Recomendações para classificação de dados
Aplica-se à recomendação da lista de verificação do Azure Well-Architected Framework Security:
SE:03 | Classificar e aplicar consistentemente etiquetas de confidencialidade em todos os dados e sistemas de carga de trabalho envolvidos no processamento de dados. Utilize a classificação para influenciar a conceção, implementação e atribuição de prioridades de segurança da carga de trabalho. |
---|
Este guia descreve as recomendações de classificação de dados. A maioria das cargas de trabalho armazena vários tipos de dados. Nem todos os dados são igualmente confidenciais. A classificação de dados ajuda-o a categorizar os dados com base no respetivo nível de confidencialidade, tipo de informação e âmbito de conformidade para que possa aplicar o nível de proteção correto. A proteção inclui controlos de acesso, políticas de retenção para diferentes tipos de informações, etc. Embora os controlos de segurança reais baseados na classificação de dados estejam fora do âmbito deste artigo, fornece recomendações para categorizar dados com base nos critérios anteriores definidos pela sua organização.
Definições
Termo | Definição |
---|---|
Classificação | Um processo para categorizar recursos de carga de trabalho por níveis de confidencialidade, tipo de informação, requisitos de conformidade e outros critérios fornecidos pela organização. |
Metadados | Uma implementação para aplicar a taxonomia a recursos. |
Taxonomia | Um sistema para organizar dados classificados através de uma estrutura acordada. Normalmente, uma representação hierárquica da classificação de dados. Nomeou entidades que indicam critérios de categorização. |
Principais estratégias de conceção
A classificação de dados é um exercício crucial que, muitas vezes, impulsiona a criação de um sistema de registos e a respetiva função. A classificação também o ajuda a dimensionar corretamente as garantias de segurança e ajuda a equipa de triagem a acelerar a deteção durante a resposta a incidentes. Um pré-requisito para o processo de conceção é compreender claramente se os dados devem ser tratados como confidenciais, restritos, públicos ou qualquer outra classificação de confidencialidade. Também é essencial determinar as localizações onde os dados são armazenados, uma vez que os dados podem ser distribuídos por vários ambientes.
A deteção de dados é necessária para localizar os dados. Sem esse conhecimento, a maioria dos designs adota uma abordagem intermédia, que pode ou não cumprir os requisitos de segurança. Os dados podem ser sobreprotegidos, o que resulta em ineficiências de custos e desempenho. Ou pode não estar protegido o suficiente, o que adiciona à superfície de ataque.
A classificação de dados é, muitas vezes, um exercício complicado. Existem ferramentas disponíveis que podem detetar recursos de dados e sugerir classificações. Mas não dependa apenas de ferramentas. Tenha um processo em vigor em que os membros da equipa fazem os exercícios diligentemente. Em seguida, utilize as ferramentas para automatizar quando for prático.
Juntamente com estas melhores práticas, veja Create uma arquitetura de classificação de dados bem concebida.
Compreender a taxonomia definida pela organização
A taxonomia é uma representação hierárquica da classificação de dados. Nomeou entidades que indicam os critérios de categorização.
Em geral, não existe um padrão universal para a classificação ou para definir a taxonomia. É impulsionado pela motivação de uma organização para proteger os dados. A taxonomia pode capturar requisitos de conformidade, funcionalidades prometidas para os utilizadores da carga de trabalho ou outros critérios impulsionados pelas necessidades empresariais.
Eis alguns exemplos de etiquetas de classificação para níveis de confidencialidade, tipo de informação e âmbito de conformidade.
Sensibilidade | Tipo de informação | Âmbito de conformidade |
---|---|---|
Público, Geral, Confidencial, Altamente Confidencial, Secreto, Ultra-Secreto, Sensível | Financeira, Cartão de Crédito, Nome, Informações de Contacto, Credenciais, Banca, Rede, SSN, Campos de Saúde, Data de Nascimento, Propriedade Intelectual, dados pessoais | HIPAA, PCI, CCPA, SOX, RTB |
Enquanto proprietário da carga de trabalho, confie na sua organização para lhe fornecer uma taxonomia bem definida. Todas as funções de carga de trabalho têm de ter uma compreensão partilhada da estrutura, nomenclatura e definição dos níveis de confidencialidade. Não defina o seu próprio sistema de classificação.
Definir o âmbito de classificação
A maioria das organizações tem um conjunto diversificado de etiquetas.
Identifique claramente quais os recursos e componentes de dados que estão no âmbito e fora do âmbito para cada nível de confidencialidade. Deve ter um objetivo claro sobre o resultado. O objetivo pode ser uma triagem mais rápida, uma recuperação após desastre acelerada ou auditorias regulamentares. Quando compreende claramente os objetivos, garante que dimensiona corretamente os seus esforços de classificação.
