SEC07-BP01 Identifier les données au sein de votre charge de travail - AWS Well-Architected Framework

SEC07-BP01 Identifier les données au sein de votre charge de travail

Il est essentiel de comprendre le type et la classification des données que votre charge de travail traite, les processus d'entreprise associés, l'endroit où les données sont stockées et qui est le propriétaire des données. Vous devez également connaître les exigences légales et de conformité applicables à votre charge de travail, et savoir quels contrôles de données doivent être appliqués. L'identification des données est la première étape du processus de classification des données.

Avantages liés à l'instauration de cette bonne pratique :

La classification des données permet aux responsables de la charge de travail d'identifier les emplacements qui stockent des données sensibles et de déterminer comment ces données doivent être consultées et partagées.

La classification des données vise à répondre aux questions suivantes :

  • De quel type de données disposez-vous ?

    Il peut s'agir de données telles que :

    • Propriété intellectuelle, comme les secrets commerciaux, les brevets ou les contrats.

    • Informations de santé protégées (PH), comme les dossiers médicaux qui contiennent des informations sur les antécédents médicaux d'une personne.

    • Données d'identification personnelle (PII), comme le nom, l'adresse, la date de naissance et le numéro d'identification ou d'enregistrement national.

    • Données de carte bancaire, comme le numéro de compte principal (PAN), le nom du titulaire de la carte, la date d'expiration et le numéro de code de service.

    • Où les données sensibles sont-elles stockées ?

    • Qui peut consulter, modifier et supprimer des données ?

    • Il est essentiel de comprendre les autorisations des utilisateurs pour éviter toute manipulation inappropriée des données.

  • Qui peut effectuer des opérations de création, de lecture, de mise à jour et de suppression (CRUD) ?

    • Tenez compte de l'escalade potentielle des privilèges en comprenant qui peut gérer les autorisations d'accès aux données.

  • Quelles sont les répercussions sur les activités si les données sont divulguées involontairement, modifiées ou supprimées ?

    • Comprenez les conséquences du risque si des données sont modifiées, supprimées ou divulguées par inadvertance.

En connaissant les réponses à ces questions, vous pouvez prendre les mesures suivantes :

  • Réduire la portée des données sensibles (comme le nombre d'emplacements de données sensibles) et limiter l'accès aux données sensibles aux utilisateurs approuvés uniquement.

  • Comprendre les différents types de données afin de pouvoir implémenter des mécanismes et des techniques de protection des données appropriés, tels que le chiffrement, la prévention de la perte de données et la gestion des identités et des accès.

  • Optimiser les coûts en fournissant les bons objectifs de contrôle pour les données.

  • Répondre en toute confiance aux questions des organismes de réglementation et des vérificateurs concernant les types et la quantité de données, et la façon dont les données de sensibilités différentes sont isolées les unes des autres.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

La classification des données consiste à déterminer la sensibilité des données. Il peut s'agir de baliser les données pour les rendre facilement interrogeables et traçables. La classification des données réduit également la duplication des données, ce qui peut permettre de réduire les coûts de stockage et de sauvegarde, tout en accélérant le processus de recherche.

Utilisez des services tels que Amazon Macie pour automatiser à grande échelle la découverte et la classification des données sensibles. D'autres services, comme Amazon EventBridge et AWS Config, peuvent être utilisés pour automatiser la correction des problèmes de sécurité des données, comme les compartiments Amazon Simple Storage Service (Amazon S3) non chiffrés et les volumes EBS Amazon EC2 ou les ressources de données non balisées. Pour obtenir une liste complètes des intégrations de service AWS, consultez la documentation EventBridge.

La détection des PII dans les données non structurées, comme les e-mails des clients, les tickets de support, les examens de produits et les réseaux sociaux, peut être effectuée en utilisant Amazon Comprehend, qui est un service de traitement du langage naturel (NLP) qui utilise le machine learning (ML) pour trouver des idées et des relations, comme les personnes, les lieux, les sentiments et les sujets dans un texte non structuré. Pour une liste des services AWS qui peuvent faciliter l'identification des données, consultez Techniques courantes pour détecter les données PHI et PII à l'aide des services AWS.

Une autre méthode qui prend en charge la classification et la protection des données est le balisage des ressources AWS. Le balisage vous permet d'attribuer des métadonnées à vos ressources AWS pour vous aider à gérer, identifier, organiser, rechercher et filtrer ces dernières.

