# SEC07-BP04 定义可扩展的数据生命周期管理
了解您的数据生命周期要求,因为这些要求与不同的数据分类等级和处理方式密切相关。 这可能包括数据首次进入您的环境时的处理方式、数据转换方式以及数据销毁规则。必须考虑数据的留存期限、访问、审计和跟踪溯源等因素。
**期望结果:**您可以在尽可能接近摄取点和摄取时间的情况下对数据进行分类。当数据分类需要执行屏蔽、令牌化或其它降低敏感性级别的处理时,您可以在尽可能接近摄取点和摄取时间的情况下执行这些操作。
根据数据分类情况,当数据不再适合保留时,您可以按照策略删除数据。
**常见反模式:**
+ 采用“一刀切”的数据生命周期管理方法,而不考虑不同的敏感性级别和访问权限要求。
+ 仅从可用数据或备份数据的角度考虑生命周期管理,而不是两者兼顾。
+ 在未确定数据价值或出处的情况下,就假定进入您工作负载的数据是有效的。
+ 依赖数据持久性来替代数据备份和保护。
+ 在数据超过其时效性和必要的留存期限之后,仍然保留数据。
**建立此最佳实践的好处:**明确定义且可扩展的数据生命周期管理策略有助于保持监管合规性,提高数据安全性,优化存储成本,并在保持适当控制的同时实现高效的数据访问和共享。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
工作负载中的数据通常是动态变化的。 数据在进入工作负载环境时所采用的形式,可能不同于数据在业务逻辑、报告、分析或机器学习中存储或使用时的形式。 此外,数据的价值可能会随着时间的推移而变化。有些数据本质上具有时效性,会随着时间的推移而失去价值。 考虑数据的这些变化对于数据分类方案和相关控制措施下的评估有何影响。 尽可能使用自动生命周期机制(例如 [Amazon S3 生命周期策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)和 [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/)),来配置数据留存、归档和过期流程。对于存储在 DynamoDB 中的数据,可以使用[生存时间(TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html)功能来定义每个项目的过期时间戳。
区分可供使用的数据和作为备份存储的数据。 考虑使用 [AWS Backup](https://aws.amazon.com/backup/) 来自动备份跨 AWS 服务的数据。 [Amazon EBS 快照](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)提供了一种使用 S3 功能(包括生命周期、数据保护和访问保护机制)复制 EBS 卷并存储 EBS 卷的方法。[S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)和 [AWS Backup 保管库锁](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)就是其中的两种保护机制,可以为您的备份提供额外的安全防御和控制。管理明确的职责分工和备份访问权限。在账户级别隔离所有备份,以便在事件发生期间与受影响环境保持隔离。
生命周期管理的另一个方面是记录数据在工作负载中进展的历史,即*数据溯源跟踪*。该功能可以让您确信,您知道数据来自何处、执行过哪些转换、更改是由哪位所有者或流程执行的以及在何时做的更改。 掌握这些历史记录后,有助于在潜在安全事件中解决问题和进行调查。 例如,您可以在 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) 表中记录有关转换的元数据。 在数据湖中,您可以针对每个数据管道阶段,在不同的 S3 存储桶中保存转换后数据的副本。在 [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html) 中存储架构和时间戳信息。 无论采用哪种解决方案,都需要考虑最终用户的需求,以便确定报告数据溯源情况所需的适当工具。 这样有助于您确定如何以合适的方式跟踪数据溯源情况。
### 实施步骤
1. 分析工作负载的数据类型、敏感性级别和访问权限要求,对数据进行分类,并制定适当的生命周期管理策略。
1. 设计并实施符合法律、监管和组织要求的数据留存策略及自动销毁流程。
1. 建立流程和自动化机制,以便能够根据工作负载要求和监管的变化,持续监控、审计和调整数据生命周期管理策略、控制措施及政策。
1. 使用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html) 检测未开启自动生命周期管理的资源
## 资源
**相关最佳实践:**
+ [COST04-BP05 执行数据留存策略](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
+ [SUS04-BP03 使用策略管理数据集的生命周期](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a4.html)
**相关文档:**
+ [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)
+ [AWS Blueprint for Ransomware Defense](https://d1.awsstatic.com/whitepapers/compliance/AWS-Blueprint-for-Ransomware-Defense.pdf)
+ [DevOps Guidance: Improve traceability with data provenance tracking](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.dlm.8-improve-traceability-with-data-provenance-tracking.html)
**相关示例:**
+ [How to protect sensitive data for its entire lifecycle in AWS](https://aws.amazon.com/blogs/security/how-to-protect-sensitive-data-for-its-entire-lifecycle-in-aws/)
+ [Build data lineage for data lakes using AWS Glue, Amazon Neptune, and Spline](https://aws.amazon.com/blogs/big-data/build-data-lineage-for-data-lakes-using-aws-glue-amazon-neptune-and-spline/)
**相关工具:**
+ [AWS Backup](https://aws.amazon.com/backup/)
+ [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/)
+ [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)