Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza dei dati e gestione dei rischi
All'interno di un AWS ambiente, probabilmente avrai account con requisiti di conformità e sicurezza diversi. Ad esempio, potreste avere una sandbox per sviluppatori e un account che ospita l'ambiente di produzione per un carico di lavoro altamente regolamentato, come l'elaborazione dei pagamenti. Isolandoli in diversi account, è possibile applicare controlli di sicurezza distinti, limitare l'accesso ai dati sensibili e ridurre l'ambito di controllo per i carichi di lavoro regolamentati.
L'adozione di un unico standard per tutti i carichi di lavoro può comportare delle sfide. Sebbene molti controlli si applichino allo stesso modo in un ambiente, alcuni controlli sono eccessivi o irrilevanti per gli account che non devono soddisfare specifici quadri normativi e per gli account in cui non saranno mai presenti dati personali identificabili (ad esempio, una sandbox per sviluppatori o account di sviluppo del carico di lavoro). Ciò porta in genere a risultati di sicurezza falsi positivi che devono essere analizzati e risolti senza alcuna azione, il che distoglie lo sforzo dai risultati che dovrebbero essere esaminati.
Tabella 11 — Esempi di tag per la sicurezza dei dati e la gestione del rischio
| Caso d'uso | Tag Key | Rationale | Valori di esempio |
|---|---|---|---|
| Gestione degli incidenti | example-inc:incident- management:escalationlog |
Il sistema utilizzato dal team di supporto per registrare gli incidenti |
jira, servicenow, zendesk
|
| Gestione degli incidenti | example-inc:incident- management:escalationpath |
Percorso di escalation | ops-center, dev-ops, app-team
|
| Classificazione dei dati | example-inc:data:classification |
Classificate i dati per la conformità e la governance | Public, Private, Confidential,
Restricted
|
| Conformità | example-inc:compliance:framework |
Identifica il framework di conformità a cui è soggetto il carico di lavoro | PCI-DSS, HIPAA
|
La gestione manuale di diversi controlli in un AWS ambiente richiede molto tempo ed è soggetta a errori. Il passaggio successivo consiste nell'automatizzare l'implementazione dei controlli di sicurezza appropriati e configurare l'ispezione delle risorse in base alla classificazione di tale account. Applicando tag agli account e alle risorse al loro interno, l'implementazione dei controlli può essere automatizzata e configurata in modo appropriato per il carico di lavoro.
Esempio:
Un carico di lavoro include un bucket Amazon S3 con il example-inc:data:classification tag con il valore. Private L'automazione degli strumenti di sicurezza implementa una AWS Config regola s3-bucket-public-read-prohibited che controlla le impostazioni Block Public Access del bucket Amazon S3, la policy del bucket e l'elenco di controllo dell'accesso al bucket (ACL), confermando che la configurazione del bucket è appropriata per la classificazione dei dati. Per garantire che il contenuto del bucket sia coerente con la classificazione, Amazon Macie può essere configurato per verificare la presenza di informazioni di identificazione personale
Alcuni ambienti normativi, come quello assicurativo e sanitario, potrebbero essere soggetti a politiche obbligatorie di conservazione dei dati. La conservazione dei dati tramite tag, combinata con le policy del ciclo di vita di Amazon S3, può essere un modo semplice ed efficace per definire le transizioni degli oggetti verso un livello di storage diverso. Le regole del ciclo di vita di Amazon S3 possono essere utilizzate anche per far scadere gli oggetti per l'eliminazione dei dati dopo la scadenza del periodo di conservazione obbligatorio. Per una guida approfondita su questo processo, consulta Semplifica il ciclo di vita dei dati utilizzando i tag degli oggetti con Amazon S3
Inoltre, durante la valutazione o la risoluzione di problemi di sicurezza, i tag possono fornire all'investigatore un contesto importante che aiuta a qualificare il rischio e a coinvolgere i team appropriati per indagare o mitigare i risultati.
