Classifier vos données au repos, en cours de traitement et en transit
Les données numériques se trouvent toujours dans l’un de ces trois états : au repos, en cours de traitement ou en transit.
Ces trois états nécessitent des solutions techniques distinctes pour la classification des données, mais les principes de classification des données doivent être identiques pour chacun. Les données classifiées comme confidentielles doivent le rester dans chaque état.
Les données peuvent également être structurées ou non structurées. Les processus de classification standard pour les données structurées des bases de données et des feuilles de calcul sont moins complexes et fastidieux à gérer que ceux pour les données non structurées, comme des documents, du code source et des e-mails. En règle générale, les organisations ont davantage de données non structurées que de données structurées.
Quel que soit le type de données, les organisations doivent gérer la sensibilité des données. Quand elle est correctement implémentée, la classification des données permet de garantir que les données sensibles ou confidentielles sont gérées de façon plus sécurisée que les ressources de données considérées comme distribuables publiquement.
Protection des données au repos
Le chiffrement des données au repos est une étape obligatoire pour la confidentialité, la conformité et la souveraineté des données.
| Bonne pratique | Solution |
|---|---|
| Appliquez le chiffrement des disques pour protéger vos données. | Utilisez Microsoft Azure Disk Encryption, qui permet aux administrateurs informatiques de chiffrer les disques des machines virtuelles IaaS Windows et Linux. Il utilise la fonctionnalité standard BitLocker et la fonctionnalité DM-Crypt de Linux pour chiffrer les volumes des disques de système d’exploitation et de données. Stockage Azure et Azure SQL Database chiffrent par défaut les données au repos, et de nombreux services offrent le chiffrement en option. Vous pouvez utiliser Azure Key Vault pour garder le contrôle des clés qui accèdent à vos données et qui les chiffrent. Consultez Chiffrement des données au repos d’Azure pour en savoir plus. |
| Utilisez le chiffrement pour limiter les risques d’accès non autorisé aux données. | Chiffrez vos lecteurs avant d’y écrire des données sensibles. |
Les organisations qui ne chiffrent pas leurs données sont plus exposées aux problèmes d’intégrité des données. Par exemple, des utilisateurs non autorisés ou des hackers malveillants peuvent voler des données dans des comptes compromis ou accéder indûment à des données codées en format clair. Conformément aux réglementations du secteur, les entreprises doivent également prouver leur diligence et utiliser les contrôles de sécurité appropriés pour renforcer la sécurité de leurs données.
Protection des données en transit
La protection des données en transit doit être un aspect essentiel de votre stratégie de protection des données. Étant donné que les données transitent dans les deux sens entre de nombreux emplacements, nous vous recommandons généralement d’utiliser systématiquement les protocoles SSL/TLS pour le transfert des données entre les différents emplacements. Dans certains cas, vous souhaiterez isoler l’intégralité du canal de communication entre vos infrastructures locales et sur le cloud, via un réseau privé virtuel (VPN).
Pour les données qui transitent entre votre infrastructure locale et Azure, envisagez de recourir aux dispositifs de protection appropriés, comme HTTPS ou VPN. Lors de l’envoi de trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public, utilisez la passerelle VPN Azure.
Le tableau suivant liste les bonnes pratiques spécifiques à l’utilisation de la passerelle VPN Azure, et des protocoles SSL/TLS et HTTPS.
| Bonne pratique | Solution |
|---|---|
| Sécurisez l’accès depuis plusieurs stations de travail locales à un réseau virtuel Azure. | Utilisez un VPN de site à site. |
| Sécurisez l’accès depuis une station de travail locale à un réseau virtuel Azure. | Utilisez un VPN de point à site. |
| Déplacez les grands jeux de données via une liaison WAN à haute vitesse dédiée. | Utilisez Azure ExpressRoute. Si vous choisissez d’utiliser ExpressRoute, vous pouvez également chiffrer les données au niveau des applications en utilisant SSL/TLS ou d’autres protocoles pour une protection supplémentaire. |
| Interagissez avec Stockage Azure via le portail Azure. | Toutes les transactions se font via HTTPS. Vous pouvez aussi utiliser l’API REST de stockage sur HTTPS pour interagir avec Stockage Azure et Azure SQL Database. |
Les organisations qui ne parviennent pas à protéger les données en transit sont plus sensibles aux attaques d’intercepteur, aux écoutes électroniques et au piratage de session. Ces attaques peuvent être la première étape d’un processus visant à accéder à des données confidentielles.
