Rilevamento di dati sensibili per Amazon S3

Questa pagina descrive il rilevamento di Sensitive Data Protection per l'utilizzo con Amazon S3. Questa funzionalità è disponibile solo per i clienti che hanno attivato Security Command Center a livello di Enterprise.

Il rilevamento di dati sensibili ti aiuta a conoscere i tipi di dati che memorizzi in S3 e i relativi livelli di sensibilità. Quando profili i dati S3, generi profili di dati dell'archivio file, che forniscono approfondimenti e metadati sui tuoi bucket S3. Per ogni bucket S3, un profilo dati dell'archivio file include le seguenti informazioni:

  • I tipi di file archiviati nel bucket, categorizzati in cluster di file
  • Il livello di sensibilità dei dati nel bucket
  • Un riepilogo di ogni cluster di file rilevato, inclusi i tipi di informazioni sensibili rilevate

Per un elenco completo di approfondimenti e metadati in ogni profilo dati dell'archivio file, consulta Profili dati dell'archivio file.

Per ulteriori informazioni sul servizio di rilevamento, consulta Profili di dati.

Flusso di lavoro

Il flusso di lavoro di alto livello per creare il profilo dei dati di Amazon S3 è il seguente:

  1. In Security Command Center, crea un connettore per Amazon Web Services (AWS). Assicurati di selezionare la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection e segui le istruzioni per configurare il connettore con le autorizzazioni per il rilevamento dei dati sensibili.

    Se hai già un connettore per il quale non è selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection, consulta Concedi le autorizzazioni per il rilevamento dei dati sensibili a un connettore AWS esistente.

  2. Crea un modello di ispezione nella regione global o nella regione in cui prevedi di archiviare la configurazione della scansione di rilevamento e tutti i profili di dati generati.

  3. Crea una configurazione di scansione di rilevamento per Amazon S3.

    Sensitive Data Protection profila i tuoi dati in base alla pianificazione specificata.

Prezzi

Quando profili i dati di Amazon S3, ti vengono addebitati gli oneri per la protezione dei dati sensibili elencati nella pagina Prezzi di Discovery. Inoltre, AWS ti addebita le richieste effettuate da Sensitive Data Protection e i trasferimenti di dati da S3 a internet.

Quando il servizio di rilevamento esegue il profilo dei tuoi dati, esegue la scansione di un campione di dati nel tuo bucket S3. Discovery utilizza metodi euristici per determinare la quantità di dati da campionare in ogni bucket e in file specifici. In questo processo, alcuni dati vengono trasferiti a Google Cloud e ispezionati utilizzando il servizio di ispezione dei contenuti di Sensitive Data Protection. Nella maggior parte dei casi, se non si verificano errori intermittenti, i dati trasferiti e analizzati per ogni bucket non superano i 30 GB. I dati campionati per ogni bucket possono essere inferiori a 30 GB.

Richieste da Sensitive Data Protection

Sensitive Data Protection esegue le seguenti operazioni durante il processo di impostazione del profilo dei bucket S3:

  • Circa 50 richieste LIST al giorno per bucket S3 profilato.
  • Circa 10 richieste GET per file in un bucket profilato. In genere,Sensitive Data Protection effettua meno di 100.000 chiamate GET. Non fare affidamento su questo valore quando esegui l'ottimizzazione in base al costo; infatti, questo valore potrebbe cambiare in futuro.

Il prezzo addebitato da AWS per 1000 richieste varia in base alla regione del bucket S3. Per ulteriori informazioni, consulta Richieste e recupero dei dati nella documentazione relativa ai prezzi di Amazon S3.

Trasferimenti di dati da S3 a internet

Quando Sensitive Data Protection profila i dati S3, questi vengono considerati trasferiti da S3 a internet. Potrebbero essere applicati costi AWS. Per ulteriori informazioni, consulta la sezione Trasferimento di dati da Amazon S3 a internet nella documentazione relativa ai prezzi di Amazon S3.

Calcoli di esempio

Supponiamo che tu voglia creare il profilo di 10 bucket S3 Standard nella regione US East (N. Virginia). Puoi stimare i costi di Amazon direttamente correlati all'operazione di scoperta come segue.

Esempio: richieste e recupero dei dati

Numero stimato di richieste per bucket Numero stimato di richieste per 10 bucket Tasso di Amazon Subtotale
LIST 50 500 0,005 $ per 1000 chiamate 0,005
GET 28.000 280.000 0,0004 $ per 1000 chiamate 0,112
Totale 0,117

Esempio: trasferimento di dati da Amazon S3 a internet

Dati campionati
per bucket
Tasso di Amazon Prezzo per bucket
Fino a 30 GB 0,09 $ per GB Fino a 2,70 $

Considerazioni sulla residenza dei dati

Tieni presente quanto segue quando prevedi di creare un profilo dei dati di Amazon S3:

  • I profili dati vengono archiviati insieme alla configurazione della scansione di rilevamento. Al contrario, quando profili i dati di Google Cloud, i profili vengono archiviati nella stessa regione dei dati da profilare.

  • Se archivi il modello di ispezione nella regione global, una copia in memoria del modello viene letta nella regione in cui archivi la configurazione della ricerca di risorse.

  • I dati di S3 non vengono modificati. Una copia in memoria dei dati viene letta nella regione in cui archivi la configurazione della ricerca di risorse. Tuttavia, la funzionalità Sensitive Data Protection non fornisce alcuna garanzia in merito a dove vengono trasmessi i dati dopo che raggiungono la rete internet pubblica. I dati vengono criptati con SSL.

Passaggi successivi