Aanbevelingen voor gegevensclassificatie
Geldt voor de aanbeveling van de Well-Architected Security-checklist: Power Platform
| ZOO:03 | Classificeer en pas vertrouwelijkheidslabels consequent toe op alle workloadgegevens en systemen die betrokken zijn bij gegevensverwerking. Gebruik classificatie om het ontwerp, de implementatie en de beveiligingsprioritering van de workload te beïnvloeden. |
|---|
Deze guide biedt aanbevelingen voor het classificeren van gegevens op basis van vertrouwelijkheid. Verschillende soorten gegevens hebben verschillende vertrouwelijkheidsniveaus, en de meeste workloads slaan verschillende soorten gegevens op. Met gegevensclassificatie kunt u gegevens categoriseren op basis van hoe vertrouwelijk ze zijn, wat voor soort informatie ze bevatten en aan welke nalevingsregels ze moeten voldoen. Op deze manier kunt u het juiste beschermingsniveau toepassen, zoals toegangscontroles, bewaarbeleid voor verschillende soorten informatie, enzovoort.
Definities
| Term | Definitie |
|---|---|
| Classificatie | Een proces om workloadassets te categoriseren op vertrouwelijkheidsniveaus, informatietype, nalevingsvereisten en andere criteria die door de organisatie worden verstrekt. |
| Metagegevens | Een implementatie voor het toepassen van taxonomie op assets. |
| Taxonomie | Een systeem om geclassificeerde gegevens te ordenen met behulp van een overeengekomen structuur. Meestal een hiërarchische weergave van gegevensclassificatie. Het heeft benoemde entiteiten die categorisatiecriteria aangeven. |
Belangrijke ontwerpstrategieën
Gegevensclassificatie helpt u bij het correct bepalen van beveiligingsgaranties en helpt het triageteam bij het versnellen van de detectie bij incidentresponsen. Een voorwaarde voor het ontwerpproces is om duidelijk te begrijpen of gegevens moeten worden behandeld als vertrouwelijk, beperkt, openbaar of een andere vertrouwelijkheidsclassificatie. Het is ook essentieel om de locaties te bepalen waar gegevens worden opgeslagen, omdat de gegevens over meerdere omgevingen kunnen zijn verspreid. Met kennis van waar de gegevens zijn opgeslagen, kunt u een strategie ontwerpen die aan de beveiligingseisen voldoet.
Het classificeren van gegevens kan een vervelende taak zijn. U kunt tools gebruiken waarmee u gegevensassets kunt vinden en classificaties kunt aanbevelen. Maar vertrouw niet alleen op tools. Zorg ervoor dat uw teamleden de oefeningen zorgvuldig uitvoeren. Gebruik vervolgens tools om te automatiseren wanneer dat zinvol is.
Zie naast deze best practices Een goed ontworpen raamwerk voor gegevensclassificatie maken .
Info over de door de organisatie gedefinieerde taxonomie
Taxonomie is een hiërarchische weergave van gegevensclassificatie. Deze heeft benoemde entiteiten die de categorisatiecriteria aangeven.
Verschillende organisaties kunnen verschillende raamwerken voor gegevensclassificatie hebben; ze bestaan echter meestal uit drie tot vijf niveaus met namen, beschrijvingen en voorbeelden. Hier volgen enkele voorbeelden van taxonomie voor gegevensclassificatie:
| Gevoeligheid | Informatietype | Omschrijving |
|---|---|---|
| Openbaar | Openbaar marketingmateriaal, informatie beschikbaar op uw website | Informatie die vrij toegankelijk en niet vertrouwelijk is |
| Internal | Beleid, procedures of budgetten die betrekking hebben op uw organisatie | Informatie die betrekking heeft op een specifieke organisatie |
| Vertrouwelijk | Handelsgeheimen, klantgegevens of definitieve gegevens | Informatie die vertrouwelijk is en bescherming vereist |
| Zeer vertrouwelijk | Vertrouwelijke persoonsgegevens (vertrouwelijke PII), kaarthoudergegevens, beschermde gezondheidsinformatie (PHI), bankrekeninggegevens | Informatie die zeer vertrouwelijk is en het hoogste beveiligingsniveau vereist. Mogelijk zijn juridische meldingen vereist bij schending of andere openbaarmaking. |
Belangrijk
Als eigenaar van de workload moet u de taxonomie volgen die uw organisatie heeft vastgesteld. Alle workloadrollen moeten het eens zijn over de structuur, namen en betekenissen van de vertrouwelijkheidsniveaus. Maak niet uw eigen classificatiesysteem.
Het bereik van de classificatie definiëren
De meeste organisaties hebben een gevarieerde set labels.
Zorg ervoor dat u weet welke gegevensassets en onderdelen tot elk vertrouwelijkheidsniveau behoren, en welke niet. Het doel kan snellere probleemoplossing, sneller noodherstel of juridische audits zijn. Als u uw doel goed kent, helpt het u uw classificatiewerk goed uit te voeren.
Begin met deze eenvoudige vragen en breid indien nodig uit op basis van de complexiteit van uw systeem:
- Wat is de oorsprong van het gegevens- en informatietype?
- Wat is de verwachte beperking op basis van toegang? Gaat het bijvoorbeeld om openbare informatiegegevens, regelgeving of andere verwachte gebruiksscenario's?
- Wat is de footprint van de gegevens? Waar zijn gegevens opgeslagen? Hoe lang moeten de gegevens bewaard worden?
- Welke onderdelen van de architectuur hebben interactie met de gegevens?
- Hoe bewegen de gegevens door het systeem?
- Welke informatie wordt verwacht in de auditrapporten?
- Moet u preproductiegegevens classificeren?
Uw gegevensopslagplaatsen inventariseren
Gegevensclassificatie is van toepassing op het systeem als geheel. Inventariseer alle gegevensopslagplaatsen en onderdelen die binnen het bereik vallen. Als u een nieuw systeem ontwerpt, zorg er dan voor dat u een initiële categorisatie volgens de taxonomiedefinities hebt. Bedenk hoe gegevens tussen onderdelen door uw systeem zullen stromen en zorg ervoor dat gegevens de grenzen van gegevensclassificatie niet overschrijden.
Bedenk hoe u verbinding gaat maken met gegevens:
Nieuwe gegevens: Als uw werklast nieuwe gegevens genereert die nog nergens eerder zijn opgeslagen, bijvoorbeeld bij de overgang van een papieren proces, raden we u aan deze gegevens op te slaan in Microsoft Dataverse. Vervolgens kunt u Verbinden en Microsoft Dataverse gegevens beheren via Microsoft Purview.
Lezen/schrijven van een bestaand systeem: Als uw werklast moet Verbinden naar gegevens die al bestaan, moet u ontwerpen hoe er kan worden gelezen en geschreven naar de bestaande database of het bestaande systeem. U kunt virtuele tabellen gebruiken, verbinding maken met de gegevens via connectoren, gegevensstromen, of een on-premises-gateway gebruiken voor on-premises-gegevens.
Uw bereik definiëren
Wees gedetailleerd en expliciet bij het definiëren van het bereik. Stel dat uw gegevensopslag een tabelvormig systeem is. U wilt vertrouwelijkheid classificeren op tabelniveau of zelfs op de kolommen in de tabel. Zorg er ook voor dat u de classificatie uitbreidt naar niet-gegevensopslagonderdelen die mogelijk verband houden met of een rol spelen bij de verwerking van de gegevens. Hebt u bijvoorbeeld de back-up van uw zeer vertrouwelijke gegevensopslag geclassificeerd? Als u gebruikersgevoelige gegevens in de cache opslaat, valt de gegevensopslag van de cache dan binnen het bereik? Als u analytische gegevensopslagplaatsen gebruikt, hoe worden de geaggregeerde gegevens dan geclassificeerd?
Ontwerpen volgens classificatielabels
Classificatie zou uw architectonische beslissingen moeten beïnvloeden. Het meest voor de hand liggende gebied is uw segmentatiestrategie, waarbij rekening moet worden gehouden met de gevarieerde classificatielabels.
Classificatie-informatie moet met de gegevens meebewegen terwijl deze door het systeem en door onderdelen van de werklast worden verplaatst. Gegevens die als vertrouwelijk zijn bestempeld, moeten als vertrouwelijk worden behandeld door alle onderdelen die ermee in wisselwerking staan. Zorg er bijvoorbeeld voor dat u persoonlijke gegevens beschermt door deze uit toepassingslogboeken te verwijderen of te maskeren.
Classificatie heeft invloed op de manier waarop gegevens moeten worden weergegeven in uw rapport. Moet u op basis van uw informatietypelabels bijvoorbeeld een gegevensmaskeringsalgoritme toepassen voor maskering ten gevolge van het informatietypelabel? Welke rollen moeten inzicht hebben in de onbewerkte gegevens versus gemaskeerde gegevens? Als er nalevingseisen zijn voor rapportage, hoe worden gegevens dan gekoppeld aan regelgeving en normen? Wanneer u dit inzicht heeft, is het eenvoudiger om de naleving van specifieke vereisten aan te tonen en rapporten voor auditors te genereren.
Het heeft ook invloed op de beheeractiviteiten voor de gegevenslevenscyclus, zoals gegevensretentie en schema's voor het uit bedrijf nemen.
