# SEC07-BP03 自動識別和分類
<a name="sec_data_classification_auto_classification"></a>

 將資料的識別和分類自動化，可協助您實作正確的控制。使用自動化增強手動判斷，可降低人為錯誤和暴露的風險。

 **預期成果：**您可根據您的分類和處理政策來確認是否有適當的控制。自動化工具和服務可協助您識別和分類資料的敏感程度。 自動化還可協助您持續監控環境，以偵測並提醒未經授權的資料儲存或處理行為，以便快速採取更正動作。

 **常見的反模式：**
+  僅仰賴手動程序來識別和分類資料，這個過程可能容易出錯且相當耗時。 這樣做可能導致資料分類效率不彰且不一致，尤其隨著資料量增加會每況愈下。
+  未設置追蹤和管理整個組織中資料資產的機制。
+  即使資料在組織內移動和發展，組織仍然忽略持續監控和分類資料的需要。

 **建立此最佳實務的優勢：**採取自動識別和分類資料的方式，能夠更一致且準確地實施資料保護控制，進而降低人為錯誤的風險。 自動化還可讓您深入洞悉敏感資料存取和移動的情形，進而協助您偵測未經授權的處理，並採取更正動作。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 在工作負載的初始設計階段常會採用人為判斷來分類資料，盡管如此，仍請考慮設置系統來自動識別和分類測試資料，以此做為預防性控制。例如，您可提供工具或服務讓開發人員用來掃描代表性的資料，以確定其敏感性。 在 AWS 內，您可以將資料集上傳到 [Amazon S3](https://aws.amazon.com/s3/)，並使用 [Amazon Macie](https://aws.amazon.com/macie/)、[Amazon Comprehend](https://aws.amazon.com/comprehend/) 或 [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/) 掃描這些資料集。  同樣地，請考慮在單元和整合測試的過程中掃描資料，以偵測不該出現敏感資料的位置。在此階段發出有關敏感資料的提醒，就能在部署到實際執行環境之前，讓防護措施的落差浮現。其他諸如 [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html)、[Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.htm) 和 [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html) 中的敏感資料偵測等功能，也可用來偵測 PII 和採取緩解措施。對於任何自動化工具或服務，務必了解其如何定義敏感資料，並利用其他人為或自動化解決方案加強它，以視需要消除任何落差。

 持續監控您的環境，以其做為偵測控制，藉以偵測敏感資料是否以不合規的方式儲存。 這樣做有助於偵測出在未適當去識別化或修訂的情況下，將敏感資料發送到日誌檔案或複製到資料分析環境中的情形。 您可以使用 Amazon Macie 持續監控儲存在 Amazon S3 中的資料，以偵測其中是否存在敏感資料。  

### 實作步驟
<a name="implementation-steps"></a>

1.  請檢閱 [SEC07-BP01](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html) 中所述，了解您組織內的資料分類結構。

   1.  只要了解您組織的資料分類結構，您就可以建立準確的流程用於自動化適合您公司政策的識別和分類。

1.  對您的環境執行初始掃描，以進行自動識別和分類。

   1.  初始完整掃描資料有助於全面了解敏感資料在您環境中的位置。若一開始不需要或因成本考量而無法事先完成完整掃描，請評估資料取樣技術是否適合用來實現您的成果。例如，您可以設定 Amazon Macie 跨 S3 儲存貯體執行廣泛的自動化敏感資料探索操作。 此功能使用的取樣技術會以符合成本效益的方式初步分析敏感資料的所在位置。 然後，您可以使用敏感資料探索工作來深入分析 S3 儲存貯體。也可以將其他資料存放區匯出至 S3，以便讓 Macie 進行掃描。

   1.  針對掃描中識別的資料儲存資源，依照 [SEC07-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) 中所定義來建立存取控制。

1.  設定環境的持續掃描。

   1.  Macie 的自動化敏感資料探索功能可用來持續掃描您的環境。 若有任何經授權儲存敏感資料的已知 S3 儲存貯體，則可使用 Macie 中的允許清單將其排除在外。

1.  將識別和分類納入您的建置和測試程序中。

   1.  識別開發人員可在工作負載開發過程中用來掃描資料以判斷敏感性的工具。 在整合測試的過程中使用這些工具，以便在敏感資料意外出現時發出提醒，並防止進一步部署。

1.  在未經授權的位置發現敏感資料時，實作系統或執行手冊來採取行動。

   1.  使用自動修復來限制對資料的存取。例如，若您使用屬性型存取控制 (ABAC)，就可以將此資料移至限制存取的 S3 儲存貯體或標記物件。此外，請考慮在偵測到資料時，為其加上遮罩。

   1.  提醒您的資料防護和事件回應團隊調查事件的根本原因。他們在調查過程中學到的任何經驗，都有助於防止未來的事件發生。

## 資源
<a name="resources"></a>

 **相關文件：**
+  [AWS Glue：偵測和處理敏感資料](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html) 
+  [在 Amazon SNS 中使用受管資料識別碼](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.html) 
+  [Amazon CloudWatch Logs：使用遮罩協助保護敏感日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html) 

 **相關範例：**
+  [使用 Macie 為 Amazon RDS 資料庫啟用資料分類](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) 
+  [使用 Macie 偵測 DynamoDB 中的敏感資料](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) 

 **相關工具：**
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Amazon Comprehend](https://aws.amazon.com/comprehend/) 
+  [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/) 
+  [AWS Glue](https://aws.amazon.com/glue/)