どのように、あなたはアマゾンS 3で顧客のデータを保護しますか?
5609 ワード
おそらく、プライバシーポリシーは、アプリやウェブサイトで使用されるリストに気づいた.彼らはどのようにアプリケーションを収集、ストアを詳述した情報が含まれており、提供しているデータを使用します.これは、アプリケーションのビジネスケースに応じて、あなたの名前、生年月日、電子メールアドレス、電話番号、健康情報、およびクレジットカードの詳細を含めることができます.
現在、多くのデータが蓄積されているAmazon S3 , それは偉大なスケーラビリティ、可用性、パフォーマンスとセキュリティを提供します.それでも、我々はS 3バケツで過去にかなりの数のセキュリティ脆弱性を見ました.それはS 3の問題ではなく、S 3バケットの誤設定である.あなたがより多くを知って好奇心が強いならば、速いGoogle検索はこれらのデータ露出のリストを返します.
この記事は、あなたのS 3データを保護するためにMacie . それはちょうどあなたのバケツへのアクセスを確保する以上です.それも、あなたのデータプライバシーを保護することについてです.それを少し楽しくするために、我々は一般的な医療相談や治療を提供する医療サービス会社であるとしましょう.私たちは非常に良いことをしているので、私たちは“痛みキラー”の練習を命名することを決めた.
私たちの医学知識と実践が優れているにもかかわらず、我々の技術はまだ原始的です.それで、我々は、我々を援助するために、近所で最も経験豊かなエンジニアのうちの1台を持ってくることに決めました.私たちは最初にすべてのTXTファイルの処方箋をローカルコンピューターから雲に取りたかった.したがって、我々の最初のS 3バケットは、コードとすべてとして基盤を使用してつくられました.
terraformを使用すると、次のようになります.
一度使用して配備
医学的な実践として、我々のテキストファイルは、(個人の健康情報)を含みます.これらは、患者、その条件、治療、保険情報、テスト結果やその他のデータに関する情報が含まれます.我々の高い倫理的価値のためだけでなく、誰も望んでいない米国の法的で評判問題を引き起こすかもしれないので、このデータを安全で、秘密にしておくことは重要です.
我々の仮説エンジニアがAWSコンソールでS 3バケットを調査したので、彼らは
これが直接オブジェクトのすべてへのアクセスを公に与えるとしても、それを保つのはまだ危険です-それは我々のデータがリークしないようにする別のセキュリティの層です.どうやら、terraformを使用するときに明示的にこの設定を有効にする必要があります(これはCloudFormationなどのツールを使用する場合ではありません).
当社のエンジニアは、いくつかの追加の研究を行って、データセキュリティとプライバシー保護サービスを監視し、S 3のデータを保護するAmazon Macieを使用することを決めた.
以下はterraformで有効にする方法です.
ラン
その後、作成したバケツにMacie分類ジョブを追加します.
ラン
アマゾンマッキーの仕事の出力は ポリシーの発見は、S 3バケットのセキュリティを削減する設定に関連しています.あなたは非常に安全な方法で設定していない設定を推測しましたか? 機密データ調査は、資格情報、顧客識別子、財務記録、健康記録などを含むデータです.我々は、我々のファイルでこれらのいくつかを持っていますか? AWSコンソールの左側パネルの「調査結果」タブに移動します.ポリシーと機密データの両方が検出されたことに注意してください(バケツで無効になっている「ブロック公開アクセス」に関連する他の誕生日とその他)
あなたは、調査結果を配信することができますし、ラムダやSNSなどの別のAWSサービスにルーティングされるイベントブリッジとの統合を設定することができます.これは、あなたが何かがデータプライバシーに関して予想されないとき、行動を起こすためにチームに通知するのを可能にします.
このポストは「管理データ識別子」をカバーします.そして、それは我々が以前に述べたものと同様の一般的な発見を返します.Macieが提供するもう一つの優れた特徴は"Custom Data Identifiers" , ここでは、一致するテキストパターンを定義する正規表現を使用して、ビジネスに固有のケースを検出する規則を設定できます.
どのように、あなたはあなたの顧客のデータプライバシーを保護しますか?
現在、多くのデータが蓄積されているAmazon S3 , それは偉大なスケーラビリティ、可用性、パフォーマンスとセキュリティを提供します.それでも、我々はS 3バケツで過去にかなりの数のセキュリティ脆弱性を見ました.それはS 3の問題ではなく、S 3バケットの誤設定である.あなたがより多くを知って好奇心が強いならば、速いGoogle検索はこれらのデータ露出のリストを返します.
この記事は、あなたのS 3データを保護するためにMacie . それはちょうどあなたのバケツへのアクセスを確保する以上です.それも、あなたのデータプライバシーを保護することについてです.それを少し楽しくするために、我々は一般的な医療相談や治療を提供する医療サービス会社であるとしましょう.私たちは非常に良いことをしているので、私たちは“痛みキラー”の練習を命名することを決めた.
