¿Puedo evitar que todos los empleados accedan a los datos del cliente sin ser registrados (especialmente TI)?

4

Estoy hospedando una aplicación web y una base de datos de servidor SQL en Azure y me gustaría asegurarme de que ninguna persona en la compañía pueda acceder a los datos de los clientes sin que se haya registrado el acceso. Parece que con todas las opciones de seguridad en Azure, siempre hay una forma para que al menos un administrador con intenciones maliciosas pueda acceder a las claves y acceder de forma anónima a los datos o al almacenamiento de los mismos. ¿Qué opción hay para proteger los datos del acceso sin un registro de auditoría?

(Este alcance de esta pregunta no incluye la confianza en el proveedor de la nube y está específicamente relacionado solo con la protección contra empleados de la empresa de tecnología)

    
pregunta Bentley Davis 27.01.2016 - 15:51
fuente

2 respuestas

2

Si hay una manera de acceder a los datos sin un registro de auditoría, asegure las credenciales necesarias para acceder a ellos de esa manera y audite su acceso. Software como Vault está orientado hacia esto. El control físico de un token de MFA, como almacenarlo en un YubiKey y luego colocarlo en un lugar seguro con alguien que no controle la contraseña, le proporcionará un control dual.

    
respondido por el Jeff Ferland 27.01.2016 - 17:07
fuente
2

Creo que será extremadamente difícil, si no imposible, hacer esto.

Piense en TODOS los lugares donde existen datos de clientes, o puede acceder a ellos desde:

Servidores SQL de producción. Desarrollo de servidores SQL. Servidores de respaldo. Producción de servidores web. Desarrollo de servidores web.

Probablemente ya esté auditando servidores web de producción. Pero, ¿qué pasa con los servidores web de desarrollo? ¿Se conserva la pista de auditoría o se destruye al actualizar el entorno?

Incluso entonces, aún necesitaría pistas de auditoría tanto en sus servidores SQL como en los servidores de respaldo. Esto puede o no ser posible, dependiendo de lo que esté usando para su servidor SQL y para la copia de seguridad.

En esencia, la auditoría de todo el acceso a los datos no es una tarea trivial porque los datos deben fluir fácilmente para realizar el trabajo, y la auditoría de cualquier acceso no está integrada en cada producto.

    
respondido por el Steve Sether 27.01.2016 - 17:32
fuente

Lea otras preguntas en las etiquetas