Design zum Schutz der Vertraulichkeit

  • 10 Minuten
Verhindern Sie durch Zugriffsbeschränkungen und Verschleierungstechniken die Preisgabe von vertraulichen, amtlichen, anwendungs- und unternehmenseigenen Informationen.

Workloaddaten können nach Benutzer*in, Nutzung, Konfiguration, Compliance, geistigem Eigentum und mehr klassifiziert werden. Workloaddaten dürfen nicht über die festgelegten Vertrauensgrenzen hinaus freigegeben oder abgerufen werden. Die Bemühungen zum Schutz der Vertraulichkeit sollten sich auf Zugriffskontrollen, Transparenz und das Führen eines Prüfpfads für Aktivitäten, die sich auf Daten und das System beziehen, konzentrieren.

Beispielszenario

Contoso Rise Up bietet ein mehrmandantenfähiges Software-as-a-Service-Angebot, das auf die Unterstützung von gemeinnützigen Organisationen bei ihren Fundraising- und Spendenaktivitäten spezialisiert ist. Das Unternehmen ist bereits seit einigen Jahren auf dem Markt und verfügt über einen soliden Kundenstamm. Die Lösung basiert auf Azure Red Hat OpenShift (ARO) und Azure Database for PostgreSQL. Sie bietet sowohl isolierten Mandanten als auch kollokierten Mandanten ein günstigeres Angebot.

Striktes Einschränken des Zugriffs

Implementieren Sie strikte Zugriffskontrollen, die den Zugriff nur auf einer Notwendigkeitsbasis gewähren.

Die Workload wird vor unberechtigtem Zugriff und verbotenen Aktivitäten geschützt. Selbst wenn der Zugriff von vertrauenswürdigen Identitäten erfolgt, werden die Zugriffsberechtigungen und die Expositionszeit minimiert, da der Kommunikationspfad nur für einen begrenzten Zeitraum offen ist.

Herausforderung von Contoso

  • Contoso Rise Up hat sich schon immer durch einen hervorragenden Kundensupport ausgezeichnet. Jeder im Supportteam hat jederzeit Zugriff auf die Kundendaten, um bei der Problembehandlung und Beratung in Echtzeit zu helfen.
  • Das Supportteam wird regelmäßig zum Thema „Ethischer Zugriff“ geschult.
  • Bedauerlicherweise hat ein*e verärgerte*r Support-Mitarbeiter*in die Spenderliste einer Organisation kopiert und veröffentlicht, wodurch die Diskretion der Organisation verletzt wurde. Der Mitarbeiter wurde zwar entlassen, aber der Schaden für den Ruf von Contoso Rise Up war bereits angerichtet.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • Contoso Rise Up implementierte eine strikte Segmentierung der Benutzer*innen in Microsoft Entra ID-Gruppen und definierte RBAC für diese Gruppen für die verschiedenen Ressourcengruppen und Ressourcen.
  • Jeder Zugriff auf Daten ist zeitlich begrenzt und durchläuft einen Genehmigungs- und Prüfungsprozess.
  • Diese Standards wurden für die Workload- und Kundensupport-Teams angewandt. Contoso Rise Up ist jetzt sicher, dass kein unberechtigter Zugriff auf Kundendaten besteht.

Identifizieren vertraulicher Daten durch Klassifizierung

Klassifizieren Sie Daten auf der Grundlage ihrer Art, ihrer Vertraulichkeit und ihres potenziellen Risikos. Weisen Sie jeweils eine Vertraulichkeitsstufe zu. Schließen Sie Systemkomponenten ein, die für die jeweilige Stufe in Frage kommen.

Diese Bewertung hilft Ihnen, die Sicherheitsmaßnahmen richtig zu dimensionieren. Sie werden auch in der Lage sein, Daten und Komponenten zu identifizieren, die eine hohe potenzielle Auswirkung und/oder ein hohes Risiko haben. Diese Übung schafft Klarheit über Ihre Strategie zum Schutz von Informationen und trägt dazu bei, dass Sie Vereinbarungen einhalten.

Herausforderung von Contoso

  • Das Spenderverwaltungssystem speichert viele verschiedene Arten von Daten, angefangen bei Informationen, die nur für Contoso Rise Up zugänglich sein dürfen (z. B. die Kundenliste), über Informationen, die nur für die Kund*innen zugänglich sein dürfen (z. B. die Spenderliste), bis hin zu Informationen, die nur für die Spender*innen der Kund*innen zugänglich sein dürfen (z. B. deren Postanschrift).
  • Das System enthält auch nicht vertrauliche Daten wie Bestandsbilder und Dokumentvorlagen.
  • Das Workload-Team hat sich nie die Zeit genommen, die Daten zu klassifizieren, und hat die Sicherheit einfach pauschal auf das Dataset angewendet.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • In Anlehnung an die Taxonomie der Organisation Contoso investiert das Workload-Team Zeit in die Kennzeichnung von Datenspeichern, Spalten, Speicherkonten und anderen Speicherressourcen mit Metadaten, die angeben, um welche Art von Daten es sich handelt und wie vertraulich diese sind.
  • Diese Aktivität gibt dem Team die Möglichkeit zu überprüfen, ob vertrauliche Daten im gesamten System – einschließlich Protokollierung und Sicherungen – mit dem erforderlichen Maß an Vertraulichkeit behandelt werden.
  • Das Team stellt fest, dass einige relativ vertrauliche Daten in einer Datenbank mit geringerer Sicherheit und einige nicht vertrauliche Daten in einer Datenbank mit höherer Sicherheit gespeichert sind. Sie werden die Speicherorte anpassen, um sicherzustellen, dass die Sicherheitskontrollen mit den Daten, die sie schützen, übereinstimmen.
  • Sie planen auch die Einführung einer Datenmaskierung von Schlüsselfeldern, um die Vertraulichkeit der Daten besser zu schützen, auch wenn autorisierte Mitarbeiter*innen auf das System zugreifen.

Anwenden der Verschlüsselung in jedem Schritt des Datenlebenszyklus

Schützen Sie Ihre ruhenden Daten, bei der Übertragung und während der Verarbeitung durch Verschlüsselung. Richten Sie Ihre Strategie an der zugewiesenen Vertraulichkeitsstufe aus.

Selbst wenn ein*e Angreifer*in sich Zugang verschafft, kann er*sie die verschlüsselten vertraulichen Daten nicht lesen.

Zu den vertraulichen Daten gehören auch Konfigurationsinformationen, die dazu verwendet werden, sich weiteren Zugang zum System zu verschaffen. Datenverschlüsselung kann Ihnen helfen, Risiken einzudämmen.

Herausforderung von Contoso

  • Contoso Rise Up erstellt Sicherungen der PostgreSQL-Datenbanken pro Mandant unter Verwendung der integrierten Zeitpunktwiederherstellung. Darüber hinaus wird täglich eine transaktionskonsistente Sicherungskopie auf einem isolierten Speicherkonto erstellt, um für eine vollständige Notfallwiederherstellung (DR) vorbereitet zu sein.
  • Das für DR verwendete Speicherkonto ist durch einen Just-in-Time-Zugriff eingeschränkt und nur wenige Microsoft Entra ID-Konten dürfen darauf zugreifen.
  • Während einer Wiederherstellungsübung führte ein*e Mitarbeiter*in das Verfahren durch, um auf eine Sicherung zuzugreifen. Dabei kopierte er*sie versehentlich eine Sicherung auf eine Netzwerkfreigabe in der Organisation Contoso.
  • Diese Sicherung wurde einige Monate später entdeckt und dem Datenschutzteam von Contoso gemeldet. Daraufhin wurde eine Untersuchung eingeleitet, um herauszufinden, wie zwischen dem Zeitpunkt des Incidents und der Entdeckung darauf zugegriffen wurde. Glücklicherweise wurde keine Vertraulichkeitsverletzung festgestellt, und die Datei wurde nach Abschluss der forensischen Untersuchung und der Prüfung gelöscht.

Anwenden des Ansatzes und Umsetzen der Ergebnisse

  • Das Team hat einen neuen Prozess formalisiert, der vorschreibt, dass alle Sicherungen im Ruhezustand verschlüsselt werden müssen und die Verschlüsselungsschlüssel in Key Vault gesichert werden müssen.
  • Bei Incidents wie diesem ist die Wahrscheinlichkeit einer Verletzung der Privatsphäre nun geringer, da die in der Sicherungsdatei enthaltenen Daten ohne Entschlüsselung nutzlos wären.
  • Darüber hinaus enthält der Notfallwiederherstellungsplan jetzt Standardanweisungen für die ordnungsgemäße Handhabung der Sicherungen, einschließlich der Frage, wie und wann eine Sicherung sicher entschlüsselt werden kann.

Überprüfen Sie Ihr Wissen

1.

Bei welchem der folgenden Beispiele handelt es sich um eine*n Benutzer*in, der*die Zugang zu vertraulichen Kundendaten haben muss?

2.

Richtig oder falsch: Die Datenklassifizierung ist ein Prozess, den Sie nur einmal durchführen sollten.

3.

Was ist ein Beispiel dafür, wie Contoso Verschlüsselung zum Schutz der Datenintegrität einsetzt?