SEC07-BP01 识别工作负载内的数据 - AWS Well-Architected Framework
实施指导资源

SEC07-BP01 识别工作负载内的数据

了解工作负载所处理数据的类型和分类、关联的业务流程、数据存储位置以及数据所有者至关重要。您还应了解工作负载的适用法律和合规性要求,以及需要执行的数据控制措施。识别数据是数据分类过程的第一步。

建立此最佳实践的好处:

通过数据分类,工作负载所有者可以识别存储敏感数据的位置,并确定访问和共享这些数据的方式。

数据分类旨在回答以下问题:

  • 您拥有什么类型的数据?

    可能包括以下数据:

    • 知识产权(IP),例如商业秘密、专利或合同协议。

    • 受保护健康信息(PHI),例如包含与个人相关的病史信息的医疗记录。

    • 个人身份信息(PII),例如姓名、地址、出生日期和国民身份证或登记号码。

    • 信用卡数据,例如主账号(PAN)、持卡人姓名、到期日期和服务代码编号。

    • 敏感数据存储在哪里?

    • 谁可以访问、修改和删除数据?

    • 了解用户权限对于防范潜在的数据误操作至关重要。

  • 谁可以执行创建、读取、更新和删除(CRUD)操作?

    • 通过了解谁可以管理数据权限,对潜在的权限升级进行说明。

  • 如果数据被无意中披露、更改或删除,可能会产生什么业务影响?

    • 了解数据被修改、删除或无意中披露的风险后果。

通过了解这些问题的答案,您可以采取以下行动:

  • 缩小敏感数据的范围(如敏感数据位置的数量),并限制敏感数据的访问权限,仅限经批准的用户进行访问。

  • 了解不同的数据类型,以便实施适当的数据保护机制和技术,如加密、数据丢失防护以及身份和权限管理。

  • 通过为数据提供正确的控制目标来优化成本。

  • 自信地回答监管机构和审计人员提出的关于数据类型和数量,以及不同敏感度的数据如何相互隔离的问题。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

数据分类是确定数据敏感度的行为。该行为可能涉及标记,以使数据易于搜索和跟踪。数据分类还可减少数据的重复,这有助于降低存储和备份成本,同时加快搜索过程。

使用 Amazon Macie 等服务大规模将敏感数据的发现和分类自动化。其他服务(如 Amazon EventBridge 和 AWS Config)可用于自动修复数据安全问题,如未加密的 Amazon Simple Storage Service(Amazon S3)存储桶和 Amazon EC2 EBS 卷或未标记的数据资源。有关 AWS 服务集成的完整列表,请参阅 EventBridge 文档

通过使用 Amazon Comprehend(一种自然语言处理(NLP)服务,该服务使用机器学习(ML)在非结构化文本中查找人物、地点、情感和主题等洞察和关系),可以在非结构化数据(如客户电子邮件、支持工单、产品评论和社交媒体)中检测 PII。有关可协助进行数据识别的 AWS 服务的列表,请参阅使用 AWS 服务检测 PHI 和 PII 数据的常见技术

另一种支持数据分类和保护的方法是 AWS 资源标记。通过标记,可以为 AWS 资源分配元数据,您可以使用这些元数据来管理、识别、组织、搜索和筛选资源。

在某些情况下,您可能会选择标记整个资源(例如 S3 存储桶),尤其当特定工作负载或服务预计将存储已知数据分类的进程或传输时。

在适当情况下,您可以标记 S3 存储桶而不是单个对象,以便于管理和安全维护。

实施步骤

检测 Amazon S3 内的敏感数据:

  1. 开始之前,请确保您拥有访问 Amazon Macie 控制台和执行 API 操作的适当权限。有关其他详细信息,请参阅开始使用 Amazon Macie

  2. 当敏感数据驻留在 Amazon S3 中时,使用 Amazon Macie 执行自动化数据发现。

    • 使用开始使用 Amazon Macie 指南为敏感数据发现结果配置存储库,并为敏感数据创建发现作业。

    • 如何使用 Amazon Macie 预览 S3 存储桶中的敏感数据。

      默认情况下,Macie 通过使用我们建议用于自动化敏感数据发现的一组托管数据标识符来分析对象。您可以定制分析,方法是将 Macie 配置为在为您的账户或组织执行自动化敏感数据发现时,使用特定的托管数据标识符、自定义数据标识符和允许列表。您可以通过排除特定的存储桶(例如,通常存储 AWS 日志记录数据的 S3 存储桶)来调整分析范围。

  3. 要配置和使用自动化敏感数据发现,请参阅使用 Amazon Macie 执行自动化敏感数据发现

  4. 您也可以考虑针对 Amazon Macie 的自动化数据发现

检测 Amazon RDS 内的敏感数据:

有关 Amazon Relational Database Service(Amazon RDS)数据库中数据发现的更多信息,请参阅使用 Macie 为 Amazon RDS 数据库启用数据分类

检测 DynamoDB 内的敏感数据:

AWS 合作伙伴解决方案:

  • 考虑使用我们广泛的 AWS Partner Network。AWS 合作伙伴拥有广泛的工具和合规性框架,可直接与 AWS 服务集成。合作伙伴可以为您提供量身定制的治理和合规性解决方案,以帮助您满足组织需求。

  • 有关数据分类中的定制解决方案,请参阅监管和合规性要求时代的数据治理

通过使用 AWS Organizations 创建和部署策略,您可以自动实施贵组织所采用的标记标准。您可以通过标签策略来指定规则,规则中定义有效的密钥名称以及对每个密钥有效的值。您可以选择仅监控,这使您有机会评估和清理现有标签。标签符合所选标准后,您可以在标签策略中启用强制执行,以防止创建不合规的标签。有关更多详细信息,请参阅使用 AWS Organizations 中的服务控制策略保护用于授权的资源标签,以及关于防止标签被授权主体以外的人员修改的示例策略。

  • 要开始在 AWS Organizations 中使用标签策略,强烈建议您先遵循开始使用标签策略中的工作流程,然后再使用更高级的标签策略。在扩展到整个组织单位(OU)或组织之前,了解将简单的标签策略附加到单个账户的效果,可以在强制遵守某项标签策略之前看到该标签策略的效果。开始使用标签策略提供了指向更高级策略相关任务的说明的链接。

  • 不妨考虑评估一下数据分类白皮书中列出的支持数据分类的其他 AWS 服务和功能

资源

相关文档:

相关博客:

相关视频: