Classificare i dati sensibili in un'applicazione nativa del cloud
Il primo passo per implementare la conformità in un'applicazione nativa del cloud consiste nel classificare i dati. La classificazione dei dati è il processo di identificazione delle informazioni usate dall'applicazione in base al loro livello di riservatezza. La classificazione dei dati viene eseguita assegnando un'etichetta a ogni tipo di dati. Ad esempio, è possibile etichettare il nome di un utente come "sensibile" e l'età di un utente come "non sensibile".
In questa unità verranno esaminate alcune delle funzionalità sulla conformità di .NET. Successivamente, si apprenderà come classificare i dati sensibili in un'applicazione nativa del cloud.
Che cos'è la conformità?
Le organizzazioni devono rispettare le proprie politiche interne e le normative esterne. Ad esempio, una società potrebbe avere una politica secondo cui i dati dei clienti non possono essere archiviati in un file di log. Oppure un governo potrebbe varare normative per applicare la gestione appropriata dei dati dei clienti. Tali politiche e normative vengono spesso definiti requisiti di conformità.
I requisiti di conformità vengono implementati creando un set di regole valide per le applicazioni di un'organizzazione. In genere, un team di conformità è responsabile dell'implementazione delle regole di conformità e di accertarsi che siano rispettate.
Cos'è la classificazione dei dati?
La classificazione dei dati è un termine usato nella cybersecurity e nella governance delle informazioni. La classificazione dei dati descrive il processo di identificazione, categorizzazione e protezione dei contenuti in base al livello di sensibilità o impatto. La classificazione dei dati protegge le informazioni delle organizzazioni da divulgazione, modifica o distruzione non autorizzate in base al loro grado di sensibilità o impatto.
La tua società decide di implementare una politica di classificazione dei dati, la quale suddivide i dati in due tassonomie:
- Informazioni personali dell'utente finale (EUII): informazioni che è possibile usare per identificare un individuo. Ad esempio, il nome, l'indirizzo o il numero di telefono di un utente.
- Identificatori di pseudonimi dell'utente finale (EUPI): informazioni che è possibile usare per identificare un individuo, ma solo se i dati vengono combinati con altre informazioni. Ad esempio, l'ID di un utente per i dati sul suddetto contenuti in un database o un indirizzo IP.
Come classificare i dati in un'applicazione nativa del cloud
Microsoft ha aggiunto una nuova estensione a .NET che semplifica la classificazione dei dati. L'estensione Microsoft.Extensions.Compliance.Classification consente di definire le proprietà DataClassification e DataClassificationAttribute.
Per usare l'estensione nella soluzione, aggiungere il pacchetto NuGet Microsoft.Extensions.Compliance.Redaction al progetto.
Ad esempio, il codice per creare le tassonomie precedenti potrebbe essere simile al seguente:
using Microsoft.Extensions.Compliance.DataClassification;
public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");
public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");
public class EUIIDataAttribute : DataClassificationAttribute
{
public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}
public class EUPDataAttribute : DataClassificationAttribute
{
public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}
Dopo aver definito le tassonomie, è ora possibile annotare i tipi di dati con l'attributo appropriato. Ad esempio:
public class User
{
[EUIIData]
public string Name { get; set; }
[EUIIData]
public string Address { get; set; }
[EUPData]
public string UserId { get; set; }
}
Di seguito viene illustrato come implementare la classificazione dei dati in un'applicazione nativa del cloud di esempio.