SEC07-BP01 워크로드 안에서 데이터 식별 - AWS Well-Architected Framework
구현 가이드리소스

SEC07-BP01 워크로드 안에서 데이터 식별

워크로드가 처리하는 데이터의 유형과 분류, 관련 비즈니스 프로세스, 데이터가 저장되는 위치, 데이터 소유자를 이해하는 것이 중요합니다. 또한 워크로드의 해당 법률 및 규정 준수 요구 사항과 적용해야 하는 데이터 제어를 이해해야 합니다. 데이터 식별은 데이터 분류 여정의 첫 번째 단계입니다.

이 모범 사례 확립의 이점:

데이터 분류를 통해 워크로드 소유자는 민감한 데이터를 저장하는 위치를 식별하고 해당 데이터에 액세스하고 공유하는 방법을 결정할 수 있습니다.

데이터 분류는 다음 질문에 답변하는 것을 목표로 합니다.

  • 어떤 유형의 데이터가 있나요?

    다음과 같은 데이터가 있을 수 있습니다.

    • 영업 비밀, 특허, 계약과 같은 지적 재산(IP)

    • 개인과 연결된 병력 정보가 포함된 의료 기록과 같은 보호 대상 건강 정보(PHI)

    • 이름, 주소, 생년월일, 국가 ID, 등록 번호와 같은 개인 식별 정보(PII)

    • 기본 계정 번호(PAN), 카드 소유자 이름, 만료 날짜, 서비스 코드 번호와 같은 신용 카드 데이터

    • 민감한 데이터는 어디에 저장되나요?

    • 누가 데이터에 액세스하여 수정 및 삭제할 수 있나요?

    • 데이터를 잘못 취급하지 못하도록 방지하려면 사용자 권한을 이해하는 것이 필수적입니다.

  • 생성, 읽기, 업데이트, 삭제(CRUD) 작업은 누가 수행할 수 있나요?

    • 누가 데이터에 대한 권한을 관리할 수 있는지 파악하여 권한 상승 가능성을 고려합니다.

  • 데이터가 의도치 않게 공개, 변경, 삭제되면 비즈니스에 어떤 영향을 미칠 수 있나요?

    • 데이터가 의도치 않게 수정, 삭제, 공개되는 경우의 위험 결과를 이해합니다.

이러한 질문에 대한 답변을 알면 다음과 같은 조치를 취할 수 있습니다.

  • 민감한 데이터 범위(예: 민감한 데이터 위치 수)를 줄이고 민감한 데이터에 대한 액세스 권한을 승인된 사용자로만 제한합니다.

  • 암호화, 데이터 손실 방지, 자격 증명 및 액세스 관리와 같은 적절한 데이터 보호 메커니즘 및 기술을 구현할 수 있도록 다양한 데이터 유형을 파악합니다.

  • 데이터에 대한 올바른 제어 목표를 제공하여 비용을 최적화합니다.

  • 데이터 유형과 양, 민감도가 다른 데이터를 서로 분리하는 방법에 대한 규제 기관 및 감사 담당자의 질문에 자신 있게 답변합니다.

이 모범 사례를 따르지 않을 경우 노출 위험도: 높음

구현 가이드

데이터 분류는 데이터의 민감도를 식별하는 행위입니다. 데이터를 쉽게 검색하고 추적할 수 있도록 태그 지정이 포함될 수 있습니다. 또한 데이터 분류는 데이터 중복을 줄여 검색 프로세스 속도를 높이면서 스토리지 및 백업 비용을 줄이는 데 도움이 될 수 있습니다.

Amazon Macie과 같은 서비스를 사용하여 민감한 데이터의 검색 및 분류를 대규모로 자동화합니다. Amazon EventBridge 및 AWS Config와 같은 다른 서비스를 사용하면 암호화되지 않은 Amazon Simple Storage Service(Amazon S3) 버킷 및 Amazon EC2 EBS 볼륨 또는 태그가 지정되지 않은 데이터 리소스와 같은 데이터 보안 문제에 대한 개선조치를 자동화할 수 있습니다. AWS 서비스 통합의 전체 목록은 EventBridge 설명서를 참조하세요.

고객 이메일, 지원 티켓, 제품 리뷰, 소셜 미디어와 같은 비정형 데이터에서 PII 감지는 자연어 처리(NLP) 서비스인 Amazon Comprehend를 사용하면 됩니다. 이 서비스는 기계 학습(ML)을 사용하여 비정형 텍스트에서 사람, 장소, 감정, 주제와 같은 인사이트와 관계를 찾습니다. 데이터 식별을 지원할 수 있는 AWS 서비스 목록은 AWS 서비스를 사용하여 PHI 및 PII 데이터를 감지하는 일반 기술을 참조하세요.

