Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité des données et gestion des risques
Au sein d'un AWS environnement, vous aurez probablement des comptes soumis à des exigences de conformité et de sécurité différentes. Par exemple, vous pouvez disposer d'un sandbox pour développeurs et d'un compte hébergeant l'environnement de production pour une charge de travail hautement réglementée, telle que le traitement des paiements. En les isolant dans différents comptes, vous pouvez appliquer des contrôles de sécurité distincts, restreindre l'accès aux données sensibles et réduire la portée de l'audit pour les charges de travail réglementées.
L'adoption d'une norme unique pour toutes les charges de travail peut être source de défis. Bien que de nombreux contrôles s'appliquent de la même manière dans un environnement, certains sont excessifs ou non pertinents pour les comptes qui n'ont pas besoin de respecter des cadres réglementaires spécifiques et pour les comptes dans lesquels aucune donnée personnelle identifiable ne sera jamais présente (par exemple, un sandbox pour développeurs ou des comptes de développement de charge de travail). Cela conduit généralement à des résultats de sécurité faussement positifs qui doivent être triés et corrigés sans aucune action, ce qui réduit les efforts nécessaires aux résultats qui devraient faire l'objet d'une enquête.
Tableau 11 — Exemples de balises de sécurité des données et de gestion des risques
| Cas d’utilisation | Clé de tag | Justification | Exemple de valeurs |
|---|---|---|---|
| Gestion des incidents | example-inc:incident- management:escalationlog |
Le système utilisé par l'équipe d'assistance pour enregistrer les incidents |
jira, servicenow, zendesk
|
| Gestion des incidents | example-inc:incident- management:escalationpath |
La voie de l'escalade | ops-center, dev-ops, app-team
|
| Classification des données | example-inc:data:classification |
Classifiez les données à des fins de conformité et de gouvernance | Public, Private, Confidential,
Restricted
|
| Conformité d' | example-inc:compliance:framework |
Identifie le cadre de conformité auquel la charge de travail est soumise | PCI-DSS, HIPAA
|
La gestion manuelle des différents contrôles dans un AWS environnement est à la fois chronophage et source d'erreurs. L'étape suivante consiste à automatiser le déploiement des contrôles de sécurité appropriés et à configurer l'inspection des ressources en fonction de la classification de ce compte. En appliquant des balises aux comptes et aux ressources qu'ils contiennent, le déploiement des contrôles peut être automatisé et configuré en fonction de la charge de travail.
Exemple :
Une charge de travail inclut un compartiment Amazon S3 dont la balise example-inc:data:classification contient la valeurPrivate. L'automatisation des outils de sécurité déploie une AWS Config règle s3-bucket-public-read-prohibited qui vérifie les paramètres de blocage de l'accès public du compartiment Amazon S3, la politique du compartiment et la liste de contrôle d'accès au compartiment (ACL), confirmant que la configuration du compartiment est adaptée à la classification des données. Pour garantir que le contenu du compartiment est conforme à la classification, Amazon Macie peut être configuré pour vérifier la présence d'informations personnelles identifiables (PII
Certains environnements réglementaires, tels que les assurances et les soins de santé, peuvent être soumis à des politiques obligatoires de conservation des données. La conservation des données à l'aide de balises, associée aux politiques de cycle de vie d'Amazon S3, peut être un moyen simple et efficace de définir les transitions d'objets vers un autre niveau de stockage. Les règles du cycle de vie d'Amazon S3 peuvent également être utilisées pour faire expirer des objets afin de les supprimer après l'expiration de la période de conservation obligatoire. Reportez-vous à Simplifiez le cycle de vie de vos données en utilisant des balises d'objet avec Amazon S3 Lifecycle
En outre, lors du tri ou du traitement d'une constatation de sécurité, les balises peuvent fournir à l'enquêteur un contexte important qui aide à qualifier le risque et à impliquer les équipes appropriées pour enquêter ou atténuer le résultat.
