Cloud Data Loss Prevention (Cloud DLP) ist jetzt Teil des Schutzes sensibler Daten. Der Name der API bleibt unverändert: Cloud Data Loss Prevention API (DLP API). Informationen zu den Diensten, die zum Schutz sensibler Daten gehören, finden Sie unter Schutz sensibler Daten.

Diese Seite wurde von der Cloud Translation API übersetzt.

Auffinden sensibler Daten in Amazon S3

Auf dieser Seite wird die Erkennung von Sensitive Data Protection für die Verwendung mit Amazon S3 beschrieben. Diese Funktion ist nur für Kunden verfügbar, die Security Command Center auf Enterprise-Ebene aktiviert haben.

Mit der Erkennung sensibler Daten können Sie die Arten von Daten ermitteln, die Sie in S3 speichern, und die Sensibilitätsstufen Ihrer Daten. Wenn Sie Ihre S3-Daten profilieren, generieren Sie Datenprofile für Dateispeicher, die Statistiken und Metadaten zu Ihren S3-Buckets enthalten. Ein Datenprofil für ein Dateispeicher enthält für jeden S3-Bucket die folgenden Informationen:

Die Dateitypen, die Sie im Bucket speichern, kategorisiert in Dateicluster
Die Vertraulichkeitsstufe der Daten im Bucket
Eine Zusammenfassung zu jedem erkannten Dateicluster, einschließlich der Arten von vertraulichen Informationen, die gefunden wurden

Eine vollständige Liste der Statistiken und Metadaten in jedem Datenprofil für Dateispeicher finden Sie unter Datenprofile für Dateispeicher.

Weitere Informationen zum Discovery-Dienst finden Sie unter Datenprofile.

Workflow

Der allgemeine Workflow zum Erstellen von Amazon S3-Datenprofilen sieht so aus:

Erstellen Sie in Security Command Center einen Connector für Amazon Web Services (AWS). Setzen Sie ein Häkchen in das Kästchen Berechtigungen für die Sensitive Data Protection-Erkennung gewähren und folgen Sie der Anleitung, um den Connector mit Berechtigungen für die Erkennung sensibler Daten zu konfigurieren.

Wenn Sie bereits einen Connector haben, für den Berechtigungen für die Sensitive Data Protection-Erkennung gewähren nicht ausgewählt ist, lesen Sie den Hilfeartikel Berechtigungen für die Erkennung sensibler Daten für einen vorhandenen AWS-Connector gewähren.
Erstellen Sie eine Inspektionsvorlage in der Region global oder in der Region, in der Sie die Konfigurationsdatei für den explorativen Scan und alle generierten Datenprofile speichern möchten.
Konfiguration für die Suche nach Daten für Amazon S3 erstellen

Mit dem Schutz sensibler Daten werden Ihre Daten gemäß dem von Ihnen angegebenen Zeitplan profiliert.

Preise

Wenn Sie Amazon S3-Daten profilieren, fallen die Kosten für den Schutz sensibler Daten an, die in den Discovery-Preisen aufgeführt sind. Darüber hinaus berechnet Ihnen AWS die Kosten für Anfragen, die Sensitive Data Protection stellt, und für Datenübertragungen von S3 ins Internet.

Wenn der Discovery-Dienst Ihre Daten profiliert, wird eine Stichprobe der Daten in Ihrem S3-Bucket gescannt. Bei der explorativen Datenanalyse wird anhand heuristischer Methoden ermittelt, wie viele Daten in jedem Bucket und in bestimmten Dateien zu erfassen sind. Dabei werden einige Daten an Google Cloud übertragen und mit dem Inhaltsprüfdienst des Schutzes sensibler Daten geprüft. Wenn keine vorübergehenden Fehler auftreten, werden in den meisten Fällen für jeden Bucket nicht mehr als 30 GB an Daten übertragen und gescannt. Die für jeden Bucket ausgewählten Daten können weniger als 30 GB betragen.

Anfragen im Rahmen des Schutzes sensibler Daten

Beim Erstellen von Profilen für Ihre S3-Buckets führt Sensitive Data Protection die folgenden Vorgänge aus:

Etwa 50 LIST-Anfragen pro Tag und profiliertem S3-Bucket.
Etwa 10 GET-Anfragen pro Datei in einem geprofileten Bucket. Bei Sensitive Data Protection werden in der Regel weniger als 100.000 GET-Aufrufe getätigt. Dieser Wert kann sich in Zukunft ändern.

Der Preis, den AWS pro 1.000 Anfragen berechnet, variiert je nach Region des S3-Buckets. Weitere Informationen finden Sie unter Anfragen und Datenabrufe in der Amazon S3-Preisdokumentation.

Datenübertragungen von S3 ins Internet

Wenn der Schutz sensibler Daten S3-Daten profiliert, werden die Daten als von S3 ins Internet übertragen betrachtet. Es können AWS-Gebühren anfallen. Weitere Informationen finden Sie in der Amazon S3-Preisdokumentation unter Datenübertragung AUS Amazon S3 ins Internet.

Berechnungsbeispiele

Angenommen, Sie möchten 10 S3-Standard-Buckets in der Region „USA Ost (N. Virginia) ausgeliefert. So können Sie die Amazon-Kosten schätzen, die direkt mit dem Discovery-Vorgang zusammenhängen:

Beispiel: Anfragen und Datenabrufe

	Geschätzte Anzahl der Anfragen pro Bucket	Geschätzte Anzahl der Anfragen für 10 Buckets	Amazon-Steuersatz	Zwischensumme
`LIST`	50	500	0,005 $ pro 1.000 Aufrufe	0,005
`GET`	28.000	280.000	0,0004 $ pro 1.000 Anrufe	0,112
Summe				0,117

Beispiel: Datenübertragung von Amazon S3 ins Internet

Stichprobengröße pro Bucket	Amazon-Steuersatz	Preis pro Bucket
Bis zu 30 GB	0,09 $ pro GB	Bis zu 2,70 $

Überlegungen zum Datenstandort

Beachten Sie Folgendes, wenn Sie Amazon S3-Daten profilieren möchten:

Die Datenprofile werden zusammen mit der Konfiguration des Discovery-Scans gespeichert. Wenn Sie dagegen Google Cloud-Daten profilieren, werden die Profile in derselben Region wie die zu profilierenden Daten gespeichert.
Wenn Sie Ihre Inspektionsvorlage in der Region global speichern, wird eine In-Memory-Kopie dieser Vorlage in der Region gelesen, in der Sie die Konfiguration für den Entdeckungsscan speichern.
Ihre S3-Daten werden nicht geändert. Eine In-Memory-Kopie Ihrer Daten wird in der Region gelesen, in der Sie die Konfiguration des Discovery-Scans speichern. Sensitive Data Protection bietet jedoch keine Garantie dafür, wo die Daten weitergeleitet werden, nachdem sie das öffentliche Internet erreicht haben. Die Daten werden mit SSL verschlüsselt.

Nächste Schritte

Amazon S3-Daten erfassen