Our expert opinion on cloud.

Een datalek voorkomen met AWS Macie

Posted by Christian van Barneveld on 17-okt-2017 7:33:00
Find me on:

Dacht je net een beetje in control te zijn met de opslag van persoonsgegevens binnen je organisatie, komt de Europese Commissie met iets nieuws: GDPR. Natuurlijk is dit al enige tijd bekend, maar wie heeft er al goed gekeken naar zijn eigen situatie en compliancy met deze nieuwe Europese wet? Gelukkig heb je nog tot 25 mei 2018 en wij gaan de komende tijd met een aantal artikelen in op maatregelen die je kunt nemen met innovatieve  clouddiensten. Eén daarvan lichten we er alvast uit: Amazon Web Services (AWS) Macie.

Data Security & Data Privacy

Het begint allemaal met een dataclassificatie en vervolgens welke maatregelen je moet nemen. We hebben het dan vaak over data security en data privacy. Twee belangrijke onderwerpen binnen Data Governance. Soms worden deze door elkaar gebruikt, soms in 1 zin genoemd, maar het zijn wel 2 hele verschillende zaken die op elkaar moeten aansluiten.

Data Security

Met data security heb je het over beschikbaarheid, integriteit en vertrouwelijkheid van data. CIA classificatie van data - Vertrouwelijkheid, Beschikbaarheid, IntegriteitHierbij neem je de maatregelen en integreer je de processen om te zorgen dat je data niet gebruikt of benaderd wordt door mensen of systemen die daar geen toegang toe mogen hebben. Daarnaast dat de data juist, betrouwbaar en beschikbaar is voor personen die hier toegang tot hebben. Ook zit hier lifecycle management in om te zorgen dat data gearchiveerd of verwijderd wordt die niet meer nodig is. Als je data op een cloud platform plaatst blijf je hier zelf verantwoordelijk voor. De cloud provider biedt wel de tools om je data te beveiligen met bijvoorbeeld encryptie en auditing, maar is niet verantwoordelijk voor jouw data. Amazon heeft daarvoor het AWS Responsibility model ontwikkeld en zegt daarbij duidelijk:  "We are responsible for security OF the cloud and you are responsible for security IN the cloud".

Data Privacy

Met data privacy hebben we het over het juiste gebruik van de data. Denk daarbij aan een paspoort kopie die is bedoeld voor identificatie, maar in plaats van direct te vernietigen wordt deze opgeslagen en nooit meer verwijderd. Of vertrouwelijke persoonsgegevens die volgens wetgeving of interne policies in de EU opgeslagen moet worden maar per ongeluk bij je cloud provider in een regio buiten de EU beland. Je wilt voorkomen dat deze data (per ongeluk) weglekt of in verkeerde handen terecht komt, want naast imago schade kan dit ook flink geld kosten. Dit is waar de GDPR in beeld komt...en nu?

"Data leak prevention (DLP) is a suite of technologies aimed at stemming the loss of sensitive information that occurs in enterprises across the globe." (Isaca)

Amazon Macie: wat is het en hoe helpt het je?

Hoe neem je dan de maatregelen om je te beschermen tegen het lekken van persoonlijke gegevens? Dan vraag je je eerst af: wat zijn persoonsgegevens of data herleidbaar naar personen? Waar bevind deze data zich? Wat zegt de wetgeving hierover? Etc... Iedereen die weleens betrokken is geweest bij een data classificatie project weet hoe 

