# SEC 7 데이터는 어떻게 분류합니까?
분류는 적절한 보호 및 보존 제어 수준을 결정하는 데 도움이 되도록 중요도와 민감도를 기준으로 데이터를 분류하는 방법을 제공합니다.
**Topics**
+ [SEC07-BP01 워크로드 안에서 데이터 식별](sec_data_classification_identify_data.md)
+ [SEC07-BP02 데이터 보호 제어 정의](sec_data_classification_define_protection.md)
+ [SEC07-BP03 식별 및 분류 자동화](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 데이터 수명 주기 관리 정의](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 워크로드 안에서 데이터 식별
워크로드에서 처리 중인 데이터의 유형 및 분류, 관련 비즈니스 프로세스, 데이터 소유자, 적용 가능한 법률 및 규정 준수 요구 사항, 저장 위치, 적용해야 할 최종 제어를 이해해야 합니다. 여기에는 데이터가 공개적으로 사용 가능한지, 데이터가 PII(고객 개인 식별 정보)처럼 내부에서만 사용되는지, 지적 재산처럼 데이터에 대한 액세스가 더 엄격히 제한되는지, 법적으로 권한이 있는지, 민감한 데이터로 표시되는지 등을 나타내는 분류가 포함될 수 있습니다. 적절한 데이터 분류 시스템과 각 워크로드의 보호 요구 사항 수준을 철저하게 관리하면 데이터에 적합한 제어 기능과 액세스 또는 보호 수준을 적용할 수 있습니다. 예를 들어 공개 콘텐츠는 누구나 액세스할 수 있지만 중요한 콘텐츠는 암호화하여 보호된 방식(콘텐츠 암호를 해독하려면 키에 대한 액세스 권한이 부여되어야 함)으로 저장할 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ Amazon Macie를 사용하여 데이터 발견 고려: Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식합니다.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## 리소스
**관련 문서:**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 데이터 보호 제어 정의
분류 수준에 따라 데이터를 보호합니다. 예를 들어 관련 권장 사항을 사용하여 공개용으로 분류된 데이터를 보호하면서, 추가 제어 기능을 통해 민감한 데이터를 보호합니다.
리소스 태그, 중요도별(각 주의, 영역, 커뮤니티별로도 가능) 개별 AWS 계정, IAM 정책, AWS Organizations SCP, AWS Key Management Service(AWS KMS), AWS CloudHSM을 사용함으로써 데이터 분류 및 암호화를 통한 보호를 위한 정책을 정의하고 구현할 수 있습니다. 예를 들어 기밀 데이터를 처리하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 매우 중요한 데이터가 포함된 S3 버킷을 사용하는 프로젝트가 있는 경우 `Project=ABC` 태그를 지정할 수 있습니다. 직속 팀만이 프로젝트 코드의 의미를 알고 있으므로 속성 기반 액세스 제어를 사용하는 것이 가능합니다. 적절한 서비스만 보안 메커니즘을 통해 중요한 콘텐츠에 액세스할 수 있도록 키 정책 및 부여를 통해 AWS KMS 암호화 키 액세스 수준을 정의할 수 있습니다. 태그를 기반으로 권한 부여 결정을 내리는 경우, 태그에 대한 권한이 AWS Organizations의 태그 정책을 사용하여 적절하게 정의되었는지 확인해야 합니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 데이터 식별 및 분류 스키마 정의: 데이터 식별 및 분류를 수행하여 저장한 데이터 유형과 잠재적 영향, 그리고 이 데이터에 액세스할 수 있는 사용자를 평가합니다.
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ 사용 가능한 AWS 제어 기능 파악: 기존에 사용 중이거나 앞으로 사용하려는 AWS 서비스에 대한 보안 제어 옵션을 알아봅니다. 서비스의 설명서에 보안 섹션이 있는 경우가 많습니다.
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ AWS 규정 준수 리소스 파악: AWS에서 제공하는 리소스를 파악합니다.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## 리소스
**관련 문서:**
+ [AWS 설명서](https://docs.aws.amazon.com/)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [누락된 텍스트](https://aws.amazon.com/compliance/)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 식별 및 분류 자동화
데이터 식별 및 분류를 자동화하면 올바른 제어를 구현하는 데 도움이 될 수 있습니다. 사람이 직접 액세스하도록 하는 대신 자동화를 사용하면 인적 오류와 노출의 위험이 줄어듭니다. 기계 학습을 사용하여 AWS에서 민감한 데이터를 자동으로 검색, 분류 및 보호하는 [Amazon Macie](https://aws.amazon.com/macie/)와 같은 도구를 고려해 보아야 합니다. Amazon Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고, 이러한 데이터가 어떻게 액세스되고 이동되는지 파악할 수 있는 대시보드 및 알림을 제공합니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ Amazon Simple Storage Service(Amazon S3) 인벤토리 사용: Amazon S3 인벤토리는 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있는 도구 중 하나입니다.
+ [Amazon S3 인벤토리](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Amazon Macie 고려: Amazon Macie는 기계 학습을 사용하여 Amazon S3에 저장된 데이터를 자동으로 검색하고 분류합니다.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## 리소스
**관련 문서:**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Amazon S3 인벤토리](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 데이터 수명 주기 관리 정의
정의된 수명 주기 전략은 중요도는 물론 법률 및 조직 요구 사항을 기반으로 해야 합니다. 데이터 보존 기간, 데이터 폐기 프로세스, 데이터 액세스 관리, 데이터 변환, 데이터 공유 등의 측면을 고려해야 합니다. 데이터 분류 방법론을 선택할 때는 사용 가능성과 액세스 권한을 적절하게 절충해야 합니다. 또한 여러 액세스 수준, 그리고 각 수준에 대해 안전하면서도 쉽게 사용할 수 있는 방식을 구현하기 위한 여러 가지 방법도 고려해야 합니다. 항상 심층 방어 방식을 사용하고 데이터 그리고 데이터 변환, 삭제 또는 복사 메커니즘에 사람이 접근하는 것을 줄입니다. 예를 들어 사용자에게 애플리케이션에 대한 강력한 인증을 요구하고, 필요한 액세스 권한을 사용자보다는 애플리케이션에 부여함으로써 ‘한 발 떨어져서 작업’을 수행하도록 합니다. 또한 사용자가 신뢰할 수 있는 네트워크 경로에서 애플리케이션에 액세스하며, 암호 해독 키 액세스 권한이 있어야 하도록 설정합니다. 사용자에게 데이터 직접 액세스 권한을 제공하기보다는 대시보드 및 자동화된 보고와 같은 도구를 사용하여 데이터의 정보를 제공하는 것이 좋습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 데이터 유형 파악: 워크로드에서 저장하거나 처리하는 데이터 유형을 식별합니다. 이러한 데이터로는 텍스트, 이미지, 이진 데이터베이스 등이 있습니다.
## 리소스
**관련 문서:**
+ [데이터 분류 백서](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Amazon Macie 시작하기](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**관련 동영상:**
+ [새로운 Amazon Macie 소개](https://youtu.be/I-ewoQekdXE)