為保護機密性而設計
 透過存取限制和混淆技術,防止隱私權資訊、監管資訊、應用程式和專屬資訊曝光。 |
|---|
工作負載資料可依使用者、使用方式、設定、合規性、智慧財產權等進行分類。 工作負載資料不得在已建立的信任界限之外共用或存取。 保護機密性的努力應著重於存取控制、不透明度,以及保留與資料和系統相關的活動稽核線索。
範例案例
Contoso Rise Up 提供多租用戶「軟體即服務」供應項目,專門支援非營利組織的籌款和捐贈活動。 他們進入市場已有數年,擁有良好的客戶群。 此解決方案是以 Azure Red Hat OpenShift (ARO) 和適用於 PostgreSQL 的 Azure 資料庫為基礎所建置。 它為獨立租用戶和共置租用戶提供了更實惠的供應項目。
嚴格限制存取
實作強式存取控制,僅在必要知悉之範圍內授予存取權。
工作負載將受到保護,防範未經授權的存取和禁止的活動。 即使存取來自受信任的身分識別,存取權限和曝光時間也會降到最低,因為通訊路徑在有限期間內處於開放狀態。
Contoso 的挑戰
- Contoso Rise Up 一直以出色的客戶支援而自豪。 支援小組中的每個人都可以隨時存取客戶資料,以即時協助進行疑難排解和建議。
- 支援小組會定期接受合乎道德之存取方面的訓練。
- 遺憾的是,一位不滿的支援員工複製並公開分享組織的捐贈者清單,違反了客戶的機密性。 儘管員工已遭解僱,Contoso Rise Up 的信譽已經受到損害。
套用方法和結果
- Contoso Rise Up 將使用者嚴格細分為 Microsoft Entra ID 群組,並針對這些群組定義各種資源群組和資源的 RBAC。
- 所有資料存取都有時間限制,而且要通過核准和稽核流程。
- 整個工作負載和客戶支援小組都已套用這些標準。 Contoso Rise Up 確信現在無法對客戶資料進行長期存取。
透過分類識別機密資料
根據資料類型、敏感度和潛在風險來分類資料。 為各個資料指派機密性層級。 包含已識別層級範圍內的系統元件。
此評估可協助您正確調整安全性量值的大小。 您也能識別具有高潛在影響和/或暴露風險的資料和元件。 此練習會讓您的資訊保護策略更加清晰,並協助確保達成共識。
Contoso 的挑戰
- 捐贈者管理系統會儲存許多不同類型的資料,從 Contoso Rise Up 的機密資訊 (例如客戶清單),到客戶的機密資訊 (例如捐贈者清單),以及客戶捐贈者的機密資訊 (例如其郵寄地址)。
- 系統也保存非敏感性資料,例如影像庫和文件範本。
- 工作負載小組從未花時間分類資料,只在資料集中廣泛套用了安全性。
套用方法和結果
- 遵循 Contoso 組織的分類法標準,工作負載小組會花時間標記資料存放區、資料行、儲存體帳戶和其他儲存體資源,包含指示其中存在之資料類型和敏感度的中繼資料。
- 此活動可讓小組有機會驗證敏感性資料是否按照整個系統所需的機密性層級來處理,包括記錄語句和備份。
- 小組發現他們在安全性較低的資料庫中有一些相對敏感的資料,並在安全性較高的資料庫中有一些非敏感性的資料。 他們會調整儲存位置,以確保安全性控制措施符合其所保護的資料。
- 他們也打算對關鍵欄位實作資料遮罩,以便更妥善地保護資料的機密性,即使經過授權的員工存取系統也一樣。
在資料生命週期的每個步驟套用加密
使用加密來保護待用中、傳輸中和處理中的資料。 根據指派的機密性層級制定策略。
藉由遵循這種方法,即使攻擊者取得存取權,他們也無法讀取妥善加密的敏感性資料。
敏感性資料包含設定資訊,可用來在系統內取得進一步存取權。 資料加密可協助您控制風險。
Contoso 的挑戰
- Contoso Rise Up 使用內建的時間點還原,對 PostgreSQL 資料庫進行個別租用戶備份。 此外,為了增加保證,他們每天對獨立儲存體帳戶進行一次具有交易一致性的備份,以進行完整災害復原 (DR) 準備。
- 用於 DR 的儲存體帳戶受限於 Just-In-Time 存取,而且允許少數 Microsoft Entra ID 帳戶存取它。
- 在復原演練期間,員工經歷了存取備份的流程,並意外地將備份複製到 Contoso 組織中的網路共用。
- 幾個月後,此備份已被發現並回報給 Contoso 隱私權小組,針對事件點與探索時間之間的存取方式展開調查。 幸運的是,並未發現機密的安全性缺口,而且檔案已在鑑識和稽核檢閱完成後刪除。
套用方法和結果
- 小組已將新的流程正式化,說明所有備份都必須在待用時加密,而且必須在 Key Vault 中保護加密金鑰。
- 現在這類事件發生隱私權遭入侵的機會較低,因為如果無法解密,備份檔案中包含的資料將毫無用處。
- 此外,DR 計劃現在包含標準指引,可妥善處理備份,包括如何以及何時安全地解密備份。