保護機密性的設計
 透過存取限制和混淆技術,防止暴露在隱私權、法規、應用程式和專屬資訊。 |
|---|
工作負載數據可依使用者、使用方式、組態、合規性、智慧財產權等進行分類。 工作負載數據不得共用或存取超過已建立的信任界限。 保護機密性的努力應著重於訪問控制、不透明度,以及保留與數據和系統相關的活動稽核線索。
範例案例
Contoso Rise Up 提供多租使用者軟體即服務供應專案,專門支援非營利組織的籌款和捐贈活動。 他們已經在市場上幾年了,現在有一個健康的客戶基礎。 此解決方案建置在 Azure Red Hat OpenShift (ARO) 和 適用於 PostgreSQL 的 Azure 資料庫 上。 它提供隔離的租使用者和共置租用戶作為更實惠的供應專案。
嚴格限制存取
實作強式訪問控制,僅視需要知道授與存取權。
工作負載將受到保護,免於未經授權的存取和禁止的活動。 即使存取來自信任的身分識別,訪問許可權和曝光時間也會最小化,因為通訊路徑在有限的期間內已開啟。
Contoso 的挑戰
- Contoso Up 一直以驚人的客戶支援為榮。 支援小組中的每個人都已準備好存取客戶數據,以即時協助進行疑難解答和建議。
- 支援小組會定期訓練道德存取。
- 不幸的是,一位不滿的支持員工複製並公開分享組織的捐贈者清單,違反了客戶的機密性。 當員工被解僱時,Contoso Up 的聲譽傷害已經完成。
套用方法和結果
- Contoso Up 實作嚴格分割使用者到 Microsoft Entra ID 群組,併為這些群組定義 RBAC 到各種資源群組和資源。
- 所有對數據的存取都會有時間限制,並經過核准和稽核程式。
- 這些標準已套用至工作負載和客戶支援小組。 Contoso Up 現在確信客戶數據沒有常設存取權。
透過分類識別機密數據
根據數據類型、敏感度和潛在風險來分類數據。 為每個指派機密層級。 包含已識別層級範圍內的系統元件。
此評估可協助您正確調整安全性量值的大小。 您也可以識別具有高潛在影響和/或風險暴露的數據和元件。 本練習會讓您的資訊保護策略更加清楚,並協助確保合約。
Contoso 的挑戰
- 捐贈者管理系統會儲存許多不同類型的數據,從機密資訊到 Contoso Up Up(例如客戶清單),到客戶機密的資訊(例如捐贈者清單),以及客戶捐贈者機密的資訊(例如其郵寄位址)。
- 系統也會保存不區分的數據,例如庫存影像和文件範本。
- 工作負載小組從未花時間分類數據,而且只會在數據集中廣泛套用安全性。
套用方法和結果
- 在 Contoso 組織的分類領先之後,工作負載小組會花時間標記數據存放區、數據行、記憶體帳戶和其他記憶體資源的元數據,以指出數據存在的類型和敏感度。
- 此活動可讓小組有機會驗證敏感數據是否受到整個系統所需的機密性層級的處理,包括記錄語句和備份。
- 小組發現他們在較低的安全性資料庫中有一些相對敏感的數據,並在較高的安全性資料庫中有一些不區分的數據。 他們會調整儲存位置,以確保安全性控件符合其所保護的數據。
- 他們還計劃對關鍵欄位實作數據遮罩,以更好地保護數據的機密性,即使獲授權的員工存取系統也一樣。
在數據生命週期的每個步驟套用加密
保管庫 使用加密來保護待用數據、傳輸中和處理期間的數據。 根據您的策略,以指派的機密性層級為基礎。
藉由遵循這種方法,即使攻擊者取得存取權,他們也無法讀取正確加密的敏感數據。
敏感數據包含組態資訊,可用來在系統內取得進一步存取權。 數據加密可協助您包含風險。
Contoso 的挑戰
- Contoso Rise Up 會使用內建的時間點還原,對 PostgreSQL 資料庫進行個別租用戶備份。 此外,為了增加保證,他們每天對隔離記憶體帳戶進行一次交易一致的備份,以進行完整災害復原(DR) 準備。
- 用於DR的記憶體帳戶受限於 Just-In-Time 存取,而且允許存取少數 Microsoft Entra ID 帳戶。
- 在復原演練期間,員工會經歷存取備份的程式,並意外將備份複製到 Contoso 組織中的網路共用。
- 幾個月後,此備份已探索並回報給 Contoso 的隱私權小組,對事件點與探索時間之間的存取方式展開調查。 幸運的是,偵測到沒有機密性缺口,而且檔案會在鑑識和稽核檢閱完成後刪除。
套用方法和結果
- 小組已正式化新的程式,說明所有備份都必須待用加密,且加密密鑰必須在 金鑰保存庫 中受到保護。
- 現在這類事件會降低隱私權外洩的可能性,因為備份檔中包含的數據將無法使用,而無法解密。
- 此外,DR 計劃現在包含標準指引,可正確處理備份,包括如何及何時安全地解密備份。