Auffinden sensibler Daten in Amazon S3

Auf dieser Seite wird die Erkennung von Sensitive Data Protection für die Verwendung mit Amazon S3 beschrieben. Diese Funktion ist nur für Kunden verfügbar, die Security Command Center auf Enterprise-Ebene aktiviert haben.

Mit der Erkennung sensibler Daten können Sie die Datentypen ermitteln, die Sie in S3 speichern, und die Sensibilitätsstufen Ihrer Daten. Wenn Sie Ihre S3-Daten profilieren, generieren Sie Datenprofile für Dateispeicher, die Statistiken und Metadaten zu Ihren S3-Buckets enthalten. Ein Datenprofil für ein Dateispeicher enthält für jeden S3-Bucket die folgenden Informationen:

  • Die Dateitypen, die Sie im Bucket speichern, kategorisiert in Dateicluster
  • Die Vertraulichkeitsstufe der Daten im Bucket
  • Eine Zusammenfassung zu jedem erkannten Dateicluster, einschließlich der Arten von vertraulichen Informationen, die gefunden wurden

Eine vollständige Liste der Statistiken und Metadaten in jedem Datenprofil für Dateispeicher finden Sie unter Datenprofile für Dateispeicher.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Workflow

Der allgemeine Workflow zum Erstellen von Amazon S3-Datenprofilen sieht so aus:

  1. Erstellen Sie in Security Command Center einen Connector für Amazon Web Services (AWS). Setzen Sie ein Häkchen in das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren und folgen Sie der Anleitung, um den Connector mit Berechtigungen für die Erkennung sensibler Daten zu konfigurieren.

    Wenn Sie bereits einen Connector haben, für den Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht ausgewählt ist, lesen Sie den Hilfeartikel Berechtigungen für die Erkennung sensibler Daten für einen vorhandenen AWS-Connector gewähren.

  2. Erstellen Sie eine Inspektionsvorlage in der Region global oder in der Region, in der Sie die Konfigurationsdatei für den explorativen Scan und alle generierten Datenprofile speichern möchten.

  3. Konfiguration für die Suche nach Daten für Amazon S3 erstellen

    Mit dem Schutz sensibler Daten werden Ihre Daten gemäß dem von Ihnen angegebenen Zeitplan profiliert.

Preise

Wenn Sie Amazon S3-Daten profilieren, fallen die Kosten für den Schutz sensibler Daten an, die in den Discovery-Preisen aufgeführt sind. Außerdem berechnet Ihnen AWS die Kosten für Anfragen, die Sensitive Data Protection stellt, und für Datenübertragungen von S3 ins Internet.

Wenn der Discovery-Dienst Ihre Daten profiliert, wird eine Stichprobe der Daten in Ihrem S3-Bucket gescannt. Bei der explorativen Datenanalyse werden heuristische Methoden verwendet, um zu bestimmen, wie viele Daten in jedem Bucket und in bestimmten Dateien zu erfassen sind. Dabei werden einige Daten an Google Cloud übertragen und mit dem Inhaltsprüfdienst des Schutzes sensibler Daten geprüft. Wenn keine vorübergehenden Fehler auftreten, werden in den meisten Fällen für jeden Bucket nicht mehr als 30 GB an Daten übertragen und gescannt. Die für jeden Bucket ausgewählten Daten können weniger als 30 GB betragen.

Anfragen im Rahmen des Schutzes sensibler Daten

Beim Erstellen von Profilen für Ihre S3-Buckets führt Sensitive Data Protection die folgenden Vorgänge aus:

  • Etwa 50 LIST-Anfragen pro Tag und profiliertem S3-Bucket.
  • Etwa 10 GET-Anfragen pro Datei in einem geprofileten Bucket. Bei Sensitive Data Protection werden in der Regel weniger als 100.000 GET-Aufrufe getätigt. Sie sollten sich bei der Kostenoptimierung nicht auf diesen Wert verlassen, da er sich in Zukunft ändern kann.

Der Preis, den AWS pro 1.000 Anfragen berechnet, variiert je nach Region des S3-Buckets. Weitere Informationen finden Sie unter Anfragen und Datenabrufe in der Amazon S3-Preisdokumentation.

Datenübertragungen von S3 ins Internet

Wenn S3-Daten im Rahmen des Schutzes sensibler Daten profiliert werden, werden sie als von S3 ins Internet übertragen betrachtet. Es können AWS-Gebühren anfallen. Weitere Informationen finden Sie in der Amazon S3-Preisdokumentation unter Datenübertragung AUS Amazon S3 ins Internet.

Berechnungsbeispiele

Angenommen, Sie möchten 10 S3-Standard-Buckets in der Region „USA Ost (N. Virginia) ausgeliefert. So können Sie die Amazon-Kosten schätzen, die direkt mit dem Discovery-Vorgang zusammenhängen:

Beispiel: Anfragen und Datenabrufe

Geschätzte Anzahl der Anfragen pro Bucket Geschätzte Anzahl der Anfragen für 10 Buckets Amazon-Steuersatz Zwischensumme
LIST 50 500 0,005 $ pro 1.000 Aufrufe 0,005
GET 28.000 280.000 0,0004 $ pro 1.000 Anrufe 0,112
Summe 0,117

Beispiel: Datenübertragung von Amazon S3 ins Internet

Stichprobengröße
pro Bucket
Amazon-Steuersatz Preis pro Bucket
Bis zu 30 GB 0,09 $ pro GB Bis zu 2,70 $

Überlegungen zum Datenstandort

Beachten Sie Folgendes, wenn Sie Amazon S3-Daten profilieren möchten:

  • Die Datenprofile werden zusammen mit der Konfiguration des Discovery-Scans gespeichert. Wenn Sie dagegen Google Cloud-Daten profilieren, werden die Profile in derselben Region wie die zu profilierenden Daten gespeichert.

  • Wenn Sie Ihre Inspektionsvorlage in der Region global speichern, wird eine In-Memory-Kopie dieser Vorlage in der Region gelesen, in der Sie die Konfiguration für den Entdeckungsscan speichern.

  • Ihre S3-Daten werden nicht geändert. Eine In-Memory-Kopie Ihrer Daten wird in der Region gelesen, in der Sie die Konfiguration des Discovery-Scans speichern. Sensitive Data Protection bietet jedoch keine Garantie dafür, wo die Daten weitergeleitet werden, nachdem sie das öffentliche Internet erreicht haben. Die Daten werden mit SSL verschlüsselt.

Nächste Schritte