Disclaimer: Keep in mind that there might be a cost associated with using Amazon Macie - for more details have a look at: https://aws.amazon.com/macie/pricing/
私たちの医学知識と実践が優れているにもかかわらず、我々の技術はまだ原始的です.それで、我々は、我々を援助するために、近所で最も経験豊かなエンジニアのうちの1台を持ってくることに決めました.私たちは最初にすべてのTXTファイルの処方箋をローカルコンピューターから雲に取りたかった.したがって、我々の最初のS 3バケットは、コードとすべてとして基盤を使用してつくられました.
S 3バケット
terraformを使用すると、次のようになります.
provider "aws" {
region = "ap-southeast-2"
}
variable "bucketName" {
default = "the-pain-killer-practice"
type = string
}
resource "aws_s3_bucket" "thePainKiller" {
bucket = var.bucketName
}
私たちは幸運にも世界的にユニークである必要があるのと同じ名前の他のS 3バケットはありませんでした.データをアップロードする
一度使用して配備
terraform apply
コマンドは、エンジニアがデータを収集し、S 3にアップロードし、フォルダにグループ化します.サイドノート:S 3のフォルダの概念はありませんし、AWSコンソールで見るフォルダは、主に自分の名前に基づいてS 3のオブジェクトを表示するきちんとした方法です.医学的な実践として、我々のテキストファイルは、(個人の健康情報)を含みます.これらは、患者、その条件、治療、保険情報、テスト結果やその他のデータに関する情報が含まれます.我々の高い倫理的価値のためだけでなく、誰も望んでいない米国の法的で評判問題を引き起こすかもしれないので、このデータを安全で、秘密にしておくことは重要です.
Create a text file containing data similar to the following:
name: Jane Doe
address: Campbell Road (anything smaller than a state)
date of birth: 12/12/2012
email address: [email protected]
medical record number: 4432134
...
アマゾンマッキーでデータを保護してください
我々の仮説エンジニアがAWSコンソールでS 3バケットを調査したので、彼らは
Block all public access
オフになった:これが直接オブジェクトのすべてへのアクセスを公に与えるとしても、それを保つのはまだ危険です-それは我々のデータがリークしないようにする別のセキュリティの層です.どうやら、terraformを使用するときに明示的にこの設定を有効にする必要があります(これはCloudFormationなどのツールを使用する場合ではありません).
当社のエンジニアは、いくつかの追加の研究を行って、データセキュリティとプライバシー保護サービスを監視し、S 3のデータを保護するAmazon Macieを使用することを決めた.
以下はterraformで有効にする方法です.
resource "aws_macie2_account" "test" {
finding_publishing_frequency = "FIFTEEN_MINUTES"
status = "ENABLED"
}
このリソースは、Macieを有効にして、Macieアカウントの設定を指定できます.The finding_publishing_frequency
値をFIFTEEN_NINUTES
, ONE_HOUR
and SIX_HOURS
.ラン
terraform apply
変更を展開するには3つのバケツに関するメトリックをダッシュボードに表示する必要があります.その後、作成したバケツにMacie分類ジョブを追加します.
data "aws_caller_identity" "current" {}
resource "aws_macie2_classification_job" "test" {
job_type = "ONE_TIME"
name = "PAIN_KILLER"
s3_job_definition {
bucket_definitions {
account_id = data.aws_caller_identity.current.account_id
buckets = [var.bucketName]
}
}
depends_on = [aws_macie2_account.test]
}
分類仕事は、敏感なデータのために指定されたS 3バケット(s)を分析するセットのセットです.このジョブを設定することができます毎日、毎週、毎月の代わりにONE_TIME
上記の例に入力します.ラン
terraform apply
変更を展開するにはAWSコンソールのMacieページに移動し、ジョブを選択します.アマゾンマッキーの仕事の出力は
findings
, どちらが政策所見か、または敏感なデータ発見でありえました.次は何ですか。
あなたは、調査結果を配信することができますし、ラムダやSNSなどの別のAWSサービスにルーティングされるイベントブリッジとの統合を設定することができます.これは、あなたが何かがデータプライバシーに関して予想されないとき、行動を起こすためにチームに通知するのを可能にします.
このポストは「管理データ識別子」をカバーします.そして、それは我々が以前に述べたものと同様の一般的な発見を返します.Macieが提供するもう一つの優れた特徴は"Custom Data Identifiers" , ここでは、一致するテキストパターンを定義する正規表現を使用して、ビジネスに固有のケースを検出する規則を設定できます.
どのように、あなたはあなたの顧客のデータプライバシーを保護しますか?
Reference
この問題について(どのように、あなたはアマゾンS 3で顧客のデータを保護しますか?), 我々は、より多くの情報をここで見つけました https://dev.to/aws-builders/how-do-you-protect-your-customers-data-on-amazon-s3-k4iテキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol