Concevoir pour protéger la confidentialité

Effectué
Empêchez l’exposition des informations de confidentialité, de réglementation, d’application et de propriété par le biais de restrictions d’accès et de techniques d’obfuscation.

Les données de charge de travail peuvent être classifiées par utilisateur, utilisation, configuration, conformité, propriété intellectuelle, etc. Les données de charge de travail ne doivent pas être partagées ou accessibles au-delà des limites d’approbation établies. Les efforts visant à protéger la confidentialité doivent être concentrés sur les contrôles d’accès, l’opacité et la conservation d’une piste d’audit des activités relatives aux données et au système.

Exemple de scénario

Contoso Rise Up propose une offre SaaS (Software-as-a-Service) multilocataire spécialisée dans la gestion des activités de collecte de fonds et de dons des organisations à but non lucratif. L’entreprise est sur le marché depuis quelques années maintenant avec une bonne base clientèle. La solution repose sur Azure Red Hat OpenShift (ARO) et Azure Database pour PostgreSQL. Elle offre à la fois des locataires isolés et des locataires colocalisés sous forme d’une offre plus abordable.

Limiter l’accès de façon stricte

Implémentez des contrôles d’accès stricts qui accordent l’accès uniquement sur la base des besoins de chacun, pas plus.

La charge de travail sera protégée contre les accès non autorisés et les activités interdites. Même lorsque l’accès provient d’identités approuvées, les autorisations d’accès et le temps d’exposition sont réduits, car le chemin de communication est ouvert pendant une période limitée.

Problématique de Contoso

  • Un excellent support client fait la fierté de Contoso Rise Up depuis le début. Toute l’équipe de support dispose d’un accès aux données client pour résoudre les problèmes et conseiller en temps réel.
  • Elle est régulièrement formée sur l’accès éthique.
  • Malheureusement, un employé mécontent a copié et partagé publiquement la liste des donateurs d’une organisation, violant ainsi la confidentialité du client. Même si l’employé a été licencié, le mal est fait et la réputation de Contoso Rise Up est entachée.

Application de l’approche et résultats

  • Contoso Rise Up a procédé à une division stricte des utilisateurs en groupes Microsoft Entra ID et défini RBAC pour ces groupes dans les différents groupes de ressources et ressources.
  • Tout accès aux données est limité dans le temps et passe par un processus d’approbation et d’audit.
  • Ces normes ont été appliquées dans les équipes de charge de travail et de support client. Contoso Rise Up est maintenant sûr qu’il n’y a pas d’accès permanent aux données client.

Identifier les données confidentielles par le biais de la classification

Classifiez les données en fonction de leur type, de leur confidentialité et du risque potentiel. Attribuez un niveau de confidentialité pour chacune d’elles. Incluez les composants système qui entrent dans le cadre du niveau identifié.

Cette évaluation vous aide à prendre les mesures de sécurité appropriées. Vous pourrez également identifier les données et les composants qui ont un impact potentiel élevé et/ou une exposition au risque. Cet exercice apporte de la clarté à votre stratégie de protection des informations et permet de présenter des garanties.

Problématique de Contoso

  • Le système de gestion des donateurs stocke de nombreux types de données différents, allant des informations confidentielles de Contoso Rise Up (telles que sa liste de clients) aux informations confidentielles de ses clients (telles que la liste des donateurs) et aux informations confidentielles des donateurs de ses clients (telles que leur adresse postale).
  • Le système contient également des données non sensibles, telles que des images de stock et des modèles de document.
  • L’équipe responsable des charges de travail n’a jamais pris le temps de classifier les données et a juste mis en place une sécurité sur l’ensemble du jeu de données.

Application de l’approche et résultats

  • Après le prospect de taxonomie de l’organisation Contoso, l’équipe responsable des charges de travail passe du temps à marquer les magasins de données, les colonnes, les comptes de stockage et autres ressources de stockage avec des métadonnées qui indiquent le type et la confidentialité des données qui existent.
  • Cette activité donne à l’équipe la possibilité de confirmer que les données sensibles sont traitées avec le niveau de confidentialité requis dans l’ensemble du système, y compris les instructions de journalisation et les sauvegardes.
  • L’équipe constate qu’elle a des données relativement sensibles dans une base de données de sécurité inférieure et qu’elle a des données non sensibles dans une base de données de sécurité plus élevée. Elle va ajuster les emplacements de stockage pour s’assurer que les contrôles de sécurité sont en phase avec les données qu’elle protège.
  • Elle prévoit également d’implémenter le masquage des données sur les champs clés afin de mieux protéger la confidentialité des données, même lorsque le personnel autorisé accède au système.

Appliquer le chiffrement à chaque étape du cycle de vie des données

Protégez vos données au repos, en transit et pendant le traitement en utilisant le chiffrement. Basez votre stratégie sur le niveau de confidentialité attribué.

En suivant cette approche, même si un attaquant arrive à trouver un accès, il ne pourra pas lire correctement les données sensibles chiffrées.

Les données sensibles comprennent des informations de configuration utilisées pour accéder au cœur du système. Le chiffrement des données peut vous aider à limiter les risques.

Problématique de Contoso

  • Contoso Rise Up effectue des sauvegardes par locataire des bases de données PostgreSQL à l’aide de restaurations à un instant dans le passé intégrées. Pour plus de garanties, il effectue aussi une sauvegarde cohérente au niveau des transactions par jour dans un compte de stockage isolé pour une préparation complète de la récupération d’urgence (DR).
  • Le compte de stockage utilisé pour la récupération d’urgence est limité avec un accès juste-à-temps et peu de comptes Microsoft Entra ID sont autorisés à y accéder.
  • Lors d’un exercice de récupération, un employé a suivi le processus d’accès à une sauvegarde et a copié accidentellement une sauvegarde sur un partage réseau dans l’organisation Contoso.
  • Cette sauvegarde a été découverte et signalée à l’équipe de confidentialité de Contoso quelques mois plus tard, et une enquête a été menée sur les accès dont elle a fait l’objet entre le point de l’incident et le moment de la découverte. Heureusement, aucune violation de confidentialité n’a été détectée, et le dossier a été supprimé après la fin de l’examen de l’investigation et de l’audit.

Application de l’approche et résultats

  • L’équipe a officialisé un nouveau processus selon lequel toutes les sauvegardes doivent être chiffrées au repos et les clés de chiffrement doivent être sécurisées dans Key Vault.
  • À présent, les incidents comme celui-ci présenteront moins de risques de violation de confidentialité, car les données contenues dans le fichier de sauvegarde sont inutiles si on ne sait pas les déchiffrer.
  • De plus, le plan de récupération d’urgence comprend désormais des instructions standard dictant une gestion appropriée des sauvegardes, notamment quand et comment déchiffrer sans danger une sauvegarde.

Contrôle de vos connaissances

1.

Parmi les propositions suivantes, laquelle est un exemple d’utilisateur qui a besoin d’avoir accès aux données client confidentielles ?

2.

Vrai ou faux : la classification des données est un processus que vous ne devez effectuer qu’une seule fois.

3.

Parmi les propositions suivantes, laquelle est un exemple de la façon dont Contoso a appliqué le chiffrement pour protéger l’intégrité des données ?