AWS Macie Logo

lastig dit is en op het moment dat je klaar bent kan je weer overnieuw beginnen. Data groeit nou eenmaal exponentieel, dus wie weet in welk van de 10.000 documenten er iets staat wat onder de categorie persoonsgegevens valt? Wat is het dan prettig als de cloud provider waar je toch al je data hebt staan je daarbij kan helpen! Met machine learning bijvoorbeeld en dat aangevuld met kennis over persoonsgegevens. Dat is precies wat Amazon Macie doet: het scant de data die je binnen de objectstorage van AWS S3 hebt staan en geeft vervolgens aan of daar gevoelige data in staat en welk risico je loopt. Dat is al heel mooi want dat helpt je bij de lastige classificatie van al je bestanden. Wat deze dienst nog interessanter maakt is dat het de data uit CloudTrail combineert met de bestanden in je S3 buckets. Iedere API call naar S3 objecten (data events) wordt geclassificeerd door Macie en daar kan je events op configureren waarbij jouw CISO geinformeerd wordt op basis van risico's. Macie levert daarvoor een standaard set aan basic (managed) events aan en je kan basic custom events genereren. De tweede categorie valt onder predictive alerts. Hierbij leert Macie van het normale gedrag binnen jouw omgeving (bv: gebruiker vraagt 2 bestanden per dag uit bucket op) en stuurt een alert bij afwijking (bv: gebruiker download hele directory structuur uit bucket). In een vervolg blog zal ik hier dieper op in gaan. Laten we eerst eens kijken hoe we Macie activeren binnen het Amazon AWS account.

Stap 1: activeer de dienst

Macie-stap1.png

Bij AWS is het zo dat nieuwe diensten altijd eerst in een beperkt aantal regio's beschikbaar is en na verloop van tijd de dienst over alle regio's uitgerold wordt. Macie is op dit moment (oktober 2017) beschikbaar in US East (N. Virginia) en US West (Oregon). Na selectie van die regio's (stap 1 uit afbeelding hieronder) moeten er nog een tweetal configuratie stappen worden afgerond. Een IAM gebruiker (voor veilige en gecontroleerde toegang tot jouw bucket(s)) en CloudTrail moet geactiveerd worden.

Stap 1: enable AWS macie

Als beide geactiveerd zijn wordt de rode kruisjes vervangen door oranje vinkjes en kan Macie geactiveerd worden in de regio die je geselecteerd hebt. Let er daarbij op dat de data ook staat in de regio waar Macie geactiveerd is.

Stap 2: Selecteer de buckets

Macie-stap2.pngBinnen AWS S3 objectstorage maak je buckets aan waar je bestanden neer zet. Bestanden voor een website, een dienst of een business unit. Deze bestanden kan je encrypten, daar zal collega Bart Veldhuis meer over vertellen in een volgende blog.Stap 4: Enable Macie Daarnaast ken je rechten toe beschouw je een bucket  als een logische unit van bestanden die bij elkaar horen. Als test kan je een set van bestanden in een bucket zetten waarbij je weet dat daar ergens ook persoonsgegevens in zitten. Dit kan natuurlijk ook prima demo data zijn, zeker als je nog niet zo ervaren bent met Amazon en deze pilot niet wil laten eindigen met een verhaal bij je CISO dat het goede nieuws is dat je ervaring hebt opgedaan van een nieuwe cloud dienst, maar het slechte nieuws dat je de toegang voor de wereld open stond met klantdata erin...

Selecteer de bucket die je wilt opnemen in Macie en vervolgens zal de data gescand worden. Dit kan enige uren duren, afhankelijk van de hoeveelheid data.

Stap 3: Bekijk de alerts

Macie-stap3.pngNa de eerste scan bekijk je het dashboard en zie je welke type PII (Personally Identifiable Information) data er gevonden is. Na verloop van tijd komen ook de events van CloudTrail erbij met een risico factor. Macie zal leren van het gedrag in jouw omgeving en daarbij steeds nauwkeuriger inzichtelijk maken welke risico's je loopt. AWS Macie Dashboard

 Stap 4 ...

Deze is er niet. :-) Drie stappen en een paar minuten van je tijd om de data van je organisatie weer wat beter te beschermen. Zie stap 4 dan ook in het optimaliseren en verbeteren van je maatregelen om je risico's verder af te dichten. Vind je dit interessant? Lees dan hier verder over hoe je encryptie van de provider kunt gebruiken om te voorkomen dat je een datalek moet melden.

Topics: Cloud Governance, Cloud Security, Data Security