Segurança de dados e gerenciamento de riscos - Práticas recomendadas para políticas

Segurança de dados e gerenciamento de riscos

Em um ambiente AWS, você provavelmente terá contas com diferentes requisitos de conformidade e segurança. Por exemplo, você pode ter um sandbox para desenvolvedores e uma conta hospedando o ambiente de produção para uma carga de trabalho altamente regulamentada, como processamento de pagamentos. Ao isolá-los em contas diferentes, é possível aplicar controles de segurança distintos, restringir o acesso a dados confidenciais e reduzir o escopo da auditoria para cargas de trabalho regulamentadas.

A adoção de um padrão único para todas as cargas de trabalho pode gerar desafios. Embora muitos controles se apliquem igualmente em um ambiente, alguns são excessivos ou irrelevantes para contas que não precisam atender a estruturas regulatórias específicas e contas em que nenhum dado pessoal identificável estará presente (por exemplo, um sandbox para desenvolvedores ou contas de desenvolvimento de carga de trabalho). Isso normalmente leva a descobertas de segurança falsas positivas que devem ser triadas e encerradas sem nenhuma ação, o que retira o esforço das descobertas que devem ser investigadas.

Tabela 11 — Exemplos de tags de segurança de dados e gerenciamento de riscos

Caso de uso Chave de tag Lógica Valores de exemplo
Gerenciamento de incidentes example-inc:incident- management:escalationlog O sistema em uso pela equipe de suporte para registrar incidentes jira, servicenow, zendesk
Gerenciamento de incidentes example-inc:incident- management:escalationpath Caminho de escalação ops-center, dev-ops, app-team
Classificação de dados example-inc:data:classification Classifique os dados para fins de conformidade e governança Public, Private, Confidential, Restricted
Conformidade example-inc:compliance:framework Identifica a estrutura de conformidade à qual a carga de trabalho está sujeita PCI-DSS, HIPAA

O gerenciamento manual de diferentes controles em um ambiente AWS é demorado e propenso a erros. A próxima etapa é automatizar a implantação dos controles de segurança apropriados e configurar a inspeção dos recursos com base na classificação dessa conta. Ao aplicar tags às contas e aos recursos dentro delas, a implantação de controles pode ser automatizada e configurada adequadamente para a carga de trabalho.

Exemplo:

Uma carga de trabalho inclui um bucket do Amazon S3 com a tag example-inc:data:classification com o valor Private. A automação das ferramentas de segurança implanta a regra AWS Config s3-bucket-public-read-prohibited, que verifica as configurações de bloqueio de acesso público do bucket Amazon S3, a política do bucket e a lista de controle de acesso (ACL) do bucket, confirmando que a configuração do bucket é apropriada para sua classificação de dados. Para garantir que o conteúdo do bucket seja consistente com a classificação, o Amazon Macie pode ser configurado para verificar as informações de identificação pessoal (PII). O blog Using Amazon Macie to Validate S3 Bucket Data Classification explora esse padrão com mais profundidade.

Certos ambientes regulatórios, como seguros e assistência médica, podem estar sujeitos a políticas obrigatórias de retenção de dados. A retenção de dados usando tags, combinada com as políticas de ciclo de vida do Amazon S3, pode ser uma forma eficaz e simples de definir o escopo das transições de objetos para um nível de armazenamento diferente. As regras de ciclo de vida do Amazon S3 também podem ser usadas para expirar objetos para exclusão de dados após o término do período de retenção obrigatório. Consulte Simplifique seu ciclo de vida de dados usando tags de objetos com o ciclo de vida do Amazon S3 para obter um guia detalhado desse processo.

Além disso, ao fazer a triagem ou abordar as descobertas de segurança, as tags podem fornecer ao investigador um contexto importante que ajuda a qualificar o risco e ajuda a engajar as equipes apropriadas para investigar ou mitigar a descoberta.