El almacén de objetos S3 se ha convertido en una base popular para almacenar no estructurado Documentos y tipos de archivos mixtos con escalabilidad elástica. Sin embargo, como cualquier lago de datos amplio y profundo, genera desafíos y riesgos únicos en materia de seguridad de datos que requieren diferentes mecanismos para abordarlos.
Identificación de datos confidenciales en S3
La medición del riesgo de los datos dentro de S3 comienza con Identificar con precisión los datos dentro de los buckets S3. Debido a la naturaleza del almacenamiento de objetos, prácticamente cualquier tipo de datos puede depositarse en buckets S3, ya sean estructurados, no estructurados o una combinación de ambos. Esto crea complejidad para analizar la diversa variedad de datos. Al ser un lago de datos abierto y escalable sin límite, también puede representar un desafío para el análisis de volumen y velocidad de datos.
Para comprender el riesgo de los datos, es fundamental comprender qué datos valiosos se almacenan y se incorporan a S3. Estos datos de alto valor y alto riesgo pueden adoptar diferentes formas. Podrían ser datos regulados, como... GLBA, PHI, PCI o NPITambién podrían ser datos personales relevantes para la privacidad. Pueden ser credenciales y secretos. O cualquier joya de la corona definida por el cliente, como propiedad intelectual, datos del cliente, recetas o cualquier otra cosa.
Para inventariar con precisión datos sensibles, críticos y regulados en S3, escaneos de metadatos suelen ser insuficientes ya que metadatos No siempre se etiquetará con precisión ni capturará todo el contenido posible. En su lugar, debe existir una forma de escalar el análisis S3 del contenido de los datos. Además, debe haber algún medio para personalizar la definición de lo que es sensible, crítico y regulado. Por ejemplo, los datos de GPS podrían ser datos personales según el RGPD para algunos y no para otros. Secretos como contraseñas y credenciales privilegiadas podrían ser datos personales en algunos contextos, pero no en otros. Una solución universal para... clasificar datos No funcionará para la mayoría de las empresas.
Por último, la creación de un inventario o catálogo persistente también es vital para utilizar eficazmente los hallazgos. privacidad, seguridad y gobernanza de datos Casos de uso, a la vez que se garantiza una estrategia de remediación manejable. Las soluciones sin estado que solo envían alertas requieren una acción inmediata y generarán un ruido incontrolable para un Centro de Operaciones de Seguridad. Integrar los hallazgos en un inventario y catálogo actualizados dinámicamente facilita la delegación y el seguimiento de la remediación, a la vez que se aprovechan los hallazgos para casos de uso comunes de privacidad, como... DSAR y casos de uso de gobernanza como catalogación y búsqueda de metadatos.
Medición del riesgo de los datos S3
El riesgo de datos puede provenir de diversas fuentes. Comprender la ubicación y el volumen de datos sensibles, críticos o regulados es, en sí mismo, útil para comprender el riesgo. Destacar este mapa de calor de datos riesgosos es un punto de partida para comprender el riesgo general de exfiltración, ya sea interna o externa. Sensibilidad y criticidad de los datos (como las contraseñas) y regulación de la cobertura.
Proteger con contraseña los archivos del bucket S3
El riesgo de acceso está relacionado con el riesgo de datos. Esto podría deberse a que un empleado tenga acceso excesivo a datos confidenciales o a que personas externas accedan inadvertidamente a ellos debido a una configuración incorrecta. Tanto para usuarios internos como externos, el riesgo de acceso comienza al identificar cualquier acceso abierto a buckets o carpetas. Para S3, esto significaría usar buckets protegidos con contraseña. Para los usuarios internos, esto también podría significar comprender qué personas tienen privilegios excesivos en buckets con datos confidenciales. Para los usuarios internos, este problema de S3 es similar al... privilegio de acceso mínimo Problema en el análisis de carpetas de archivos: conocer los empleados abiertos y con privilegios excesivos.
Además del acceso, la ubicación y la transferencia transfronteriza representan nuevos tipos de riesgo para la privacidad. Las nuevas regulaciones de privacidad estatales y nacionales suelen conllevar restricciones proporcionales en materia de residencia y transferencia transfronteriza. La residencia, a su vez, requerirá el conocimiento de la ubicación de los datos para garantizar la soberanía, así como la ciudadanía del titular de los datos. Identificar las violaciones de la residencia o transfronterizas es un indicador importante de riesgo.
Evite el riesgo de exfiltración de datos S3
La duplicación y redundancia de datos es otro ejemplo de riesgo que puede mejorarse fácilmente. En la mayoría de los casos, los datos duplicados, ya sean estructurados o no, representan una superficie de ataque adicional. Poder identificar dónde se duplican los datos brinda a las organizaciones la oportunidad de reducir su huella de datos y el riesgo asociado de exfiltración. Para los buckets S3, donde se pueden tener datos estructurados, semiestructurados y no estructurados, esto representa una forma sencilla de prevenir incidentes y, además, una forma de reducir costos.
Cifrado S3
Identificar datos no cifrados también es una solución rápida contra el riesgo. No todos los datos están cifrados en todas partes, pero poder identificar los casos en los que la información sensible, crítica o regulada está clara (y dónde no debería estarlo) puede ayudar a las organizaciones a evitar filtraciones de gran impacto.
Remediación y reducción del riesgo de datos S3
Una vez identificados los datos sensibles y el riesgo asociado, la pregunta que se plantean las organizaciones es: ¿y ahora qué? La respuesta suele ser... remediación o restricciones de acceso que bloqueen el acceso interno y externo a los datos.
La remediación implica delegar un conjunto de acciones al propietario de los datos, ya sea manual o automáticamente, para que pueda remediarlos. Esto puede consistir en acciones como el cifrado, el enmascaramiento, la eliminación o el archivado. Todas ellas son medidas preventivas.
Alternativamente, el acceso abierto y con privilegios excesivos se puede controlar dinámicamente utilizando herramientas como BigID y sus controles nativos para AWS.
Protección de datos S3 con BigID
BigID ofrece el ciclo completo de gestión de riesgos de datos para datos confidenciales. Esto incluye desde la identificación de datos hasta la señalización de riesgos asociados a la configuración, violaciones de ubicación o políticas y proporcionar un mecanismo integrado para reducir el riesgo. Obtenga una demostración 1:1.
Autor
