Progettare per proteggere la riservatezza

  • 10 minuti
Impedire l'esposizione di informazioni soggette a privacy, normative, applicative e proprietarie tramite restrizioni di accesso e tecniche di offuscamento.

I dati del carico di lavoro possono essere classificati per utente, utilizzo, configurazione, conformità, proprietà intellettuale e altro ancora. I dati del carico di lavoro non devono essere condivisi o accessibili oltre i limiti di attendibilità stabiliti. Gli sforzi per proteggere la riservatezza devono concentrarsi su controlli di accesso, opacità e sul mantenimento di un audit trail delle attività relative ai dati e al sistema.

Scenario di esempio

Contoso Rise Up fornisce un'offerta SaaS (Software as a Service) multi-tenant specificatamente pensata per supportare le attività di raccolta fondi e donazioni di organizzazioni no profit. È presente sul mercato già da alcuni anni ed ha una solida base di clienti. La soluzione è basata su Azure Red Hat OpenShift (ARO) e Database di Azure per PostgreSQL. Offre sia tenant isolati che tenant con percorso condiviso come offerta più conveniente.

Limitare rigorosamente l'accesso

Implementare controlli di accesso sicuro che concedono l'accesso solo in base alle esigenze.

Il carico di lavoro sarà protetto da accessi non autorizzati e attività vietate. Anche quando l'accesso proviene da identità attendibili, le autorizzazioni di accesso e il tempo di esposizione verranno ridotti al minimo perché il percorso di comunicazione è aperto per un periodo limitato.

Sfida di Contoso

  • Contoso Rise Up è sempre stata orgogliosa del suo supporto clienti straordinario. Tutti i membri del team di supporto possono accedere immediatamente ai dati dei clienti per risolvere più facilmente i problemi e consigliare i clienti in tempo reale.
  • Il team di supporto viene regolarmente addestrato sull'accesso etico.
  • Sfortunatamente, un dipendente del supporto scontento ha copiato e condiviso pubblicamente l'elenco dei donatori di un'organizzazione, violando la riservatezza del cliente’. Benché il dipendente sia stato licenziato, Contoso Rise Up ha comunque subito un danno di immagine.

Applicazione dell'approccio e risultati

  • Contoso Rise Up ha implementato una rigorosa segmentazione degli utenti in gruppi di Microsoft Entra e ha definito il Controllo degli accessi in base al ruolo per tali gruppi ai vari gruppi di risorse e alle risorse.
  • Tutto l'accesso ai dati è limitato nel tempo e passa attraverso un processo di approvazione e controllo.
  • Questi standard sono stati applicati nei carichi di lavoro e ai team di supporto clienti. Contoso Rise Up ora è sicura che non ci sia accesso permanente ai dati dei clienti.

Identificare i dati riservati tramite la classificazione

Classificare i dati in base al tipo, alla sensibilità e al rischio potenziale. Assegnare un livello di riservatezza per ognuno di essi. Includere i componenti di sistema inclusi nell'ambito per il livello identificato.

Questa valutazione consente di misurare le dimensioni corrette della sicurezza. Sarà anche possibile identificare i dati e i componenti che hanno un impatto potenziale e/o esposizione al rischio alta. Questo esercizio aggiunge chiarezza alla strategia di protezione delle informazioni e contribuisce a garantire il contratto.

Sfida di Contoso

  • Il sistema di gestione dei donatori archivia molti tipi diversi di dati, che vanno da informazioni riservate per Contoso Rise Up (ad esempio, l'elenco dei clienti), a informazioni riservate per i clienti (ad esempio l'elenco dei donatori) e a informazioni riservate per i donatori dei clienti’ (ad esempio il loro indirizzo postale).
  • Il sistema contiene anche dati non sensibili, ad esempio immagini di magazzino e modelli di documenti.
  • Il team del carico di lavoro non ha mai avuto il tempo di classificare i dati e ha semplicemente applicato la sicurezza su larga scala nel set di dati.

Applicazione dell'approccio e risultati

  • Su indicazioni del responsabile della tassonomia dell'organizzazione Contoso, il team del carico di lavoro impiega tempo per contrassegnare archivi dati, colonne, account di archiviazione e altre risorse di archiviazione con metadati che indicano il tipo e la riservatezza dei dati presenti.
  • Questa attività offre al team la possibilità di verificare che i dati sensibili vengano trattati con il livello di riservatezza richiesto nell'intero sistema, incluse le istruzioni di registrazione e i backup.
  • Il team rileva che sono presenti alcuni dati relativamente sensibili in un database con una sicurezza minore e alcuni dati non sensibili in un database di sicurezza maggiore. Modificheranno le posizioni di archiviazione per assicurarsi che i controlli di sicurezza siano allineati ai dati che proteggono.
  • Pianificano anche l'implementazione della maschera dati nei campi chiave per proteggere meglio la riservatezza dei dati, anche quando il personale autorizzato accede al sistema.

Applicare la crittografia in ogni passaggio del ciclo di vita dei dati

Proteggere i dati inattivi, in transito e durante l'elaborazione usando la crittografia. Basare la strategia sul livello di riservatezza assegnato.

Seguendo questo approccio, anche se un utente malintenzionato ottiene l'accesso, non sarà in grado di leggere correttamente i dati sensibili crittografati.

I dati sensibili includono le informazioni di configurazione usate per ottenere ulteriore accesso all'interno del sistema. La crittografia dei dati consente di contenere rischi.

Sfida di Contoso

  • Contoso Rise Up esegue backup per tenant dei database PostgreSQL usando i ripristini temporizzato predefiniti. Inoltre, per ulteriore sicurezza, esegue un backup coerente a livello di transazione al giorno in un account di archiviazione isolato per la preparazione completa del ripristino di emergenza.
  • L'account di archiviazione usato per il ripristino di emergenza è limitato con accesso just-in-time e pochi account Microsoft Entra ID sono autorizzati ad accedervi.
  • Durante un'analisi del ripristino, un dipendente ha eseguito il processo per accedere a un backup e copiato accidentalmente un backup nella condivisione di rete nell'organizzazione Contoso.
  • Questo backup è stato individuato e segnalato al team della privacy di Contoso qualche mese dopo ed è stata avviata un'indagine su come è stato eseguito l'accesso tra il punto dell'evento imprevisto e il tempo di individuazione. Fortunatamente non è stata rilevata alcuna violazione della riservatezza e il file è stato eliminato dopo il completamento della revisione forense e del controllo.

Applicazione dell'approccio e risultati

  • Il team ha formalizzato un nuovo processo che indica che tutti i backup devono essere crittografati inattivi e che le chiavi di crittografia devono essere protette in Key Vault.
  • Ora gli eventi imprevisti come questo avranno una minore probabilità di causare violazioni della privacy, poiché i dati contenuti nel file di backup sarebbero inutili se non decrittografati.
  • Inoltre, il piano di ripristino di emergenza include ora linee guida standard che determinano la corretta gestione dei backup, tra cui come e quando decrittografare in modo sicuro un backup.

Verificare le conoscenze

1.

Quale dei seguenti è un esempio di un utente con la necessità di avere accesso ai dati riservati dei clienti?

2.

Vero o falso: la classificazione dei dati è un processo che è necessario eseguire una sola volta.

3.

Qual è un esempio di come Contoso ha applicato la crittografia per proteggere l'integrità dei dati?