保护机密性的设计
 通过访问限制和混淆技术防止隐私、监管信息、应用程序和专有信息暴露。 |
|---|
工作负载数据可以按用户、使用情况、配置、合规性、知识产权等进行分类。 工作负载数据不得在已建立的信任边界之外共享或访问。 保护机密性的工作应侧重于访问控制、不透明度以及对与数据和系统相关的活动进行审核跟踪。
示例场景
Contoso Rise Up 提供多租户软件即服务产品,专门支持非营利组织的筹款和捐赠活动。 产品已上市几年,目前拥有健康的客户群。 解决方案基于 Azure Red Hat OpenShift (ARO) 和 Azure Database for PostgreSQL 构建。 它为独立租户和并置租户提供更实惠的产品/服务。
严格限制访问
实现强大的访问控制,仅在需要时授予访问权限。
将保护工作负载免遭未经授权的访问和禁止的活动。 即使访问来自受信任的标识,访问权限和公开时间也将尽量减小,因为通信路径在有限的时间内处于开放状态。
Contoso 的挑战
- Contoso Rise Up 始终以出色的客户支持而自豪。 支持团队中的每个人都可以随时访问客户数据,以帮助实时进行故障排除和提供建议。
- 支持团队定期接受道德访问方面的培训。
- 很不幸,一名心怀不满的支持员工复制并公开分享了某个组织的捐赠者名单,违反了客户的保密性。 虽然该员工已被解雇,但仍使 Contoso Rise Up 声誉受到了损害。
应用方法和结果
- Contoso Rise Up 将用户严格划分为 Microsoft Entra ID 组,并为这些组定义了对各种资源组和资源的 RBAC。
- 所有数据访问都具有时间限制,并经过批准和审核流程。
- 这些标准已应用于工作负载和客户支持团队。 Contoso Up 现在确信无法对客户数据进行长期访问。
通过分类识别机密数据
根据数据类型、敏感度和潜在风险对数据进行分类。 为每个数据分配机密级别。 包括在已识别级别范围内的系统组件。
此评估可帮助你正确调整安全措施。 你还能够识别具有较高潜在影响和/或面临风险的数据和组件。 此练习可以使信息保护策略更加清晰,并有助于确保达成一致。
Contoso 的挑战
- 捐赠者管理系统存储许多不同类型的数据,从 Contoso Rise Up 的机密信息(例如其客户名单),到客户的机密信息(例如捐赠者名单),以及对其客户捐赠者保密的信息(例如其邮寄地址)。
- 该系统还保存不敏感的数据,如库存图像和文档模板。
- 工作负载团队从未花时间对数据进行分类,只是在整个数据集中广泛应用了安全性。
应用方法和结果
- 按照 Contoso 组织的分类法指导,工作负载团队花费时间用元数据来标记数据存储、列、存储帐户和其他存储资源,以指示其中存在的数据类型和敏感度。
- 此活动使团队有机会验证敏感数据是否按照整个系统(包括日志记录语句和备份)所需的机密级别进行处理。
- 团队发现,他们在安全性较低的数据库中有一些相对敏感的数据,在安全性较高的数据库中有一些不敏感的数据。 他们将调整存储位置,以确保安全控制与要保护的数据保持一致。
- 他们还计划对关键字段实施数据掩码,以便更好地保护数据的机密性,即使经过授权的员工访问系统也是如此。
在数据生命周期的每个步骤应用加密
使用加密来保护静态数据、传输数据中和处理过程中的数据。 根据分配的机密级别制定策略。
通过采用这种方法,即使攻击者获得访问权限,也无法读取正确加密的敏感数据。
敏感数据包含用于获得系统内部进一步访问权限的配置信息。 数据加密可以帮助你控制风险。
Contoso 的挑战
- Contoso Rise Up 使用内置时间点还原对 PostgreSQL 数据库进行按租户备份。 此外,为了增加保证,他们每天向独立存储帐户进行一次事务一致的备份,以做好全面的灾难恢复 (DR) 准备。
- 用于 DR 的存储帐户受到即时访问限制,仅允许少数 Microsoft Entra ID 帐户访问。
- 在恢复演练期间,一名员工完成了访问备份的过程,并意外地将备份复制到 Contoso 组织中的网络共享。
- 几个月后,Contoso 的隐私团队发现并报告了此备份,并开始调查从事件发生到被发现期间该备份的访问方式。 幸运的是,未检测到机密泄露,并且在取证和审核评审完成后,该文件被删除。
应用方法和结果
- 团队已经正式制定了一个新流程,规定所有备份必须静态加密,并且加密密钥必须在 Key Vault 中受到保护。
- 现在,此类事件泄露隐私的可能性将会降低,因为如果无法解密,备份文件中包含的数据将毫无用处。
- 此外,DR 计划现在纳入了规定正确处理备份的标准指南,包括如何以及何时安全解密备份。