SEC07-BP01 Identificazione dei dati all'interno del carico di lavoro

Comprendere il tipo e la classificazione dei dati che il carico di lavoro elabora, i processi aziendali associati, il luogo in cui i dati sono archiviati e chi è il proprietario dei dati è fondamentale. Occorre inoltre conoscere i requisiti legali e di conformità applicabili al proprio carico di lavoro e i controlli sui dati che devono essere applicati. L'identificazione dei dati è il primo passo nel percorso della classificazione dei dati.

Vantaggi dell'adozione di questa best practice:

La classificazione dei dati consente ai proprietari dei carichi di lavoro di identificare le posizioni in cui sono memorizzati i dati sensibili e di determinare le modalità di accesso e condivisione di tali dati.

La classificazione dei dati mira a rispondere alle seguenti domande:

Che tipo di dati abbiamo?

Si può trattare di dati quali:
- Proprietà intellettuale (IP) come segreti commerciali, brevetti o accordi contrattuali.
- Informazioni sanitarie protette (PHI), come le cartelle cliniche che contengono informazioni sulla storia medica di un individuo.
- Informazioni di identificazione personale (PII), quali nome, indirizzo, data di nascita e numero di identificazione o registrazione nazionale.
- Dati della carta di credito, come il numero di conto primario (PAN), il nome del titolare della carta, la data di scadenza e il numero del codice di servizio.
- Dove sono archiviati i dati sensibili?
- Chi può accedervi, modificarli e cancellarli?
- Comprendere le autorizzazioni degli utenti è essenziale per prevenire una potenziale gestione errata dei dati.
Chi può eseguire operazioni di creazione, lettura, aggiornamento e cancellazione (CRUD)?
- Considerare la potenziale escalation di privilegi comprendendo chi può gestire le autorizzazioni per i dati.
Quale impatto aziendale può verificarsi se i dati vengono divulgati involontariamente, alterati o cancellati?
- Comprendere le conseguenze del rischio in caso di modifica, cancellazione o divulgazione involontaria dei dati.

Conoscendo le risposte a queste domande, puoi intraprendere le seguenti azioni:

Ridurre la portata dei dati sensibili (ad esempio il numero di posizioni dei dati sensibili) e limitare l'accesso ai dati sensibili solo agli utenti autorizzati.
Acquisire consapevolezza dei diversi tipi di dati in modo da poter implementare meccanismi e tecniche di protezione dei dati appropriati, come la crittografia, la prevenzione della perdita di dati e la gestione dell'identità e degli accessi.
Ottimizzare i costi fornendo i giusti obiettivi di controllo per i dati.
Rispondere con sicurezza alle domande delle autorità di regolamentazione e dei revisori in merito ai tipi e alla quantità di dati e al modo in cui i dati di diversa sensibilità vengono isolati l'uno dall'altro.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

La classificazione dei dati è l'atto di identificare la sensibilità dei dati. Può essere necessaria l'applicazione di tag per rendere i dati facilmente ricercabili e rintracciabili. La classificazione dei dati riduce anche la loro duplicazione, contribuendo a ridurre i costi di archiviazione e di backup e accelerando il processo di ricerca.

Utilizza servizi come Amazon Macie per automatizzare su larga scala sia la scoperta che la classificazione dei dati sensibili. Altri servizi, quali Amazon EventBridge e AWS Config, possono essere utilizzati per automatizzare la correzione dei problemi di sicurezza dei dati, ad esempio i bucket Amazon Simple Storage Service (Amazon S3) e i volumi EBS Amazon EC2 non crittografati o le risorse di dati prive di tag. Per un elenco completo di integrazioni del servizio AWS, consulta la Documentazione di EventBridge.

Il rilevamento di PII nei dati non strutturati, come le e-mail dei clienti, i ticket di assistenza, le recensioni dei prodotti e i social media è possibile mediante Amazon Comprehend, che è un servizio di elaborazione del linguaggio naturale (NLP) che utilizza il machine learning per trovare approfondimenti e relazioni come persone, luoghi, sentimenti e argomenti in testi non strutturati. Per l'elenco di servizi AWS che possono aiutare nell'identificazione dei dati, consulta Common techniques to detect PHI and PII data using AWS services (Tecniche comuni per rilevare i dati PHI e PII utilizzando i servizi AWS).

Un altro metodo che supporta la classificazione e la protezione dei dati è l'applicazione di tag alle risorse AWS. L'applicazione di tag consente di assegnare metadati alle risorse AWS che possono essere utilizzati per gestire, identificare, organizzare, cercare e filtrare le risorse.

In alcuni casi, puoi scegliere di applicare tag a intere risorse (come un bucket S3), soprattutto quando è previsto che un carico di lavoro o un servizio specifico memorizzi processi o trasmissioni di dati di classificazione già nota.

Se necessario, è possibile applicare tag a un bucket S3 anziché i singoli oggetti per semplificare l'amministrazione e la manutenzione della sicurezza.

Passaggi dell'implementazione

Rilevare i dati sensibili all'interno di Amazon S3:

Prima di iniziare, verifica di disporre delle autorizzazioni appropriate per accedere alla console Amazon Macie e alle operazioni API. Per dettagli aggiuntivi, consulta Getting started with Amazon Macie (Nozioni di base su Amazon Macie).
Utilizza Amazon Macie per eseguire il rilevamento automatico dei dati quando i dati sensibili risiedono in Amazon S3.
- Utilizza la guida Getting Started with Amazon Macie per configurare un repository per i risultati del rilevamento dei dati sensibili e creare un lavoro di rilevamento per i dati sensibili.
- How to use Amazon Macie to preview sensitive data in S3 buckets (Come utilizzare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3).
  
