So überwacht Amazon Macie die Datensicherheit von Amazon S3 - Amazon Macie
Zentrale KomponentenDatenaktualisierungenWeitere Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So überwacht Amazon Macie die Datensicherheit von Amazon S3

Wenn Sie Amazon Macie für Ihr Konto aktivierenAWS-Konto, erstellt Macie eine dienstverknüpfte AWS Identity and Access Management (IAM) -Rolle für Ihr Konto in der aktuellen Version. AWS-Region Die Berechtigungsrichtlinie für diese Rolle ermöglicht es Macie, in Ihrem Namen andere AWS-Services Personen anzurufen und AWS Ressourcen zu überwachen. Mithilfe dieser Rolle generiert und verwaltet Macie ein vollständiges Inventar Ihrer Amazon Simple Storage Service (Amazon S3) -Buckets in der Region. Macie überwacht und bewertet die Buckets im Hinblick auf Sicherheit und Zugriffskontrolle.

Wenn Sie der Macie-Administrator für eine Organisation sind, enthält das Inventar statistische und andere Daten über S3-Buckets, die Ihrem Konto und den Mitgliedskonten in Ihrer Organisation gehören. Mit diesen Daten können Sie Macie verwenden, um die Sicherheitslage Ihres Unternehmens in Ihrer Amazon S3 S3-Umgebung zu überwachen und zu bewerten. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

Zentrale Komponenten

Amazon-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-Bckets.

Erfassung von Metadaten und Berechnung von Statistiken

Um Metadaten und Statistiken für Ihr Bucket-Inventar zu generieren und zu verwalten, ruft Macie Bucket- und Objektmetadaten direkt von Amazon S3 ab. Für jeden Bucket beinhalten die Metadaten:

  • Allgemeine Informationen zum Bucket, wie der Name des Buckets, der Amazon-Ressourcenname (ARN), das Erstellungsdatum, Verschlüsselungseinstellungen, Tags und die Konto-ID des BucketsAWS-Konto, dem der Bucket gehört.

  • Berechtigungseinstellungen auf Kontoebene, die für den Bucket gelten, z. B. die Einstellungen zum Blockieren des öffentlichen Zugriffs für das Konto.

  • Berechtigungseinstellungen auf Bucket-Ebene für den Bucket, z. B. die Einstellungen für den blockierten öffentlichen Zugriff für den Bucket und Einstellungen, die aus einer Bucket-Richtlinie oder einer Zugriffskontrollliste (ACL) abgeleitet sind.

  • Gemeinsamer Zugriff und Replikationseinstellungen für den Bucket, einschließlich der Frage, ob Bucket-Daten repliziert oder mit AWS-Konten diesen geteilt werden, die nicht Teil Ihrer Organisation sind.

  • Objektzahlen und Einstellungen für Objekte im Bucket, z. B. die Anzahl der Objekte im Bucket und Aufschlüsselungen der Objektzahlen nach Verschlüsselungstyp, Dateityp und Speicherklasse.

Macie stellt Ihnen diese Informationen direkt zur Verfügung. Macie verwendet die Informationen auch zur Berechnung von Statistiken und zur Bewertung der Sicherheit und des Datenschutzes Ihres Bucket-Inventars insgesamt und einzelner Buckets in Ihrem Inventar. Sie können beispielsweise die Gesamtspeichergröße und Anzahl der Buckets in Ihrem Inventar, die Gesamtspeichergröße und Anzahl der Objekte in diesen Buckets sowie die Gesamtspeichergröße und Anzahl der Objekte ermitteln, die Macie analysieren kann, um sensible Daten in den Buckets zu erkennen.

