# SEC07-BP04 Definir o gerenciamento escalável do ciclo de vida dos dados
Entenda os requisitos do ciclo de vida dos dados relacionados aos seus diferentes níveis de classificação e tratamento de dados. Isso pode incluir como os dados são tratados quando entram pela primeira vez em seu ambiente, como os dados são transformados e as regras para sua destruição. Considere fatores como períodos de retenção, acesso, auditoria e rastreamento da procedência.
**Resultado desejado:** você classifica os dados o mais próximo possível do ponto e da hora da ingestão. Quando a classificação de dados exige mascaramento, tokenização ou outros processos que reduzam o nível de confidencialidade, você executa essas ações o mais próximo possível do ponto e hora de ingestão.
Você exclui os dados de acordo com sua política quando não é mais apropriado mantê-los e com base na respectiva classificação.
**Práticas comuns que devem ser evitadas:**
+ Implementar uma abordagem única de gerenciamento do ciclo de vida dos dados sem considerar os diferentes níveis de confidencialidade e requisitos de acesso.
+ Considerar o gerenciamento do ciclo de vida somente do ponto de vista dos dados utilizáveis ou dos dados submetidos a backup, mas não de ambos.
+ Supor que os dados que entraram na workload são válidos, sem estabelecer o respectivo valor ou procedência.
+ Confiar na durabilidade dos dados como substituto dos backups e da proteção de dados.
+ Reter os dados depois que eles já perderam a utilidade e após o período de retenção exigido.
**Benefícios de implementar esta prática recomendada:** uma estratégia de gerenciamento do ciclo de vida de dados bem definida e escalável ajuda a manter a conformidade regulatória, melhora a segurança dos dados, otimiza os custos de armazenamento e permite o acesso e o compartilhamento eficientes dos dados ao mesmo tempo que os controles adequados são mantidos.
**Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto
## Orientação para implementação
Os dados em uma workload geralmente são dinâmicos. A forma que eles assumem ao entrar no ambiente da workload pode ser diferente de quando são armazenados ou usados em lógica de negócios, relatórios, análises ou machine learning. Além disso, a importância dos dados pode mudar com o tempo. Alguns dados são de natureza temporal e perdem o valor à medida que se tornam obsoletos. Considere como essas mudanças nos dados afetam a avaliação em seu esquema de classificação de dados e controles associados. Sempre que possível, use um mecanismo de ciclo de vida automatizado, como as políticas de ciclo de [vida do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) e o Amazon Data [Lifecycle Manager, para configurar seus processos de retenção, arquivamento e expiração de dados](https://aws.amazon.com/ebs/data-lifecycle-manager/). Para dados armazenados no DynamoDB, você pode usar o recurso [Vida útil (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html) para definir um carimbo de data/hora de expiração por item.
Diferencie os dados que estão disponíveis para uso e os dados armazenados como backup. Considere usar o [AWS Backup](https://aws.amazon.com/backup/) para automatizar o backup de dados em todos os serviços da AWS. Os [snapshots do Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) oferecem uma forma de copiar um volume do EBS e armazená-lo usando recursos do S3, incluindo ciclo de vida, proteção de dados e acesso a mecanismos de proteção. Dois desses mecanismos são o [Bloqueio de Objetos do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) e o [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html), que podem fornecer segurança e controle adicionais sobre seus backups. Gerencie a separação clara de deveres e acesso para backups. Isole os backups no nível da conta para manter a separação do ambiente afetado durante um evento.
Outro aspecto do gerenciamento do ciclo de vida é registrar o histórico dos dados à medida que eles progridem em sua workload, o que é chamado de *rastreamento da procedência dos dados.* Desse modo, você pode ter certeza de que sabe de onde os dados vieram, quais transformações foram realizadas, qual proprietário ou processo fez essas alterações e quando. Ter esse histórico ajuda a solucionar problemas e investigações durante possíveis eventos de segurança. Por exemplo, você pode registrar metadados sobre transformações em uma tabela do [Amazon DynamoDB](https://aws.amazon.com/dynamodb/). Em um data lake, você pode manter cópias dos dados transformados em diferentes buckets do S3 para cada estágio do pipeline de dados. Armazene as informações do esquema e do carimbo de data/hora em um [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html). Independentemente da sua solução, considere os requisitos dos usuários finais para determinar as ferramentas apropriadas e necessárias para oferecer um relatório sobre a procedência dos dados. Isso ajudará você a determinar a melhor forma de rastrear a procedência.
### Etapas de implementação
1. Analise os tipos de dados, os níveis de confidencialidade e os requisitos de acesso da workload para classificar os dados e definir estratégias apropriadas de gerenciamento do ciclo de vida.
1. Projete e implemente políticas de retenção de dados e processos automatizados de destruição que se alinhem aos requisitos legais, regulatórios e organizacionais.
1. Estabeleça processos e automação para monitoramento, auditoria e ajuste contínuos de estratégias, controles e políticas de gerenciamento do ciclo de vida dos dados à medida que os requisitos e as regulamentações da workload evoluem.
1. Detecte recursos que não têm o gerenciamento automatizado do ciclo de vida ativado com o [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html).
## Recursos
**Práticas recomendadas relacionadas:**
+ [COST04-BP05 Impor políticas de retenção de dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
+ [SUS04-BP03 Usar políticas para gerenciar o ciclo de vida de conjuntos de dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a4.html)
**Documentos relacionados:**
+ [Whitepaper Classificação de dados](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)
+ [Esquema da AWS para defesa contra ransomware](https://d1.awsstatic.com/whitepapers/compliance/AWS-Blueprint-for-Ransomware-Defense.pdf)
+ [Orientação de DevOps: melhorar a rastreabilidade com o rastreamento da procedência de dados](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.dlm.8-improve-traceability-with-data-provenance-tracking.html)
**Exemplos relacionados:**
+ [Como proteger dados confidenciais durante todo o seu ciclo de vida na AWS](https://aws.amazon.com/blogs/security/how-to-protect-sensitive-data-for-its-entire-lifecycle-in-aws/)
+ [Como construir linhagem de dados para data lakes usando o AWS Glue, o Amazon Neptune e o Spline](https://aws.amazon.com/blogs/big-data/build-data-lineage-for-data-lakes-using-aws-glue-amazon-neptune-and-spline/)
**Ferramentas relacionadas:**
+ [AWS Backup](https://aws.amazon.com/backup/)
+ [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/)
+ [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)