Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan data dan manajemen risiko
Dalam suatu AWS lingkungan, Anda mungkin akan memiliki akun dengan kepatuhan dan persyaratan keamanan yang berbeda. Misalnya, Anda mungkin memiliki kotak pasir pengembang, dan akun yang menampung lingkungan produksi untuk beban kerja yang sangat diatur, seperti memproses pembayaran. Dengan mengisolasinya ke akun yang berbeda, Anda dapat menerapkan kontrol keamanan yang berbeda, membatasi akses ke data sensitif, dan mengurangi ruang lingkup audit untuk beban kerja yang diatur.
Mengadopsi standar tunggal untuk semua beban kerja dapat menimbulkan tantangan. Meskipun banyak kontrol berlaku sama di seluruh lingkungan, beberapa kontrol berlebihan atau tidak relevan untuk akun yang tidak perlu memenuhi kerangka peraturan tertentu, dan akun di mana tidak ada data pribadi yang dapat diidentifikasi (misalnya, kotak pasir pengembang, atau akun pengembangan beban kerja). Hal ini biasanya mengarah pada temuan keamanan positif palsu yang harus diprioritaskan dan ditutup tanpa tindakan, yang menghilangkan upaya dari temuan yang harus diselidiki.
Tabel 11 — Contoh keamanan data dan tag manajemen risiko
| Kasus penggunaan | Tag kunci | Dasar Pemikiran | Nilai contoh |
|---|---|---|---|
| Manajemen insiden | example-inc:incident- management:escalationlog |
Sistem yang digunakan oleh tim pendukung untuk mencatat insiden |
jira, servicenow, zendesk
|
| Manajemen insiden | example-inc:incident- management:escalationpath |
Jalur eskalasi | ops-center, dev-ops, app-team
|
| Klasifikasi data | example-inc:data:classification |
Klasifikasi data untuk kepatuhan dan tata kelola | Public, Private, Confidential,
Restricted
|
| Kepatuhan | example-inc:compliance:framework |
Mengidentifikasi kerangka kerja kepatuhan yang dikenakan beban kerja | PCI-DSS, HIPAA
|
Mengelola kontrol yang berbeda secara manual di seluruh AWS lingkungan memakan waktu dan rawan kesalahan. Langkah selanjutnya adalah mengotomatiskan penerapan kontrol keamanan yang sesuai, dan mengonfigurasi inspeksi sumber daya, berdasarkan klasifikasi akun itu. Dengan menerapkan tag ke akun dan sumber daya di dalamnya, penyebaran kontrol dapat diotomatisasi dan dikonfigurasi dengan tepat untuk beban kerja.
Contoh:
Beban kerja mencakup bucket Amazon S3 dengan example-inc:data:classification tag dengan nilainya. Private AWS ConfigAturan otomatisasi alat keamanan menerapkans3-bucket-public-read-prohibited, yang memeriksa pengaturan Blokir Akses Publik Amazon S3 bucket, kebijakan bucket, dan daftar kontrol akses bucket (ACL), yang mengonfirmasi konfigurasi bucket sesuai untuk klasifikasi datanya. Untuk memastikan konten bucket konsisten dengan klasifikasi, Amazon Macie dapat dikonfigurasi untuk memeriksa informasi identitas pribadi
Lingkungan peraturan tertentu, seperti asuransi dan perawatan kesehatan, mungkin tunduk pada kebijakan penyimpanan data wajib. Penyimpanan data menggunakan tag, dikombinasikan dengan kebijakan Siklus Hidup Amazon S3, dapat menjadi cara yang efektif dan sederhana untuk menjangkau transisi objek ke tingkat penyimpanan yang berbeda. Aturan Siklus Hidup Amazon S3 juga dapat digunakan untuk menghapus objek kedaluwarsa setelah periode penahanan wajib berakhir. Lihat Sederhanakan siklus hidup data Anda dengan menggunakan tag objek dengan Siklus Hidup Amazon S3 untuk panduan mendalam tentang proses
Selain itu, ketika melakukan triaging atau menangani temuan keamanan, tag dapat memberikan penyelidik konteks penting yang membantu memenuhi syarat risiko, dan membantu dalam melibatkan tim yang sesuai untuk menyelidiki atau mengurangi temuan tersebut.