Standardmäßig enthalten Metadaten und Statistiken Daten für alle Objektteile, die aufgrund unvollständiger mehrteiliger Uploads existieren. Wenn Sie Objektmetadaten für einen bestimmten Bucket manuell aktualisieren, berechnet Macie die Statistiken für den Bucket und Ihr Bucket-Inventar insgesamt neu und schließt Daten für Objektteile von den neu berechneten Werten aus. Wenn Macie das nächste Mal im Rahmen des täglichen Aktualisierungszyklus Bucket- und Objektmetadaten von Amazon S3 abruft, aktualisiert Macie Ihre Inventardaten und schließt erneut Daten für die Objektteile ein. Hinweise darüber, wann Macie Bucket- und Objektmetadaten abruft, finden Sie unter. Datenaktualisierungen

Es ist wichtig zu beachten, dass Macie keine Objektteile analysieren kann, um sensible Daten zu erkennen. Amazon S3 muss zuerst die Teile zu einem oder mehreren Objekten zusammenfügen, damit Macie sie analysieren kann. Informationen zu mehrteiligen Uploads und Objektteilen, einschließlich des automatischen Löschens von Teilen mithilfe von Lebenszyklusregeln, finden Sie im Amazon Simple Storage Service-Benutzerhandbuch unter Hochladen und Kopieren von Objekten mithilfe des mehrteiligen Uploads. Um Buckets zu identifizieren, die Objektteile enthalten, können Sie auf unvollständige mehrteilige Upload-Metriken in Amazon S3 Storage Lens zurückgreifen. Weitere Informationen finden Sie unter Bewertung Ihrer Speicheraktivität und -nutzung im Benutzerhandbuch zum Simple Simple Storage.

Überwachung der Sicherheit und des Datenschutzes von Buckets

Um die Richtigkeit der Daten auf Bucketebene in Ihrem Inventar sicherzustellen, überwacht und analysiert Macie bestimmte AWS CloudTrailEreignisse, die für Amazon S3 S3-Daten auftreten können. Tritt ein relevantes Ereignis ein, aktualisiert Macie die entsprechenden Inventardaten.

Wenn Sie beispielsweise die Einstellungen für den öffentlichen Zugriff blockieren für einen Bucket aktivieren, aktualisiert Macie alle Daten über die Einstellungen für den öffentlichen Zugriff des Buckets. In ähnlicher Weise analysiert Macie die Richtlinie und aktualisiert die relevanten Daten in Ihrem Inventar, wenn Sie die Bucket-Richtlinie für einen Bucket hinzufügen oder aktualisieren.

Macie überwacht und analysiert Daten für die folgenden CloudTrail Ereignisse:

  • Ereignisse auf Kontoebene — und DeletePublicAccessBlock PutPublicAccessBlock

  • Ereignisse auf Bucket-Ebene — CreateBucketDeleteAccountPublicAccessBlock,DeleteBucket,DeleteBucketEncryption,DeleteBucketPolicy,DeleteBucketPublicAccessBlock,DeleteBucketReplication,DeleteBucketTagging,PutAccountPublicAccessBlock, 0, 1, 2, 3 4, und 5 6PutBucketAclPutBucketEncryptionPutBucketPolicyPutBucketPublicAccessBlockPutBucketReplicationPutBucketTaggingPutBucketVersioning

Sie können die Überwachung für zusätzliche CloudTrail Ereignisse nicht aktivieren oder die Überwachung für keines der vorherigen Ereignisse deaktivieren. Überarbeitung der Amazon-S3-S3-S3-S3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P3-P

Tipp

Um Ereignisse auf Objektebene zu überwachen, empfehlen wir die Amazon-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3-S3 GuardDuty Diese Funktion überwacht Amazon-S3—Datenereignisse und analysiert sie auf bösartige und verdächtige Aktivitäten. Weitere Informationen finden Sie GuardDuty unter GuardDutyAmazon S3

Bewertung der Bucket-Sicherheit und Zugriffskontrolle

Um die Sicherheit und Zugriffskontrolle auf Bucketebene zu bewerten, verwendet Macie automatisiertes, logisches Denken, um ressourcenbasierte Richtlinien zu analysieren, die für einen Bucket gelten. Macie analysiert auch die Berechtigungseinstellungen auf Konto- und Bucket-Ebene, die für einen Bucket gelten. Bei dieser Analyse werden Bucket-Richtlinien, ACLs auf Bucketebene und Einstellungen für den blockierten öffentlichen Zugriff für das Konto und den Bucket berücksichtigt.

Für ressourcenbasierte Richtlinien verwendet Macie Zelkova. Zelkova ist eine Maschine zum AWS Identity and Access Management Erfüllbarkeits-Modulo-Theorien (Satisfiability Modulo-Theorien) gegen das Entscheidungsproblem ausführt. Macie wendet Zelkova wiederholt auf eine Richtlinie mit immer spezifischeren Abfragen an, um die Verhaltensklassen zu beschreiben, die die Richtlinie zulässt. Weitere Informationen zur Natur der von Zelkova verwendeten Solver finden Sie unter Satisfiability-Modulo-Theorien.

Wichtig

Um die vorherigen Aufgaben für einen Bucket ausführen zu können, muss Macie Zugriff auf den Bucket haben. Wenn die Berechtigungseinstellungen eines Buckets Macie daran hindern, Metadaten für den Bucket oder die Objekte des Buckets abzurufen, kann Macie nur einen Teil der Informationen über den Bucket bereitstellen, z. B. den Namen und das Erstellungsdatum des Buckets. Macie kann keine zusätzlichen Aufgaben für den Bucket ausführen. Weitere Informationen finden Sie unter Macie den Zugriff von S3-Buckets und -Objekten erlauben.

Datenaktualisierungen

Wenn Sie Amazon Macie für Ihr aktivierenAWS-Konto, ruft Macie Metadaten für Ihre S3-Buckets und Objekte direkt von Amazon S3 ab. Danach ruft Macie im Rahmen eines täglichen Aktualisierungszyklus automatisch täglich sowohl Bucket- als auch Objektmetadaten direkt aus Amazon S3 ab.

Macie ruft Bucket Metadaten ab Amazon S3 wenn einer der folgenden Fälle auftritt:

  • Sie aktualisieren Ihre Inventardaten, indem Sie in der Amazon Macie Macie-Konsole auf refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) klicken. Sie können die Daten bis zu alle fünf Minuten aktualisieren.

  • Sie senden programmgesteuert eine DescribeBucketsAnfrage an die Amazon Macie API und haben innerhalb der letzten fünf Minuten keine DescribeBuckets Anfrage gestellt.

  • Macie erkennt ein relevantes AWS CloudTrail Ereignis.

Macie kann auch die neuesten Objektmetadaten für einen bestimmten Bucket abrufen, wenn Sie diese Daten manuell aktualisieren. Dies kann hilfreich sein, wenn Sie kürzlich einen Bucket erstellt oder in den letzten 24 Stunden erhebliche Änderungen an den Objekten eines Buckets vorgenommen haben. Um Objektmetadaten für einen Bucket manuell zu aktualisieren, wählen Sie auf der S3-Bucket-Seite der Konsole im Abschnitt Objektstatistiken des Bereichs Bucket-Details die Option refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) aus. Diese Funktion ist für Buckets verfügbar, die 30.000 oder weniger Objekte enthalten.

Jedes Mal, wenn Macie Bucket- oder Objektmetadaten abruft, aktualisiert Macie automatisch alle relevanten Daten in Ihrem Inventar. Wenn Macie Unterschiede feststellt, die sich auf die Sicherheit oder den Datenschutz eines Buckets auswirken, beginnt Macie sofort mit der Bewertung und Analyse der Änderungen. Wenn die Analyse abgeschlossen ist, aktualisiert Macie die relevanten Daten in Ihrem Inventar. Wenn Unterschiede die Sicherheit oder den Datenschutz beeinträchtigen, erstellt Macie außerdem die entsprechenden Richtlinien, die Sie bei Bedarf überprüfen und beheben können.

Um festzustellen, wann Macie zuletzt Bucket- oder Objektmetadaten für Ihr Konto abgerufen hat, können Sie in der Konsole im Feld Letzte Aktualisierung nachsehen. Dieses Feld wird auf dem Übersichts-Dashboard und auf der Seite S3-Buckets sowie im Bereich mit den Bucket-Details auf der Seite S3-Buckets angezeigt. (Wenn Sie die Amazon Macie Macie-API verwenden, um Inventardaten abzufragen, enthält das lastUpdated Feld diese Informationen.) Wenn Sie der Macie-Administrator für eine Organisation sind, gibt das Feld „Letzte Aktualisierung“ das früheste Datum und die früheste Uhrzeit an, an dem Macie die Daten für ein Konto in Ihrer Organisation abgerufen hat.

