Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datensicherheit und Risikomanagement
In einer AWS Umgebung werden Sie wahrscheinlich Konten mit unterschiedlichen Compliance- und Sicherheitsanforderungen haben. Beispielsweise verfügen Sie möglicherweise über eine Entwickler-Sandbox und ein Konto, das die Produktionsumgebung für stark regulierte Arbeitslasten hostet, z. B. die Zahlungsabwicklung. Indem Sie sie auf verschiedene Konten isolieren, können Sie unterschiedliche Sicherheitskontrollen anwenden, den Zugriff auf vertrauliche Daten einschränken und den Prüfungsumfang für regulierte Workloads reduzieren.
Die Einführung eines einzigen Standards für alle Workloads kann zu Herausforderungen führen. Während viele Kontrollen in der gesamten Umgebung gleichermaßen gelten, sind einige Kontrollen übertrieben oder irrelevant für Konten, die keine spezifischen rechtlichen Rahmenbedingungen erfüllen müssen, und für Konten, bei denen niemals personenbezogene Daten vorhanden sein werden (z. B. eine Entwickler-Sandbox oder Konten für Workload-Entwicklung). Dies führt in der Regel zu falsch positiven Sicherheitsergebnissen, die geprüft und geschlossen werden müssen, ohne dass Maßnahmen ergriffen werden, was den Aufwand der Ergebnisse, die untersucht werden sollten, überflüssig macht.
Tabelle 11 — Beispiele für Tags für Datensicherheit und Risikomanagement
| Anwendungsfall | Tag-Schlüssel | Begründung | Beispielwerte |
|---|---|---|---|
| Vorfallmanagement | example-inc:incident- management:escalationlog |
Das System, das vom Support-Team zur Protokollierung von Vorfällen verwendet wird |
jira, servicenow, zendesk
|
| Vorfallmanagement | example-inc:incident- management:escalationpath |
Pfad der Eskalation | ops-center, dev-ops, app-team
|
| Datenklassifizierung | example-inc:data:classification |
Klassifizieren Sie Daten aus Gründen der Einhaltung von Vorschriften und Unternehmensführung | Public, Private, Confidential,
Restricted
|
| Compliance | example-inc:compliance:framework |
Identifiziert das Compliance-Framework, dem die Arbeitslast unterliegt | PCI-DSS, HIPAA
|
Die manuelle Verwaltung verschiedener Kontrollen in einer AWS Umgebung ist sowohl zeitaufwändig als auch fehleranfällig. Der nächste Schritt besteht darin, die Implementierung geeigneter Sicherheitskontrollen zu automatisieren und die Überprüfung der Ressourcen auf der Grundlage der Klassifizierung dieses Kontos zu konfigurieren. Durch das Anwenden von Tags auf die Konten und die darin enthaltenen Ressourcen kann die Implementierung von Kontrollen automatisiert und entsprechend der Arbeitslast konfiguriert werden.
Beispiel:
Ein Workload umfasst einen Amazon S3 S3-Bucket mit dem Tag example-inc:data:classification mit dem WertPrivate. Die Automatisierung der Sicherheitstools stellt eine AWS Config Regel bereits3-bucket-public-read-prohibited, die die Block Public Access-Einstellungen des Amazon S3 S3-Buckets, die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL) überprüft und bestätigt, dass die Konfiguration des Buckets für seine Datenklassifizierung geeignet ist. Um sicherzustellen, dass der Inhalt des Buckets mit der Klassifizierung übereinstimmt, kann Amazon Macie so konfiguriert werden, dass nach personenbezogenen Daten (PII) gesucht
Bestimmte regulatorische Rahmenbedingungen, wie z. B. Versicherungen und Gesundheitswesen, unterliegen möglicherweise verbindlichen Richtlinien zur Aufbewahrung von Daten. Die Datenspeicherung mithilfe von Tags in Kombination mit Amazon S3 Lifecycle-Richtlinien kann eine effektive und einfache Möglichkeit sein, Objektübergänge auf eine andere Speicherebene zu regeln. Amazon S3 S3-Lebenszyklusregeln können auch verwendet werden, um Objekte für die Datenlöschung nach Ablauf der obligatorischen Aufbewahrungsfrist ablaufen zu lassen. Eine ausführliche Anleitung zu diesem Prozess finden Sie unter Vereinfachen Sie Ihren Datenlebenszyklus durch die Verwendung von Objekt-Tags mit Amazon S3 Lifecycle
Darüber hinaus können Tags dem Prüfer bei der Suche oder Behebung von Sicherheitslücken wichtigen Kontext liefern, der ihm hilft, das Risiko einzuschätzen, und hilft dabei, die entsprechenden Teams mit der Untersuchung oder Abschwächung der Ergebnisse zu beauftragen.
