Wie war dieser Inhalt?
Vier einfache Schritte zur Klassifizierung Ihrer Daten und zur Sicherung Ihres Startups
Ein Datenklassifizierungsprozess ermöglicht es Ihnen, zwischen vertraulichen Daten und Daten, die für die Öffentlichkeit bestimmt sind, zu unterscheiden und jeden Datensatz entsprechend zu behandeln. Ein Startup, das seine Daten kategorisiert hat, kann effizienter arbeiten und die Einhaltung von Rechtsvorschriften wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und dem California Consumer Protection Act (CCPA) sicherer handhaben.
Ein Verständnis von Datentypen und deren Sensibilitätsstufen stellt sicher, dass Ihr Startup einer ungewollten Datennutzung oder -offenlegung zuvorkommt und Compliance-Anforderungen erfüllt.
Als Einstieg finden Sie in diesem Beitrag vier einfache Schritte, mit denen Sie den Datenklassifizierungsprozess für Ihr Startup vereinfachen und automatisieren können.
1. Entwerfen Sie Ihr Datenklassifizierungssystem
Zunächst legen Sie fest, wer auf die Daten Ihres Startups zugreifen darf, indem Sie prüfen, wie Sie Ihre Daten klassifizieren und kontrollieren können.
Bewerten und klassifizieren Sie Ihre Daten
Bei der Datenklassifizierung „geht es um die Identifizierung von Datentypen, die in einem von einem Unternehmen betriebenen Informationssystem verarbeitet und gespeichert werden“, so die Definition im Whitepaper zur Datenklassifizierung von Amazon Web Services (AWS).
Um Ihr System zur Datenklassifizierung zu entwerfen, müssen Sie zunächst Ihre Daten bewerten. Dazu empfehlen wir, die Daten in so wenige Kategorien wie möglich einzuteilen, denn ein einfacheres System ist leichter zu verwalten.
Für die meisten Unternehmen sollten diese drei Stufen die häufigsten Anwendungsfälle der Datenklassifizierung abdecken:
- Nicht klassifiziert. Für Daten mit geringer Sicherheitsstufe (z. B. Daten von öffentlichen Websites, Kurskataloge usw.)
- Offiziell. Für Daten mit mittlerer Sicherheitsstufe (z. B. offizielle Mitteilungen, interne Memos usw.)
- Geheim. Für die vertraulichsten Daten (wie Finanzunterlagen, geistiges Eigentum, rechtlich geschützte Daten usw.)
Wie Sie Ihre Daten klassifizieren und wo Sie sie speichern, hängt von der Art Ihres Unternehmens und seinen rechtlichen Anforderungen ab. Wenn Sie beispielsweise Kreditkarten verwalten, müssen Sie die Standards der Payment Card Industry (PCI) einhalten, die als Geheim eingestuft sind.
Brauchen Sie Hilfe bei der Klassifizierung von Daten? Amazon Macie verwendet Machine Learning (ML), um die Klassifizierung von sensiblen und geschäftskritischen Daten zu automatisieren. Es nutzt maschinelles Lernen (ML) und Mustervergleiche, um vertrauliche Informationen wie Kreditkartennummern, Gesundheitsdaten und andere Arten von persönlich identifizierbaren Informationen (PII) zu erkennen.
Legen Sie die Datenschutzkontrollen fest
Datenschutzkontrollen regeln, wie Ihre Daten verwendet werden, wer Zugriff auf sie hat und wie sie verschlüsselt werden.
Nachdem Sie Ihren Datensätzen die Klassifizierungsstufen zugewiesen haben, bestimmen Sie, welche Kontrollen für jede Kategorie gelten. Indem Sie ein geeignetes Datenklassifizierungssystem zusammen mit den Schutzanforderungen für jeden Workload sorgfältig verwalten, können Sie die für die Daten geeigneten Kontrollen und Zugriffs- oder Schutzstufen zuordnen.
Es gibt viele Arten von Datenschutzkontrollen, aber einige gängige, die Sie kennen sollten, sind:
- Separate Konten verwenden, um Workload-Ressourcen nach Sensibilitätsstufe zu verteilen. Mit AWS Organizations können Sie mühelos mehrere AWS-Konten erstellen und verwalten.
- IAM-Richtlinien, Service-Kontrollrichtlinien (SCPs) von Organisationen, AWS Key Management Service (AWS KMS) und AWS CloudHSM einrichten. Dies ermöglicht es Ihnen, Ihre Richtlinien für die Datenklassifizierung und -sicherung verschlüsselt zu definieren und umzusetzen.
- Sicherstellen, dass Ihre Daten in der richtigen AWS-Region gespeichert und verarbeitet werden, basierend auf Ihren Compliance- und Datenresidenzanforderungen. AWS veranlasst niemals die Verschiebung von Daten zwischen Regionen. Inhalte, die in einer Region gespeichert werden, verbleiben in dieser Region, es sei denn, Sie aktivieren explizit ein Feature oder nutzen einen Service, der diese Funktionalität bietet.
- Verwendung von AWS-Config-Regeln, um automatisch zu überprüfen, ob Sie Verschlüsselung für Daten im Ruhezustand verwenden, z. B. für Volumes des Amazon Elastic Block Store (Amazon EBS), Instances des Amazon Relational Database Service (Amazon RDS) und Buckets des Amazon Simple Storage Service (Amazon S3).
- Erzwingen von Verschlüsselung während der Übertragung. Zum Beispiel können HTTP-Anfragen automatisch auf HTTPS umgeleitet werden, mithilfe von Amazon CloudFront oder einem Application Load Balancer.
Nicht klassifizierte Daten können beispielsweise für jeden in Ihrem Unternehmen oder sogar für Externe zugänglich sein, während Geheime Daten zum Entschlüsseln einen autorisierten Zugang zu einem Schlüssel erfordern können.
2. Kennzeichnen Sie Ihre Daten mit Tags
Zu Sicherheitszwecken können Sie mit Hilfe von Metadaten-Tags Ressourcen auf verschiedene Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Sie können Sicherheits-Tags verwenden, um Ihre Ressourcen auf der Grundlage von Vertraulichkeits- und Compliance-Anforderungen zu identifizieren und zu gruppieren.
Jetzt, da Sie wissen, wie Sie Ihre Daten klassifizieren und schützen werden, fügen Sie Metadaten-Tags hinzu, die die Klassifizierungsstufe angeben. Diese Tags dienen als Referenz für Ihr Team und ermöglichen zusätzliche Automatisierung und Kontrolle. Es gibt viele gängige Markierungsstrategien, aber zu den Tags, die Sie für die Sicherheit verwenden sollten, gehören:
- Vertraulichkeit – Eine Kennung für die spezifische Datenvertraulichkeitsstufe, die eine Ressource unterstützt
- Compliance – Eine Kennzeichnung für Workloads, die bestimmte Compliance-Anforderungen erfüllen müssen
Sie können Tags verwenden, um beispielsweise eine Verschlüsselung zu verlangen oder einzuschränken, wer auf Daten zugreifen darf. Wenn Sie noch keine Tags für Ihre bestehenden Ressourcen haben, bietet AWS Tools, die Ihnen bei der Verwaltung von Ressourcen-Tags für mehrere Services helfen:
- AWS Resource Groups und die Resource Groups Tagging API ermöglichen die programmatische Kontrolle von Tags und erleichtern so die Verwaltung, Suche und Filterung von Tags und Ressourcen.
- Mit AWS Identity and Access Management (IAM) können Sie den Zugriff auf Ressourcen mithilfe von Tags steuern.
Denken Sie daran: Es ist relativ einfach, Tags zu ändern, um sie an veränderte Geschäftsanforderungen anzupassen, aber bedenken Sie die Konsequenzen zukünftiger Änderungen. Wenn Sie zum Beispiel die Zugriffskontroll-Tags ändern, müssen Sie auch die Richtlinien aktualisieren, die auf diese Tags verweisen und den Zugriff auf Ihre Ressourcen kontrollieren
3. Vertrauliche Daten redigieren
Die Datenredaktion begrenzt die Orte, an denen vertrauliche Daten gespeichert werden, und schränkt den Zugriff auf die Personen ein, die sie benötigen, ohne die nachgelagerten Umgebungen zu behindern.
Die Automatisierung der Redigierung schränkt die Gefahr einer versehentlichen Datenfreigabe ein und hilft Startups bei der Einhaltung von Datenschutzbestimmungen, während sie mit einer wachsenden Datenmenge konfrontiert werden.
Amazon Comprehend kann in Verbindung mit Amazon S3 Object Lambda Zugriffspunkten mehr als ein Dutzend Arten von PII erkennen, darunter Passwörter, Adressen, Telefonnummern und Sozialversicherungsnummern, und automatisch Redigierungen in Textdokumenten vornehmen.
4. Bei Compliance Schritt halten
Die Daten-Compliance legt Regeln für den Schutz, die Sicherheit und die Speicherung von Daten fest. Sie stellt Richtlinien, Verfahren und Protokolle auf und gewährleistet den Schutz von Daten vor unbefugtem Zugriff und unberechtigter Nutzung.
In unserem letzten Schritt werden Sie Ihre Daten überwachen, um sicherzustellen, dass sie die Compliance einhalten. AWS-Config-Regeln und AWS Foundational Security Best Practices im AWS Security Hub helfen Ihnen dabei, die Konfiguration Ihrer Dateneinstellungen im Auge zu behalten und informieren Sie, wenn diese geändert werden. So können Sie kontinuierlich sicherstellen, dass Ihre Sicherheitsstandards eingehalten werden.
Ihr Startup mit AWS absichern
Fast jedes Startup ist heute in einem globalen Umfeld tätig und muss in jedem Land, in dem es aktiv ist, unterschiedliche Anforderungen erfüllen.
Indem Sie die Daten, über die Sie verfügen, identifizieren und geeignete, automatisierte Kontrollen implementieren, können Sie diese Anforderungen leichter erfüllen und gleichzeitig Ihre Sicherheitslage verbessern. Zur weiteren Lektüre empfehlen wir das AWS Whitepaper zur Datenklassifizierung. Außerdem empfehlen wir das AWS-Well-Architected-Framework, das Ihnen hilft, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen, und in dem beschrieben wird, wie Sie die Vorteile von Cloud-Technologien nutzen können, um Daten, Systeme und Anlagen so zu schützen, dass Ihre Sicherheit gestärkt wird.
Neil DCruz
Neil DCruz ist ein Startup-Lösungsarchitekt mit Sitz in Mumbai, Indien. Er hilft Startups auf ihrem Weg mit AWS beim Aufbau zuverlässiger, skalierbarer und kostengünstiger Cloud-Architekturen. Er verfügt über mehr als ein Jahrzehnt Erfahrung in verschiedenen Beratungs- und Entwicklungsfunktionen bei der Entwicklung von Unternehmensanwendungen, Microservices sowie Data-Analytics- und Business-Intelligence-Workloads.
Wie war dieser Inhalt?