Le magasin d'objets S3 est devenu une base populaire pour le stockage non structuré Documents et types de fichiers mixtes avec une évolutivité flexible. Cependant, comme tout lac de données vaste et profond, il crée des défis et des risques spécifiques en matière de sécurité des données, nécessitant des mécanismes de gestion différents.
Identification des données sensibles dans S3
La mesure du risque des données dans S3 commence par identifier avec précision les données à l'intérieur des compartiments S3. De par la nature du stockage objet, presque tous les types de données peuvent être stockés dans des buckets S3, qu'ils soient structurés, non structurés ou une combinaison des deux. Cela complexifie l'analyse de la diversité des données. En tant que lac de données ouvert et évolutif, il peut également poser un défi en termes de volume et de vitesse d'analyse des données.
Pour comprendre les risques liés aux données, il est important de comprendre quels sont les éléments clés stockés et entrant dans S3. Ces données à forte valeur ajoutée et à haut risque peuvent prendre différentes formes. Il peut s'agir de données réglementées, comme GLBA, PHI, PCI ou NPIIl peut également s'agir de données personnelles relatives à la confidentialité, comme des identifiants et des secrets, ou de tout élément essentiel défini par le client, comme la propriété intellectuelle, les données client, une recette ou tout autre élément intermédiaire.
Pour inventorier avec précision les données sensibles, critiques et réglementées dans S3, analyses de métadonnées sont généralement insuffisantes car métadonnées Les données ne seront pas toujours correctement étiquetées et ne captureront pas l'intégralité du contenu possible. Il est donc nécessaire de trouver un moyen de les adapter à l'analyse S3 du contenu des données. De plus, il est nécessaire de personnaliser la définition des éléments sensibles, critiques et réglementés. Par exemple, les données GPS pourraient être des données personnelles au sens du RGPD pour certains et non pour d'autres. Des secrets comme les mots de passe et les identifiants privilégiés pourraient être des données personnelles dans certains contextes, mais pas dans d'autres. Une solution universelle est donc nécessaire. classification des données ne fonctionnera pas pour la majorité des entreprises.
Enfin, la création d’un inventaire ou d’un catalogue persistant est également essentielle pour utiliser efficacement les résultats. vie privée, sécurité et gouvernance des données Les solutions sans état, qui se contentent d'envoyer des alertes, nécessitent une action immédiate et génèrent un bruit ingérable pour un centre d'opérations de sécurité. L'intégration des résultats dans un inventaire et un catalogue mis à jour dynamiquement facilite la délégation et le suivi des mesures correctives, tout en exploitant les résultats pour les cas d'utilisation courants liés à la confidentialité, comme DSAR et des cas d'utilisation de gouvernance tels que le catalogage et la recherche de métadonnées.
Mesurer le risque des données S3
Les risques liés aux données peuvent provenir de nombreuses sources. Comprendre la localisation et le volume des données sensibles, critiques ou réglementées est en soi utile pour appréhender les risques. La mise en évidence de cette carte thermique des données à risque constitue un point de départ pour comprendre le risque plus large d'exfiltration interne ou externe. sensibilité et criticité des données (comme les mots de passe) et la réglementation en matière de couverture.
Protéger les fichiers du compartiment S3 par mot de passe
Le risque d'accès est lié au risque direct lié aux données. Il peut s'agir d'un employé disposant d'un accès excessif à des données sensibles ou d'un accès involontaire à des données sensibles par des personnes extérieures suite à une mauvaise configuration. Pour les utilisateurs internes comme externes, le risque d'accès commence par l'identification de tout accès ouvert aux compartiments ou aux dossiers. Pour S3, cela signifie des compartiments protégés par mot de passe. Pour les utilisateurs internes, cela peut également impliquer de déterminer quelles personnes disposent de privilèges excessifs sur les compartiments contenant des données sensibles. Pour les utilisateurs internes, ce problème S3 est similaire à celui privilège d'accès minimal problème dans l'analyse des dossiers de fichiers : connaître les employés ouverts et surprivilégiés.
Outre l'accès, la localisation et les transferts transfrontaliers représentent de nouveaux types de risques pour la vie privée. Les nouvelles réglementations nationales et étatiques en matière de confidentialité s'accompagnent souvent de restrictions proportionnelles en matière de résidence et de transferts transfrontaliers. La résidence, quant à elle, nécessitera la connaissance de la localisation des données pour garantir la souveraineté et la citoyenneté de la personne concernée. Le signalement des violations de résidence ou transfrontalières est un indicateur important de risque.
Éviter le risque d'exfiltration de données S3
La duplication et la redondance des données constituent un autre exemple de risque facilement maîtrisable. Dans la plupart des cas, les données dupliquées, qu'elles soient structurées ou non, représentent une surface d'attaque supplémentaire. Identifier les doublons de données permet aux organisations de réduire leur empreinte numérique et le risque d'exfiltration associé. Pour les compartiments S3 contenant des données structurées, semi-structurées et non structurées, cela constitue un moyen simple de prévenir les incidents et de réduire les coûts.
Cryptage S3
Identifier les données non chiffrées constitue également une solution rapide contre les risques. Toutes les données ne sont pas chiffrées partout, mais pouvoir recenser les cas où des données sensibles, critiques ou réglementées sont en clair – et celles où elles ne devraient pas l'être – peut aider les organisations à éviter les violations graves.
Correction et réduction des risques liés aux données S3
Une fois les données sensibles et les risques associés identifiés, les organisations se demandent : « Et maintenant ? » La réponse prend généralement la forme suivante : remédiation ou des restrictions d'accès bloquant l'accès interne et externe aux données.
La remédiation consiste à déléguer un ensemble d'actions à un propriétaire de données, manuellement ou automatiquement, afin qu'il puisse corriger les données. Cela peut prendre la forme d'actions telles que le chiffrement, le masquage, la suppression ou l'archivage. Toutes ces mesures constituent des mesures préventives.
Alternativement, l'accès ouvert et surprivilégié peut être contrôlé dynamiquement à l'aide d'outils tels que BigID et leurs contrôles natifs pour AWS.
Protection des données S3 avec BigID
BigID offre une gestion complète du cycle de vie des risques liés aux données sensibles. Cela comprend l'identification des données, le signalement des risques associés à la configuration, etc. violations de localisation ou de politique et en fournissant un mécanisme intégré pour réduire les risques. Obtenez une démo 1:1.