SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda - AWS Well-Architected Framework
Panduan implementasiSumber daya

SEC07-BP01 Mengidentifikasi data dalam beban kerja Anda

Penting untuk memahami jenis dan klasifikasi data yang sedang diproses oleh beban kerja Anda, proses bisnis terkait, tempat penyimpanan data, dan pemilik data. Anda juga harus memahami persyaratan hukum dan kepatuhan yang berlaku dari beban kerja Anda, dan kontrol data apa yang perlu diterapkan. Mengidentifikasi data adalah langkah pertama dalam perjalanan klasifikasi data.

Manfaat menjalankan praktik terbaik ini:

Dengan klasifikasi data, pemilik beban kerja dapat mengidentifikasi lokasi penyimpanan data sensitif dan menentukan bagaimana data tersebut dapat diakses dan dibagikan.

Klasifikasi data bertujuan untuk menjawab pertanyaan berikut:

  • Jenis data apa yang Anda miliki?

    Data dapat berupa:

    • Kekayaan intelektual (IP), seperti rahasia dagang, paten, atau perjanjian kontrak.

    • Informasi kesehatan yang dilindungi (PHI), seperti rekam medis yang berisi informasi riwayat kesehatan seseorang.

    • Informasi pengenal pribadi (PII), seperti nama, alamat, tanggal lahir, dan nomor registrasi atau ID nasional.

    • Data kartu kredit, seperti Nomor Rekening Utama (PAN), nama pemilik kartu, tanggal kedaluwarsa, dan nomor kode layanan.

    • Di mana data sensitif disimpan?

    • Siapa yang dapat mengakses, mengubah, dan menghapus data?

    • Memahami izin pengguna adalah hal yang penting dalam menghindari potensi kesalahan penanganan data.

  • Siapa yang dapat melakukan operasi membuat, membaca, memperbarui, dan menghapus (CRUD)?

    • Antisipasi potensi peningkatan hak akses dengan memahami siapa yang dapat mengelola izin ke data.

  • Dampak bisnis seperti apa yang mungkin terjadi jika data secara tidak sengaja diungkapkan, diubah, atau dihapus?

    • Pahami konsekuensi risiko jika data diubah, dihapus, atau diungkapkan secara tidak sengaja.

Dengan mengetahui jawaban atas pertanyaan ini, Anda dapat mengambil tindakan berikut:

  • Mengurangi cakupan data sensitif (seperti jumlah lokasi data sensitif) dan membatasi akses ke data sensitif hanya untuk pengguna yang disetujui.

  • Memahami berbagai jenis data sehingga Anda dapat menerapkan mekanisme dan teknik perlindungan data yang sesuai, seperti enkripsi, pencegahan kehilangan data, serta manajemen identitas dan akses.

  • Mengoptimalkan biaya dengan memberikan tujuan kontrol yang tepat untuk data.

  • Tanpa ragu menjawab pertanyaan dari regulator dan auditor mengenai jenis dan jumlah data, dan bagaimana data dengan sensitivitas yang berbeda dipisahkan dari satu sama lain.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Klasifikasi data adalah tindakan mengidentifikasi sensitivitas data. Aktivitas ini mungkin melibatkan pemberian tag untuk memudahkan pencarian dan pelacakan data. Klasifikasi data juga mengurangi duplikasi data, yang dapat membantu mengurangi biaya penyimpanan dan pencadangan sekaligus mempercepat proses pencarian.

Gunakan layanan seperti Amazon Macie untuk mengotomatiskan penemuan dan klasifikasi data sensitif dalam skala besar. Layanan lain, seperti Amazon EventBridge dan AWS Config, dapat digunakan untuk mengotomatiskan perbaikan masalah keamanan data, seperti bucket Amazon Simple Storage Service (Amazon S3) tidak terenkripsi dan volume EBS Amazon EC2 atau sumber daya data yang tidak diberi tag. Untuk daftar lengkap integrasi layanan AWS, lihat dokumentasi EventBridge.

Mendeteksi PII dalam data yang tidak terstruktur seperti email pelanggan, tiket dukungan, ulasan produk, dan media sosial dapat dilakukan menggunakan Amazon Comprehend, yang merupakan layanan pemrosesan bahasa alami (NLP) yang menggunakan machine learning (ML) untuk menemukan wawasan dan hubungan seperti orang, tempat, sentimen, serta topik dalam teks yang tidak terstruktur. Untuk daftar layanan AWS yang dapat membantu identifikasi data, lihat Teknik umum untuk mendeteksi data PHI dan PII menggunakan layanan AWS.

Metode lain yang mendukung klasifikasi dan perlindungan data adalah Pemberian tag sumber daya AWS. Pemberian tag memungkinkan Anda menetapkan metadata ke sumber daya AWS yang dapat digunakan untuk mengelola, mengidentifikasi, mengatur, mencari, dan memfilter sumber daya.

Dalam beberapa kasus, Anda mungkin memilih untuk memberi tag seluruh sumber daya (seperti bucket S3), khususnya saat beban kerja atau layanan tertentu diharapkan menyimpan proses atau transmisi dari klasifikasi data yang sudah umum.

Jika perlu, Anda dapat memberi tag bucket S3 dan bukan pada objek individu untuk kemudahan administrasi dan pemeliharaan keamanan.

Langkah implementasi

Deteksi data sensitif dalam Amazon S3:

  1. Sebelum memulai, pastikan Anda memiliki izin yang sesuai untuk mengakses konsol Amazon Macie dan operasi API. Untuk detail tambahan, lihat Mulai menggunakan Amazon Macie.

  2. Gunakan Amazon Macie untuk menjalankan penemuan data otomatis saat data sensitif berada di Amazon S3.

    • Gunakan panduan Mulai Menggunakan Amazon Macie untuk mengonfigurasi repositori untuk hasil penemuan data sensitif dan membuat tugas penemuan untuk data sensitif.

    • Cara menggunakan Amazon Macie untuk pratinjau data sensitif di bucket S3.

      Secara default, Macie menganalisis objek menggunakan set pengidentifikasi data terkelola yang kami rekomendasikan untuk penemuan data sensitif otomatis. Anda dapat menyesuaikan analisis dengan mengonfigurasi Macie untuk menggunakan pengidentifikasi data terkelola tertentu, pengidentifikasi data kustom, dan daftar yang diizinkan saat melakukan penemuan data sensitif otomatis untuk akun atau organisasi Anda. Anda dapat menyesuaikan cakupan analisis dengan mengecualikan bucket tertentu (misalnya, bucket S3 yang biasanya menyimpan data pencatatan log AWS).

  3. Untuk mengonfigurasi dan menggunakan penemuan data sensitif otomatis, lihat Menjalankan penemuan data sensitif otomatis dengan Amazon Macie.

  4. Anda juga dapat mempertimbangkan Penemuan Data Otomatis untuk Amazon Macie.

Deteksi data sensitif dalam Amazon RDS:

Untuk informasi lebih lanjut tentang penemuan data di basis data Amazon Relational Database Service (Amazon RDS), lihat Mengaktifkan klasifikasi data untuk basis data Amazon RDS dengan Macie.

Deteksi data sensitif dalam DynamoDB:

Solusi Partner AWS:

  • Pertimbangkan untuk menggunakan ekstensi AWS Partner Network. Partner AWS memiliki alat ekstensi dan kerangka kerja kepatuhan yang terintegrasi langsung dengan layanan AWS. Partner dapat memberikan solusi tata kelola dan kepatuhan yang disesuaikan untuk membantu memenuhi kebutuhan organisasi Anda.

  • Untuk solusi kustom dalam klasifikasi data, lihat Tata kelola data dalam peraturan dan persyaratan kepatuhan.

Anda dapat secara otomatis menerapkan standar pemberian tag yang diadopsi oleh organisasi Anda dengan membuat dan melakukan deployment kebijakan menggunakan AWS Organizations. Kebijakan tag memungkinkan Anda menentukan aturan yang menentukan nama kunci yang valid dan nilai apa yang valid untuk setiap kunci. Anda dapat memilih untuk hanya memantau, yang dapat Anda gunakan untuk mengevaluasi dan menghapus tag yang ada. Setelah tag mematuhi standar yang dipilih, Anda dapat mengaktifkan penerapan di kebijakan tag untuk mencegah pembuatan tag yang tidak patuh. Untuk detail lebih lanjut, lihat Mengamankan tag sumber daya yang digunakan untuk otorisasi menggunakan kebijakan kontrol layanan di AWS Organizations dan contoh kebijakan di mencegah perubahan tag selain oleh pengguna utama yang sah.

  • Untuk mulai menggunakan kebijakan tag di AWS Organizations, sangat disarankan untuk mengikuti alur kerja di Mulai menggunakan kebijakan tag sebelum melanjutkan ke kebijakan tag yang lebih tinggi. Memahami efek pelampiran kebijakan tag sederhana ke satu akun sebelum menerapkannya ke seluruh unit organisasi (OU) atau organisasi dapat memberikan gambaran akan efek kebijakan tag sebelum Anda menerapkan kepatuhan ke kebijakan tag. Mulai menggunakan kebijakan tag menyediakan tautan ke instruksi untuk tugas terkait kebijakan yang lebih tinggi.

  • Pertimbangkan untuk mengevaluasi layanan dan fitur AWS lainnya yang mendukung klasifikasi data, yang tercantum dalam laporan resmi Klasifikasi Data.

Sumber daya

Dokumen terkait:

Blog terkait:

Video terkait: