SEC07-BP04 Tentukan manajemen siklus hidup data yang dapat diskalakan

Pahami persyaratan siklus hidup data Anda karena persyaratan tersebut terkait dengan berbagai tingkat klasifikasi dan penanganan data Anda.  Hal ini dapat mencakup cara data ditangani ketika pertama kali memasuki lingkungan Anda, cara data ditransformasi, dan aturan pemusnahannya. Pertimbangkan faktor-faktor seperti periode retensi, akses, audit, dan pelacakan asal-usul data.

Hasil yang diinginkan: Anda mengklasifikasikan data sedekat mungkin dengan titik dan waktu penyerapannya. Ketika klasifikasi data memerlukan masking, tokenisasi, atau proses lain yang mengurangi tingkat sensitivitas, Anda melakukan tindakan ini sedekat mungkin dengan titik dan waktu penyerapannya.

Anda menghapus data sesuai dengan kebijakan Anda ketika data tersebut tidak lagi layak untuk dipertahankan, berdasarkan klasifikasinya.

Antipola umum:

• Mengimplementasikan satu pendekatan umum terhadap manajemen siklus hidup data, tanpa mempertimbangkan berbagai tingkat sensitivitas dan persyaratan akses.

• Mempertimbangkan manajemen siklus hidup hanya dari perspektif data yang dapat digunakan, atau data yang dicadangkan, tetapi tidak keduanya.

• Menganggap data yang telah memasuki beban kerja Anda sebagai data yang valid, tanpa mengetahui nilai atau asal-usulnya.

• Mengandalkan durabilitas data sebagai pengganti pencadangan dan perlindungan data.

• Mempertahankan data melampaui masa kegunaannya dan periode retensi yang diperlukan.

Manfaat menjalankan praktik terbaik ini: Strategi manajemen siklus hidup data yang ditentukan dengan jelas dan dapat diskalakan akan membantu mempertahankan kepatuhan terhadap peraturan, meningkatkan keamanan data, mengoptimalkan biaya penyimpanan, serta memungkinkan akses dan berbagi data yang efisien sambil mempertahankan kontrol yang sesuai.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Data dalam beban kerja sering kali bersifat dinamis.  Bentuk data saat memasuki lingkungan beban kerja Anda dapat berbeda dari ketika data tersebut disimpan atau digunakan dalam logika bisnis, pelaporan, analitik, atau machine learning.  Selain itu, nilai data dapat berubah seiring waktu. Beberapa data bersifat temporal dan kehilangan nilai seiring umurnya bertambah.  Pertimbangkan dampak berbagai perubahan data Anda ini terhadap evaluasi berdasarkan skema klasifikasi data Anda dan kontrol terkait.  Jika memungkinkan, gunakan mekanisme siklus hidup otomatis, seperti kebijakan siklus hidup Amazon S3 dan Amazon Data Lifecycle Manager, untuk mengonfigurasi proses retensi, pengarsipan, dan kedaluwarsa data Anda.  

Bedakan antara data yang tersedia untuk digunakan, dan data yang disimpan sebagai cadangan.  Pertimbangkan untuk menggunakan AWS Backup dalam mengotomatiskan pencadangan data di seluruh layanan AWS. Snapshot Amazon EBS menyediakan cara untuk menyalin volume EBS dan menyimpannya menggunakan fitur S3, termasuk siklus hidup, perlindungan data, dan akses ke mekanisme perlindungan. Dua mekanisme ini adalah Kunci Objek S3 dan Kunci Vault AWS Backup, yang dapat memberi Anda keamanan dan kontrol tambahan atas cadangan Anda. Kelola pemisahan tugas dan akses yang jelas untuk cadangan. Isolasikan cadangan di tingkat akun agar tetap terpisah dari lingkungan yang terpengaruh selama suatu peristiwa terjadi.

Aspek lain dari manajemen siklus hidup adalah mencatat riwayat data saat diproses oleh beban kerja Anda, yang disebut pelacakan asal-usul data. Pelacakan ini dapat memberikan keyakinan bahwa Anda tahu dari mana data berasal, transformasi apa pun yang dilakukan, pemilik atau proses apa yang membuat perubahan tersebut, dan kapan.  Riwayat ini dapat membantu pemecahan masalah dan investigasi selama peristiwa keamanan yang mungkin terjadi.  Misalnya, Anda dapat mencatat log metadata tentang transformasi dalam tabel Amazon DynamoDB.  Dalam danau data, Anda dapat menyimpan salinan data yang ditransformasi dalam bucket S3 yang berbeda untuk setiap tahap pipeline data. Simpan informasi skema dan stempel waktu dalam AWS Glue Data Catalog.  Terlepas dari solusi Anda, pertimbangkan kebutuhan pengguna akhir Anda untuk menentukan alat tepat yang Anda butuhkan untuk melaporkan asal-usul data Anda.  Hal ini akan membantu Anda menentukan cara terbaik dalam melacak asal-usul data Anda.

Langkah implementasi

1. Analisis jenis data, tingkat sensitivitas, dan persyaratan akses beban kerja untuk mengklasifikasikan data dan menentukan strategi manajemen siklus hidup yang sesuai.

2. Rancang dan implementasikan kebijakan retensi data dan proses pemusnahan otomatis yang selaras dengan persyaratan hukum, peraturan, dan organisasi.

3. Tetapkan proses dan otomatisasi untuk pemantauan, audit, dan penyesuaian berkelanjutan terhadap strategi, kontrol, dan kebijakan manajemen siklus hidup data seiring dengan perubahan persyaratan beban kerja dan peraturan.

Sumber daya

Praktik terbaik terkait:

• COST04-BP05 Berlakukan kebijakan retensi data

• SUS04-BP03 Gunakan kebijakan untuk mengelola siklus hidup set data Anda

Dokumen terkait:

• Laporan Resmi Klasifikasi Data

• Cetak Biru AWS untuk Pertahanan Ransomware

• Panduan DevOps:Tingkatkan keterlacakan dengan pelacakan asal-usul data

Contoh terkait:

• Cara melindungi data sensitif untuk seluruh siklus hidupnya di AWS

• Buat silsilah data untuk danau data menggunakan AWS Glue, Amazon Neptune, dan Spline

Alat terkait:

• AWS Backup

• Amazon Data Lifecycle Manager

• AWS Identity and Access Management Access Analyzer