Chroń wrażliwe dane z Amazon CoudWatch Logs
Twórcy przedstawiają Ochronę Danych Amazon CloudWatch Logs, nowy zestaw funkcji Amazon CloudWatch Logs, które wykorzystują dopasowywanie wzorców i uczenie maszynowe (ML) do wykrywania i ochrony wrażliwych danych dziennika podczas przesyłania.
Chociaż programiści starają się uniemożliwić rejestrowanie poufnych informacji, takich jak numer PESEL, dane kart kredytowych, adresy e-mail i hasła, czasami mimo wszystko są one rejestrowane. Do dziś klienci polegali na ręcznym badaniu lub rozwiązaniach innych firm w celu wykrywania i ograniczania rejestrowania poufnych informacji. Jeśli poufne dane nie zostaną zredagowane podczas przetwarzania, będą widoczne w postaci zwykłego tekstu w dziennikach i w każdym systemie podrzędnym, który wykorzystał te dzienniki.
Egzekwowanie zapobiegania w całej organizacji jest wyzwaniem, dlatego szybkie wykrywanie i zapobieganie dostępowi do wrażliwych danych w dziennikach jest ważne z punktu widzenia bezpieczeństwa i zgodności. Od dzisiaj możesz włączyć Ochronę Danych Amazon CloudWatch Logs, aby wykrywać i maskować wrażliwe dane dziennika, gdy są one pobierane do dzienników CloudWatch lub podczas przesyłania.
Klienci ze wszystkich branż, którzy chcą skorzystać z natywnych możliwości ochrony danych, mogą skorzystać z tej funkcji. W szczególności jest to przydatne w branżach podlegających surowym przepisom, które muszą mieć pewność, że żadne dane osobowe nie zostaną ujawnione. Ponadto klienci budujący usługi płatności lub uwierzytelniania, w których mogą być przechwytywane dane osobowe i poufne, mogą korzystać z tej nowej funkcji do wykrywania i maskowania poufnych informacji podczas ich rejestrowania.
Od czego zacząć?
Możesz włączyć politykę ochrony danych dla nowych lub istniejących grup dzienników z konsoli zarządzania AWS, interfejsu wiersza poleceń AWS (CLI) lub AWS CloudFormation. Z konsoli wybierz dowolną grupę dzienników i utwórz politykę ochrony danych w zakładce Ochrona danych.
Tworząc politykę, możesz określić dane, które chcesz chronić. Wybieraj spośród ponad 100 zarządzanych identyfikatorów danych, które są repozytorium typowych wzorców wrażliwych danych obejmujących informacje finansowe, zdrowotne i osobiste. Ta funkcja zapewnia pełną elastyczność w wyborze spośród szerokiej gamy identyfikatorów danych, które są specyficzne dla przypadków użycia lub regionu geograficznego.
Możesz także włączyć raporty z audytu i wysłać je do innej grupy dzienników, zasobnika Amazon Simple Storage Service (Amazon S3) lub Amazon Kinesis Firehose. Raporty te zawierają szczegółowy dziennik ustaleń dotyczących ochrony danych.
Jeśli chcesz monitorować i otrzymywać powiadomienia o wykryciu poufnych danych, możesz utworzyć alarm wokół metryki LogEventsWithFindings. Ta metryka pokazuje, ile wyników znajduje się w określonej grupie dzienników. Pozwala to szybko zrozumieć, która aplikacja rejestruje poufne dane.
Gdy rejestrowane są poufne informacje, ochrona danych CloudWatch Logs automatycznie je zamaskuje zgodnie ze skonfigurowanymi zasadami. Zostało to zaprojektowane w taki sposób, aby żadna z usług podrzędnych korzystających z tych dzienników nie widziała niemaskowanych danych. Z poziomu konsoli zarządzania AWS, interfejsu AWS CLI lub dowolnej strony trzeciej poufne informacje w dziennikach będą wyświetlane jako zamaskowane.
Tylko użytkownicy z wysokimi uprawnieniami w swoich zasadach IAM (dodaj logi: działanie Zdemaskuj akcję w zasadach użytkownika) mogą przeglądać niezamaskowane dane w CloudWatch Logs Insights, przeszukiwać strumienie logów lub za pośrednictwem interfejsów API FilterLogEvents i GetLogEvents.
Możesz użyć następującego zapytania w CloudWatch Logs Insights, aby zdemaskować dane dla określonej grupy logów:
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
Dostępne już dziś
Ochrona danych jest dostępna w następujących Regionach AWS: wschodnich stanach USA (Ohio, Wirginia Północna), zachodnich stanach USA (Północna Kalifornia, Oregon), Afryce (Kapsztad), regionie Azji i Pacyfiku (Hongkong, Dżakarta, Bombaj, Osaka, Seul, Singapur, Sydney, Tokio), Kanada (Centrum), Europa (Frankfurt, Irlandia, Londyn, Mediolan, Paryż, Sztokholm), Bliski Wschód (Bahrajn) i Ameryka Południowa (São Paulo).
Ceny ochrony danych Amazon CloudWatch Logs są oparte na ilości danych skanowanych w poszukiwaniu poufnych informacji. Możesz sprawdzić cennik dzienników CloudWatch, aby dowiedzieć się więcej o cenach tej funkcji w Twoim regionie.
źródło: AWS