데이터 분류 및 보호를 지원하는 또 다른 방법은 AWS 리소스 태그 지정입니다. 태그 지정을 사용하면 리소스를 관리, 식별, 구성, 검색 및 필터링하는 데 사용할 수 있는 메타데이터를 AWS 리소스에 할당할 수 있습니다.

경우에 따라 전체 리소스(예: S3 버킷)에 태그를 지정하도록 선택할 수 있습니다. 특히 특정 워크로드 또는 서비스가 이미 알려진 데이터 분류의 프로세스 또는 전송을 저장해야 하는 경우에 더욱 그렇습니다.

적절한 경우 관리 및 보안 유지 관리를 쉽게 하기 위해 개별 객체 대신 S3 버킷에 태그를 지정할 수 있습니다.

구현 단계

Amazon S3 내의 민감한 데이터 감지:

  1. 시작하기 전에 Amazon Macie 콘솔 및 API 작업에 액세스할 수 있는 적절한 권한이 있는지 확인합니다. 자세한 내용은 Amazon Macie 시작하기를 참조하세요.

  2. 민감한 데이터가 Amazon S3에 있는 경우 Amazon Macie를 사용하여 자동화된 데이터 검색을 수행합니다.

    • Amazon Macie 시작하기 가이드를 사용하여 민감한 데이터 검색 결과에 대한 리포지토리를 구성하고 민감한 데이터에 대한 검색 작업을 생성합니다.

    • Amazon Macie를 사용하여 S3 버킷에서 민감한 정보를 미리 보는 방법

      기본적으로 Macie는 자동화된 민감한 데이터 검색을 위해 권장되는 관리형 데이터 식별자를 사용하여 객체를 분석합니다. 계정 또는 조직에 대해 자동화된 민감한 데이터 검색을 수행할 때 특정 관리형 데이터 식별자, 사용자 지정 데이터 식별자 및 허용 목록을 사용하도록 Macie를 구성하여 분석을 맞춤 조정할 수 있습니다. 특정 버킷(예: 일반적으로 AWS 로깅 데이터를 저장하는 S3 버킷)을 제외하여 분석 범위를 조정할 수 있습니다.

  3. 자동화된 민감한 데이터 검색을 구성하고 사용하려면 Performing automated sensitive data discovery with Amazon Macie(Amazon Macie를 사용하여 자동화된 민감한 데이터 검색 수행)를 참조하세요.

  4. Amazon Macie에 대한 자동 데이터 검색을 고려할 수도 있습니다.

Amazon RDS 내의 민감한 데이터 감지:

Amazon Relational Database Service(Amazon RDS) 데이터베이스의 데이터 검색에 대한 자세한 내용은 Macie를 사용하여 Amazon RDS 데이터베이스에 대한 데이터 분류 활성화를 참조하세요.

DynamoDB 내의 민감한 데이터 감지:

AWS 파트너 솔루션:

AWS Organizations를 사용하여 정책을 생성하고 배포하여 조직에서 채택하는 태그 지정 표준을 자동으로 적용할 수 있습니다. 태그 정책을 사용하면 유효한 키 이름과 각 키에 유효한 값을 정의하는 규칙을 지정할 수 있습니다. 모니터링만 선택하면 기존 태그를 평가하고 정리할 수 있습니다. 태그가 선택한 표준을 준수하면 태그 정책에서 적용을 사용 설정하여 규정 미준수 태그가 생성되는 것을 방지할 수 있습니다. 자세한 내용은 AWS Organizations에서 서비스 제어 정책을 사용하여 권한 부여에 사용되는 리소스 태그 보호권한이 부여된 보안 주체에 의한 것을 제외한 태그 수정 방지에 대한 예시 정책을 참조하세요.

  • AWS Organizations에서 태그 정책 사용을 시작하려면 고급 태그 정책으로 이동하기 전에 태그 정책 시작하기의 워크플로를 따르는 것이 좋습니다. 전체 조직 단위(OU) 또는 조직으로 확장하기 전에 단일 계정에 간단한 태그 정책을 연결하는 효과를 이해하면 태그 정책을 준수하기 전에 태그 정책의 효과를 볼 수 있습니다. 태그 정책 시작하기에서는 고급 정책 관련 작업에 대한 지침 링크를 제공합니다.

  • 데이터 분류 백서에 나열된 데이터 분류를 지원하는 다른 AWS 서비스 및 기능을 평가하는 것이 좋습니다.

리소스

관련 문서:

관련 블로그:

관련 동영상: