SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads

Es ist wichtig, dass Sie mit den Typen und Klassifizierungen von Daten, die Ihr Workload verarbeitet, sowie den zugehörigen Geschäftsprozessen vertraut sind und wissen, wo Ihre Daten gespeichert sind und wer der Dateneigentümer ist. Sie sollten auch die anwendbaren rechtlichen und Compliance-Anforderungen Ihres Workloads kennen und wissen, welche Datenkontrollen durchgesetzt werden müssen. Die Identifizierung der Daten ist der erste Schritt zur Datenklassifizierung.

Vorteile der Nutzung dieser bewährten Methode:

Mithilfe der Datenklassifizierung können Workload-Eigentümer die Speicherorte von vertraulichen Daten identifizieren und festlegen, wie diese Daten aufgerufen und freigegeben werden sollten.

Die Datenklassifizierung zielt darauf ab, die folgenden Fragen zu beantworten:

• Welche Arten von Daten besitzen Sie?

  Dies könnten Daten sein wie:

  • geistiges Eigentum (Intellectual Property, IP) wie beispielsweise Geschäftsgeheimnisse, Patente oder Vertragsvereinbarungen

  • geschützte Gesundheitsinformationen (Protected Health Information, PHI) wie beispielsweise Krankenakten, die Informationen zur Anamnese von Personen enthalten

  • persönlich identifizierbare Informationen (PII) wie beispielsweise Name, Adresse, Geburtsdatum und Personalausweis- oder Kennzeichennummer

  • Kreditkartendaten wie beispielsweise Kartennummer, Name des Karteninhabers, Ablaufdatum und Sicherheitscode

  • Wo sind die vertraulichen Daten gespeichert?

  • Wer kann die Daten aufrufen, ändern oder löschen?

  • Die Benutzerberechtigungen zu verstehen, ist für den Schutz vor potenziellem Datenmissbrauch unerlässlich.

• Wer kann CRUD-Operationen (Create, Read, Update, Delete – Erstellen, Lesen, Aktualisieren, Löschen) ausführen?

  • Berücksichtigen Sie die potenzielle Erweiterung von Benutzerrechten und ermitteln Sie, wer die Berechtigungen für die Daten verwalten kann.

• Welche geschäftlichen Auswirkungen könnten eine unbeabsichtigte Offenlegung, eine Änderung oder eine Löschung der Daten haben?

  • Machen Sie sich damit vertraut, welche Risiken Änderungen, Löschungen oder unbeabsichtigte Offenlegungen der Daten nach sich ziehen könnten.

Wenn Sie die Antworten auf diese Fragen kennen, können Sie die folgenden Maßnahmen ergreifen:

• Verringern Sie den Umfang an vertraulichen Daten (z. B. die Anzahl der Speicherorte von vertraulichen Daten) und schränken Sie den Zugriff auf vertrauliche Daten auf die genehmigten Benutzer ein.

• Machen Sie sich mit den verschiedenen Arten von Daten vertraut, damit Sie angemessene Mechanismen und Verfahren zum Schutz der Daten implementieren können, z. B. Verschlüsselung, Data Loss Prevention sowie Identity and Access Management.

• Optimieren Sie die Kosten, indem Sie die richtigen Kontrollziele für die Daten bereitstellen.

• Beantworten Sie souverän Fragen von Regulierungsbehörden und Prüfern in Bezug auf die Arten und den Umfang der Daten sowie darauf, wie Daten mit unterschiedlichen Vertraulichkeitsstufen voneinander getrennt werden.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: hoch

Implementierungsleitfaden

Datenklassifizierung bezeichnet die Identifizierung der Vertraulichkeit von Daten. Dies kann Tagging umfassen, um die Daten leicht durchsuchbar und nachverfolgbar zu machen. Die Datenklassifizierung trägt auch zu einer Reduzierung der Datenduplizierung bei. Dadurch lassen sich die Kosten für Speicherung und Sicherung senken, während der Suchvorgang beschleunigt wird.