In seltenen Fällen können Latenz- und andere Probleme Macie unter bestimmten Bedingungen daran hindern, Bucket- und Objektmetadaten abzurufen. Sie können auch Benachrichtigungen verzögern, die Macie über Änderungen an Ihrem Bucket-Inventar oder den Berechtigungseinstellungen und Richtlinien für einzelne Buckets erhält. Beispielsweise können Lieferprobleme aufgrund von CloudTrail Ereignissen zu Verzögerungen führen. In diesem Fall analysiert Macie bei der nächsten täglichen Aktualisierung, die innerhalb von 24 Stunden stattfindet.

Weitere Überlegungen

Beachten Sie bei der Verwendung von Amazon Macie zur Überwachung und Bewertung des Sicherheitsstatus Ihrer Amazon S3 S3-Daten Folgendes:

  • Inventardaten gelten nur für aktuelle AWS-Region S3-Buckets. Um auf die Daten für weitere Regionen zuzugreifen, aktivieren und verwenden Sie Macie in jeder weiteren Region.

  • Wenn Sie der Macie-Administrator einer Organisation sind, können Sie nur dann auf Inventardaten für ein Mitgliedskonto zugreifen, wenn Macie für dieses Konto in der aktuellen Region aktiviert ist.

  • Wenn die Berechtigungseinstellungen eines Buckets Macie daran hindern, Informationen über den Bucket oder die Objekte des Buckets abzurufen, kann Macie die Sicherheit und den Datenschutz der Bucket-Daten nicht auswerten und überwachen oder detaillierte Informationen über den Bucket bereitstellen.

    Um Ihnen zu helfen, einen Bucket zu identifizieren, in dem dies der Fall ist, geht Macie wie folgt vor:

    • In Ihrem Bucket-Inventar zeigt Macie ein Warnsymbol ( A red triangle with a red exclamation point in it ) für den Bucket an. Für die Details des Buckets zeigt Macie nur eine Teilmenge der Felder und Daten an: die Konto-ID des BucketsAWS-Konto, den Namen des Buckets, den Amazon-Ressourcennamen (ARN), das Erstellungsdatum und die Region sowie Datum und Uhrzeit, zu denen Macie im Rahmen des täglichen Aktualisierungszyklus zuletzt sowohl Bucket- als auch Objektmetadaten für den Bucket abgerufen hat. Wenn Sie die Amazon Macie Macie-API verwenden, um Inventardaten abzufragen, gibt Macie einen Fehlercode und eine Meldung für den Bucket aus, und der Wert für die meisten Eigenschaften des Buckets ist Null.

    • Im Übersichts-Dashboard hat der Bucket den Wert Unbekannt für die Statistiken „Öffentlicher Zugriff“, „Verschlüsselung“ und „Teilen“. (Wenn Sie die Amazon Macie Macie-API verwenden, um die Statistiken abzufragen, hat der Bucket einen Wert von unknown für diese Statistiken.) Darüber hinaus schließt Macie den Bucket aus, wenn er Daten für Speicher - und Objektstatistiken berechnet.

    Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Macie den Zugriff von S3-Buckets und -Objekten erlauben.

  • Daten über Zugriff und Berechtigungen sind auf Einstellungen auf Konto- und Bucket-Ebene beschränkt. Es spiegelt nicht die Einstellungen auf Objektebene wider, die den Zugriff auf bestimmte Objekte in einem Bucket bestimmen. Wenn beispielsweise der öffentliche Zugriff für ein bestimmtes Objekt in einem Bucket aktiviert ist, meldet Macie nicht, dass der Bucket oder die Objekte des Buckets öffentlich zugänglich sind.

