資料分類的架構策略

適用於 Azure Well-Architected Framework 安全性檢查清單建議：

本指南說明資料分類的建議。 大部分的工作負載都會儲存各種類型的資料。 並非所有數據都同樣敏感。 資料分類可協助您根據資料的敏感度層級、資訊類型和合規性範圍對資料進行分類，以便您可以套用正確的保護層級。 保護包括存取控制、不同資訊類型的保留原則等。 雖然以資料分類為基礎的實際安全性控制不在本文的範圍之內，但它提供根據組織所設定的上述準則對資料進行分類的建議。

定義

資料分類是一項至關重要的練習，通常推動建立記錄系統及其功能。 分類也可協助您正確調整安全性保證的大小，並協助分級小組在事件回應期間加速探索。 設計程式的先決條件是清楚瞭解資料是否應被視為機密、受限、公開或任何其他敏感度分類。 確定資料儲存的位置也很重要，因為資料可能分佈在多個環境中。

資料探索是尋找資料的必要條件。 如果沒有這些知識，大多數設計都會採用中間方法，這可能會滿足也可能不會滿足安全要求。 資料可能會受到過度保護，導致成本和效能效率低下。 或者它可能沒有得到足夠的保護，這會增加攻擊面。

資料分類通常是一項繁瑣的工作。 有一些工具可以探索資料資產並建議分類。 但不要只依賴工具。 制定一個流程，讓團隊成員認真地進行練習。 然後在可行的情況下使用工具進行自動化。

除了這些最佳實務之外，請參閱 建立設計良好的資料分類架構。

了解組織定義的分類法

分類法 是資料分類的分層描述。 它已命名實體，指出分類準則。

一般來說，分類或定義分類法沒有通用標準。 它是由組織保護資料的動機所驅動。 分類可能會擷取合規性需求、工作負載使用者承諾的功能，或由業務需求驅動的其他準則。

以下是敏感度層級、資訊類型和合規性範圍的一些範例分類標籤。

身為工作負載擁有者，請仰賴您的組織為您提供明確定義的分類法。 所有工作負載角色都必須對敏感度層級的結構、命名法和定義有共同的瞭解。 不要定義自己的分類系統。

定義分類範圍

大多數組織都有一組不同的標籤。

清楚識別每個敏感度層級的哪些資料資產和元件在範圍內和範圍外。 你應該對結果有一個明確的目標。 目標可能是更快的分類、加速災難復原或法規稽核。 當您清楚地了解目標時，它可確保您正確調整分類工作的規模。

從這些簡單的問題開始，並根據您的系統複雜性根據需要進行擴展：

• 資料和資訊類型的來源是什麼？
• 根據存取權的預期限制是什麼？ 例如，是公共資訊資料、監管或其他預期用例？
• 數據足跡是多少？ 資料儲存在哪裡？ 資料應該保留多久？
• 架構的哪些元件會與資料互動？
• 資料如何在系統中移動？
• 審計報告中預計會提供哪些信息？
• 您需要對生產前資料進行分類嗎？

清查您的資料存放區

如果您有現有的系統，請清查範圍內的所有資料存放區和元件。 另一方面，如果您要設計新系統，請建立架構的資料流程維度，並根據分類定義進行初始分類。 分類適用於整個系統。 這與分類組態秘密和非秘密明顯不同。

定義您的範圍

定義範圍時要精細且明確。 假設您的資料存放區是表格式系統。 您想要在資料表層級或甚至資料表內的資料行對敏感度進行分類。 此外，請務必將分類延伸至可能相關或參與處理資料的非資料存放區元件。 例如，您是否對高度敏感資料存放區的備份進行分類？ 如果您要快取使用者敏感性資料，快取資料存放區是否在範圍內？ 如果您使用分析資料存放區，彙總資料如何分類？

根據分類標籤進行設計

分類應該會影響您的架構決策。 最明顯的領域是您的細分策略，它應該考慮不同的分類標籤。

例如，標籤會影響流量隔離界限。 可能存在需要端對端傳輸層安全性 （TLS） 的重要流量，而其他封包可以透過 HTTP 傳送。 如果有訊息透過訊息分配管理系統傳輸，則可能需要簽署某些訊息。

對於靜態資料，層級會影響加密選擇。 您可以選擇透過雙重加密來保護高度敏感的資料。 不同的應用程式密碼甚至可能需要具有不同保護層級的控制。 您也許可以證明將秘密儲存在硬體安全性模組 （HSM） 存放區中，這會提供更高的限制。 合規標籤也決定了有關正確保護標準的決策。 例如，PCI-DSS 標準強制使用 FIPS 140-2 第 3 級保護，該保護僅適用於 HSM。 在其他情況下，其他密碼儲存在一般密碼管理存放區中可能是可以接受的。

如果您需要保護使用中的資料，您可能想要將機密運算併入架構中。

分類資訊應該隨著資料在系統和工作負載元件之間轉換時隨資料一起移動 。 標示為機密的資料應被與其互動的所有元件視為機密。 例如，請務必透過從任何類型的應用程式日誌中刪除或混淆個人資料來保護個人資料。

分類會影響報表的設計 ，其資料的公開方式也一樣。 例如，根據您的資訊類型標籤，您是否需要套用資料遮罩演算法，以因資訊類型標籤而造成模糊化？ 哪些角色應該能夠查看原始資料與遮罩資料？ 如果報告有任何合規性要求，資料如何對應到法規和標準？ 當您了解這一點時，就更容易證明符合特定要求並為審計師生成報告。

它也會影響資料生命週期管理作業，例如資料保留和解除委任排程。

套用分類法進行查詢

有許多方法可以將分類標籤套用至已識別的資料。 使用具有中繼資料的分類結構描述是指示標籤的最常見方式。 透過結構描述進行標準化可確保報告準確無誤，將變化的可能性降到最低，並避免建立自訂查詢。 建立自動檢查以捕獲無效條目。

您可以手動、以程式設計方式套用標籤，或結合使用兩者。 架構設計過程應包括架構設計。 無論您有現有系統還是正在建置新系統，套用標籤時，請保持索引鍵/值組的一致性。

請記住，並非所有資料都可以明確分類。 明確決定如何在報告中表示無法分類的資料。

實際實作取決於資源的類型。 某些 Azure 資源具有內建的分類系統。 例如，Azure SQL Server具有分類引擎，支援動態遮罩，並且可以根據元資料產生報告。 Azure 服務匯流排支援包含可附加中繼資料的訊息結構描述。 當您設計實作時，請評估平台支援的功能並加以利用。 請確定用於分類的中繼資料已隔離，並與資料存放區分開儲存。

還有專門的分類工具可以自動檢測和應用標籤。 這些工具會連線到您的資料來源。 Microsoft Purview 具有自動探索功能。 還有提供類似功能的第三方工具。 探索程式應透過手動驗證來驗證。

定期檢閱資料分類。 分類維護應該內建於作業中，否則過時的中繼資料可能會導致已識別目標和合規性問題的錯誤結果。

取捨：請注意工具的成本取捨。 分類工具需要訓練，而且可能很複雜。

最終，分類必須通過中央團隊匯總到組織。 從他們那裡獲取有關預期報告結構的意見。 此外，利用集中式工具和流程來實現組織一致性並降低營運成本。

Azure 促進

Microsoft Purview 會統一 Azure Purview 和 Microsoft Purview 解決方案，以提供整個組織數據資產的可見度。 如需詳細資訊，請參閱 什麼是 Microsoft Purview？

Azure SQL 資料庫、Azure SQL 受控執行個體和 Azure Synapse Analytics 提供內建的分類功能。 使用這些工具來探索、分類、標記和報告資料庫中的敏感資料。 如需詳細資訊，請參閱 資料探索和分類。

對於分類為高度機密或在處理作業期間需要保護的資料，適用於 PostgreSQL 的 Azure 資料庫支援 機密運算 ，為使用中的資料提供硬體型加密。 該技術使組織能夠在處理操作期間保護敏感數據，同時保持資料庫效能，支援遵守嚴格監管的行業中嚴格的資料保護監管要求。

Example

此範例建立在 安全性基準 （SE：01） 中建立的資訊科技 （IT） 環境。 下列範例圖表顯示資料分類的資料存放區。

1. 儲存在資料庫和磁碟上的資料應該只有少數使用者才能存取，例如管理員、資料庫管理員。 然後，一般使用者或客戶的最終用戶端通常只能存取公開於因特網的層，例如應用程式或跳躍方塊。

2. 應用程式會與儲存在磁碟上的資料庫或資料 （例如物件儲存體或檔案伺服器） 進行通訊。

3. 在某些情況下，資料可能會儲存在內部部署環境和公有雲中。 兩者都需要一致地分類。

4. 在操作員使用案例中，遠端管理員需要存取雲端或執行工作負載的虛擬機器上的跳轉箱。 應根據資料分類標籤提供存取權限。

5. 資料會透過虛擬機器移動至後端資料庫，而且資料應該在整個遍歷點中以相同層級的機密性來處理。

6. 工作負載將資料直接儲存在虛擬機器磁碟中。 這些磁碟在分類範圍內。

7. 在混合式環境中，不同的角色可能會透過不同的機制存取內部部署的工作負載，以連線到不同的資料儲存技術或資料庫。 必須根據分類標籤授與存取權。

8. 內部部署伺服器會連線到需要分類和保護的重要資料，例如檔案伺服器、物件儲存體，以及不同類型的資料庫，例如關聯式資料庫、NoSQL資料庫和資料倉儲資料庫。

9. Microsoft Purview 合規性提供分類檔案和電子郵件的解決方案。

10. 適用於雲端的 Microsoft Defender 提供解決方案，可協助貴公司追蹤環境中的合規性，包括上述這些使用案例中所述的許多用來儲存資料的服務。

相關連結

• 資料分類和敏感度標籤分類 - Microsoft Service Assurance
• 建立設計良好的資料分類架構 - Microsoft Service Assurance

後續步驟

請參閱完整的建議集。