SEC07-BP03 Automatizar a identificação e a classificação - Framework Well-Architected da AWS

SEC07-BP03 Automatizar a identificação e a classificação

Automatizar a identificação e a classificação de dados pode ajudar a implementar os controles corretos. O uso da automação para ampliar a determinação manual reduz o risco de erro humano e a exposição.

Resultado desejado: você pode verificar se os controles adequados estão em vigor com base em sua política de classificação e manuseio. Ferramentas e serviços automatizados ajudam a identificar e classificar o nível de confidencialidade dos dados.  A automação também ajuda a monitorar continuamente os ambientes para detectar e alertar se os dados estão sendo armazenados ou manipulados de forma não autorizada para que medidas corretivas possam ser tomadas rapidamente.

Práticas comuns que devem ser evitadas:

  • Confiar apenas em processos manuais para identificação e classificação de dados, os quais podem ser propensos a erros e demorados.  Isso pode resultar em uma classificação de dados ineficiente e inconsistente, especialmente à medida que os volumes de dados aumentam.

  • Não ter mecanismos para monitorar e gerenciar ativos de dados em toda a organização.

  • Ignorar a necessidade de monitoramento e classificação contínuos dos dados conforme eles se movimentam e evoluem dentro da organização.

Benefícios de implementar esta prática recomendada: automatizar a identificação e a classificação de dados pode levar a uma aplicação mais consistente e precisa dos controles de proteção de dados, reduzindo o risco de erro humano.  A automação também pode fornecer visibilidade sobre o acesso e a movimentação de dados confidenciais, ajudando a detectar o tratamento não autorizado e a adotar medidas corretivas.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Embora a avaliação humana seja frequentemente usada para classificar dados durante as fases iniciais de projeto de uma workload, considere a possibilidade de ter sistemas que automatizem a identificação e a classificação dos dados de teste como um controle preventivo. Por exemplo, os desenvolvedores podem receber uma ferramenta ou serviço para verificar dados representativos e determinar o nível de confidencialidade.  Na AWS, é possível carregar conjuntos de dados no Amazon S3 e examiná-los usando o Amazon Macie, o Amazon Comprehend ou o Amazon Comprehend Medical.  Da mesma forma, considere a possibilidade de verificar os dados como parte dos testes de unidade e integração para detectar onde não deve haver dados confidenciais. Utilizar alertas sobre dados confidenciais nesse estágio pode destacar brechas nas proteções antes da implantação na produção. Outros recursos do AWS Glue, como detecção de dados confidenciais no Amazon SNS e no Amazon CloudWatch, também podem ser usados para detectar PII e aplicar as medidas mitigadoras necessárias. Com relação a quaisquer ferramentas ou serviços automatizados, entenda como eles definem dados confidenciais e complemente-os com outras soluções humanas ou automatizadas para resolver qualquer brecha conforme necessário.

Como controle de detecção, use o monitoramento contínuo dos ambientes para detectar se os dados confidenciais estão sendo armazenados fora de conformidade.  Isso pode ajudar a detectar determinadas situações, como publicação ou cópia de dados confidenciais em arquivos de log ou para um ambiente de análise de dados sem a devida desidentificação ou edição.  Com relação aos dados armazenados no Amazon S3, os dados confidenciais podem ser monitorados continuamente usando o Amazon Macie.  

Etapas de implementação

  1. Revise o esquema de classificação de dados em sua organização descrito em SEC07-BP01.

    1. Com uma compreensão do esquema de classificação de dados da sua organização, você pode estabelecer processos precisos para identificação e classificação automatizadas que estejam alinhados às políticas da sua empresa.

  2. Execute uma verificação inicial dos ambientes para identificação e classificação automatizadas.

    1. Uma verificação inicial completa dos dados pode ajudar a gerar uma compreensão abrangente do local em que os dados confidenciais residem nos ambientes. Quando uma verificação completa não for necessária inicialmente ou não puder ser concluída antecipadamente devido ao custo, avalie se as técnicas de amostragem de dados são adequadas para alcançar seus resultados. Por exemplo, o Amazon Macie pode ser configurado para realizar uma ampla operação automatizada de descoberta de dados confidenciais nos buckets do S3.  Esse recurso usa técnicas de amostragem para realizar de forma econômica uma análise preliminar do local em que os dados confidenciais residem.  Uma análise mais detalhada dos buckets do S3 pode então ser realizada usando um trabalho de descoberta de dados confidenciais. Outros datastores também podem ser exportados para o S3 para serem verificados pelo Macie.

    2. Estabeleça o controle de acesso definido em SEC07-BP02 para seus recursos de armazenamento de dados identificados em seu escaneamento.

  3. Configure verificações contínuas dos ambientes.

    1. O recurso automatizado de descoberta de dados confidenciais do Macie pode ser usado para realizar verificações contínuas dos ambientes.  Os buckets do S3 conhecidos e autorizados a armazenar dados confidenciais podem ser excluídos usando uma lista de permissões em no Macie.

  4. Incorpore identificação e classificação nos processos de compilação e teste.

    1. Identifique as ferramentas que os desenvolvedores podem usar para verificar a confidencialidade dos dados enquanto as workloads estão sendo desenvolvidas.  Use essas ferramentas como parte dos testes de integração para emitir alertas quando houver dados confidenciais inesperados e evitar implantações adicionais.

  5. Implemente um sistema ou um runbook para tomar medidas quando dados confidenciais forem encontrados em locais não autorizados.

    1. Restrinja o acesso aos dados usando a correção automática. Por exemplo, você pode mover esses dados para um bucket do S3 com acesso restrito ou marcar o objeto se usar o controle de acesso por atributo (ABAC). Além disso, considere mascarar os dados quando eles forem detectados.

    2. Alerte suas equipes de proteção de dados e resposta a incidentes para investigar a causa raiz do incidente. Qualquer aprendizado que elas identifiquem pode ajudar a evitar futuros incidentes.

Recursos

Documentos relacionados:

Exemplos relacionados:

Ferramentas relacionadas: