SEC07-BP01 Understand your data classification scheme

워크로드에서 처리 중인 데이터의 분류, 처리 요구 사항, 관련 비즈니스 프로세스, 데이터가 저장되는 위치, 데이터 소유자가 누구인지 이해하세요.  데이터 분류 및 처리 체계는 워크로드의 적용 가능한 법률 및 규정 준수 요구 사항과 필요한 데이터 제어 기능을 고려해야 합니다. 데이터를 이해해야 데이터 분류 여정을 시작할 수 있습니다. 

원하는 결과: 워크로드에 있는 데이터 유형이 문서화되어 이를 제대로 이해하고 있습니다.  분류에 따라 민감한 데이터를 보호하기 위한 적절한 제어 조치가 마련되어 있습니다.  이러한 제어 기능은 누가 어떤 목적으로 데이터에 액세스할 수 있는지는 물론 데이터가 저장되는 위치, 해당 데이터에 대한 암호화 정책 및 암호화 키가 관리되는 방식, 데이터의 수명 주기 및 보존 요구 사항, 적절한 폐기 프로세스, 마련된 백업 및 복구 프로세스, 액세스 감사와 같은 고려 사항을 관리합니다.

일반적인 안티 패턴:

• 데이터 민감도 수준과 처리 요구 사항을 정의하는 공식적인 데이터 분류 정책이 마련되어 있지 않습니다.

• 워크로드 내 데이터의 민감도 수준을 제대로 이해하지 못하고 아키텍처 및 운영 문서에 해당 정보를 포함하지 않습니다.

• 데이터 분류 및 처리 정책에 명시된 대로 데이터의 민감도 및 요구 사항을 기반으로 데이터에 적절한 제어 기능을 적용하지 않습니다.

• 정책 소유자에게 데이터 분류 및 처리 요구 사항에 대한 피드백을 제공하지 않습니다.

이 모범 사례 확립의 이점: 이 방법은 워크로드 내의 적절한 데이터 처리와 관련된 모호성을 제거합니다.  조직 내 데이터의 민감도 수준과 필수 보호 조치를 정의하는 공식 정책을 적용하면 법규와 기타 사이버 보안 증명 및 인증을 준수하는 데 도움이 될 수 있습니다.  워크로드 소유자는 민감한 데이터가 어디에 저장되고 어떤 보호 제어 기능이 적용되는지 알고 안심할 수 있습니다.  이러한 내용을 문서화하면 신입 팀원의 이해도를 높이고 업무를 배정받은 초반에도 제어 수준을 유지하도록 도울 수 있습니다. 그리고 각 데이터 유형에 대한 제어 규모를 적절하게 조정하여 비용을 절감하는 데도 도움이 될 수 있습니다.

이 모범 사례를 따르지 않을 경우 노출 위험도: 높음

구현 가이드

워크로드를 설계할 때 민감한 데이터를 직관적으로 보호하는 방법을 고려할 수 있습니다.  예를 들어, 다중 테넌트 애플리케이션에서는 직관적으로 각 테넌트의 데이터를 민감한 것으로 생각하고 한 테넌트가 다른 테넌트의 데이터에 액세스할 수 없도록 보호 기능을 적용합니다.  마찬가지로 관리자만 데이터를 수정할 수 있고 다른 사용자는 읽기 수준의 액세스 권한만 가지거나 전혀 액세스할 수 없도록 액세스 제어를 직관적으로 설계할 수 있습니다.

이러한 데이터 민감도 수준을 데이터 보호 요구 사항과 함께 정의하고 정책에 포함하면 워크로드에 있는 데이터를 공식적으로 식별할 수 있습니다. 그런 다음 올바른 제어 기능이 있는지, 이를 감사할 수 있는지, 데이터가 잘못 처리되는 경우 어떻게 대응해야 적절한지 결정할 수 있습니다.

워크로드 내에서 민감한 데이터가 있는 위치를 분류하려면 리소스 태그를 되도록 사용하는 것이 좋습니다.  예를 들어, 보호 대상 건강 정보(PHI)에 대해 Classification의 태그 키와 PHI의 태그 값이 있는 태그와 Sensitivity의 태그 키와 High의 태그 값이 있는 다른 태그를 적용할 수 있습니다.  그런 다음 AWS Config 등의 서비스를 사용하여 리소스의 변경 사항을 모니터링하고 보호 요구 사항을 준수하지 못하게 하는 방식으로 수정된 경우(예: 암호화 설정 변경) 알림을 보낼 수 있습니다.  AWS Organizations의 기능인 태그 정책을 사용하여 태그 키의 표준 정의와 허용 가능한 값을 캡처할 수 있습니다. 태그 키 또는 값에 개인 데이터나 민감한 데이터는 포함하지 않는 것이 좋습니다.

구현 단계

1. 조직의 데이터 분류 체계 및 보호 요구 사항을 이해합니다.

2. 워크로드에서 처리하는 민감한 데이터의 유형을 식별합니다.

3. 정책에 따라 민감한 데이터가 워크로드 내에 저장되고 보호되고 있는지 확인합니다.  자동 테스트와 같은 기술을 사용하여 제어의 효과를 감사합니다.

4. 가능한 경우 리소스 및 데이터 수준 태그 지정을 사용하여 민감도 수준과 모니터링 및 인시던트 대응에 도움이 될 수 있는 기타 운영 메타데이터로 데이터에 태그를 지정하는 것을 고려해 보세요.

   1.  AWS Organizations 태그 정책은 태그 지정 표준을 적용하는 데 사용할 수 있습니다.

리소스

관련 모범 사례:

• SUS04-BP01 데이터 분류 정책 구현

관련 문서:

• 데이터 분류 백서

• Best Practices for Tagging AWS Resources

관련 예시:

• AWS Organizations Tag Policy Syntax and Examples

관련 도구

• AWS Tag Editor