Découverte de données
La fonctionnalité de découverte et de classification des données (actuellement en préversion) offre des fonctionnalités avancées intégrées à Azure SQL Database pour la découverte, la classification, l’étiquetage et la protection des données sensibles (par exemple les données d’entreprise, les données personnelles [contenu client] et les informations financières) dans vos bases de données. La recherche et la classification de ces données peuvent jouer un rôle important dans la protection des informations de votre organisation. Elles peuvent servir d’infrastructure pour :
- Aider à répondre aux standards de confidentialité des données et aux exigences de conformité réglementaires.
- Offrir une réponse à différents scénarios de sécurité, comme la supervision, l’audit et la génération d’alertes en cas d’accès anormaux à des données sensibles
- Contrôler l’accès et renforcer la sécurité des bases de données contenant des données hautement sensibles.
La fonctionnalité de découverte et de classification des données fait partie de l’offre Microsoft Defender pour SQL, qui est un package unifié de fonctionnalités de sécurité avancées de Microsoft SQL Server. Vous accédez et gérez la découverte et la classification des données via le volet Azure SQL Database du portail Azure.
La fonctionnalité de découverte et de classification des données introduit un ensemble de services avancés et de fonctionnalités SQL, qui forment un paradigme de protection des informations SQL visant à protéger les données, et non pas seulement la base de données :
- Découverte et recommandations : Le moteur de classification analyse votre base de données et identifie les colonnes contenant des données potentiellement sensibles. Il vous permet ensuite de vérifier et d’appliquer de façon plus naturelle les recommandations de classification appropriées via le portail Azure.
- Étiquetage : Vous pouvez appliquer de façon permanente des étiquettes de classification de sensibilité sur des colonnes en utilisant de nouveaux attributs de métadonnées de classification introduits dans le moteur SQL Server. Vous pouvez ajouter ces métadonnées pour des scénarios avancés d’audit et de protection basés sur la sensibilité.
- Interrogation de la sensibilité du jeu de résultats : La sensibilité du jeu de résultats est calculée en temps réel à des fins d’audit.
- Visibilité : Vous pouvez voir l’état de la classification de la base de données dans un tableau de bord détaillé dans le portail Azure. En outre, vous pouvez télécharger un rapport (au format Microsoft Excel) que vous pouvez utiliser à des fins de conformité et d’audit, en plus d’autres besoins.
Étapes pour la découverte, la classification et l’étiquetage
Les classifications ont deux attributs de métadonnées :
- Étiquettes : Il s’agit des principaux attributs de classification, utilisés pour définir le niveau de confidentialité des données stockées dans la colonne.
- Types d’informations : Ils fournissent une plus grande précision quant au type des données stockées dans la colonne.
La fonctionnalité de découverte et de classification des données SQL comprend un ensemble intégré d’étiquettes de sensibilité, de types d’informations et de logiques de découverte. Vous pouvez désormais personnaliser cette taxonomie, et définir un ensemble et un classement de constructions de classification spécifiquement pour votre environnement.
La personnalisation de votre taxonomie de classification se fait au même endroit pour l’ensemble de votre locataire Azure : Microsoft Defender pour le cloud. Seul un utilisateur disposant de droits d’administration pour le groupe d’administration racine du locataire Azure peut effectuer cette tâche.
Dans le cadre de la gestion des stratégies Azure Information Protection, vous pouvez définir des étiquettes personnalisées, les classer et les associer à un ensemble de types d’informations. Vous pouvez également ajouter vos propres types d’informations personnalisées et les configurer avec des modèles de chaîne, que vous ajoutez à la logique de découverte qui sert à identifier ce type de données dans vos bases de données. Découvrez plus d’informations sur la personnalisation et la gestion de votre stratégie avec les liens figurant dans le récapitulatif de ce module.
Après avoir défini la stratégie au niveau du locataire, vous pouvez passer à la classification des bases de données en utilisant votre stratégie personnalisée. Examinons ceci plus en détail avec Azure SQL Database.