    Um den Betrieb auf Objektebene zu überwachen und potenzielle Sicherheitsrisiken zu identifizieren, empfehlen wir Ihnen, die Amazon S3 S3-Schutzfunktion von Amazon zu verwenden. GuardDuty Diese Funktion überwacht Amazon-S3—Datenereignisse und analysiert sie auf bösartige und verdächtige Aktivitäten. Weitere Informationen finden Sie GuardDuty unter GuardDutyAmazon S3

  • Wenn Sie Objektmetadaten für einen bestimmten Bucket manuell aktualisieren, meldet Macie vorübergehend Unbekannt für Verschlüsselungsstatistiken, die für die Objekte gelten. Wenn Macie das nächste Mal die tägliche Datenaktualisierung durchführt (innerhalb von 24 Stunden), wertet Macie die Verschlüsselungsmetadaten für die Objekte erneut aus und meldet erneut quantitative Daten für die Statistik.

  • Wenn Sie Objektmetadaten für einen bestimmten Bucket manuell aktualisieren, schließt Macie aufgrund unvollständiger mehrteiliger Uploads vorübergehend Daten für alle Objektteile aus, die der Bucket enthält. Wenn Macie das nächste Mal die tägliche Datenaktualisierung durchführt (innerhalb von 24 Stunden), berechnet Macie die Anzahl und die Speichergrößenwerte für die Objekte des Buckets neu und bezieht Daten für die Teile in diese Berechnungen ein.

  • In seltenen Fällen kann Macie möglicherweise nicht feststellen, ob ein Bucket öffentlich zugänglich oder gemeinsam genutzt wird oder ob eine serverseitige Verschlüsselung neuer Objekte erforderlich ist. Ein vorübergehendes Problem könnte Macie beispielsweise daran hindern, die erforderlichen Daten abzurufen und zu analysieren. Oder Macie kann möglicherweise nicht vollständig feststellen, ob eine oder mehrere Grundsatzerklärungen einer externen Stelle Zugriff gewähren. In diesen Fällen meldet Macie Unbekannt für die relevanten Statistiken und Felder im Inventar. Um diese Fälle zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3.

Beachten Sie außerdem, dass Macie nur dann Richtlinienergebnisse generiert, wenn die Sicherheit oder der Datenschutz eines Buckets eingeschränkt werden, nachdem Sie Macie für Ihr Konto aktiviert haben. Wenn Sie beispielsweise die Einstellungen für den öffentlichen Zugriff blockieren für einen Bucket deaktivieren, nachdem Sie Macie aktiviert haben, generiert Macie eine BlockPublicAccessDisabledPolicy:iamuser/s3-Suche für den Bucket. Wenn jedoch die Einstellungen zum Blockieren des öffentlichen Zugriffs für einen Bucket deaktiviert waren, als Sie Macie aktiviert haben, und sie weiterhin deaktiviert sind, generiert Macie keinen BlockPublicAccessDisabledPolicy:iamuser/S3-Finding für den Bucket.

Wenn Macie die Sicherheit und den Datenschutz eines Buckets bewertet, untersucht es außerdem weder die Zugriffsprotokolle noch analysiert es Benutzer, Rollen und andere relevante Konfigurationen für Konten. Stattdessen analysiert und meldet Macie Daten für wichtige Einstellungen, die auf potenzielle Sicherheitsrisiken hinweisen. Wenn ein Richtlinienbefund beispielsweise darauf hindeutet, dass ein Bucket öffentlich zugänglich ist, bedeutet dies nicht unbedingt, dass eine externe Entität auf den Bucket zugegriffen hat. Ebenso versucht Macie nicht herauszufinden, ob dieser Zugriff beabsichtigt und sicher ist, wenn ein Richtlinienbefund darauf hindeutet, dass ein Bucket mit einer AWS-Konto externen Person innerhalb Ihres Unternehmens geteilt wird. Stattdessen deuten diese Ergebnisse darauf hin, dass eine externe Entität möglicherweise auf die Daten des Buckets zugreifen kann, was ein unbeabsichtigtes Sicherheitsrisiko darstellen kann.