Comece com estas perguntas simples e expanda conforme necessário com base na complexidade do seu sistema:
- Qual é a origem dos dados e do tipo de informação?
- Qual é a restrição esperada com base no acesso? Por exemplo, são dados de informações públicas, regulamentação ou outros casos de utilização esperados?
- Qual é a pegada de dados? Onde são armazenados os dados? Durante quanto tempo os dados devem ser retidos?
- Que componentes da arquitetura interagem com os dados?
- Como é que os dados se movem pelo sistema?
- Que informações são esperadas nos relatórios de auditoria?
- Precisa de classificar dados de pré-produção?
Fazer o inventário dos seus arquivos de dados
Se tiver um sistema existente, faça o inventário de todos os arquivos de dados e componentes que estão no âmbito. Por outro lado, se estiver a criar um novo sistema, crie uma dimensão de fluxo de dados da arquitetura e tenha uma categorização inicial por definições de taxonomia. A classificação aplica-se ao sistema como um todo. É distintamente diferente da classificação de segredos de configuração e não-segredos.
Definir o âmbito
Seja granular e explícito ao definir o âmbito. Suponha que o arquivo de dados é um sistema tabular. Quer classificar a sensibilidade ao nível da tabela ou até mesmo as colunas na tabela. Além disso, certifique-se de que expande a classificação para componentes do arquivo nondata que possam estar relacionados ou que tenham uma parte no processamento dos dados. Por exemplo, classificou a cópia de segurança do seu arquivo de dados altamente confidencial? Se estiver a colocar em cache dados confidenciais do utilizador, o arquivo de dados de colocação em cache está no âmbito? Se utilizar arquivos de dados analíticos, como são classificados os dados agregados?
Estruturar de acordo com etiquetas de classificação
A classificação deve influenciar as suas decisões de arquitetura. A área mais óbvia é a sua estratégia de segmentação, que deve considerar as várias etiquetas de classificação.
Por exemplo, as etiquetas influenciam os limites de isolamento do tráfego. Podem existir fluxos críticos em que a segurança de camada de transporte ponto a ponto (TLS) é necessária, enquanto outros pacotes podem ser enviados através de HTTP. Se existirem mensagens transmitidas através de um mediador de mensagens, determinadas mensagens poderão ter de ser assinadas.
Para os dados inativos, os níveis afetarão as opções de encriptação. Pode optar por proteger dados altamente confidenciais através de encriptação dupla. Diferentes segredos da aplicação podem até exigir controlo com vários níveis de proteção. Poderá conseguir justificar o armazenamento de segredos num arquivo de módulos de segurança de hardware (HSM), que oferece restrições mais elevadas. As etiquetas de conformidade também ditam decisões sobre as normas de proteção corretas. Por exemplo, a norma PCI-DSS determina a utilização da proteção FIPS 140-2 de Nível 3, que está disponível apenas com HSMs. Noutros casos, pode ser aceitável que outros segredos sejam armazenados num arquivo de gestão de segredos normal.
Se precisar de proteger os dados em utilização, poderá querer incorporar computação confidencial na arquitetura.
As informações de classificação devem ser movidas com os dados à medida que transitam pelo sistema e pelos componentes da carga de trabalho. Os dados identificados como confidenciais devem ser tratados como confidenciais por todos os componentes que interagem com os mesmos. Por exemplo, certifique-se de que protege os dados pessoais removendo-os ou ocultando-os de qualquer tipo de registos de aplicações.
A classificação afeta a estrutura do seu relatório na forma como os dados devem ser expostos. Por exemplo, com base nas etiquetas do tipo de informação, precisa de aplicar um algoritmo de máscara de dados para a obfuscação como resultado da etiqueta do tipo de informação? Que funções devem ter visibilidade sobre os dados não processados versus dados mascarados? Se existirem requisitos de conformidade para a criação de relatórios, como é que os dados são mapeados para regulamentos e normas? Quando tiver este conhecimento, é mais fácil demonstrar a conformidade com requisitos específicos e gerar relatórios para auditores.
Também afeta as operações de gestão do ciclo de vida dos dados, como retenção de dados e agendamentos de desativação.
Aplicar taxonomia para consulta
Existem várias formas de aplicar etiquetas de taxonomia aos dados identificados. Utilizar um esquema de classificação com metadados é a forma mais comum de indicar as etiquetas. A uniformização através do esquema garante que os relatórios são precisos, minimizam as probabilidades de variação e evitam a criação de consultas personalizadas. Crie verificações automatizadas para detetar entradas inválidas.
Pode aplicar etiquetas manualmente, programaticamente ou utilizar uma combinação de ambas. O processo de conceção da arquitetura deve incluir a estrutura do esquema. Quer tenha um sistema existente ou esteja a criar um novo, ao aplicar etiquetas, mantenha a consistência nos pares chave/valor.
