Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Well-Architected Framework Güvenliği denetim listesi önerisi için geçerlidir:
| SE:03 | Veri işlemeye dahil olan tüm iş yükü verilerine ve sistemlerine duyarlılık etiketlerini sınıflandırma ve tutarlı bir şekilde uygulama. İş yükü tasarımını, uygulamasını ve güvenlik önceliklendirmesini etkilemek için sınıflandırmayı kullanın. |
|---|
Bu kılavuzda veri sınıflandırma önerileri açıklanmaktadır. Çoğu iş yükü çeşitli veri türlerini depolar. Tüm veriler eşit derecede hassas değildir. Veri sınıflandırması, verileri duyarlılık düzeyine, bilgi türüne ve uyumluluk kapsamına göre kategorilere ayırmanıza yardımcı olur, böylece doğru koruma düzeyini uygulayabilirsiniz. Koruma, erişim denetimlerini, farklı bilgi türleri için bekletme ilkelerini vb. içerir. Veri sınıflandırmasını temel alan gerçek güvenlik denetimleri bu makalenin kapsamı dışında olsa da, kuruluşunuz tarafından belirlenen önceki ölçütlere göre verileri kategorilere ayırmaya yönelik öneriler sağlar.
Tanımlar
| Süre | Definition |
|---|---|
| Classification | İş yükü varlıklarını duyarlılık düzeylerine, bilgi türüne, uyumluluk gereksinimlerine ve kuruluş tarafından sağlanan diğer ölçütlere göre kategorilere ayırma işlemi. |
| Meta veriler | Varlıklara taksonomi uygulamak için bir uygulama. |
| Taxonomy | Üzerinde anlaşmaya varılan bir yapıyı kullanarak sınıflandırılmış verileri düzenlemeye yönelik bir sistem. Genellikle, veri sınıflandırmasının hiyerarşik gösterimidir. Kategorilere ayırma ölçütlerini gösteren adlandırılmış varlıklara sahiptir. |
Veri sınıflandırması, genellikle bir kayıt sistemi ve işlevi oluşturmayı yönlendiren önemli bir alıştırmadır. Sınıflandırma ayrıca güvenlik güvencelerini doğru şekilde boyutlandırmanıza ve önceliklendirme ekibinin olay yanıtı sırasında bulmayı hızlandırmasına yardımcı olur. Tasarım sürecinin önkoşulları, verilerin gizli, kısıtlı, genel veya başka bir duyarlılık sınıflandırması olarak ele alınıp alınmayacağını net bir şekilde anlamaktır. Verilerin depolandığı konumları belirlemek de önemlidir çünkü veriler birden çok ortam arasında dağıtılabilir.
Verileri bulmak için veri bulma gereklidir. Bu bilgi olmadan çoğu tasarım, güvenlik gereksinimlerine hizmet eden veya sağlamayabilecek orta ölçekli bir yaklaşım benimser. Veriler aşırı korunarak maliyet ve performans verimsizliklerine neden olabilir. Ya da yeterince korunamayabilir, bu da saldırı yüzeyine eklenir.
Veri sınıflandırması genellikle hantal bir alıştırmadır. Veri varlıklarını bulabilen ve sınıflandırma önerebilen araçlar vardır. Ama sadece araçlara güvenmeyin. Ekip üyelerinin alıştırmaları özenle yaptığı bir sürecin olması. Daha sonra pratik olduğunda otomatikleştirmek için araçları kullanın.
Bu en iyi yöntemlerin yanı sıra bkz. İyi tasarlanmış bir veri sınıflandırma çerçevesi oluşturma.
Kuruluş tanımlı taksonomiyi anlama
Taksonomi , veri sınıflandırmasının hiyerarşik bir gösterimidir. Kategorilere ayırma ölçütlerini gösteren adlandırılmış varlıklara sahiptir.
Genel olarak sınıflandırma veya taksonomi tanımlama için evrensel bir standart yoktur. Bir kuruluşun verileri koruma motivasyonu tarafından yönlendirilir. Taksonomi uyumluluk gereksinimlerini, iş yükü kullanıcıları için taahhüt edilen özellikleri veya iş gereksinimlerine göre yönlendirilen diğer ölçütleri yakalayabilir.
Duyarlılık düzeyleri, bilgi türü ve uyumluluk kapsamı için bazı örnek sınıflandırma etiketleri aşağıda verilmiştır.
| Duyarlılık | Bilgi türü | Uyumluluk kapsamı |
|---|---|---|
| Genel, Genel, Gizli, Çok Gizli, Gizli, Çok Gizli, Hassas | Finansal, Kredi Kartı, Ad, İletişim Bilgileri, Kimlik Bilgileri, Bankacılık, Ağ, SSN, Sağlık alanları, Doğum Tarihi, Fikri Mülkiyet, kişisel veriler | HIPAA, PCI, CCPA, SOX, RTB |
İş yükü sahibi olarak, iyi tanımlanmış bir taksonomi sağlamak için kuruluşunuza güvenin. Tüm iş yükü rolleri, duyarlılık düzeylerinin yapısı, sıfatları ve tanımı hakkında paylaşılan bir anlayışa sahip olmalıdır. Kendi sınıflandırma sisteminizi tanımlamayın.
Sınıflandırma kapsamını tanımlama
Çoğu kuruluşta çeşitli etiketler bulunur.
Hangi veri varlıklarının ve bileşenlerinin her duyarlılık düzeyi için kapsam içinde ve kapsam dışında olduğunu açıkça belirleyin. Sonuç üzerinde net bir hedefiniz olmalıdır. Amaç daha hızlı önceliklendirme, hızlandırılmış olağanüstü durum kurtarma veya mevzuat denetimleri olabilir. Hedefleri net bir şekilde anladığınızda, sınıflandırma çalışmalarınızı doğru bir şekilde boyutlandırmanızı sağlar.
Bu basit sorularla başlayın ve sistem karmaşıklığınız temelinde gerektiği şekilde genişletin:
- Veri ve bilgi türünün kaynağı nedir?
- Erişime göre beklenen kısıtlama nedir? Örneğin, genel bilgi verileri mi, mevzuat mı yoksa diğer beklenen kullanım örnekleri mi?
- Veri ayak izi nedir? Veriler nerede depolanır? Veriler ne kadar süreyle tutulmalıdır?
- Mimarinin hangi bileşenleri verilerle etkileşim kurar?
- Veriler sistemde nasıl hareket eder?
- Denetim raporlarında hangi bilgiler beklenir?
- Üretim öncesi verileri sınıflandırmanız gerekiyor mu?
Veri depolarınızın envanterini alma
Mevcut bir sisteminiz varsa, kapsamdaki tüm veri depolarının ve bileşenlerin envanterini alın. Öte yandan, yeni bir sistem tasarlarsanız mimarinin veri akışı boyutunu oluşturun ve taksonomi tanımları başına ilk kategoriye sahip olun. Sınıflandırma bir bütün olarak sisteme uygulanır. Yapılandırma gizli dizilerini ve güvenli olmayanları sınıflandırmaktan çok farklıdır.
Kapsamınızı tanımlama
Kapsamı tanımlarken ayrıntılı ve açık olun. Veri deponuzun tablosal bir sistem olduğunu varsayalım. Duyarlılığı tablo düzeyinde, hatta tablo içindeki sütunları bile sınıflandırmak istiyorsunuz. Ayrıca, sınıflandırmayı ilgili olabilecek veya verilerin işlenmesinde bir parçası olabilecek veri deposu olmayan bileşenlere genişletmeyi unutmayın. Örneğin, son derece hassas veri deponuzun yedeğini sınıflandırdınız mı? Kullanıcı duyarlı verileri önbelleğe alırsanız, önbelleğe alma veri deposu kapsam dahilinde mi? Analiz veri depolarını kullanıyorsanız, toplanan veriler nasıl sınıflandırılır?
Sınıflandırma etiketlerine göre tasarlama
Sınıflandırma, mimari kararlarınızı etkilemelidir. En belirgin alan, çeşitli sınıflandırma etiketlerini dikkate alması gereken segmentasyon stratejinizdir.
Örneğin, etiketler trafik yalıtımı sınırlarını etkiler. Uçtan uca aktarım katmanı güvenliğinin (TLS) gerekli olduğu ve diğer paketlerin HTTP üzerinden gönderilebildiği kritik akışlar olabilir. İleti aracısı üzerinden iletilen iletiler varsa, bazı iletilerin imzalanması gerekebilir.
Bekleyen veriler için, düzeyler şifreleme seçeneklerini etkiler. Çift şifreleme ile yüksek oranda hassas verileri korumayı seçebilirsiniz. Farklı uygulama gizli dizileri, çeşitli koruma düzeylerinde denetim gerektirebilir. Gizli dizileri daha yüksek kısıtlamalar sunan bir donanım güvenlik modülü (HSM) deposunda depolamayı gerekçelendirebilirsiniz. Uyumluluk etiketleri ayrıca doğru koruma standartlarıyla ilgili kararları da belirler. Örneğin PCI-DSS standardı, yalnızca HSM'lerde kullanılabilen FIPS 140-2 Düzey 3 korumasının kullanılmasını zorunlu hale getirir. Diğer durumlarda, diğer gizli dizilerin normal bir gizli dizi yönetim deposunda depolanması kabul edilebilir.
Kullanımdaki verileri korumanız gerekiyorsa mimariye gizli bilgi işlem eklemek isteyebilirsiniz.
Sınıflandırma bilgileri, sistem üzerinden ve iş yükünün bileşenleri arasında geçiş yaptıkçe verilerle birlikte taşınmalıdır . Gizli olarak etiketlenen veriler, kendisiyle etkileşim kuran tüm bileşenler tarafından gizli olarak kabul edilmelidir. Örneğin, kişisel verileri herhangi bir uygulama günlüğü türünden kaldırarak veya gizleyerek koruduğunızdan emin olun.
Sınıflandırma, raporunuzun tasarımını verilerin kullanıma sunulma şekline göre etkiler. Örneğin, bilgi türü etiketlerinize bağlı olarak, bilgi türü etiketinin bir sonucu olarak karartma için bir veri maskeleme algoritması uygulamanız gerekiyor mu? Hangi rollerin ham veriler ve maskelenmiş veriler için görünürlüğü olmalıdır? Raporlama için uyumluluk gereksinimleri varsa, veriler düzenlemelere ve standartlara nasıl eşlenir? Bu anlayışa sahip olduğunuzda, belirli gereksinimlerle uyumluluğu göstermek ve denetçiler için raporlar oluşturmak daha kolaydır.
Ayrıca veri saklama ve zamanlamaların yetkisini alma gibi veri yaşam döngüsü yönetim işlemlerini de etkiler.
Sorgulama için taksonomi uygulama
Tanımlanan verilere taksonomi etiketleri uygulamanın birçok yolu vardır. Meta verilerle sınıflandırma şeması kullanmak, etiketleri göstermenin en yaygın yoludur. Şema aracılığıyla standartlaştırma, raporlamanın doğru olduğundan emin olur, çeşitleme olasılığını en aza indirir ve özel sorguların oluşturulmasını önler. Geçersiz girişleri yakalamak için otomatik denetimler oluşturun.
Etiketleri el ile, program aracılığıyla uygulayabilir veya her ikisinin bir bileşimini kullanabilirsiniz. Mimari tasarım işlemi şemanın tasarımını içermelidir. İster mevcut bir sisteminiz olsun, ister yeni bir sistem derleyin, etiketler uygularken anahtar/değer çiftlerinde tutarlılığı koruyun.
Tüm verilerin açıkça sınıflandırılamadığını unutmayın. Sınıflandırılamaz verilerin raporlamada nasıl temsil edilmesi gerektiği hakkında açık bir karar alın.
Gerçek uygulama, kaynakların türüne bağlıdır. Bazı Azure kaynaklarının yerleşik sınıflandırma sistemleri vardır. Örneğin, Azure SQL Server'ın bir sınıflandırma altyapısı vardır, dinamik maskeleyi destekler ve meta verileri temel alan raporlar oluşturabilir. Azure Service Bus, ekli meta veriler içerebilen bir ileti şeması eklemeyi destekler. Uygulamanızı tasarlarken platform tarafından desteklenen özellikleri değerlendirin ve bunlardan yararlanın. Sınıflandırma için kullanılan meta verilerin yalıtılmış ve veri depolarından ayrı olarak depolandığından emin olun.
Etiketleri otomatik olarak algılayıp uygulayabilen özel sınıflandırma araçları da vardır. Bu araçlar veri kaynaklarınıza bağlıdır. Microsoft Purview otomatik bulma özelliklerine sahiptir. Benzer özellikler sunan üçüncü taraf araçlar da vardır. Bulma işlemi el ile doğrulama yoluyla doğrulanmalıdır.
Veri sınıflandırmayı düzenli olarak gözden geçirin. Sınıflandırma bakımı işlemlerde yerleşik olmalıdır, aksi takdirde eski meta veriler tanımlanan hedefler ve uyumluluk sorunları için hatalı sonuçlara yol açabilir.
Dengeleme: Takımlarda maliyet dengelemesine dikkat edin. Sınıflandırma araçları eğitim gerektirir ve karmaşık olabilir.
Sonuç olarak sınıflandırmanın merkezi ekipler aracılığıyla kuruluşa dağıtılmalıdır. Onlardan beklenen rapor yapısı hakkında giriş alın. Ayrıca, kurumsal uyum sağlamak ve operasyonel maliyetleri azaltmak için merkezi araçlardan ve süreçlerden yararlanın.
Azure kolaylaştırma
Microsoft Purview, kuruluşunuz genelindeki veri varlıklarına görünürlük sağlamak için Azure Purview ve Microsoft Purview çözümlerini birleştirir. Daha fazla bilgi için bkz. Microsoft Purview nedir?
Azure SQL Veritabanı, Azure SQL Yönetilen Örneği ve Azure Synapse Analytics yerleşik sınıflandırma özellikleri sunar. Veritabanlarınızdaki hassas verileri bulmak, sınıflandırmak, etiketlemek ve raporlamak için bu araçları kullanın. Daha fazla bilgi için bkz. Veri bulma ve sınıflandırma.
Son derece gizli olarak sınıflandırılan veya işleme işlemleri sırasında koruma gerektiren veriler için PostgreSQL için Azure Veritabanı, kullanımdaki veriler için donanım tabanlı şifreleme sağlamak üzere gizli bilgi işlemi destekler. Bu teknoloji, kuruluşların işleme işlemleri sırasında hassas verileri koruyarak veritabanı performansını korumalarına olanak tanır ve yüksek oranda düzenlenmiş sektörlerde veri koruma için sıkı mevzuat gereksinimleriyle uyumluluğu destekler.
Example
Bu örnek , güvenlik temelinde (SE:01) oluşturulan Bilgi Teknolojisi (BT) ortamını temel alır. Aşağıdaki örnek diyagramda verilerin sınıflandırıldığı veri depoları gösterilmektedir.
Veritabanlarında ve disklerde depolanan verilere yalnızca Yöneticiler, Veritabanı yöneticileri gibi birkaç kullanıcı erişebilir. Ardından, genel kullanıcıların veya müşterilerin son istemcilerinin yalnızca uygulamalar veya atlama kutuları gibi İnternet'e açık katmanlara erişimi olması normaldir.
Uygulamalar, nesne depolama veya dosya sunucuları gibi disklerde depolanan veritabanları veya verilerle iletişim kurar.
Bazı durumlarda veriler şirket içi ortamda ve genel bulutta depolanabilir. Her ikisinin de tutarlı bir şekilde sınıflandırılmış olması gerekir.
Operatör kullanım örneğinde, uzak yöneticilerin bulutta erişim atlama kutularına veya iş yükünü çalıştıran bir sanal makineye ihtiyacı vardır. Erişim izinleri, veri sınıflandırma etiketlerine göre verilmelidir.
Veriler sanal makinelerde arka uç veritabanlarına taşınır ve veriler çapraz geçiş noktaları boyunca aynı gizlilik düzeyiyle ele alınmalıdır.
İş yükleri verileri doğrudan sanal makine disklerinde depolar. Bu diskler sınıflandırma kapsamındadır.
Karma bir ortamda, farklı kişiler farklı veri depolama teknolojilerine veya veritabanlarına bağlanmak için farklı mekanizmalar aracılığıyla şirket içi iş yüklerine erişebilir. Sınıflandırma etiketlerine göre erişim verilmelidir.
Şirket içi sunucular, dosya sunucuları, nesne depolama alanı ve ilişkisel, NoSQL ve veri ambarı gibi farklı veritabanı türleri gibi sınıflandırılması ve korunması gereken önemli verilere bağlanır.
Microsoft Purview Uyumluluğu, dosyaları ve e-postaları sınıflandırmak için bir çözüm sağlar.
Bulut için Microsoft Defender, yukarıdaki kullanım örneklerinde bahsedilen verileri depolamak için kullandığınız hizmetlerin çoğu dahil olmak üzere şirketinizin ortamınızdaki uyumluluğu izlemesine yardımcı olan bir çözüm sağlar.
İlgili bağlantılar
- Veri sınıflandırma ve duyarlılık etiketi taksonomisi - Microsoft Hizmet Güvencesi
- İyi tasarlanmış bir veri sınıflandırma çerçevesi oluşturma - Microsoft Hizmet Güvencesi
Sonraki adım
Öneriler kümesinin tamamına bakın.