# SEC07-BP01 워크로드 안에서 데이터 식별
<a name="sec_data_classification_identify_data"></a>

워크로드가 처리하는 데이터의 유형과 분류, 관련 비즈니스 프로세스, 데이터가 저장되는 위치, 데이터 소유자를 이해하는 것이 중요합니다. 또한 워크로드의 해당 법률 및 규정 준수 요구 사항과 적용해야 하는 데이터 제어를 이해해야 합니다. 데이터 식별은 데이터 분류 여정의 첫 번째 단계입니다. 

**이 모범 사례 확립의 이점:**

 데이터 분류를 통해 워크로드 소유자는 민감한 데이터를 저장하는 위치를 식별하고 해당 데이터에 액세스하고 공유하는 방법을 결정할 수 있습니다. 

 데이터 분류는 다음 질문에 답변하는 것을 목표로 합니다. 
+ **어떤 유형의 데이터가 있나요?**

  다음과 같은 데이터가 있을 수 있습니다. 
  +  영업 비밀, 특허, 계약과 같은 지적 재산(IP) 
  +  개인과 연결된 병력 정보가 포함된 의료 기록과 같은 보호 대상 건강 정보(PHI) 
  +  이름, 주소, 생년월일, 국가 ID, 등록 번호와 같은 개인 식별 정보(PII) 
  +  기본 계정 번호(PAN), 카드 소유자 이름, 만료 날짜, 서비스 코드 번호와 같은 신용 카드 데이터 
  +  민감한 데이터는 어디에 저장되나요? 
  +  누가 데이터에 액세스하여 수정 및 삭제할 수 있나요? 
  +  데이터를 잘못 취급하지 못하도록 방지하려면 사용자 권한을 이해하는 것이 필수적입니다. 
+ **생성, 읽기, 업데이트, 삭제(CRUD) 작업은 누가 수행할 수 있나요?**
  +  누가 데이터에 대한 권한을 관리할 수 있는지 파악하여 권한 상승 가능성을 고려합니다. 
+ **데이터가 의도치 않게 공개, 변경, 삭제되면 비즈니스에 어떤 영향을 미칠 수 있나요?**
  +  데이터가 의도치 않게 수정, 삭제, 공개되는 경우의 위험 결과를 이해합니다. 

이러한 질문에 대한 답변을 알면 다음과 같은 조치를 취할 수 있습니다. 
+  민감한 데이터 범위(예: 민감한 데이터 위치 수)를 줄이고 민감한 데이터에 대한 액세스 권한을 승인된 사용자로만 제한합니다. 
+  암호화, 데이터 손실 방지, 자격 증명 및 액세스 관리와 같은 적절한 데이터 보호 메커니즘 및 기술을 구현할 수 있도록 다양한 데이터 유형을 파악합니다. 
+  데이터에 대한 올바른 제어 목표를 제공하여 비용을 최적화합니다. 
+  데이터 유형과 양, 민감도가 다른 데이터를 서로 분리하는 방법에 대한 규제 기관 및 감사 담당자의 질문에 자신 있게 답변합니다. 

 **이 모범 사례를 따르지 않을 경우 노출 위험도:** 높음 

## 구현 가이드
<a name="implementation-guidance"></a>

 데이터 분류는 데이터의 민감도를 식별하는 행위입니다. 데이터를 쉽게 검색하고 추적할 수 있도록 태그 지정이 포함될 수 있습니다. 또한 데이터 분류는 데이터 중복을 줄여 검색 프로세스 속도를 높이면서 스토리지 및 백업 비용을 줄이는 데 도움이 될 수 있습니다. 

 Amazon Macie과 같은 서비스를 사용하여 민감한 데이터의 검색 및 분류를 대규모로 자동화합니다. Amazon EventBridge 및 AWS Config와 같은 다른 서비스를 사용하면 암호화되지 않은 Amazon Simple Storage Service(Amazon S3) 버킷 및 Amazon EC2 EBS 볼륨 또는 태그가 지정되지 않은 데이터 리소스와 같은 데이터 보안 문제에 대한 개선조치를 자동화할 수 있습니다. AWS 서비스 통합의 전체 목록은 [EventBridge 설명서](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html)를 참조하세요. 

 고객 이메일, 지원 티켓, 제품 리뷰, 소셜 미디어와 같은 비정형 데이터에서 [PII 감지](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html)는 자연어 처리(NLP) 서비스인 [Amazon Comprehend를 사용](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/)하면 됩니다. 이 서비스는 기계 학습(ML)을 사용하여 비정형 텍스트에서 사람, 장소, 감정, 주제와 같은 인사이트와 관계를 찾습니다. 데이터 식별을 지원할 수 있는 AWS 서비스 목록은 [AWS 서비스를 사용하여 PHI 및 PII 데이터를 감지하는 일반 기술](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/)을 참조하세요. 

 데이터 분류 및 보호를 지원하는 또 다른 방법은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)입니다. 태그 지정을 사용하면 리소스를 관리, 식별, 구성, 검색 및 필터링하는 데 사용할 수 있는 메타데이터를 AWS 리소스에 할당할 수 있습니다. 

 경우에 따라 전체 리소스(예: S3 버킷)에 태그를 지정하도록 선택할 수 있습니다. 특히 특정 워크로드 또는 서비스가 이미 알려진 데이터 분류의 프로세스 또는 전송을 저장해야 하는 경우에 더욱 그렇습니다. 

 적절한 경우 관리 및 보안 유지 관리를 쉽게 하기 위해 개별 객체 대신 S3 버킷에 태그를 지정할 수 있습니다. 

### 구현 단계
<a name="implementation-steps"></a>

**Amazon S3 내의 민감한 데이터 감지: **

1.  시작하기 전에 Amazon Macie 콘솔 및 API 작업에 액세스할 수 있는 적절한 권한이 있는지 확인합니다. 자세한 내용은 [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)를 참조하세요. 

1.  민감한 데이터가 [Amazon S3](https://aws.amazon.com/s3/)에 있는 경우 Amazon Macie를 사용하여 자동화된 데이터 검색을 수행합니다. 
   +  [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 가이드를 사용하여 민감한 데이터 검색 결과에 대한 리포지토리를 구성하고 민감한 데이터에 대한 검색 작업을 생성합니다. 
   +  [Amazon Macie를 사용하여 S3 버킷에서 민감한 정보를 미리 보는 방법](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) 

      기본적으로 Macie는 자동화된 민감한 데이터 검색을 위해 권장되는 관리형 데이터 식별자를 사용하여 객체를 분석합니다. 계정 또는 조직에 대해 자동화된 민감한 데이터 검색을 수행할 때 특정 관리형 데이터 식별자, 사용자 지정 데이터 식별자 및 허용 목록을 사용하도록 Macie를 구성하여 분석을 맞춤 조정할 수 있습니다. 특정 버킷(예: 일반적으로 AWS 로깅 데이터를 저장하는 S3 버킷)을 제외하여 분석 범위를 조정할 수 있습니다. 

1.  자동화된 민감한 데이터 검색을 구성하고 사용하려면 [Performing automated sensitive data discovery with Amazon Macie(Amazon Macie를 사용하여 자동화된 민감한 데이터 검색 수행)](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html)를 참조하세요. 

1.  [Amazon Macie에 대한 자동 데이터 검색](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/)을 고려할 수도 있습니다. 

**Amazon RDS 내의 민감한 데이터 감지: **

 [Amazon Relational Database Service(Amazon RDS)](https://aws.amazon.com/rds/) 데이터베이스의 데이터 검색에 대한 자세한 내용은 [Macie를 사용하여 Amazon RDS 데이터베이스에 대한 데이터 분류 활성화](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/)를 참조하세요. 

**DynamoDB 내의 민감한 데이터 감지:**
+  [Macie를 사용하여 DynamoDB에서 민감한 데이터 감지](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/)는 Amazon Macie를 사용하여 스캔을 위해 데이터를 Amazon S3로 내보내서 [Amazon DynamoDB](https://aws.amazon.com/dynamodb/) 테이블에서 민감한 데이터를 감지하는 방법을 설명합니다. 

**AWS 파트너 솔루션: **
+  광범위한 AWS Partner Network 사용을 고려합니다. AWS 파트너는 AWS 서비스와 직접 통합되는 광범위한 도구 및 규정 준수 프레임워크를 보유하고 있습니다. 파트너는 조직의 요구 사항을 충족하는 데 도움이 되는 맞춤형 거버넌스 및 규정 준수 솔루션을 제공할 수 있습니다. 
+  데이터 분류의 맞춤형 솔루션은 [Data governance in the age of regulation and compliance requirements(규제 및 규정 준수 요구 사항 시대의 데이터 거버넌스)](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/)를 참조하세요. 

 AWS Organizations를 사용하여 정책을 생성하고 배포하여 조직에서 채택하는 태그 지정 표준을 자동으로 적용할 수 있습니다. 태그 정책을 사용하면 유효한 키 이름과 각 키에 유효한 값을 정의하는 규칙을 지정할 수 있습니다. 모니터링만 선택하면 기존 태그를 평가하고 정리할 수 있습니다. 태그가 선택한 표준을 준수하면 태그 정책에서 적용을 사용 설정하여 규정 미준수 태그가 생성되는 것을 방지할 수 있습니다. 자세한 내용은 [AWS Organizations에서 서비스 제어 정책을 사용하여 권한 부여에 사용되는 리소스 태그 보호](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) 및 [권한이 부여된 보안 주체에 의한 것을 제외한 태그 수정 방지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 대한 예시 정책을 참조하세요. 
+  [AWS Organizations](https://aws.amazon.com/organizations/)에서 태그 정책 사용을 시작하려면 고급 태그 정책으로 이동하기 전에 [태그 정책 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)의 워크플로를 따르는 것이 좋습니다. 전체 조직 단위(OU) 또는 조직으로 확장하기 전에 단일 계정에 간단한 태그 정책을 연결하는 효과를 이해하면 태그 정책을 준수하기 전에 태그 정책의 효과를 볼 수 있습니다. [태그 정책 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html)에서는 고급 정책 관련 작업에 대한 지침 링크를 제공합니다. 
+  [데이터 분류](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 백서에 나열된 데이터 분류를 지원하는 다른 [AWS 서비스 및 기능](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features)을 평가하는 것이 좋습니다. 

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+  [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Amazon Macie을 사용한 자동화된 데이터 검색](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html) 
+  [태그 정책 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) 
+  [PII 엔터티 감지](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) 

 **관련 블로그:** 
+  [Amazon Macie를 사용하여 S3 버킷에서 민감한 정보를 미리 보는 방법](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) 
+  [Performing automated sensitive data discovery with Amazon Macie(Amazon Macie를 사용하여 자동화된 민감한 데이터 검색 수행)](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) 
+  [Common techniques to detect PHI and PII data using AWS Services(AWS 서비스를 사용하여 PHI 및 PII 데이터를 감지하는 일반 기술)](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) 
+  [Detecting and redacting PII using Amazon Comprehend(Amazon Comprehend를 사용하여 PII 감지 및 교정)](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) 
+  [Securing resource tags used for authorization using a service control policy in AWS Organizations(AWS Organizations에서 서비스 제어 정책을 사용하여 권한 부여에 사용되는 리소스 태그 보호)](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) 
+  [Enabling data classification for Amazon RDS database with Macie(Macie를 사용하여 Amazon RDS 데이터베이스에 대한 데이터 분류 활성화)](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) 
+  [Detecting sensitive data in DynamoDB with Macie(Macie를 사용하여 DynamoDB에서 민감한 데이터 감지)](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) 

 **관련 동영상:** 
+  [Event-driven data security using Amazon Macie(Amazon Macie를 사용한 이벤트 기반 데이터 보안)](https://www.youtube.com/watch?v=onqA7MJssoU) 
+  [Amazon Macie for data protection and governance(데이터 보호 및 거버넌스를 위한 Amazon Macie)](https://www.youtube.com/watch?v=SmMSt0n6a4k) 
+  [Fine-tune sensitive data findings with allow lists(허용 목록을 사용하여 민감한 데이터 조사 결과 미세 조정)](https://www.youtube.com/watch?v=JmQ_Hybh2KI)