Incremento della protezione dei dati di log sensibili con il mascheramento

Puoi contribuire a salvaguardare i dati sensibili importati da CloudWatch Logs utilizzando le policy di protezione dei dati dei gruppi di log. Queste policy consentono di verificare e mascherare i dati sensibili che appaiono nei log eventi importati dai gruppi di log dell'account.

Quando crei una policy di protezione dei dati, i dati sensibili che corrispondono agli identificatori di dati che hai selezionato vengono mascherati su tutti i punti di uscita, inclusi CloudWatch Logs Insights, filtri di parametri e filtri di sottoscrizione. Solo gli utenti che dispongono dell'autorizzazione IAM logs:Unmask possono visualizzare i dati non mascherati.

Puoi creare una policy di protezione dei dati per tutti i gruppi di log del tuo account e puoi anche crearne una per i singoli gruppi di log. Quando crei una policy per l'intero account, questa si applica sia ai gruppi di log esistenti che a quelli creati successivamente.

Se crei una policy di protezione dei dati per l'intero account e una per un singolo gruppo di log, entrambe le policy si applicano a tale gruppo di log. Tutti gli identificatori di dati gestiti specificati in entrambe le policy vengono verificati e mascherati in tale gruppo di log.

Ogni gruppo di log può avere solo una policy di protezione dei dati a livello di gruppo di log, ma tale policy può specificare molti identificatori di dati gestiti da verificare e mascherare. Il limite per una policy di protezione dei dati è di 30.720 caratteri.

CloudWatch Logs supporta molti identificatori di dati gestiti, che offrono tipi di dati pre-configurati che è possibile selezionare per proteggere i dati finanziari, le informazioni sanitarie personali (PHI) e le informazioni di identificazione personale (PII). CloudWatch La protezione dei dati di log consente di sfruttare la corrispondenza dei pattern e i modelli di machine learning per rilevare dati sensibili. Per alcuni tipi di identificatori di dati gestiti, il rilevamento dipende anche dalla ricerca di determinate parole chiave in prossimità dei dati sensibili. Puoi anche utilizzare identificatori di dati personalizzati per creare identificatori di dati personalizzati in base al tuo caso d'uso specifico.

CloudWatch Quando vengono rilevati dati sensibili che corrispondono agli identificatori dei dati selezionati, viene trasmessa una metrica. Questa è la LogEventsWithFindingsmetrica e viene emessa nello spazio dei nomi AWS/Logs. Puoi utilizzare questa metrica per creare CloudWatch allarmi e visualizzarla in grafici e pannelli di controllo. Le metriche emesse dalla protezione dei dati sono metriche distribuite gratuite. Per ulteriori informazioni sulle metriche a cui invia Logs, consulta CloudWatch . CloudWatch Monitoraggio con CloudWatch metriche

Ogni identificatore di dati gestito è progettato per rilevare un tipo specifico di dati sensibili, ad esempio i numeri delle carte di credito, le chiavi di accesso AWS segrete o i numeri di passaporto per un determinato Paese o regione. Quando crei una policy di protezione dei dati, puoi configurarla in modo che utilizzi questi identificatori per analizzare i log importati dal gruppo di log ed esegua operazioni specifiche quando tali dati vengono rilevati.

CloudWatch Logs Data Protection è in grado di rilevare le seguenti categorie di dati sensibili utilizzando gli identificatori di dati gestiti:

Per informazioni dettagliate sui tipi di dati che puoi proteggere, consulta la sezione Tipi di dati che è possibile proteggere.