Taxonomie toepassen voor query's
Er zijn veel manieren om taxonomielabels toe te passen op de geïdentificeerde gegevens. Het gebruik van een classificatieschema met metagegevens is de meest gebruikelijke manier om de labels aan te geven. Het architectuurontwerpproces moet het ontwerp van het schema omvatten.
Houd er rekening mee dat niet alle gegevens duidelijk kunnen worden geclassificeerd. Maak een expliciete beslissing over hoe de gegevens die niet kunnen worden geclassificeerd, in de rapportage moeten worden weergegeven.
De daadwerkelijke implementatie is afhankelijk van het type resources. De gegevens die door uw Power Platform-workload worden verbruikt, kunnen afkomstig zijn van gegevensbronnen buiten Power Platform. Uw schema moet details bevatten over hoe gegevens uit verschillende gegevensbronnen door de workload gaan, of mogelijk worden overgedragen van de ene gegevensopslag naar de andere, terwijl de classificatie-integriteit behouden blijft.
Bepaalde Azure-resources hebben ingebouwde classificatiesystemen. Azure SQL Server heeft bijvoorbeeld een classificatie-engine, ondersteunt dynamische maskering en kan rapporten genereren op basis van metagegevens. Microsoft Teams, Microsoft 365-groepen en SharePoint-sites kunnen vertrouwelijkheidslabels hebben die op containerniveau worden toegepast. Microsoft Dataverse integreert met Microsoft Purview om gegevenslabels toe te passen.
Wanneer u uw implementatie ontwerpt, evalueer dan de functies die door het platform worden ondersteund en profiteer ervan. Zorg ervoor dat metagegevens die voor classificatie worden gebruikt, geïsoleerd zijn en gescheiden van de gegevensopslag worden opgeslagen.
Er zijn ook gespecialiseerde classificatietools die labels automatisch kunnen detecteren en toepassen. Deze tools zijn verbonden met uw gegevensbronnen. Microsoft Purview beschikt over automatische detectiemogelijkheden. Er zijn ook tools van derden die vergelijkbare mogelijkheden bieden. Het detectieproces moet worden gevalideerd door middel van handmatige verificatie.
Controleer de gegevensclassificatie regelmatig. Het onderhoud van classificaties moet in de bedrijfsvoering worden ingebouwd, anders kunnen verouderde metagegevens leiden tot foutieve resultaten voor de geïdentificeerde doelstellingen en nalevingskwesties.
Afweging: Houd rekening met de kostenafweging bij het gebruik van gereedschappen. Classificatietools vereisen training en kunnen complex zijn.
Uiteindelijk moet de classificatie via centrale teams bij de organisatie eindigen. Krijg input van hen over de verwachte rapportstructuur. Profiteer ook van gecentraliseerde tools en processen om de organisatie op één lijn te brengen en ook de operationele kosten te verlagen.
Power Platform faciliteren
Classificatie zou uw architectonische beslissingen moeten beïnvloeden.
Microsoft Met Purview krijgt u inzicht in de data-activa binnen uw organisatie. Voor meer informatie, zie Meer informatie over Microsoft Purview.
Microsoft Purview Data Map maakt geautomatiseerde datadetectie en classificatie van gevoelige data mogelijk. Dankzij de integratie tussen Microsoft Purview en Microsoft Dataverse kunt u de data van uw bedrijfsapplicaties beter begrijpen en beheren, die data beveiligen en de risico- en nalevingspositie ervan verbeteren.
Met deze integratie is het volgende mogelijk:
- Maak een holistische, actuele gegevenskaart van Microsoft Dynamics 365, Power Platform en andere bronnen die worden ondersteund door Microsoft Purview.
- Classificeer gegevensassets automatisch op basis van ingebouwde systeemclassificaties of door de gebruiker gedefinieerde aangepaste classificaties, om vertrouwelijke gegevens te helpen identificeren en begrijpen.
- Empower gegevensconsumenten om waardevolle, betrouwbare gegevens te ontdekken.
- Stel gegevenscuratoren en beveiligingsbeheerders in staat om gegevens te beheren en veilig te houden, de blootstelling van gegevens te verminderen en vertrouwelijke gegevens beter te beschermen.
Voor meer informatie, zie Verbinden to and manage Microsoft Dataverse in Microsoft Purview.
Organisatorische afstemming
Cloud Adoption Framework biedt richtlijnen voor centrale teams over het classificeren van gegevens, zodat workloadteams de taxonomie van de organisatie kunnen volgen.
Zie voor meer informatie Wat is gegevensclassificatie?
Gerelateerde informatie
- Gegevensclassificatie en Gevoeligheid labeltaxonomie
- Creëer een goed ontworpen dataclassificatiekader
- Verbinden naar en beheren Microsoft Dataverse in Microsoft Purview
Controlelijst voor beveiliging
Raadpleeg de volledige reeks aanbevelingen.