Posso impedire a tutti i dipendenti di accedere ai dati dei clienti senza essere registrati (soprattutto IT)

Question

Posso impedire a tutti i dipendenti di accedere ai dati dei clienti senza essere registrati (soprattutto IT)

#1 da (2 voti)
#2 da (2 voti)

4

Sto ospitando un'applicazione Web e un database SQL server su Azure e vorrei garantire che nessun individuo dell'azienda possa accedere ai dati dei clienti senza che l'accesso venga registrato. Sembra che con tutte le opzioni di sicurezza in Azure ci sia sempre un modo per almeno un amministratore con intenzioni malevole di accedere alle chiavi e accedere in modo anonimo ai dati o all'archiviazione dei dati. Quale opzione ci sono per proteggere i dati dall'accesso senza un log di controllo?

(Questo ambito di questa domanda non include la fiducia nel fornitore di servizi cloud e riguarda specificamente la protezione contro i dipendenti della società tecnologica)

encryption azure web-application

posta Bentley Davis 27.01.2016 - 15:51

fonte

2 risposte

Leggi altre domande sui tag encryption azure web-application

PKCS # 11 sicurezza degli oggetti di sessione Il parametro PST di SQLmap 'txtLoginID' non è iniettabile

score 2 · Answer 1

Se esiste un modo per accedere ai dati senza un registro di controllo, proteggere le credenziali necessarie per accedervi in questo modo e verificarne l'accesso. Software come Vault è orientato verso questo. Il controllo fisico di un token MFA come l'immagazzinamento su un YubiKey e quindi metterlo in un posto sicuro con qualcuno che non controlla la password ti fornirà un doppio controllo.

score 2 · Answer 2

Penso che sarà estremamente difficile, se non impossibile, fare questo.

Pensa a TUTTI i luoghi in cui i dati dei clienti esistono o accessibili da:

Server SQL di produzione. Sviluppo di server SQL. Server di backup Server web di produzione. Sviluppo webserver.

Probabilmente stai già controllando i server web di produzione. Ma per quanto riguarda i server web di sviluppo e la traccia di controllo è stata conservata o viene spazzata via quando si aggiorna l'ambiente?

Anche allora, avresti ancora bisogno di audit trail sia sui tuoi server SQL che sui server di backup. Questo potrebbe essere o meno possibile anche a seconda di cosa stai usando per il tuo server SQL e per il backup.

In sostanza, il controllo di tutti gli accessi ai dati non è un compito banale, perché i dati devono scorrere facilmente per svolgere il lavoro e il controllo di qualsiasi accesso non è incorporato in ogni prodotto.