Progettare per proteggere la riservatezza
Evitare l'esposizione a privacy, normative, applicazioni e informazioni proprietarie tramite restrizioni di accesso e tecniche di offuscamento. |
---|
I dati del carico di lavoro possono essere classificati per utente, utilizzo, configurazione, conformità, proprietà intellettuale e altro ancora. I dati del carico di lavoro non devono essere condivisi o accessibili oltre i limiti di attendibilità stabiliti. Gli sforzi per proteggere la riservatezza devono concentrarsi su controlli di accesso, opacità e mantenere un audit trail delle attività relative ai dati e al sistema.
Scenario di esempio
Contoso Rise Up offre un'offerta multi-tenant software-as-a-Service specializzata nel supporto di organizzazioni no profit nelle attività di raccolta fondi e donazioni. Sono stati sul mercato per alcuni anni con una base di clienti sana. La soluzione è basata su Azure Red Hat OpenShift (ARO) e Database di Azure per PostgreSQL. Offre sia tenant isolati che tenant con percorso condiviso come offerta più conveniente.
Limitare rigorosamente l'accesso
Implementare controlli di accesso sicuri che concedono l'accesso solo in base alle esigenze.
Il carico di lavoro sarà protetto da accessi non autorizzati e attività vietate. Anche quando l'accesso proviene da identità attendibili, le autorizzazioni di accesso e il tempo di esposizione verranno ridotti al minimo perché il percorso di comunicazione è aperto per un periodo limitato.
Sfida di Contoso
- Contoso Rise Up è sempre orgoglioso del supporto clienti straordinario. Tutti i membri del team di supporto hanno accesso ai dati dei clienti per facilitare la risoluzione dei problemi e consigliare in tempo reale.
- Il team di supporto viene regolarmente addestrato all'accesso etico.
- Sfortunatamente, un dipendente di supporto insoddisfatto copiato e condiviso pubblicamente l'elenco dei donatori per un'organizzazione, violando la riservatezza del cliente. Mentre il dipendente è stato licenziato, il danno di reputazione a Contoso Rise Up è già stato fatto.
Applicazione dell'approccio e dei risultati
- Contoso Rise Up ha implementato una rigorosa segmentazione degli utenti in gruppi di ID Entra Di Microsoft e ha definito il controllo degli accessi in base al ruolo per tali gruppi ai vari gruppi di risorse e risorse.
- Tutto l'accesso ai dati è limitato al tempo e passa attraverso un processo di approvazione e controllo.
- Questi standard sono stati applicati nei team di supporto clienti e del carico di lavoro. Contoso Rise Up ora è sicuro che non ci sia accesso permanente ai dati dei clienti.
Identificare i dati riservati tramite la classificazione
Classificare i dati in base al tipo, alla sensibilità e al rischio potenziale. Assegnare un livello di riservatezza per ognuno di essi. Includere i componenti di sistema inclusi nell'ambito per il livello identificato.
Questa valutazione consente di misurare le dimensioni corrette della sicurezza. Sarà anche possibile identificare i dati e i componenti che hanno un impatto potenziale elevato e/o esposizione al rischio. Questo esercizio aggiunge chiarezza alla strategia di protezione delle informazioni e contribuisce a garantire il contratto.
Sfida di Contoso
- Il sistema di gestione dei donatori archivia molti tipi diversi di dati, che vanno da informazioni riservate a Contoso Rise Up (ad esempio l'elenco dei clienti), alle informazioni riservate ai clienti (ad esempio l'elenco dei donatori) e alle informazioni riservate ai donatori dei clienti (ad esempio il loro indirizzo postale).
- Il sistema contiene anche dati senza distinzione, ad esempio immagini di magazzino e modelli di documento.
- Il team del carico di lavoro non ha mai impiegato tempo per classificare i dati e ha semplicemente applicato la sicurezza su larga scala nel set di dati.
Applicazione dell'approccio e dei risultati
- Dopo il responsabile della tassonomia dell'organizzazione Contoso, il team del carico di lavoro impiega tempo per contrassegnare archivi dati, colonne, account di archiviazione e altre risorse di archiviazione con metadati che indicano il tipo e la riservatezza dei dati presenti.
- Questa attività offre al team la possibilità di verificare che i dati sensibili vengano trattati con il livello di riservatezza richiesto nell'intero sistema, incluse le istruzioni di registrazione e i backup.
- Il team rileva che alcuni dati relativamente sensibili in un database di sicurezza inferiore hanno alcuni dati non sensibili in un database di sicurezza superiore. Modificheranno le posizioni di archiviazione per assicurarsi che i controlli di sicurezza siano allineati ai dati che proteggono.
- Pianificano anche l'implementazione della maschera dati nei campi chiave per proteggere meglio la riservatezza dei dati, anche quando il personale autorizzato accede al sistema.
Applicare la crittografia in ogni passaggio del ciclo di vita dei dati
Cassaforte guarda i dati inattivi, in transito e durante l'elaborazione usando la crittografia. Basare la strategia sul livello di riservatezza assegnato.
Seguendo questo approccio, anche se un utente malintenzionato ottiene l'accesso, non sarà in grado di leggere correttamente i dati sensibili crittografati.
I dati sensibili includono informazioni di configurazione usate per ottenere ulteriore accesso all'interno del sistema. La crittografia dei dati consente di contenere rischi.
Sfida di Contoso
- Contoso Rise Up esegue backup per tenant dei database PostgreSQL usando i ripristini temporizzato predefiniti. Inoltre, per assicurarsi di rendere un backup coerente a livello di transazione al giorno in un account di archiviazione isolato per la preparazione completa del ripristino di emergenza.
- L'account di archiviazione usato per il ripristino di emergenza è limitato con accesso JUST-In-Time e pochi account Microsoft Entra ID sono autorizzati ad accedervi.
- Durante un'analisi del ripristino, un dipendente ha eseguito il processo per accedere a un backup e copiato accidentalmente un backup nella condivisione di rete nell'organizzazione Contoso.
- Questo backup è stato individuato e segnalato al team di privacy di Contoso qualche mese dopo, avviando un'indagine su come è stato eseguito l'accesso tra il punto dell'evento imprevisto e il momento dell'individuazione. Fortunatamente non è stata rilevata alcuna violazione della riservatezza e il file è stato eliminato dopo il completamento della revisione forense e del controllo.
Applicazione dell'approccio e dei risultati
- Il team ha formalizzato un nuovo processo che indica che tutti i backup devono essere crittografati inattivi e che le chiavi di crittografia devono essere protette in Key Vault.
- Ora gli eventi imprevisti come questo avranno una minore probabilità di violazione della privacy, poiché i dati contenuti nel file di backup sarebbero inutili senza la possibilità di decrittografare.
- Inoltre, il piano di ripristino di emergenza include ora linee guida standard che determinano la corretta gestione dei backup, tra cui come e quando decrittografare in modo sicuro un backup.