As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança de dados e gerenciamento de riscos
Em um AWS ambiente, você provavelmente terá contas com diferentes requisitos de conformidade e segurança. Por exemplo, você pode ter um sandbox para desenvolvedores e uma conta hospedando o ambiente de produção para uma workload altamente regulamentada, como processamento de pagamentos. Ao isolá-los em contas diferentes, é possível aplicar controles de segurança distintos, restringir o acesso a dados confidenciais e reduzir o escopo da auditoria para workloads regulamentadas.
A adoção de um padrão único para todas workloads pode gerar desafios. Embora muitos controles se apliquem igualmente em um ambiente, alguns são excessivos ou irrelevantes para contas que não precisam atender a estruturas regulatórias específicas e contas em que nenhum dado pessoal identificável estará presente (por exemplo, um sandbox para desenvolvedores ou contas de desenvolvimento de workload). Isso normalmente leva a descobertas de segurança falsas positivas que devem ser triadas e encerradas sem nenhuma ação, o que retira o esforço das descobertas que devem ser investigadas.
Tabela 11: Exemplos de tags de segurança de dados e gerenciamento de riscos
| Caso de uso | Chave de tag | Lógica | Valores de exemplo |
|---|---|---|---|
| Gerenciamento de incidentes | example-inc:incident- management:escalationlog |
O sistema em uso pela equipe de suporte para registrar incidentes |
jira, servicenow, zendesk
|
| Gerenciamento de incidentes | example-inc:incident- management:escalationpath |
Caminho de escalação | ops-center, dev-ops, app-team
|
| Classificação de dados | example-inc:data:classification |
Classifique os dados para fins de conformidade e governança | Public, Private, Confidential,
Restricted
|
| Compliance | example-inc:compliance:framework |
Identifica a estrutura de conformidade à qual a workload está sujeita | PCI-DSS, HIPAA
|
O gerenciamento manual de diferentes controles em um AWS ambiente é demorado e propenso a erros. A próxima etapa é automatizar a implantação dos controles de segurança apropriados e configurar a inspeção dos recursos com base na classificação dessa conta. Ao aplicar tags às contas e aos recursos dentro delas, a implantação de controles pode ser automatizada e configurada adequadamente para a workload.
Exemplo:
Uma workload inclui um bucket do Amazon S3 com a tag example-inc:data:classification e o valor Private. A automação das ferramentas de segurança implanta a AWS Config regras3-bucket-public-read-prohibited, que verifica as configurações de bloqueio de acesso público do bucket Amazon S3, a política do bucket e a lista de controle de acesso (ACL) do bucket, confirmando que a configuração do bucket é apropriada para sua classificação de dados. Para garantir que o conteúdo do bucket seja consistente com a classificação, o Amazon Macie pode ser configurado para verificar as informações de identificação pessoal
Certos ambientes regulatórios, como seguros e assistência médica, podem estar sujeitos a políticas obrigatórias de retenção de dados. A retenção de dados usando tags, combinada com as políticas de ciclo de vida do Amazon S3, pode ser uma forma eficaz e simples de definir o escopo das transições de objetos para um nível de armazenamento diferente. As regras de ciclo de vida do Amazon S3 também podem ser usadas para expirar objetos para exclusão de dados após o término do período de retenção obrigatório. Consulte Simplify your data lifecycle by using object tags with Amazon S3 Lifecycle
Além disso, ao fazer a triagem ou abordar as descobertas de segurança, as tags podem fornecer ao investigador um contexto importante que ajuda a qualificar o risco e ajuda a engajar as equipes apropriadas para investigar ou mitigar a descoberta.