Dans certains cas, vous pouvez choisir de baliser des ressources entières (comme un compartiment S3), surtout lorsqu'une charge de travail ou un service particulier est censé stocker des processus ou des transmissions d'une classification de données déjà connue.

Le cas échéant, vous pouvez baliser un compartiment S3 au lieu d'objets individuels pour faciliter l'administration et la maintenance de la sécurité.

Étapes d'implémentation

Détectez les données sensibles dans Amazon S3 :

  1. Avant de commencer, assurez-vous de disposer des autorisations appropriées pour accéder à la console Amazon Macie et aux opérations d'API. Pour plus d'informations, consultez Mise en route de Amazon Macie.

  2. Utilisez Amazon Macie pour effectuer la découverte automatisée des données lorsque vos données sensibles résident dans Amazon S3.

    • Utilisez le guide Mise en route de Amazon Macie afin de configurer un référentiel pour les résultats de découverte de données sensibles et de créer une tâche de découverte des données sensibles.

    • Comment utiliser Amazon Macie pour prévisualiser les données sensibles dans les compartiments S3.

      Par défaut, Macie analyse les objets en utilisant l'ensemble d'identifiants de données gérés que nous recommandons pour la découverte automatisée de données sensibles. Vous pouvez personnaliser l'analyse en configurant Macie de façon à utiliser des identifiants de données gérés spécifiques, des identifiants de données personnalisés et des listes d'autorisations lorsqu'il effectue la découverte automatisée des données sensibles pour votre compte ou votre organisation. Vous pouvez ajuster la portée de l'analyse en excluant des compartiments spécifiques (par exemple, les compartiments S3 qui stockent généralement les données de journalisation AWS).

  3. Pour configurer et utiliser la découverte automatisée de données sensibles, consultez Effectuer la découverte automatisée des données sensibles avec Amazon Macie.

  4. Consultez également Découverte automatisée des données pour Amazon Macie.

Détectez les données sensibles dans Amazon RDS :

pour plus d'informations sur la découverte des données dans les bases de données Amazon Relational Database Service (Amazon RDS), consultez Classification des données pour la base de données Amazon RDS avec Macie.

Détectez les données sensibles dans DynamoDB :

Solutions de partenaires AWS :

  • Envisagez d'utiliser notre AWS Partner Network étendu. Les partenaires AWS disposent d'outils complets et de frameworks de conformité qui s'intègrent directement aux services AWS. Les partenaires peuvent vous fournir une solution de gouvernance et de conformité adaptée à vos besoins organisationnels.

  • Pour plus d'informations sur les solutions personnalisées de classification des données, consultez Gouvernance des données à l'ère de la réglementation et exigences de conformité.

Vous pouvez appliquer automatiquement les normes de balisage que votre organisation adopte en créant et en déployant des politiques avec AWS Organizations. Les politiques de balises vous permettent de spécifier les règles qui définissent les noms de clés valides et les valeurs valides pour chaque clé. Vous pouvez choisir de surveiller uniquement, ce qui vous donne la possibilité d'évaluer et de nettoyer vos balises existantes. Une fois que vos balises sont conformes aux normes que vous avez choisies, vous pouvez activer l'application des politiques relatives aux balises pour empêcher la création de balises non conformes. Pour plus d'informations, consultez Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services dans AWS Organizations et l'exemple de politique sur les solutions pour éviter la modification des balises, sauf par les principaux autorisés..

  • Pour commencer à utiliser des politiques de balises dans AWS Organizations, il est vivement recommandé de suivre le workflow dans Mise en route des politiques de balises avant de passer à des politiques de balises plus avancées. Comprendre les effets d'une simple politique de balise sur un seul compte avant de l'étendre à toute une unité d'organisation (UO) ou une organisation vous permet de voir les effets d'une politique de balise avant d'appliquer la politique de balise. Mise en route des politiques de balises fournit des liens vers des instructions relatives à des tâches plus avancées en matière de politiques.

  • Envisagez d'évaluer d'autres services et fonctionnalités AWS qui prennent en charge la classification des données, comme indiqué dans le livre blanc sur la classification des données.

Ressources

Documents connexes :

Blogs connexes :

Vidéos connexes :