# SEC07-BP02 根据数据敏感性应用数据保护控制措施
应用数据保护控制措施,为分类策略中定义的每一类数据提供适当水平的控制。 这种做法可以保护敏感数据,防止在未经授权的情况下访问和使用敏感数据,同时保持数据可用。
**期望结果:**您有一项分类策略,它定义了组织内数据的不同敏感性级别。 对于每个敏感性级别,您都有明确的指导原则,规定了经批准的存储和处理服务、位置及其所需的配置。 您可以根据所需的保护级别和相关成本,实施每个级别的控制措施。 如果数据出现在未经授权的位置、在未经授权的环境中处理、被未经授权的行为者访问,或者相关服务的配置变得不合规,您都能够进行监控并发出警报。
**常见反模式:**
+ 对所有数据应用相同级别的保护控制措施。这可能导致为低敏感性数据预配过多的安全控制措施,或者对高敏感性数据保护不足。
+ 在定义数据保护控制措施时,没有让安全、合规和业务团队的利益相关方参与进来。
+ 忽视与实施和维护数据保护控制措施相关的运营开销和成本。
+ 不定期进行数据保护控制措施审查,无法保持一直符合分类策略。
+ 没有有关静态数据和传输中数据所在位置的完整清单。
**建立此最佳实践的好处:**贵组织通过根据数据分类级别调整控制措施,能够在需要时投资更高级别的控制措施。可能包括增加用于保护、监控、测量、修复和报告的资源。 在适合减少控制措施的情况下,您可以为员工、客户或成员提高数据的可访问性和完整性。 这种方法既能让贵组织在数据使用方面获得极大的灵活性,又能遵守数据保护要求。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
根据数据敏感性级别实施数据保护控制措施时,涉及几个关键步骤。首先,确定工作负载架构中不同的数据敏感性级别(如公开、内部、保密和受限),并评估在哪里存储和处理这些数据。接下来,根据数据的敏感性级别定义数据的隔离边界。我们建议您将数据分别放置到不同的 AWS 账户 中,使用[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)(SCP)来限制每个数据敏感性级别所允许的服务和操作。这样,您就可以创建强大的隔离边界,并执行最低权限原则。
定义隔离边界后,根据数据敏感性级别实施适当的保护控制措施。参考[保护静态数据](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-at-rest.html)和[保护传输中数据](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html)中的最佳实践,实施加密、访问控制和审计等相关控制措施。考虑采用令牌化或匿名化等技术,来降低数据的敏感性级别。利用集中式令牌化和去令牌化系统,简化在整个企业中应用一致数据策略的过程。
持续监控和测试所实施控制措施的有效性。随着贵组织数据状况和威胁的变化,定期审查和更新数据分类方案、风险评估和保护控制措施。使所实施的数据保护控制措施符合相关行业法规、标准和法律要求。此外,培养安全意识和提供培训,让员工了解数据分类方案及其在处理和保护敏感数据方面的责任。
### 实施步骤
1. 确定工作负载中数据的分类和敏感性级别。
1. 规定每个级别的隔离边界,并确定执行策略。
1. 评估您定义的控制措施,这些控制措施管理访问、加密、审计、留存以及数据分类策略所要求的其它事项。
1. 评估在适当情况下降低数据敏感性级别的方案,例如采用令牌化或匿名化。
1. 自动测试和监控已配置资源来验证控制措施。
## 资源
**相关最佳实践:**
+ [PERF03-BP01 使用最能满足数据访问和存储要求的专用数据存储](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html)
+ [COST04-BP05 执行数据留存策略](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html)
**相关文档:**
+ [Data Classification whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Best Practices for Security, Identify, & Compliance](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all)
+ [AWS KMS 最佳实践](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)
+ [Encryption best practices and features for AWS services](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/welcome.html)
**相关示例:**
+ [Building a serverless tokenization solution to mask sensitive data](https://aws.amazon.com/blogs/compute/building-a-serverless-tokenization-solution-to-mask-sensitive-data/)
+ [How to use tokenization to improve data security and reduce audit scope](https://aws.amazon.com/blogs/security/how-to-use-tokenization-to-improve-data-security-and-reduce-audit-scope/)
**相关工具:**
+ [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)
+ [AWS CloudHSM](https://aws.amazon.com/cloudhsm/)
+ [AWS Organizations](https://aws.amazon.com/organizations/)