本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
数据安全和风险管理
在一个 AWS 环境中,您的账户可能会有不同的合规性和安全要求。例如,您可能有一个开发人员沙盒和一个托管生产环境的账户,用于处理付款等高度受监管的工作负载。通过将它们隔离到不同的账户中,您可以应用不同的安全控制措施,限制对敏感数据的访问,并缩小受监管工作负载的审计范围。
对所有工作负载采用单一标准可能会带来挑战。虽然许多控制措施同样适用于整个环境,但对于不需要满足特定监管框架的账户和不会出现个人身份数据的账户(例如,开发人员沙盒或工作负载开发账户)来说,有些控制措施过多或无关紧要。这通常会导致假阳性安全发现,必须在不采取任何行动的情况下对这些调查发现进行分类和关闭,这就占用了本应调查的调查发现的精力。
表 11 - 数据安全和风险管理标签示例
| 用例 | 标签密钥 | 理由 | 示例值 |
|---|---|---|---|
| 事件管理 | example-inc:incident- management:escalationlog |
支持团队使用的事件记录系统 |
jira, servicenow, zendesk
|
| 事件管理 | example-inc:incident- management:escalationpath |
上报路径 | ops-center, dev-ops, app-team
|
| 数据分类 | example-inc:data:classification |
对数据进行分类以实现合规性和治理 | Public, Private, Confidential,
Restricted
|
| 合规 | example-inc:compliance:framework |
确定工作负载所遵循的合规性框架 | PCI-DSS, HIPAA
|
在 AWS 环境中手动管理不同的控件既耗时又容易出错。下一步是自动部署适当的安全控制措施,并根据该账户的分类配置对资源的检查。通过对账户及其中的资源应用标签,可以自动部署控制措施,并根据工作负载进行适当配置。
示例:
工作负载包括一个 Amazon S3 存储桶,其标签为 example-inc:data:classification,值为 Private。安全工具自动部署 AWS Config 规则s3-bucket-public-read-prohibited,该规则会检查 Amazon S3 存储桶的阻止公共访问设置、存储桶策略和存储桶访问控制列表 (ACL),确认存储桶的配置适合其数据分类。为了确保存储桶的内容与分类一致,可以将 Amazon Macie 配置为检查个人身份信息 (PII)
某些监管环境,例如保险和医疗保健,可能需要遵守强制性的数据留存政策。使用标签进行数据留存,再加上 Amazon S3 生命周期策略,可以有效而简单地将对象转移到不同的存储层。Amazon S3 生命周期规则也可用于在强制保留期到期后使对象过期以进行数据删除。有关此过程的深入指南,请参阅使用 Amazon S3 生命周期对象标签简化数据生命周期
此外,在对安全调查发现进行分类或处理时,标签可以为调查人员提供重要的上下文信息,有助于确定风险的性质,并有助于让适当的团队参与调查或减轻调查发现的影响。