Tenha em atenção que nem todos os dados podem ser claramente classificados. Tome uma decisão explícita sobre como os dados que não podem ser classificados devem ser representados em relatórios.
A implementação real depende do tipo de recursos. Determinados recursos do Azure têm sistemas de classificação incorporados. Por exemplo, SQL do Azure Server tem um motor de classificação, suporta máscara dinâmica e pode gerar relatórios com base em metadados. Azure Service Bus suporta a inclusão de um esquema de mensagem que pode ter metadados anexados. Quando conceber a sua implementação, avalie as funcionalidades suportadas pela plataforma e tire partido das mesmas. Certifique-se de que os metadados utilizados para a classificação estão isolados e armazenados separadamente dos arquivos de dados.
Também existem ferramentas de classificação especializadas que podem detetar e aplicar etiquetas automaticamente. Estas ferramentas estão ligadas às suas origens de dados. O Microsoft Purview tem capacidades de deteção automática. Também existem ferramentas de terceiros que oferecem capacidades semelhantes. O processo de deteção deve ser validado através da verificação manual.
Reveja a classificação de dados regularmente. A manutenção da classificação deve ser incorporada em operações. Caso contrário, os metadados obsoletos podem originar resultados erróneos para os objetivos identificados e problemas de conformidade.
Compromisso: Tenha em atenção a desvantagem dos custos com as ferramentas. As ferramentas de classificação requerem preparação e podem ser complexas.
Em última análise, a classificação tem de ser agregada para a organização através de equipas centrais. Obtenha informações sobre a estrutura do relatório esperada. Além disso, tire partido de ferramentas e processos centralizados para ter alinhamento organizacional e também aliviar os custos operacionais.
Facilitação do Azure
O Microsoft Purview unifica as soluções do Azure Purview e do Microsoft Purview para fornecer visibilidade sobre os recursos de dados em toda a sua organização. Para obter mais informações, consulte O que é o Microsoft Purview?
A Base de Dados do SQL do Azure, o Azure SQL Managed Instance e o Azure Synapse Analytics oferecem funcionalidades de classificação incorporadas. Utilize estas ferramentas para detetar, classificar, etiquetar e comunicar os dados confidenciais nas suas bases de dados. Para obter mais informações, veja Deteção e classificação de dados.
Exemplo
Este exemplo baseia-se no ambiente de Tecnologias de Informação (TI) estabelecido na linha de base de segurança (SE:01). O diagrama de exemplo abaixo mostra os arquivos de dados onde os dados são classificados.
Os dados armazenados em bases de dados e discos só devem estar acessíveis a alguns utilizadores, como Administradores, Administradores de bases de dados. Em seguida, é normal que os utilizadores comuns ou os clientes finais dos clientes tenham acesso apenas a camadas que estão expostas à Internet, como aplicações ou jump boxes.
As aplicações comunicam com as bases de dados ou os dados armazenados em discos, como armazenamento de objetos ou servidores de ficheiros.
Em alguns casos, os dados podem ser armazenados num ambiente no local e na cloud pública. Ambos têm de ser classificados de forma consistente.
Num caso de utilização do operador, os administradores remotos precisam de caixas de atalho de acesso na cloud ou numa máquina virtual que execute a carga de trabalho. As permissões de acesso devem ser concedidas de acordo com as etiquetas de classificação de dados.
Os dados são movidos através das máquinas virtuais para as bases de dados de back-end e os dados devem ser tratados com o mesmo nível de confidencialidade em todos os pontos de percurso.
As cargas de trabalho armazenam dados diretamente em discos de máquina virtual. Esses discos estão no âmbito da classificação.
Num ambiente híbrido, diferentes pessoas podem aceder a cargas de trabalho no local através de diferentes mecanismos para ligar a diferentes tecnologias ou bases de dados de armazenamento de dados. O acesso tem de ser concedido de acordo com as etiquetas de classificação.
Os servidores no local ligam-se a dados importantes que precisam de ser classificados e protegidos, como servidores de ficheiros, armazenamento de objetos e diferentes tipos de bases de dados, como relacionais, sem SQL e armazém de dados.
A Conformidade do Microsoft Purview fornece uma solução para classificar ficheiros e e-mails.
Microsoft Defender para a Cloud fornece uma solução que ajuda a sua empresa a controlar a conformidade no seu ambiente, incluindo muitos dos seus serviços utilizados para armazenar dados, mencionados nestes casos se acima.
Ligações relacionadas
- Taxonomia da etiqueta de confidencialidade e classificação de dados – Microsoft Service Assurance
- Create uma arquitetura de classificação de dados bem concebida – Microsoft Service Assurance
Passo seguinte
Veja o conjunto completo de recomendações.