Conceção para proteger a confidencialidade

Concluído
Evite a exposição a informações de privacidade, regulamentares, de aplicação e proprietárias através de restrições de acesso e técnicas de ofuscação.

Os dados da carga de trabalho podem ser classificados por usuário, uso, configuração, conformidade, propriedade intelectual e muito mais. Os dados da carga de trabalho não devem ser compartilhados ou acessados além dos limites de confiança estabelecidos. Os esforços para proteger a confidencialidade devem centrar-se nos controlos de acesso, na opacidade e na manutenção de uma pista de auditoria das atividades relacionadas com os dados e o sistema.

Cenário de exemplo

A Contoso Rise Up fornece uma oferta multilocatária de Software como Serviço especializada em apoiar organizações sem fins lucrativos em suas atividades de arrecadação de fundos e doações. Eles estão no mercado há alguns anos com uma base de clientes saudável. A solução é baseada no Azure Red Hat OpenShift (ARO) e no Banco de Dados do Azure para PostgreSQL. Oferece tanto inquilinos isolados como inquilinos co-localizados como uma oferta mais acessível.

Limitar estritamente o acesso

Implemente controles de acesso fortes que concedam acesso apenas com base na necessidade de conhecimento.

A carga de trabalho será protegida contra acesso não autorizado e atividades proibidas. Mesmo quando o acesso é de identidades confiáveis, as permissões de acesso e o tempo de exposição serão minimizados porque o caminho de comunicação está aberto por um período limitado.

O desafio da Contoso

  • A Contoso Rise Up sempre se orgulhou do incrível suporte ao cliente. Todos na equipe de suporte têm acesso pronto aos dados do cliente para ajudar a solucionar problemas e aconselhar em tempo real.
  • A equipe de suporte é treinada regularmente em acesso ético.
  • Infelizmente, um funcionário de suporte descontente copiou e compartilhou publicamente a lista de doadores de uma organização, violando a confidencialidade do cliente. Embora o funcionário tenha sido demitido, o dano à reputação da Contoso Rise Up já estava feito.

Aplicação da abordagem e dos resultados

  • A Contoso Rise Up implementou uma segmentação rigorosa de usuários em grupos de ID do Microsoft Entra e definiu o RBAC para esses grupos para os vários grupos de recursos e recursos.
  • Todo o acesso aos dados é limitado no tempo e passa por um processo de aprovação e auditoria.
  • Esses padrões foram aplicados em toda a carga de trabalho e nas equipes de suporte ao cliente. A Contoso Rise Up agora está confiante de que não há acesso permanente aos dados do cliente.

Identificar dados confidenciais através da classificação

Classifique os dados com base em seu tipo, sensibilidade e risco potencial. Atribua um nível de confidencialidade para cada um. Inclua componentes do sistema que estão no escopo para o nível identificado.

Esta avaliação ajuda-o a tomar medidas de segurança do tamanho certo. Você também será capaz de identificar dados e componentes que têm um alto impacto potencial e/ou exposição ao risco. Este exercício adiciona clareza à sua estratégia de proteção de informações e ajuda a garantir o acordo.

O desafio da Contoso

  • O sistema de gerenciamento de doadores armazena muitos tipos diferentes de dados, desde informações confidenciais para o Contoso Rise Up (como sua lista de clientes), até informações confidenciais para seus clientes (como a lista de doadores) e informações confidenciais para os doadores de seus clientes (como seu endereço postal).
  • O sistema também armazena dados não confidenciais, como imagens de banco de imagens e modelos de documentos.
  • A equipe de carga de trabalho nunca teve tempo para classificar dados e simplesmente aplicou a segurança amplamente em todo o conjunto de dados.

Aplicação da abordagem e dos resultados

  • Seguindo a liderança da taxonomia da organização da Contoso, a equipe de carga de trabalho gasta tempo para sinalizar armazenamentos de dados, colunas, contas de armazenamento e outros recursos de armazenamento com metadados que indicam que tipo e sensibilidade de dados existem lá.
  • Esta atividade dá à equipe a oportunidade de validar que os dados confidenciais são tratados com o nível de confidencialidade exigido em todo o sistema, incluindo declarações de registro e backups.
  • A equipe descobre que eles têm alguns dados relativamente confidenciais em um banco de dados de segurança mais baixa e têm alguns dados não confidenciais em um banco de dados de segurança mais alta. Eles ajustarão os locais de armazenamento para garantir que os controles de segurança estejam alinhados com os dados que estão protegendo.
  • Eles também planejam implementar o mascaramento de dados em campos-chave para proteger melhor a confidencialidade dos dados, mesmo quando funcionários autorizados acessam o sistema.

Aplique criptografia em cada etapa do ciclo de vida dos dados

Proteja seus dados em repouso, em trânsito e durante o processamento usando criptografia. Baseie a sua estratégia no nível de confidencialidade atribuído.

Ao seguir essa abordagem, mesmo que um invasor obtenha acesso, ele não será capaz de ler dados confidenciais criptografados corretamente.

Dados confidenciais incluem informações de configuração que são usadas para obter mais acesso dentro do sistema. A criptografia de dados pode ajudá-lo a conter riscos.

O desafio da Contoso

  • O Contoso Rise Up faz backups por locatário dos bancos de dados PostgreSQL usando as restaurações point-in-time internas. Além disso, para obter garantias adicionais, eles fazem um backup transacional consistente por dia em uma conta de armazenamento isolada para preparação total para recuperação de desastres (DR).
  • A conta de armazenamento usada para DR é restrita com acesso just-in-time e poucas contas Microsoft Entra ID têm permissão para acessá-la.
  • Durante um exercício de recuperação, um funcionário passou pelo processo para acessar um backup e copiou acidentalmente um backup para compartilhamento de rede na organização da Contoso.
  • Esse backup foi descoberto e relatado à equipe de privacidade da Contoso alguns meses depois, iniciando uma investigação sobre como ele foi acessado entre o ponto do incidente e o momento da descoberta. Felizmente, não foi detetada nenhuma quebra de confidencialidade, e o arquivo foi excluído depois que a perícia e a revisão de auditoria foram concluídas.

Aplicação da abordagem e dos resultados

  • A equipe formalizou um novo processo que determina que todos os backups devem ser criptografados em repouso e as chaves de criptografia devem ser protegidas no Cofre de Chaves.
  • Agora, incidentes como este terão uma menor chance de violação de privacidade, pois os dados contidos no arquivo de backup seriam inúteis sem a capacidade de descriptografar.
  • Além disso, o plano de DR agora inclui orientações padrão que ditam o tratamento adequado dos backups, incluindo como e quando descriptografar um backup com segurança.

Verifique o seu conhecimento

1.

Qual das seguintes opções é um exemplo de um usuário com necessidade de ter acesso a dados confidenciais do cliente?

2.

Verdadeiro ou falso: a classificação de dados é um processo que você deve executar apenas uma vez.

3.

Qual é um exemplo de como a Contoso aplicou a criptografia para proteger a integridade dos dados?