數據分類的建議

發行項
05/01/2024

適用於 Azure Well-Architected Framework 安全性檢查清單建議：

SE：03	分類並一致地將敏感度標籤套用到數據處理所涉及的所有工作負載數據和系統。使用分類來影響工作負載設計、實作和安全性優先順序。

本指南說明數據分類的建議。大部分的工作負載都會儲存各種類型的數據。並非所有數據都同樣敏感。數據分類可協助您根據數據的敏感度層級、資訊類型和合規性範圍來分類數據，以便套用正確的保護層級。保護包括訪問控制、不同資訊類型的保留原則等等。雖然根據數據分類的實際安全性控制不在本文的範圍內，但它會根據貴組織所設定的上述準則來提供分類數據的建議。

定義

詞彙	定義
分類	依敏感度層級、資訊類型、合規性需求和其他準則分類工作負載資產的程式。
中繼資料	將分類法套用至資產的實作。
分類法	使用已同意的結構來組織分類數據的系統。一般而言，數據分類的階層式描述。它有具名實體，表示分類準則。

主要設計策略

數據分類是一個重要練習，通常會推動建立記錄系統及其功能。分類也可協助您正確調整安全性保證的大小，並協助分級小組在事件回應期間進行分類探索。設計程式的必要條件是清楚了解數據是否應視為機密、受限制、公用或任何其他敏感度分類。也請務必判斷儲存數據的位置，因為數據可能會分散到多個環境。

需要數據探索才能找出數據。如果沒有該知識，大部分的設計都採用中間的方法，這可能會或可能無法滿足安全性需求。數據可以過度保護，導致成本和效能效率不佳。或者，它可能沒有足夠的保護，這會新增至受攻擊面。

數據分類通常是很麻煩的練習。有一個工具可用來探索數據資產，並建議分類。但不只是依賴工具。有一個程式可讓小組成員努力執行練習。然後，使用工具在可行時自動化。

除了這些最佳做法之外，請參閱 Create 設計良好的數據分類架構。

瞭解組織定義的分類法

分類法是數據分類的階層式描述。它有具名實體，表示分類準則。

一般而言，分類或定義分類法沒有通用標準。它是由組織保護數據的動機所驅動。分類法可能會擷取合規性需求、工作負載用戶承諾的功能，或商務需求驅動的其他準則。

以下是敏感度層級、資訊類型和合規性範圍的一些分類標籤範例。

敏感度	資訊類型	合規性範圍
公用、一般、機密、高度機密、秘密、最高秘密、敏感性	財務、信用卡、名稱、聯繫人資訊、認證、銀行、網路、SSN、健康情況欄位、生日、智慧財產權、個人資料	HIPAA、PCI、CCPA、SOX、RTB

身為工作負載擁有者，依賴您的組織提供定義完善的分類法。所有工作負載角色都必須對敏感度層級的結構、名詞和定義有共享的瞭解。請勿定義您自己的分類系統。

定義分類範圍

大部分的組織都有一組不同的標籤。

清楚識別每個敏感度層級的數據資產和元件在範圍內和範圍不足。您應該對結果有清楚的目標。目標是更快速的分級、加速的災害復原或法規稽核。當您清楚了解目標時，它可確保正確調整分類工作的大小。

請從下列簡單問題開始，並視需要根據您的系統複雜度展開：

數據和資訊類型的來源為何？
根據存取的預期限制為何？例如，這是公開資訊數據、法規或其他預期的使用案例嗎？
數據使用量為何？儲存資料的位置？應該保留數據多久？
架構的哪些元件會與數據互動？
數據如何透過系統移動？
稽核報告中的預期信息為何？
您需要分類生產前數據嗎？

清查您的數據存放區

如果您有現有的系統，請清查範圍內的所有數據存放區和元件。另一方面，如果您要設計新的系統，請建立架構的數據流維度，並依分類法定義進行初始分類。分類適用於整個系統。這與分類組態秘密和非秘密不同。

定義範圍

定義範圍時，請更細微且明確。假設您的資料存放區是表格式系統。您想要分類數據表層級的敏感度，或甚至是數據表內的數據行。此外，請務必將分類延伸至可能相關的非數據存放區元件，或有處理數據的一部分。例如，您是否已分類高度敏感數據存放區的備份？如果您要快取使用者敏感數據，快取數據存放區是否在範圍內？如果您使用分析數據存放區，匯總的數據如何分類？

根據分類標籤進行設計

分類應該會影響您的架構決策。最明顯的區域是您分割策略，這應該考慮不同的分類標籤。

例如，卷標會影響流量隔離界限。在需要 TLS) 的端對端傳輸層安全性 (，而其他封包可以透過 HTTP 傳送時，可能會有重要流程。如果有透過訊息代理程式傳輸的訊息，可能需要簽署特定訊息。

