So funktioniert die automatische Erkennung sensibler Daten - Amazon Macie
Zentrale KomponentenÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die automatische Erkennung sensibler Daten

Wenn Sie Amazon Macie für Ihr Konto aktivieren AWS-Konto, erstellt Macie derzeit eine AWS Identity and Access Management (IAM) -Serviceverknüpfte Rolle für Ihr Konto. AWS-Region Die Berechtigungsrichtlinie für diese Rolle ermöglicht es Macie, andere Personen anzurufen AWS-Services und Ressourcen in Ihrem Namen zu überwachen AWS . Mithilfe dieser Rolle generiert und verwaltet Macie ein vollständiges Inventar Ihrer Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) in der Region. Das Inventar umfasst Informationen zu jedem Ihrer S3-Buckets und zu den Objekten in den Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, enthält das Inventar Informationen zu Buckets, die Ihren Mitgliedskonten gehören. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

Wenn die automatische Erkennung sensibler Daten für Ihr Macie-Konto aktiviert ist, wertet Macie die Inventardaten täglich aus, um S3-Objekte zu identifizieren, die für eine automatische Erkennung in Frage kommen. Im Rahmen der Bewertung wählt Macie auch eine Stichprobe repräsentativer Objekte für die Analyse aus. Macie ruft dann die neueste Version jedes ausgewählten Objekts von Amazon S3 ab, analysiert sie und untersucht jedes Objekt auf sensible Daten.

Während die Analyse jeden Tag voranschreitet, aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Macie erstellt auch Aufzeichnungen über die sensiblen Daten, die es findet, und über die Analysen, die es durchführt. Die daraus resultierenden Daten geben Aufschluss darüber, wo Macie sensible Daten in Ihrem Amazon S3 S3-Datenbestand gefunden hat. Sie umfassen alle S3-Allzweckbereiche, die Macie für Ihr Konto überwacht und analysiert. Die Daten können Ihnen dabei helfen, die Sicherheit und den Datenschutz Ihrer Daten zu beurteilen, festzustellen, wo eine eingehendere Untersuchung durchgeführt werden sollte, und Fälle zu identifizieren, in denen Abhilfemaßnahmen erforderlich sind.

Sehen Sie sich das folgende Video an, um eine kurze Demonstration der Funktionsweise der automatisierten Erkennung sensibler Daten zu erhalten:

Um die automatische Erkennung sensibler Daten konfigurieren und verwenden zu können, muss es sich bei Ihrem Konto um ein eigenständiges Macie-Konto oder um das Macie-Administratorkonto einer Organisation handeln.

Zentrale Komponenten

Amazon Macie verwendet eine Kombination von Funktionen und Techniken, um die automatische Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten durchzuführen. Diese arbeiten mit Funktionen und Techniken zusammen, mit denen Macie Sie bei der Überwachung Ihrer Amazon S3 S3-Daten im Hinblick auf Sicherheit und Zugriffskontrolle unterstützt.

Auswahl von S3-Objekten zur Analyse

Macie wertet täglich Ihre Amazon S3-Inventardaten aus, um S3-Objekte zu identifizieren, die für eine Analyse durch automatisierte Erkennung sensibler Daten in Frage kommen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies auch Inventardaten für S3-Buckets, die Ihren Mitgliedskonten gehören.

Im Rahmen der Bewertung verwendet Macie Stichprobenverfahren, um repräsentative S3-Objekte für die Analyse auszuwählen. Die Techniken definieren Gruppen von Objekten, die ähnliche Metadaten haben und wahrscheinlich einen ähnlichen Inhalt haben. Die Gruppen basieren auf Dimensionen wie Bucket-Name, Präfix, Speicherklasse, Dateinamenerweiterung und Datum der letzten Änderung. Macie wählt dann einen repräsentativen Satz von Stichproben aus jeder Gruppe aus, ruft die neueste Version jedes ausgewählten Objekts von Amazon S3 ab und analysiert jedes ausgewählte Objekt, um festzustellen, ob das Objekt sensible Daten enthält. Wenn die Analyse abgeschlossen ist, verwirft Macie seine Kopie des Objekts.

Bei der Probenahmestrategie werden verteilte Analysen priorisiert. Im Allgemeinen verwendet es einen umfassenden Ansatz für Ihren Amazon S3 S3-Datenbestand. Jeden Tag wird ein repräsentativer Satz von S3-Objekten aus so vielen Ihrer Allzweck-Buckets wie möglich ausgewählt, basierend auf der Gesamtspeichergröße aller klassifizierbaren Objekte in Ihrem Amazon S3 S3-Datenbestand. Wenn Macie beispielsweise bereits sensible Daten in Objekten in einem Bucket analysiert und gefunden hat und noch keine Objekte in einem anderen Bucket analysiert hat, hat letzterer Bucket eine höhere Priorität für die Analyse. Mit diesem Ansatz erhalten Sie schneller einen umfassenden Einblick in die Sensibilität Ihrer Amazon S3 S3-Daten. Abhängig von der Größe Ihres Datenbestands können die Analyseergebnisse innerhalb von 48 Stunden nach der Aktivierung der automatischen Erkennung sensibler Daten für Ihr Konto verfügbar sein.

Die Sampling-Strategie priorisiert auch die Analyse verschiedener Arten von S3-Objekten und Objekten, die kürzlich erstellt oder geändert wurden. Es kann nicht garantiert werden, dass eine einzelne Objektprobe aussagekräftig ist. Daher kann die Analyse einer Vielzahl von Objekten bessere Einblicke in die Art und Menge sensibler Daten liefern, die ein S3-Bucket enthalten könnte. Darüber hinaus hilft die Priorisierung neuer oder kürzlich geänderter Objekte dabei, die Analyse an Änderungen in Ihrem Bucket-Inventar anzupassen. Wenn Objekte beispielsweise nach einer vorherigen Analyse erstellt oder geändert wurden, haben diese Objekte für die nachfolgende Analyse eine höhere Priorität. Umgekehrt, wenn ein Objekt zuvor analysiert wurde und sich seit dieser Analyse nicht geändert hat, analysiert Macie das Objekt nicht erneut. Mit diesem Ansatz können Sie Basiswerte für die Sensitivität einzelner S3-Buckets festlegen. In dem Maße, wie die kontinuierlichen, inkrementellen Analysen für Ihr Konto voranschreiten, können Ihre Sensitivitätsbeurteilungen einzelner Buckets dann mit vorhersehbarer Geschwindigkeit immer tiefer und detaillierter werden.

Definition des Umfangs der Analysen

Standardmäßig umfasst Macie alle S3-Allzweck-Buckets, die es für Ihr Konto überwacht und analysiert, wenn es Ihre Inventardaten auswertet und S3-Objekte zur Analyse auswählt. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

Sie können bestimmte S3-Buckets von den Analysen ausschließen. Beispielsweise könnten Sie es vorziehen, Buckets auszuschließen, in denen normalerweise AWS Protokolldaten wie AWS CloudTrail Ereignisprotokolle gespeichert werden. Um einen Bucket auszuschließen, können Sie die Einstellungen für die automatische Erkennung sensibler Daten für Ihr Konto oder den Bucket ändern. Wenn Sie dies tun, beginnt Macie, den Bucket auszuschließen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt. Sie können bis zu 1.000 Buckets von den Analysen ausschließen.

Wenn Sie einen S3-Bucket ausschließen, können Sie ihn anschließend wieder einbeziehen. Ändern Sie dazu erneut die Einstellungen für die automatische Erkennung sensibler Daten für Ihr Konto oder den Bucket. Macie beginnt dann, den Bucket einzubeziehen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt.

Festlegung, welche Arten von sensiblen Daten erkannt und gemeldet werden sollen

Standardmäßig untersucht Macie S3-Objekte anhand der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Eine Liste dieser verwalteten Datenkennungen finden Sie unter. Standardeinstellungen für die automatische Erkennung sensibler Daten

Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren. Ändern Sie dazu die Einstellungen für die automatische Erkennung sensibler Daten für Ihr Konto auf eine der folgenden Arten:

  • Bestimmte Identifikatoren für verwaltete Daten hinzufügen oder entfernen — Eine Kennung für verwaltete Daten besteht aus einer Reihe integrierter Kriterien und Techniken, die darauf ausgelegt sind, eine bestimmte Art vertraulicher Daten wie Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region zu erkennen. Weitere Informationen finden Sie unter Verwenden von verwalteten Datenbezeichnern.

  • Benutzerdefinierte Datenkennungen hinzufügen oder anschließend entfernen — Eine benutzerdefinierte Daten-ID besteht aus einer Reihe von Kriterien, die Sie zur Erkennung vertraulicher Daten definieren. Mithilfe benutzerdefinierter Datenkennungen können Sie sensible Daten erkennen, die bestimmte Szenarien, geistiges Eigentum oder firmeneigene Daten wie Mitarbeiter-IDs, Kundenkontonummern oder interne Datenklassifizierungen widerspiegeln. Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Datenbezeichnern.

  • Zulassungslisten hinzufügen oder anschließend entfernen — In Macie gibt eine Zulassungsliste Text oder ein Textmuster an, das Macie in S3-Objekten ignorieren soll. Dies sind in der Regel Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Weitere Informationen finden Sie unter Definition von Ausnahmen für sensible Daten mit Zulassungslisten.

Wenn Sie die Einstellungen ändern, wendet Macie Ihre Änderungen an, wenn der nächste tägliche Analysezyklus beginnt.

Sie können auch Einstellungen auf Bucket-Ebene anpassen, die festlegen, ob bestimmte Arten vertraulicher Daten bei der Bewertung der Sensitivität eines Buckets berücksichtigt werden. Um zu erfahren wie dies geht, vgl. Verwaltung der automatisierten Erkennung sensibler Daten für einzelne S3-Buckets.

Berechnung der Sensitivitätswerte

Standardmäßig berechnet Macie automatisch eine Sensitivitätsbewertung für jeden S3-Allzweckbereich, den es für Ihr Konto überwacht und analysiert. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

In Macie ist ein Sensitivitätswert ein quantitatives Maß für den Schnittpunkt zweier primärer Dimensionen: der Menge vertraulicher Daten, die Macie in einem Bucket gefunden hat, und der Menge an Daten, die Macie in einem Bucket analysiert hat. Der Sensitivitätswert eines Buckets bestimmt, welches Sensitivitätslabel Macie dem Bucket zuweist. Ein Sensitivitätslabel ist eine qualitative Darstellung des Sensitivitätswerts eines Buckets, z. B. Sensitiv, Nicht sensibel und Noch nicht analysiert. Einzelheiten zu den von Macie definierten Bereichen der Sensitivitätswerte und Kennzeichnungen finden Sie unter. Empfindlichkeitsbewertung für S3-Buckets

Wichtig

Die Sensitivitätsbewertung und das Label eines S3-Buckets implizieren oder deuten nicht auf andere Weise auf die Wichtigkeit oder Bedeutung hin, die der Bucket oder die Objekte des Buckets für Ihr Unternehmen haben könnten. Stattdessen sollen sie als Anhaltspunkte dienen, anhand derer Sie potenzielle Sicherheitsrisiken identifizieren und überwachen können.

Wenn Sie zunächst die automatische Erkennung sensibler Daten für Ihr Konto aktivieren, weist Macie jedem S3-Bucket automatisch eine Vertraulichkeitsbewertung von 50 und die Kennzeichnung Noch nicht analysiert zu. Die Ausnahme bilden leere Buckets. Ein leerer Bucket ist ein Bucket, der keine Objekte speichert oder alle Objekte des Buckets enthalten null (0) Byte an Daten. Wenn dies bei einem Bucket der Fall ist, weist Macie dem Bucket eine Punktzahl von 1 zu und weist dem Bucket das Label Nicht sensibel zu.

Während die automatische Erkennung Ihres Kontos voranschreitet, aktualisiert Macie die Sensitivitätswerte und Kennzeichnungen, um die Ergebnisse der Analysen widerzuspiegeln. Beispielsweise:

  • Wenn Macie keine sensiblen Daten in einem Objekt findet, senkt Macie den Vertraulichkeitswert des Buckets und aktualisiert das Vertraulichkeitslabel des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, erhöht Macie den Sensitivitätswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das später geändert wurde, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das anschließend gelöscht wird, entfernt Macie Erkennungen vertraulicher Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.

Sie können die Einstellungen für die Sensitivitätsbewertung für einzelne S3-Buckets anpassen, indem Sie bestimmte Arten vertraulicher Daten in die Bewertung eines Buckets ein- oder ausschließen. Sie können die berechnete Punktzahl eines Buckets auch überschreiben, indem Sie dem Bucket manuell die maximale Punktzahl (100) zuweisen. Wenn Sie die Höchstpunktzahl zuweisen, erhält der Bucket die Bezeichnung Sensitiv. Weitere Informationen finden Sie unter Verwaltung der automatisierten Erkennung für einzelne S3-Buckets.

Generierung von Metadaten, Statistiken und Ergebnissen

Wenn die automatische Erkennung sensibler Daten für Ihr Konto aktiviert ist, generiert und verwaltet Macie automatisch zusätzliche Inventardaten, Statistiken und andere Informationen zu den S3-Allzweck-Buckets, die es für Ihr Konto überwacht und analysiert. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

Die zusätzlichen Informationen erfassen die Ergebnisse der automatisierten Aktivitäten zur Erkennung sensibler Daten, die Macie bisher für Ihr Konto durchgeführt hat. Es ergänzt auch andere Informationen, die Macie zu Ihren Amazon S3 S3-Daten bereitstellt, wie z. B. die Einstellungen für den öffentlichen Zugriff und den gemeinsamen Zugriff für einzelne Buckets. Zu den zusätzlichen Informationen gehören:

  • Aggregierte Statistiken zur Datensensitivität, z. B. die Gesamtzahl der Buckets, in denen Macie sensible Daten gefunden hat, und wie viele dieser Buckets öffentlich zugänglich sind.

  • Eine interaktive, visuelle Darstellung der Datensensitivität in Ihrem gesamten Amazon S3 S3-Datenbestand.

  • Details auf Bucket-Ebene, die den aktuellen Status der Analysen angeben, z. B. eine Liste der Objekte, die Macie in einem Bucket analysiert hat, die Typen sensibler Daten, die Macie in einem Bucket gefunden hat, und die Anzahl der Vorkommen der einzelnen Arten von sensiblen Daten, die Macie gefunden hat.

Weitere Informationen finden Sie unter Überprüfung automatisierter Statistiken und Ergebnisse zur Erkennung sensibler Daten.

Die zusätzlichen Informationen enthalten auch Statistiken und Details, anhand derer Sie die Reichweite Ihrer Amazon S3 S3-Daten beurteilen und überwachen können. Sie können den Status der Analysen für Ihren gesamten Datenbestand und für einzelne S3-Buckets in Ihrem Bucket-Inventar überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.

Macie berechnet und aktualisiert diese Informationen automatisch neu und führt gleichzeitig eine automatische Erkennung sensibler Daten für Ihr Konto durch. Wenn Macie beispielsweise sensible Daten in einem Objekt findet, das später geändert oder gelöscht wurde, aktualisiert Macie die Metadaten des entsprechenden Buckets: entfernt das Objekt aus der Liste der analysierten Objekte, entfernt Vorkommen sensibler Daten, die Macie in dem Objekt gefunden hat, berechnet die Sensitivitätsbewertung neu, falls die Bewertung automatisch berechnet wird, und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf, um die neue Bewertung widerzuspiegeln.

Zusätzlich zu Metadaten und Statistiken erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen: Ergebnisse sensibler Daten, die sensible Daten melden, die Macie in einzelnen S3-Objekten findet, und Erkennungsergebnisse sensibler Daten, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden.

Überlegungen

Wenn Sie Amazon Macie verwenden, um die automatische Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten durchzuführen, sollten Sie Folgendes beachten:

  • Ihre Einstellungen für die automatische Erkennung gelten nur für die aktuelle AWS-Region Version. Folglich gelten die resultierenden Analysen und Daten nur für S3-Allzweck-Buckets und -Objekte in der aktuellen Region. Um eine automatische Erkennung durchzuführen und auf die resultierenden Daten in zusätzlichen Regionen zuzugreifen, aktivieren und konfigurieren Sie die automatische Erkennung in jeder weiteren Region.

  • Wenn Sie der Macie-Administrator einer Organisation sind:

    • Sie können die automatische Erkennung für ein Mitgliedskonto nur durchführen, wenn Macie für das Konto in der aktuellen Region aktiviert ist. Mitgliedskonten können keine automatische Erkennung für ihre eigenen Konten durchführen.

    • Mitgliedskonten können nicht auf die Einstellungen für die automatische Erkennung zugreifen, die für ihre S3-Buckets gelten. Nur der Macie-Administrator kann auf diese Einstellungen zugreifen.

    • Mitgliedskonten können nicht auf Statistiken zur Entdeckung sensibler Daten und andere Ergebnisse zugreifen, die Macie direkt für ihre S3-Buckets bereitstellt. Beispielsweise kann ein Mitgliedskonto die Amazon Macie Macie-Konsole nicht verwenden, um die Sensitivitätswerte für seine S3-Buckets zu überprüfen. Nur der Macie-Administrator kann auf diese Daten zugreifen.

  • Wenn die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, Informationen über den Bucket oder die Objekte des Buckets abzurufen oder darauf zuzugreifen, kann Macie keine automatische Erkennung für den Bucket durchführen. Macie kann nur einen Teil der Informationen über den Bucket bereitstellen, z. B. die Konto-ID für den Bucket, dem der Bucket gehört AWS-Konto , den Namen des Buckets und wann Macie im Rahmen des täglichen Aktualisierungszyklus zuletzt Bucket- und Objekt-Metadaten für den Bucket abgerufen hat. In Ihrem Bucket-Inventar liegt der Sensitivitätswert für diese Buckets bei 50, und ihr Vertraulichkeitslabel wurde noch nicht analysiert.

    Informationen zur schnellen Identifizierung von S3-Buckets, in denen dies der Fall ist, finden Sie in Ihren Daten zur automatisierten Erkennung. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten. Um das Problem für einen bestimmten Bucket zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Erlaubt Macie den Zugriff auf S3-Buckets und -Objekte.

  • Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt in einem Allzweck-Bucket gespeichert werden und es muss klassifizierbar sein. Ein klassifizierbares Objekt verwendet eine unterstützte Amazon S3 S3-Speicherklasse und hat eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und -formate.

  • Wenn ein S3-Objekt verschlüsselt ist, kann Macie es nur analysieren, wenn es mit einem Schlüssel verschlüsselt ist, auf den Macie zugreifen kann und den er verwenden darf. Weitere Informationen finden Sie unter Analysieren verschlüsselter S3-Objekte. Fälle, in denen Macie aufgrund von Verschlüsselungseinstellungen daran gehindert wurde, ein oder mehrere Objekte in einem Bucket zu analysieren, finden Sie in Ihren Daten zur automatisierten Erkennung. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.