Menggunakan Amazon Macie untuk Memvalidasi Klasifikasi Data Bucket S3

Mengamankan informasi sensitif adalah prioritas tinggi bagi organisasi karena berbagai alasan. Pada saat yang sama, organisasi mencari cara untuk memberdayakan tim pengembangan agar tetap gesit dan inovatif. Tim keamanan terpusat berusaha keras untuk menciptakan sistem yang selaras dengan kebutuhan tim pengembangan, daripada mengamanatkan bagaimana tim tersebut harus beroperasi.

Tim keamanan yang membuat otomatisasi untuk penemuan data sensitif memiliki beberapa masalah untuk dipertimbangkan. Jika tim pengembangan dapat menyediakan penyimpanan data sendiri, bagaimana tim keamanan melindungi data tersebut? Jika tim memiliki kebutuhan bisnis untuk menyimpan data sensitif, mereka harus mempertimbangkan bagaimana, di mana, dan dengan pengamanan apa data tersebut disimpan.

Mari kita lihat bagaimana kita dapat mengatur Amazon Macie untuk memvalidasi klasifikasi data yang disediakan oleh tim pengembangan perangkat lunak terdesentralisasi. Macie adalah layanan terkelola sepenuhnya yang menggunakan pembelajaran mesin (ML) untuk menemukan data sensitif di AWS. Jika Anda tidak terbiasa dengan Macie, baca Baru – Amazon Macie yang Disempurnakan Sekarang Tersedia dengan Harga yang Jauh Lebih Rendah.

Klasifikasi data merupakan bagian dari pilar keamanan aplikasi Well-Architected. Mengikuti panduan yang disediakan dalam AWS Well-Architected Framework, kita dapat mengembangkan skema penandaan sumber daya yang sesuai dengan kebutuhan kita.

Ikhtisar sistem validasi data terdesentralisasi

Dalam contoh kami, kami memiliki beberapa tingkat klasifikasi data yang mewakili berbagai tingkat risiko yang terkait dengan setiap klasifikasi. Saat tim pengembangan perangkat lunak membuat bucket Amazon Simple Storage Service (S3) baru, mereka bertanggung jawab untuk memberi label pada bucket tersebut dengan tag. Tag ini mewakili klasifikasi data yang disimpan dalam bucket tersebut. Tim keamanan harus memelihara sistem untuk memvalidasi bahwa data dalam ember tersebut memenuhi klasifikasi yang ditentukan oleh tim pengembangan.

Pemisahan peran dan tanggung jawab untuk tim pengembangan dan keamanan yang bekerja secara independen ini memerlukan sistem validasi yang dipisahkan dari pembuatan bucket S3. Ini harus secara otomatis mendeteksi bucket atau data baru di bucket yang ada, dan memvalidasi data terhadap tag klasifikasi yang ditetapkan. Itu juga harus memberi tahu tim pengembangan yang sesuai tentang bucket yang salah diklasifikasikan atau tidak diklasifikasikan secara tepat waktu. Notifikasi ini dapat melalui saluran notifikasi standar, seperti email atau notifikasi saluran Slack.

Validasi dan peringatan dengan layanan AWS

Gambar 1. Sistem validasi untuk klasifikasi data

Kami berasumsi bahwa tim diizinkan untuk membuat bucket S3 dan kami akan menggunakan AWS Config untuk menerapkan tag wajib berikut: Klasifikasi Data dan DukunganSNSTopik. Itu Klasifikasi Data tag menunjukkan jenis data apa yang diizinkan di keranjang. Itu DukunganSNSTopik tag menunjukkan topik Amazon Simple Notification Service (SNS). Jika ada masalah yang ditemukan dengan data dalam bucket, pesan akan dipublikasikan ke topik, dan Amazon SNS akan mengirimkan peringatan. Misalnya, jika ada data informasi identitas pribadi (PII) dalam ember yang diklasifikasikan sebagai tidak sensitif, sistem akan memberi tahu pemilik ember.

Macie dikonfigurasi untuk memindai semua bucket S3 secara terjadwal. Konfigurasi ini memastikan bahwa setiap bucket dan data baru yang ditempatkan di dalam bucket dianalisis saat pekerjaan Macie dijalankan lagi.

Macie menyediakan beberapa pengidentifikasi data terkelola untuk menemukan dan mengklasifikasikan data. Ini termasuk nomor rekening bank, informasi kartu kredit, kredensial otentikasi, PII, dan banyak lagi. Anda juga dapat membuat pengidentifikasi khusus (atau aturan) untuk mengumpulkan informasi yang tidak tercakup oleh pengidentifikasi terkelola.

Macie terintegrasi dengan Amazon EventBridge untuk memungkinkan kami menangkap peristiwa klasifikasi data dan mengarahkannya ke satu atau beberapa tujuan untuk kebutuhan pelaporan dan peringatan. Dalam konfigurasi kami, acara memulai AWS Lambda. Fungsi Lambda digunakan untuk memvalidasi klasifikasi data yang disimpulkan oleh Macie terhadap klasifikasi yang ditentukan dalam Klasifikasi Data tag menggunakan logika bisnis khusus. Jika pelanggaran klasifikasi data ditemukan, Lambda kemudian mengirim pesan ke topik Amazon SNS yang ditentukan dalam in DukunganSNSTopik menandai.

Fungsi Lambda juga membuat metrik khusus dan mengirimkannya ke Amazon CloudWatch. Metrik diatur oleh tim teknik dan tingkat keparahan. Ini memungkinkan tim keamanan membuat dasbor metrik berdasarkan temuan Macie. Temuan juga dapat disaring per tim teknik dan tingkat keparahan untuk menentukan tim mana yang perlu dihubungi untuk memastikan perbaikan.

Kesimpulan

Solusi ini menyediakan alat yang dibutuhkan tim keamanan terpusat. Tim dapat memvalidasi klasifikasi data bucket Amazon S3 yang disediakan sendiri oleh tim pengembangan. Bucket Amazon S3 baru secara otomatis disertakan dalam pekerjaan dan peringatan Macie. Ini hanya dikirim jika data dalam ember tidak sesuai dengan klasifikasi yang ditentukan oleh tim pengembangan. Proses audit data digabungkan secara longgar dengan proses pembuatan Amazon S3 Bucket, memungkinkan kemampuan layanan mandiri untuk tim pengembangan, sekaligus memastikan klasifikasi data yang tepat. Tim Anda dapat tetap gesit dan inovatif, sambil mempertahankan postur keamanan yang kuat.

Pelajari lebih lanjut tentang Amazon Macie dan Klasifikasi Data.