione e classificazione dei dati.
Esempio
Questo esempio si basa sull'ambiente IT (Information Technology) stabilito nella baseline di sicurezza (SE:01). Il diagramma di esempio seguente mostra gli archivi dati in cui vengono classificati i dati.
I dati archiviati in database e dischi devono essere accessibili solo a pochi utenti, ad esempio amministratori, amministratori di database. Quindi, è normale che gli utenti comuni o i client finali dei clienti abbiano accesso solo a livelli esposti a Internet, ad esempio applicazioni o jump box.
Le applicazioni comunicano con i database o i dati archiviati su dischi, ad esempio l'archiviazione di oggetti o i file server.
In alcuni casi, i dati potrebbero essere archiviati in un ambiente locale e nel cloud pubblico. Entrambi devono essere classificati in modo coerente.
In un caso d'uso dell'operatore, gli amministratori remoti devono accedere ai jumpbox nel cloud o a una macchina virtuale che esegue il carico di lavoro. Le autorizzazioni di accesso devono essere concesse in base alle etichette di classificazione dei dati.
I dati passano attraverso le macchine virtuali nei database back-end e i dati devono essere trattati con lo stesso livello di riservatezza in tutti i punti di attraversamento.
I carichi di lavoro archiviano i dati direttamente nei dischi delle macchine virtuali. Questi dischi rientrano nell'ambito della classificazione.
In un ambiente ibrido, utenti diversi possono accedere ai carichi di lavoro in locale tramite meccanismi diversi per connettersi a tecnologie o database di archiviazione dati diversi. L'accesso deve essere concesso in base alle etichette di classificazione.
I server locali si connettono a dati importanti che devono essere classificati e protetti, ad esempio file server, archiviazione oggetti e tipi diversi di database, ad esempio relazionali, no-SQL e data warehouse.
Microsoft Purview Compliance offre una soluzione per classificare file e messaggi di posta elettronica.
Microsoft Defender for Cloud offre una soluzione che consente all'azienda di tenere traccia della conformità nell'ambiente, inclusi molti dei servizi usati per archiviare i dati, indicati in questi casi precedenti.
Collegamenti correlati
- Tassonomia delle etichette di riservatezza e classificazione dei dati - Microsoft Service Assurance
- Create un framework di classificazione dei dati ben progettato - Microsoft Service Assurance
Passaggio successivo
Fare riferimento al set completo di raccomandazioni.