¿Puedo evitar que todos los empleados accedan a los datos del cliente sin ser registrados (especialmente TI)?

Question

¿Puedo evitar que todos los empleados accedan a los datos del cliente sin ser registrados (especialmente TI)?

#1 de Jeff Ferland (2 votos)
#2 de Steve Sether (2 votos)

4

Estoy hospedando una aplicación web y una base de datos de servidor SQL en Azure y me gustaría asegurarme de que ninguna persona en la compañía pueda acceder a los datos de los clientes sin que se haya registrado el acceso. Parece que con todas las opciones de seguridad en Azure, siempre hay una forma para que al menos un administrador con intenciones maliciosas pueda acceder a las claves y acceder de forma anónima a los datos o al almacenamiento de los mismos. ¿Qué opción hay para proteger los datos del acceso sin un registro de auditoría?

(Este alcance de esta pregunta no incluye la confianza en el proveedor de la nube y está específicamente relacionado solo con la protección contra empleados de la empresa de tecnología)

web-application encryption azure

pregunta Bentley Davis 27.01.2016 - 15:51

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-application encryption azure

¿Contra qué ataques CSRF protegerán las cookies de "Sólo primera persona"? ¿Por qué SSL / TLS usa el código de autenticación de mensajes en lugar de la firma digital?

score 2 · Answer 1

Si hay una manera de acceder a los datos sin un registro de auditoría, asegure las credenciales necesarias para acceder a ellos de esa manera y audite su acceso. Software como Vault está orientado hacia esto. El control físico de un token de MFA, como almacenarlo en un YubiKey y luego colocarlo en un lugar seguro con alguien que no controle la contraseña, le proporcionará un control dual.

score 2 · Answer 2

Creo que será extremadamente difícil, si no imposible, hacer esto.

Piense en TODOS los lugares donde existen datos de clientes, o puede acceder a ellos desde:

Servidores SQL de producción. Desarrollo de servidores SQL. Servidores de respaldo. Producción de servidores web. Desarrollo de servidores web.

Probablemente ya esté auditando servidores web de producción. Pero, ¿qué pasa con los servidores web de desarrollo? ¿Se conserva la pista de auditoría o se destruye al actualizar el entorno?

Incluso entonces, aún necesitaría pistas de auditoría tanto en sus servidores SQL como en los servidores de respaldo. Esto puede o no ser posible, dependiendo de lo que esté usando para su servidor SQL y para la copia de seguridad.

En esencia, la auditoría de todo el acceso a los datos no es una tarea trivial porque los datos deben fluir fácilmente para realizar el trabajo, y la auditoría de cualquier acceso no está integrada en cada producto.