Verwenden Sie Services wie beispielsweise Amazon Macie, um sowohl die Ermittlung als auch die Klassifizierung vertraulicher Daten in großem Umfang zu automatisieren. Andere Services, z. B. Amazon EventBridge und AWS Config, können zur automatischen Behebung von Problemen mit der Datensicherheit wie beispielsweise unverschlüsselten Amazon Simple Storage Service (Amazon S3)-Buckets und Amazon EC2-EBS-Volumes oder nicht getaggten Datenressourcen verwendet werden. Eine vollständige Liste der AWS-Serviceintegrationen finden Sie in der EventBridge-Dokumentation.

Das Erkennen von PII in unstrukturierten Daten wie beispielsweise Kunden-E-Mails, Support-Tickets, Produktbewertungen und Social Media ist mithilfe von Amazon Comprehend möglich. Dabei handelt es sich um einen Service für natürliche Sprachverarbeitung (NLP), der unter Verwendung von Machine Learning (ML) in unstrukturiertem Text nach Einblicken und Beziehungen wie Personen, Orten, Meinungen und Themen sucht. Eine Liste der AWS-Services, die Sie bei der Datenidentifikation unterstützen können, finden Sie unter Common techniques to detect PHI and PII data using AWS services (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services).

Eine weitere Methode, die die Klassifizierung und den Schutz von Daten unterstützt, ist das AWS-Ressourcen-Tagging. Über das Tagging können Sie Ihren AWS-Ressourcen Metadaten zuweisen, die zum Verwalten, Identifizieren, Organisieren, Suchen und Filtern der Ressourcen verwendet werden können.

Unter Umständen möchten Sie vielleicht auch eine gesamte Ressource (z. B. einen S3-Bucket) taggen, insbesondere wenn Sie erwarten, dass ein spezifischer Workload oder Service Prozesse oder Übertragungen einer bereits bekannten Datenklassifizierung speichert.

Gegebenenfalls können Sie einen S3-Bucket anstelle einzelner Objekte taggen, um die Verwaltung und die Aufrechterhaltung der Sicherheit zu vereinfachen.

Implementierungsschritte

Ermittlung vertraulicher Daten innerhalb von Amazon S3:

1. Stellen Sie vor Beginn sicher, dass Sie über die erforderlichen Berechtigungen für den Zugriff auf die Amazon Macie-Konsole und die API-Operationen verfügen. Weitere Informationen finden Sie unter Getting started with Amazon Macie (Erste Schritte mit Amazon Macie).

2. Verwenden Sie Amazon Macie für eine automatisierte Datenermittlung, wenn Ihre vertraulichen Daten in Amazon S3 gespeichert sind.

   • Konfigurieren Sie entsprechend den Anleitungen in Getting Started with Amazon Macie (Erste Schritte mit Amazon Macie) ein Repository für die Ergebnisse der Ermittlung von vertraulichen Daten und erstellen Sie einen Ermittlungsauftrag für vertrauliche Daten.

   • How to use Amazon Macie to preview sensitive data in S3 buckets (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden)

     Standardmäßig analysiert Macie Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatisierte Ermittlung von vertraulichen Daten empfehlen. Sie können die Analyse anpassen, indem Sie Macie so konfigurieren, dass bei der automatisierten Ermittlung von vertraulichen Daten für Ihr Konto oder Ihre Organisation spezifische verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Whitelists verwendet werden. Sie können den Umfang der Analyse anpassen, indem Sie spezifische Buckets (z. B. S3-Buckets, in denen in der Regel AWS-Protokolldaten gespeichert werden) ausschließen.

3. Informationen zum Konfigurieren und Verwenden der automatisierten Ermittlung von vertraulichen Daten finden Sie unter Performing automated sensitive data discovery with Amazon Macie (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie).

4. Sie sollten sich auch Automated Data Discovery for Amazon Macie (Automatisierte Datenermittlung für Amazon Macie) ansehen.

Ermittlung vertraulicher Daten innerhalb von Amazon RDS:

Weitere Informationen zur Datenermittlung in Amazon Relational Database Service (Amazon RDS)-Datenbanken finden Sie unter Enabling data classification for Amazon RDS database with Macie (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren).

Ermittlung vertraulicher Daten innerhalb von DynamoDB:

• Im Blog Detecting sensitive data in DynamoDB with Macie (Vertrauliche Daten in DynamoDB mit Macie ermitteln) wird erläutert, wie Sie mithilfe von Amazon Macie vertrauliche Daten in Amazon DynamoDB-Tabellen ermitteln, indem die Daten zum Durchsuchen nach Amazon S3 exportiert werden.

AWS-Partnerlösungen:

• Nutzen Sie unser umfassendes AWS Partner Network. AWS-Partner bieten umfassende Tools und Compliance-Regelwerke, die sich direkt in die AWS-Services integrieren lassen. Die Partner können Ihnen eine maßgeschneiderte Governance- und Compliance-Lösung bereitstellen, mit der Sie den Anforderungen Ihrer Organisation gerecht werden.

• Informationen zu benutzerdefinierten Lösungen für die Datenklassifizierung finden Sie unter Data governance in the age of regulation and compliance requirements (Daten-Governance im Zeitalter von Regulierungs- und Compliance-Anforderungen).

Sie können die Tagging-Standards, die Ihre Organisation anwendet, automatisch durchsetzen, indem Sie mit AWS Organizations Richtlinien erstellen und bereitstellen. Mit Tag-Richtlinien können Sie Regeln festlegen, die gültige Schlüsselnamen und die für die einzelnen Schlüssel gültigen Werte definieren. Sie können sich für die ausschließliche Überwachung entscheiden, wodurch Sie Ihre vorhandenen Tags bewerten und bereinigen können. Wenn Ihre Tags den gewählten Standards entsprechen, können Sie die Durchsetzung in den Tag-Richtlinien aktivieren. Dadurch verhindern Sie, dass Tags erstellt werden, die nicht den Standards entsprechen. Weitere Informationen finden Sie unter Securing resource tags used for authorization using a service control policy in AWS Organizations (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen) sowie in der Beispielrichtlinie unter Verhindern, dass Tags geändert werden, außer von autorisierten Prinzipalen.

• Für die erstmalige Verwendung von Tag-Richtlinien in AWS Organizations wird dringend empfohlen, den unter Erste Schritte mit Tag-Richtlinien beschriebenen Workflow zu befolgen, bevor Sie mit fortgeschritteneren Tag-Richtlinien fortfahren. Wenn Sie sich damit vertraut machen, welche Auswirkungen das Anfügen einer einfachen Tag-Richtlinie auf ein einzelnes Konto hat, bevor sie auf eine ganze Organisationseinheit (OU) oder Organisation ausgeweitet wird, können Sie die Auswirkungen einer Tag-Richtlinie verstehen, bevor Sie die Compliance mit der Tag-Richtlinie durchsetzen. Unter Erste Schritte mit Tag-Richtlinien finden Sie Links zu Anleitungen für fortgeschrittenere Aufgaben rund um Richtlinien.

• Ziehen Sie die Bewertung anderer Services und Funktionen von AWS in Betracht, die die Datenklassifizierung unterstützen. Eine entsprechende Liste finden Sie im Whitepaper Data Classification (Datenklassifizierung).

Ressourcen

Zugehörige Dokumente:

• Erste Schritte mit Amazon Macie

• Automated data discovery with Amazon Macie (Automatisierte Datenermittlung mit Amazon Macie)

• Erste Schritte mit Tag-Richtlinien

• Detecting PII entities (Ermitteln von PII-Entitäten)

Zugehörige Blogs:

• How to use Amazon Macie to preview sensitive data in S3 buckets (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden)

• Performing automated sensitive data discovery with Amazon Macie (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie)

• Common techniques to detect PHI and PII data using AWS Services (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services)

• Detecting and redacting PII using Amazon Comprehend (Mit Amazon Comprehend PII ermitteln und redigieren)

• Securing resource tags used for authorization using a service control policy in AWS Organizations (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen)

• Enabling data classification for Amazon RDS database with Macie (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren)

• Detecting sensitive data in DynamoDB with Macie (Vertrauliche Daten in DynamoDB mit Macie ermitteln)

Zugehörige Videos:

• Event-driven data security using Amazon Macie (Ereignisgesteuerte Datensicherheit mit Amazon Macie)

• Amazon Macie for data protection and governance (Amazon Macie für Datenschutz und -Governance)

• Fine-tune sensitive data findings with allow lists (Die Suche nach vertraulichen Daten mit Whitelists optimieren)