Klassifizieren von vertraulichen Daten in einer cloudnativen Anwendung
Der erste Schritt bei der Implementierung der Compliance in einer cloudnativen Anwendung besteht darin, die Daten zu klassifizieren. Die Datenklassifizierung ist der Prozess der Identifizierung von Daten, die Ihre Anwendung anhand ihrer Vertraulichkeit verwendet. Die Datenklassifizierung erfolgt durch Zuweisen einer Bezeichnung zu jedem Datentyp. Sie können z. B. den Namen eines Benutzers als „vertraulich“ bezeichnen und das Alter eines Benutzers als „nicht vertraulich“ bezeichnen.
In dieser Lektion werden Sie einige der Compliance-Funktionen von .NET erkunden. Anschließend erfahren Sie, wie Sie Daten in einer cloudnativen Anwendung klassifizieren.
Was ist Compliance?
Organisationen müssen ihre eigenen internen Richtlinien und externen Vorschriften einhalten. Beispielsweise kann ein Unternehmen über eine Richtlinie verfügen, die besagt, dass Kundendaten nicht in einer Protokolldatei gespeichert werden können. Oder eine Regierung hat möglicherweise Vorschriften erstellt, um die entsprechende Handhabung von Kundendaten durchzusetzen. Diese Richtlinien und Vorschriften werden häufig als Compliance-Anforderungen bezeichnet.
Compliance-Anforderungen werden durch die Erstellung eines Regelwerks umgesetzt, das auf die Anwendungen einer Organisation angewendet wird. In der Regel ist ein Compliance-Team für die Umsetzung von Compliance-Regeln und deren Einhaltung zuständig.
Was ist die Datenklassifizierung?
Datenklassifizierung ist ein Begriff aus dem Bereich der Cybersicherheit und der Informationsverwaltung. Die Datenklassifizierung beschreibt den Prozess zum Identifizieren, Kategorisieren und Schützen von Inhalten gemäß ihrer Vertraulichkeits- oder Auswirkungsstufe. Die Datenklassifizierung schützt die Daten Ihrer Organisation vor unbefugter Offenlegung, Veränderung oder Zerstörung, je nachdem, wie vertraulich oder bedeutsam sie sind.
Ihr Unternehmen beschließt, eine Richtlinie zur Datenklassifizierung zu implementieren. Diese Richtlinie klassifiziert Daten in zwei Taxonomien:
- Endnutzeridentifizierbare Informationen (EUII) – Informationen, die zur Identifizierung einer Person verwendet werden können. Beispielsweise der Name, die Adresse oder die Telefonnummer eines Benutzers.
- Pseudonyme Bezeichner (End User Pseudonymous Identifiers, EUPI) – Informationen, die zur Identifizierung einer Person verwendet werden können, aber nur, wenn Daten mit anderen Informationen kombiniert werden. Zum Beispiel die ID eines Benutzers für seine Daten in einer Datenbank oder seine IP-Adresse.
Klassifizieren von Daten in einer cloudnativen Anwendung
Microsoft hat eine neue Erweiterung zu .NET hinzugefügt, welche die Implementierung der Datenklassifizierung vereinfacht. Die Microsoft.Extensions.Compliance.Classification-Erweiterung ermöglicht es Ihnen, DataClassification und DataClassificationAttribute-Eigenschaften zu definieren.
Um die Erweiterung in Ihrer Projektmappe zu verwenden, fügen Sie ihrem Projekt das Microsoft.Extensions.Compliance.Redaction-NuGet-Paket hinzu.
Beispielsweise könnte der Code zum Erstellen der obigen Taxonomien wie folgt aussehen:
using Microsoft.Extensions.Compliance.DataClassification;
public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");
public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");
public class EUIIDataAttribute : DataClassificationAttribute
{
public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}
public class EUPDataAttribute : DataClassificationAttribute
{
public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}
Nachdem Ihre Taxonomien definiert wurden, können Sie nun die Datentypen mit dem entsprechenden Attribut kommentieren. Beispiel:
public class User
{
[EUIIData]
public string Name { get; set; }
[EUIIData]
public string Address { get; set; }
[EUPData]
public string UserId { get; set; }
}
Sehen wir uns anhand einer cloudnativen Beispielanwendung an, wie die Datenklassifizierung implementiert werden kann.