  Per impostazione predefinita, Macie analizza gli oggetti utilizzando il set di identificatori di dati gestiti che raccomandiamo per il rilevamento automatico dei dati sensibili. Puoi personalizzare l'analisi configurando Macie in modo che utilizzi specifici identificatori di dati gestiti, identificatori di dati personalizzati ed elenchi di permessi quando esegue il rilevamento automatico di dati sensibili per l'account o l'organizzazione. Puoi regolare l'ambito dell'analisi escludendo bucket specifici (ad esempio, i bucket S3 che di solito memorizzano i dati di registrazione AWS).
Per configurare e utilizzare l'individuazione automatica dei dati sensibili, consulta Performing automated sensitive data discovery with Amazon Macie (Eseguire un rilevamento automatizzato dei dati sensibili con Amazon Macie).
Puoi anche considerare Automated Data Discovery for Amazon Macie (Rilevamento automatizzato dei dati per Amazon Macie).

Rilevare i dati sensibili all'interno di Amazon RDS:

Per ulteriori informazioni sul rilevamento dei dati nei database Amazon Relational Database Service (Amazon RDS), consulta Enabling data classification for Amazon RDS database with Macie (Abilitazione della classificazione dei dati per il database Amazon RDS con Macie).

Rilevare i dati sensibili all'interno di DynamoDB:

Detecting sensitive data in DynamoDB with Macie (Rilevare i dati sensibili in DynamoDB con Macie) spiega come utilizzare Amazon Macie per rilevare i dati sensibili nelle tabelle Amazon DynamoDB esportando i dati in Amazon S3 per la scansione.

Soluzioni dei partner AWS:

Considera la possibilità di utilizzare la nostra ampia rete di partner AWS Partner Network. I partner AWS dispongono di ampi strumenti e framework di conformità che si integrano direttamente con i servizi AWS. I partner possono fornirti una soluzione di governance e conformità su misura per aiutarti a soddisfare le esigenze organizzative.
Per soluzioni personalizzate nella classificazione dei dati, consulta Data governance in the age of regulation and compliance requirements (La governance dei dati nell'era delle normative e dei requisiti di conformità).

Gli standard di applicazione di tag adottati dall'organizzazione possono essere applicati automaticamente mediante la creazione e l'implementazione di policy con l'aiuto di AWS Organizations. Le policy sui tag consentono di specificare le regole che definiscono i nomi validi delle chiavi e i valori validi per ciascuna chiave. Puoi scegliere di effettuare solo il monitoraggio, il che ti offre l'opportunità di valutare e ripulire i tag esistenti. Una volta che i tag sono conformi agli standard scelti, puoi attivare l'applicazione nelle policy sui tag per impedire la creazione di tag non conformi. Per maggiori dettagli, consulta Securing resource tags used for authorization using a service control policy in AWS Organizations (Proteggere i tag delle risorse utilizzati per l'autorizzazione mediante una policy di controllo dei servizi in AWS Organizations) e la policy di esempio su come prevenire la modifica dei tag da parte di principali non autorizzati.

Per iniziare utilizzando le policy sui tag in AWS Organizations, è fortemente consigliabile seguire il flusso di lavoro descritto in Nozioni di base sulle policy di tag prima di passare a policy sui tag più avanzate. La comprensione degli effetti dell'applicazione di una semplice policy sui tag a un singolo account prima di estenderla a un'intera unità organizzativa (OU) o organizzazione consente di vedere gli effetti di una policy sui tag prima di applicare la conformità alla policy stessa. Nozioni di base sulle policy di tag fornisce link a istruzioni per attività più avanzate relative alle policy.
Considera di valutare altri servizi e funzionalità di AWS che supportino la classificazione dei dati, che sono elencati nel whitepaper Data Classification (Classificazione dei dati).

Risorse

Documenti correlati:

Getting Started with Amazon Macie(Nozioni di base)
Automated data discovery with Amazon Macie (Ricerca automatica di dati con Amazon Macie)
Getting started with tag policies (Nozioni di base sulle policy di tag)
Detecting PII entities (Rilevamento di entità PII)

Blog correlati:

How to use Amazon Macie to preview sensitive data in S3 buckets (Come utilizzare Amazon Macie per visualizzare in anteprima i dati sensibili nei bucket S3).
Performing automated sensitive data discovery with Amazon Macie. (Esecuzione del rilevamento automatizzato di dati sensibili con Amazon Macie).
Common techniques to detect PHI and PII data using AWS Services (Rilevamento e correzione di PII con Amazon AWS)
Detecting and redacting PII using Amazon Comprehend (Rilevamento e correzione delle PII con Amazon Comprehend)
Securing resource tags used for authorization using a service control policy in AWS Organizations (Protezione dei tag delle risorse utilizzati per l'autorizzazione tramite una policy di controllo dei servizi in AWS Organizations)
Enabling data classification for Amazon RDS database with Macie (Consentire la classificazione dei dati per il database Amazon RDS con Macie)
Detecting sensitive data in DynamoDB with Macie (Rilevamento di dati sensibili in DynamoDB con Macie)

Video correlati:

Event-driven data security using Amazon Macie (Sicurezza dei dati guidata dagli eventi con Amazon Macie)
Amazon Macie for data protection and governance (Amazon Macie per la protezione e la governance dei dati)
Fine-tune sensitive data findings with allow lists (Perfezionare i risultati dei dati sensibili con gli elenchi di permessi)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC 7. In che modo classifichi i dati?

SEC07-BP02 Definizione dei controlli di protezione dei dati