對於待用數據，層級會影響加密選擇。您可以選擇透過雙重加密來保護高度敏感數據。不同的應用程式秘密甚至可能需要使用不同層級的保護來控制。您可能能夠將秘密儲存在硬體安全性模組中， (HSM) 存放區，以提供較高的限制。合規性標籤也會決定正確的保護標準。例如，PCI-DSS 標準會強制使用 FIPS 140-2 層級 3 保護，這僅適用於 HSM。在其他情況下，其他秘密可能可接受儲存在一般秘密管理存放區中。

如果您需要保護使用中的數據，建議您在架構中納入機密運算。

分類資訊應該隨著數據在透過系統和工作負載元件之間轉換時移動 。標示為機密的數據應該被視為與其互動的所有元件機密。例如，請務必從任何類型的應用程式記錄中移除或混淆個人資料，以保護個人資料。

分類會影響報表的設計 ，以應公開數據的方式。例如，根據您的資訊類型標籤，您是否需要套用數據遮罩演演算法來混淆，因為資訊類型標籤的結果？哪些角色應該能看見原始數據與遮罩數據？如果報告有任何合規性需求，數據如何對應至法規和標準？當您瞭解這項知識時，更容易示範符合特定需求，併產生稽核員的報告。

它也會影響數據生命週期管理作業，例如數據保留和解除委任排程。

套用分類法以查詢

有許多方法可將分類標籤套用至識別的數據。使用分類架構搭配元數據是指出標籤最常見的方式。透過架構標準化可確保報告正確、將變化的機會降到最低，並避免建立自定義查詢。建置自動化檢查以攔截無效的專案。

您可以手動、以程序設計方式套用標籤，或使用兩者的組合。架構設計程式應該包含架構的設計。不論您有現有的系統或正在建置新的系統，在套用標籤時，都會在索引鍵/值組中維持一致性。

請記住，並非所有數據都可以清楚分類。明確決定無法分類的數據應該如何以報告方式表示。

實際實作取決於資源類型。某些 Azure 資源具有內建分類系統。例如，Azure SQL 伺服器具有分類引擎、支援動態遮罩，而且可以根據元數據產生報告。 Azure 服務匯流排支援包含可以附加元數據的訊息架構。當您設計實作時，請評估平臺所支援的功能，並利用這些功能。請確定用於分類的元數據是隔離的，並且與數據存放區分開儲存。

另外還有特殊的分類工具可以自動偵測並套用標籤。這些工具會連線到您的數據來源。 Microsoft Purview 具有自動探索功能。另外還有提供類似功能的第三方工具。探索程式應該透過手動驗證進行驗證。

定期檢閱數據分類。分類維護應該內建於作業中，否則過時元數據可能會導致識別的目標和合規性問題發生錯誤的結果。

取捨：留意工具的成本取捨。分類工具需要定型，而且可能相當複雜。

最後，分類必須透過中央小組匯總至組織。取得有關預期報表結構的輸入。此外，利用集中式工具和程式，讓組織保持一致，並減輕營運成本。

Azure 設施

Microsoft Purview 會統一 Azure Purview 和 Microsoft Purview 解決方案，以提供整個組織數據資產的可見度。如需詳細資訊，請參閱什麼是 Microsoft Purview？

Azure SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics 提供內建分類功能。使用這些工具來探索、分類、標記和報告資料庫中的敏感數據。如需詳細資訊，請參閱數據探索和分類。

範例

此範例是以在安全性基準中建立的資訊技術 (IT) 環境為基礎， (SE：01) 。下圖顯示數據分類所在的數據存放區。

儲存在資料庫和磁碟上的數據應該只能供少數使用者存取，例如系統管理員、資料庫管理員。然後，一般使用者或客戶的最終用戶端通常只能存取公開至因特網的圖層，例如應用程式或跳躍方塊。
應用程式會與儲存在磁碟上的資料庫或數據通訊，例如物件記憶體或檔案伺服器。
在某些情況下，數據可能會儲存在內部部署環境和公用雲端中。這兩者都必須一致地分類。
在操作員使用案例中，遠端系統管理員需要在雲端或執行工作負載的虛擬機上存取跳躍方塊。應根據數據分類標籤來提供訪問許可權。
數據會透過虛擬機移至後端資料庫，而且在整個周遊點中，應以相同層級的機密性來處理數據。
工作負載會將數據直接儲存在虛擬機磁盤中。這些磁碟在分類範圍內。
在混合式環境中，不同的角色可以透過不同的機制存取內部部署工作負載，以聯機到不同的數據儲存技術或資料庫。必須根據分類標籤來授與存取權。
內部部署伺服器會連線到需要分類及保護的重要數據，例如檔案伺服器、物件記憶體和不同類型的資料庫，例如關係型、無 SQL 和數據倉儲。
Microsoft Purview 合規性提供分類檔案和電子郵件的解決方案。
Microsoft Defender for Cloud 提供一個解決方案，可協助您的公司追蹤環境中的合規性，包括許多用來儲存數據的服務，如上述的這些 se 案例所述。

後續步驟

請參閱一組完整的建議。

安全性檢查清單

數據分類的建議