本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資料安全和風險管理
在 AWS 環境中,您可能擁有具有不同合規和安全性需求的帳戶。例如,您可能有一個開發人員沙盒,以及一個帳戶託管高管制工作負載的生產環境,例如處理付款。透過將它們隔離到不同的帳戶,您可以套用不同的安全控制、限制對敏感資料的存取,並減少受管制工作負載的稽核範圍。
對所有工作負載採用單一標準可能會導致挑戰。雖然許多控制項同樣適用於環境,但對於不需要符合特定法規架構的帳戶,以及永遠不會有個人識別資料的帳戶 (例如,開發人員沙盒或工作負載開發帳戶),有些控制項是過多或不相關的。這通常會導致誤判安全問題清單,必須分類並關閉,無需採取任何動作,這需要擺脫應調查的問題清單。
表 11 – 資料安全和風險管理標籤範例
| 使用案例 | 標籤索引鍵 | 理由 | 範例數值 |
|---|---|---|---|
| 事件管理 | example-inc:incident- management:escalationlog |
支援團隊用來記錄事件的系統 |
jira, servicenow, zendesk
|
| 事件管理 | example-inc:incident- management:escalationpath |
呈報路徑 | ops-center, dev-ops, app-team
|
| 資料分類 | example-inc:data:classification |
分類資料以遵循法規和控管 | Public, Private, Confidential,
Restricted
|
| 合規 | example-inc:compliance:framework |
識別工作負載受制於的合規架構 | PCI-DSS, HIPAA
|
手動管理整個 AWS 環境的不同控制項既耗時又容易出錯。下一個步驟是自動化部署適當的安全控制,並根據該帳戶的分類設定資源檢查。透過將標籤套用至帳戶和其中的資源,可以針對工作負載適當自動化和設定控制項的部署。
範例:
工作負載包含具有 標籤的 Amazon S3 儲存貯體,其值example-inc:data:classification為 Private。安全工具自動化會部署 AWS Config 規則 s3-bucket-public-read-prohibited,檢查 Amazon S3 儲存貯體的封鎖公開存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL),確認儲存貯體的組態適合其資料分類。為了確保儲存貯體的內容與 分類一致,Amazon Macie 可以設定為檢查個人識別資訊 (PII)
某些法規環境,例如保險和醫療保健,可能受到強制性資料保留政策的約束。使用標籤與 Amazon S3 生命週期政策結合的資料保留,是將物件轉換範圍限定到不同儲存層的有效簡單方式。Amazon S3 生命週期規則也可以在強制保留期間到期後,用來使資料刪除的物件過期。請參閱搭配 Amazon S3 生命週期使用物件標籤來簡化資料生命週期
此外,在分類或處理安全調查結果時,標籤可以為調查人員提供有助於降低風險的重要內容,並協助適當的團隊調查或緩解調查結果。
