SEC07-BP03 自動化識別和分類 - 安全支柱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC07-BP03 自動化識別和分類

將資料的識別和分類自動化,可協助您實作正確的控制。使用自動化增強手動判斷,可降低人為錯誤和暴露的風險。

預期成果:您可根據您的分類和處理政策來確認是否有適當的控制。自動化工具和服務可協助您識別和分類資料的敏感程度。 自動化還可協助您持續監控環境,以偵測並提醒未經授權的資料儲存或處理行為,以便快速採取更正動作。

常見的反模式:

  • 僅仰賴手動程序來識別和分類資料,這個過程可能容易出錯且相當耗時。 這樣做可能導致資料分類效率不彰且不一致,尤其隨著資料量增加會每況愈下。

  • 未設置追蹤和管理整個組織中資料資產的機制。

  • 即使資料在組織內移動和發展,組織仍然忽略持續監控和分類資料的需要。

建立此最佳實務的優勢:採取自動識別和分類資料的方式,能夠更一致且準確地實施資料保護控制,進而降低人為錯誤的風險。 自動化還可讓您深入洞悉敏感資料存取和移動的情形,進而協助您偵測未經授權的處理,並採取更正動作。

未建立此最佳實務時的曝險等級:

實作指引

在工作負載的初始設計階段常會採用人為判斷來分類資料,盡管如此,仍請考慮設置系統來自動識別和分類測試資料,以此作為預防性控制。例如,您可提供工具或服務讓開發人員用來掃描代表性的資料,以確定其敏感性。 在 中 AWS,您可以將資料集上傳到 Amazon S3,並使用 Amazon MacieAmazon ComprehendAmazon Comprehend Medical 進行掃描。  同樣地,請考慮在單元和整合測試的過程中掃描資料,以偵測不該出現敏感資料的位置。在此階段發出有關敏感資料的提醒,就能在部署到實際執行環境之前,讓防護措施的落差浮現。其他功能,例如 中的敏感資料偵測、Amazon SNSAmazon CloudWatchAWS Glue,也可以用來偵測PII和採取緩解動作。對於任何自動化工具或服務,務必了解其如何定義敏感資料,並利用其他人為或自動化解決方案加強它,以視需要消除任何落差。

持續監控您的環境,以其作為偵測控制,藉以偵測敏感資料是否以不合規的方式儲存。 這樣做有助於偵測出在未適當去識別化或修訂的情況下,將敏感資料發送到日誌檔案或複製到資料分析環境中的情形。 您可以使用 Amazon Macie 持續監控儲存在 Amazon S3 中的資料,以偵測其中是否存在敏感資料。 

實作步驟

  1. 對您的環境執行初始掃描,以進行自動識別和分類。

    1. 初始完整掃描資料有助於全面了解敏感資料在您環境中的位置。若一開始不需要或因成本考量而無法事先完成完整掃描,請評估資料取樣技術是否適合用來實現您的成果。例如,您可以設定 Amazon Macie 跨 S3 儲存貯體執行廣泛的自動化敏感資料探索操作。 此功能使用的取樣技術會以符合成本效益的方式初步分析敏感資料的所在位置。 然後,您可以使用敏感資料探索工作來深入分析 S3 儲存貯體。也可以將其他資料存放區匯出至 S3,以便讓 Macie 進行掃描。

  2. 設定環境的持續掃描。

    1. Macie 的自動化敏感資料探索功能可用來持續掃描您的環境。 若有任何經授權儲存敏感資料的已知 S3 儲存貯體,則可使用 Macie 中的允許清單將其排除在外。

  3. 將識別和分類納入您的建置和測試程序中。

    1. 識別開發人員可在工作負載開發過程中用來掃描資料以判斷敏感性的工具。 在整合測試的過程中使用這些工具,以便在敏感資料意外出現時發出提醒,並防止進一步部署。

  4. 在未經授權的位置發現敏感資料時,實作系統或執行手冊來採取行動。

資源

相關文件:

相關範例:

相關工具: