Seguridad de datos y administración de riesgos - Prácticas recomendadas para el etiquetado de los recursos de AWS

Seguridad de datos y administración de riesgos

En un entorno de AWS, es probable que tenga cuentas con diferentes requisitos de cumplimiento y seguridad. Por ejemplo, es posible que tenga un entorno aislado para desarrolladores y una cuenta que aloje el entorno de producción para una carga de trabajo altamente regulada, como el procesamiento de pagos. Al aislarlos en diferentes cuentas, puede aplicar distintos controles de seguridad, restringir el acceso a los datos confidenciales y reducir el alcance de la auditoría en el caso de cargas de trabajo reguladas.

La adopción de un estándar único para todas las cargas de trabajo puede generar desafíos. Aunque muchos controles se aplican por igual en todos los entornos, algunos son excesivos o irrelevantes para las cuentas que no necesitan cumplir marcos normativos específicos y para las cuentas en las que nunca habrá datos de identificación personal (por ejemplo, un entorno aislado para desarrolladores o cuentas de desarrollo de cargas de trabajo). Por lo general, esto lleva a resultados de seguridad con falsos positivos que se deben clasificar y cerrar sin tomar ninguna medida, lo que resta esfuerzo a los resultados que se deberían investigar.

Tabla 11: Ejemplos de etiquetas de seguridad de datos y administración de riesgos

Caso de uso Clave de etiqueta Justificación Valores de ejemplo
Administración de incidentes example-inc:incident- management:escalationlog El sistema que utiliza el equipo de apoyo para registrar los incidentes jira, servicenow, zendesk
Administración de incidentes example-inc:incident- management:escalationpath Ruta de escalada ops-center, dev-ops, app-team
Clasificación de datos example-inc:data:classification Clasificar los datos para garantizar el cumplimiento y el gobierno Public, Private, Confidential, Restricted
Conformidad de example-inc:compliance:framework Identifica el marco de cumplimiento al que está sujeta la carga de trabajo PCI-DSS, HIPAA

Administrar manualmente los diferentes controles en un entorno de AWS consume tiempo y es propenso a errores. El siguiente paso es automatizar la implementación de los controles de seguridad adecuados y configurar la inspección de los recursos en función de la clasificación de esa cuenta. Al aplicar etiquetas a las cuentas y a los recursos que contienen, la implementación de los controles se puede automatizar y configurar de forma adecuada para la carga de trabajo.

Ejemplo:

Una carga de trabajo incluye un bucket de Amazon S3 con la etiqueta example-inc:data:classification con el valor Private. La automatización de las herramientas de seguridad implementa la regla de AWS Config s3-bucket-public-read-prohibited, que comprueba la configuración del acceso público de bloques del bucket de Amazon S3, la política del bucket y la lista de control de acceso (ACL) del bucket para confirmar que la configuración del bucket es adecuada para la clasificación de datos. Para garantizar que el contenido del bucket sea coherente con la clasificación, Amazon Macie se puede configurar para comprobar la información de identificación personal (PII). El blog Uso de Amazon Macie para validar la clasificación de datos del bucket de S3 explora este patrón con mayor profundidad.

Es posible que determinados entornos regulatorios, como los seguros y la atención médica, estén sujetos a políticas obligatorias de retención de datos. La retención de datos mediante etiquetas, combinada con las políticas de ciclo de vida de Amazon S3, puede ser una forma eficaz y sencilla de determinar las transiciones de objetos a un nivel de almacenamiento diferente. Las reglas del ciclo de vida de Amazon S3 también se pueden utilizar para hacer caducar los objetos para la eliminación de datos una vez transcurrido el periodo de retención obligatorio. Consulte Simplificar el ciclo de vida de los datos mediante el uso de etiquetas de objetos con Amazon S3 Lifecycle para obtener una guía detallada de este proceso.

Además, al clasificar o abordar el resultado de seguridad, las etiquetas pueden proporcionar al investigador un contexto importante que ayuda a calificar el riesgo y ayudan a contratar a los equipos adecuados para investigar o mitigar el resultado.