SEC07-BP01 Identificar os dados em sua workload

É essencial compreender o tipo e a classificação de dados que sua workload está processando, os processos de negócios associados, onde os dados são armazenados e quem é o proprietário dos dados. Você também deve ter uma compreensão dos requisitos legais e de conformidade aplicáveis de sua workload e quais controles de dados precisam ser implementados. A identificação dos dados é a primeira etapa da jornada da classificação de dados.

Benefícios do estabelecimento desta prática recomendada:

A classificação dos dados possibilita que os proprietários da workload identifiquem os locais que armazenam dados sigilosos e determinem como esses dados devem ser acessados e compartilhados.

A classificação dos dados tem como objetivo responder às seguintes perguntas:

Qual tipo de dados você tem?

Podem ser dados como:
- Propriedade intelectual (IP), como segredos comerciais, patentes ou contratos.
- Informações de saúde protegidas (PHI), como registros médicos que contêm informações do histórico médico referente a um indivíduo.
- Informações de identificação pessoal (PII), como nome, endereço, data de nascimento e ID nacional ou número de registro.
- Dados do cartão de crédito, como o Número da conta principal (PAN), nome do titular do cartão, data de validade e número do código de serviço.
- Onde os dados sigilosos são armazenados?
- Quem pode acessar, modificar e excluir dados?
- A compreensão das permissões do usuário é essencial na proteção contra o possível uso indevido de dados.
Quem pode realizar operações de criação, leitura, atualização e exclusão (CRUD)?
- Considere a possível escalação de privilégios compreendendo quem pode gerenciar permissões aos dados.
Qual impacto nos negócios poderá ocorrer se os dados forem divulgados de forma acidental, alterados ou excluídos?
- Entenda a consequência do risco se os dados forem modificados, excluídos ou divulgados acidentalmente.

Ao responder a estas perguntas, você pode realizar as seguintes ações:

Reduzir o escopo de dados sigilosos (como o número de locais de dados sigilosos) e limitar o acesso aos dados sigilosos somente para usuários aprovados.
Obtenha um entendimento de diferentes tipos de dados para que você possa implementar técnicas e mecanismos de proteção de dados apropriados, como criptografia, prevenção da perda de dados e gerenciamento de identidade e acesso.
Otimize os custos entregando os objetivos de controle certos para os dados.
Responda às perguntas de modo confidencial de reguladores e auditores sobre os tipos e a quantidade de dados e como os dados de diferentes níveis de confidencialidade são isolados uns dos outros.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientação de implementação

Classificação dos dados é o ato de identificar a confidencialidade dos dados. Ela pode envolver marcação para tornar os dados facilmente acessíveis e rastreáveis. A classificação de dados também reduz a duplicação de dados, o que pode ajudar a reduzir os custos de armazenamento e backup enquanto acelera o processo de pesquisa.

Utilize serviços, como o Amazon Macie para automatizar em grande escala a descoberta e a classificação de dados sigilosos. Outros serviços, como Amazon EventBridge e AWS Config, podem ser utilizados para automatizar a remediação de problemas de segurança de dados, como buckets do Amazon Simple Storage Service (Amazon S3) não criptografados e volumes do Amazon EC2 EBS ou recursos de dados não marcados. Para ter uma lista completa de integrações de serviços da AWS, consulte a documentação do EventBridge.

A detecção de PII em dados não estruturados, como e-mails de clientes, tickets de suporte, análises de produtos e redes sociais, é possível com o uso do Amazon Comprehend, que é um serviço de processamento de linguagem natural (PLN) que utiliza machine learning (ML) para encontrar insights e relacionamentos, como pessoas, locais, sentimentos e tópicos em texto não estruturado. Para ter uma lista de serviços da AWS que podem auxiliar na identificação dos dados, consulte Técnicas comuns para detectar dados PHI e PII com o uso de serviços da AWS.

Outro método compatível com a classificação e a proteção de dados é a marcação de recursos da AWS. A marcação possibilita atribuir metadados aos seus recursos da AWS que você pode utilizar para gerenciar, identificar, organizar, procurar e filtrar recursos.

Em alguns casos, você pode optar por marcar recursos inteiros (como um bucket do S3), especialmente quando uma workload ou um serviço específico deve armazenar processos ou transmissões de classificação de dados já conhecidos.

Quando apropriado, é possível marcar um bucket do S3 em vez de objetos individuais para facilidade de administração e manutenção de segurança.

Etapas da implementação

Detectar dados sigilosos no Amazon S3:

Antes de começar, você deve ter permissões apropriadas para acessar o console do Amazon Macie e as operações de API. Para ter detalhes adicionais, consulte Conceitos básicos do Amazon Macie.
Utilize o Amazon Macie para realizar a descoberta de dados automatizada quando seus dados sigilosos residem no Amazon S3.
- Utilize o guia Conceitos básicos do Amazon Macie para configurar um repositório para os resultados da descoberta de dados sigilosos e criar um trabalho de descoberta de dados sigilosos.
- Como utilizar o Amazon Macie para visualizar dados sigilosos em buckets do S3.
  
  Por padrão, o Macie analisa objetos utilizando o conjunto de identificadores de dados gerenciados que recomendamos para a descoberta automatizada de dados sigilosos. É possível ajustar a análise configurando o Macie para utilizar identificadores de dados gerenciados específicos, identificadores de dados personalizados e listas de permissões quando ele realiza a descoberta automatizada de dados sigilosos para a sua conta ou organização. Você pode ajustar o escopo da análise excluindo buckets específicos (por exemplo, buckets do S3 que geralmente armazenam dados de registro em log da AWS).
Para configurar e utilizar a descoberta automatizada de dados sigilosos, consulte Realizar a descoberta automatizada de dados sigilosos com o Amazon Macie.
Você também pode considerar Descoberta automatizada de dados para o Amazon Macie.

Detectar dados sigilosos no Amazon RDS:

Para ter mais informações sobre a descoberta de dados em bancos de dados Amazon Relational Database Service (Amazon RDS), consulte Habilitar a classificação de dados para o banco de dados Amazon RDS com o Macie.

Detectar dados sigilosos no DynamoDB:

Detectar dados sigilosos no DynamoDB com Macie explica como utilizar o Amazon Macie para detectar dados sigilosos em tabelas do Amazon DynamoDB exportando os dados para o Amazon S3 para verificação.

Soluções de parceiros da AWS:

Considere utilizar nossa AWS Partner Network extensiva. Os parceiros da AWS têm ferramentas e frameworks de conformidade extensas que se integram diretamente aos serviços da AWS. Os parceiros podem oferecer uma solução de governança e conformidade personalizada para ajudar você a atender às suas necessidades organizacionais.
Para saber sobre as soluções personalizadas em classificação de dados, consulte Governança de dados na era dos requisitos de regulamento e conformidade.

É possível aplicar automaticamente os padrões de marcação que sua organização adota criando e implantando políticas com o uso do AWS Organizations. As políticas de tag possibilitam especificar regras que definem nomes de chave válidas e quais valores são válidos para cada chave. É possível optar somente por monitorar, que oferece a você uma oportunidade de avaliar e limpar suas tags existentes. Depois que suas tags estiverem em conformidade com seus padrões escolhidos, você poderá ativar a aplicação nas políticas de tag a fim de impedir que tags sem conformidade sejam criadas. Para ter mais detalhes, consulte Proteger tags de recursos utilizadas para autorização utilizando uma política de controle de serviço no AWS Organizations e o exemplo de política em Impedir que as tags sejam modificadas, exceto por principais autorizados.

Para começar a utilizar políticas de tag no AWS Organizations, é altamente recomendável que você siga o fluxo de trabalho em Conceitos básicos de políticas de tag antes de passar para políticas de tag mais avançadas. Compreender os efeitos de anexar uma política de tag simples a uma conta antes de expandir para uma unidade organizacional (UO) ou uma organização inteira permite ver os efeitos de uma política de tag antes de aplicar a conformidade com a política de tag. Conceitos básicos de políticas de tag oferece links para instruções de tarefas relacionadas a política mais avançadas.
Considere a avaliação de outros serviços e recursos do AWS compatíveis com a classificação de dados, que estão listados no whitepaper Classificação de dados.

Recursos

Documentos relacionados:

Blogs relacionados:

Vídeos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEGURANÇA 7. Como classificar meus dados?

SEC07-BP02 Definir controles de proteção de dados