SEC07-BP01 識別工作負載內的資料 - AWS Well-Architected 架構
實作指引資源

SEC07-BP01 識別工作負載內的資料

了解您的工作負載正在處理的資料類型和分類、相關聯的業務流程、資料存放在何處以及誰是資料擁有者至關重要。您也應該了解工作負載的適用法律和合規要求,以及需要強制何種資料控制。識別資料是資料分類歷程的第一步。

建立此最佳實務的優勢:

資料分類可讓工作負載擁有者識別存放敏感資料的位置,並決定應該如何存取和共用該資料。

資料分類旨在回答以下問題:

  • 您擁有何種類型的資料?

    這可能是如下資料:

    • 智慧財產權 (IP),例如交易機密、專利或合約協議。

    • 受保護醫療資訊 (PHI),例如包含與個人相關之醫療歷史資訊的醫療記錄。

    • 個人身分識別資訊 (PII),例如姓名、地址、出生日期和國民身分證號碼或登記號碼。

    • 信用卡資料,例如主要帳號 (PAN)、持卡人姓名、到期日和服務碼編號。

    • 敏感資料存放於何處?

    • 誰能夠存取、修改和刪除資料?

    • 了解使用者許可對於防止資料可能遭到不當處理必不可少。

  • 誰能夠執行建立、讀取、更新和刪除 (CRUD) 操作?

    • 了解誰能夠管理對資料的許可,藉以考量潛在的權限提升。

  • 如果資料遭到意外洩露、更改或刪除,可能會導致何種業務影響?

    • 了解若資料遭到修改、刪除或意外洩露的風險後果。

透過知道這些問題的答案,您可以採取以下動作:

  • 縮小敏感資料的範圍 (例如敏感資料的位置數量),以及將對敏感資料的存取僅限為核准使用者。

  • 了解不同的資料類型,以便實作適當的資料保護機制和方法,例如加密、資料外洩防護,以及身分和存取管理。

  • 針對資料達到適當的控制目標以優化成本。

  • 有信心地回答監管機構和稽核人員關於資料類型和數量,以及如何區隔不同敏感度的資料的問題。

未建立此最佳實務時的風險暴露等級:高

實作指引

資料分類是識別資料敏感度的行動,當中可能牽涉標記,使資料方便搜尋和追蹤。資料分類還可減少資料重複,如此有助於降低儲存和備份成本,同時加速搜尋程序。

使用 Amazon Macie 之類的服務可大規模自動化敏感資料的探索和分類。其他像是 Amazon EventBridge 和 AWS Config 等服務可用來自動化資料安全問題的修正作業,例如未加密的 Amazon Simple Storage Service (Amazon S3) 儲存貯體和 Amazon EC2 EBS 磁碟區或未標記的資料資源。如需 AWS 服務整合的完整清單,請參閱 EventBridge 文件

偵測非結構化資料中的 PII,例如客戶電子郵件、支援票證、產品評論和社交媒體,可使用 Amazon Comprehend 來達成,其是一項自然語言處理 (NLP) 服務,使用機器學習 (ML) 在非結構化文字中尋找洞察和關係,例如如人員、情緒和主題。如需可協助資料識別的 AWS 服務清單,請參閱使用 AWS 服務偵測 PHI 和 PII 的常見方法

另一種支援資料分類和保護的方法是 AWS 資源標記。標記可讓您將中繼資料指派到您的 AWS 資源,其可用於管理、識別、組織、搜尋和篩選資源。

在某些情況下,您可能選擇標記整個資源 (例如 S3 儲存貯體),尤其是在特定工作負載或服務應該存放已知資料分類的處理和傳輸時。

適用時,您可以標記 S3 儲存貯體而不是個別的物件,以方便管理和維護安全。

實作步驟

偵測 Amazon S3 內的敏感資料:

  1. 開始前,請確定您具備適當的許可,以存取 Amazon Macie 主控台和 API 操作。如需其他詳細資訊,請參閱 Amazon Macie 入門

  2. 當您的敏感資料位於 Amazon S3 中時,使用 Amazon Macie 來執行自動化資料探索。

    • 使用 Amazon Macie 入門指南為敏感資料探索結果設定儲存庫,並為敏感資料建立探索工作。

    • 如何使用 Amazon Macie 預覽 S3 儲存貯體中的敏感資料。

      Macie 預設會使用我們針對自動化敏感資料探索所建議的受管資料識別符集合來分析物件。您可以設定 Macie 在為您的帳戶或組織執行自動化敏感資料探索時使用特定的受管資料識別符、自訂資料識別符和允許清單,藉此將分析客製化。您可以透過排除特定儲存貯體 (例如,一般存放 AWS 記錄資料的 S3 儲存貯體),來調整分析的範圍。

  3. 若要設定和使用自動化敏感資料探索,請參閱使用 Amazon Macie 執行自動化敏感資料探索

  4. 您也應該考慮適用於 Amazon Macie 的自動化資料探索

偵測 Amazon RDS 內的敏感資料:

如需關於 Amazon Relational Database Service (Amazon RDS) 資料庫中的資料探索的詳細資訊,請參閱使用 Macie 為 Amazon RDS 資料庫啟用資料分類

偵測 DynamoDB 內的敏感資料:

AWS 合作夥伴解決方案:

  • 考慮使用我們廣大的 AWS Partner Network。AWS 合作夥伴擁有廣泛的工具和合規架構,與 AWS 服務直接整合。合作夥伴可以為您提供客製化的治理和合規解決方案,協助您滿足組織需要。

  • 如需資料分類的自訂解決方案,請參閱在法規和合規要求的時代進行資料治理

您可以使用 AWS Organizations 建立和部署政策,藉此自動強制您的組織採用的標記標準。標籤政策可讓您指定規則,定義有效的金鑰名稱以及每個金鑰的有效值。您可以選擇只進行監控,這讓您有機會評估和清理現有的標籤。在您的標籤符合所選的標準後,您可以開啟標籤政策中的強制實施,以防建立不合規的標籤。如需詳細資訊,請參閱使用 AWS Organizations 中的服務控制政策保護用於授權的資源標籤以及有關預防標籤遭修改 (授權主體除外) 的範例政策。

  • 若要開始使用 AWS Organizations 中的標籤政策,強烈建議您先遵循標籤政策入門中的工作流程。再移向更進階的標籤政策。了解將簡單的標籤政策先附加到單一帳戶再擴展到整個組織單位 (OU) 或組織的作用,可讓您在強制遵守標籤政策之前先查看標籤政策的作用。標籤政策入門提供與更進階政策相關的任務之指示連結。

  • 考慮評估其他支援資料分類的 AWS 服務和功能,這在資料分類白皮書中有列出。

資源

相關文件:

相關部落格:

相關影片: