Was ist Amazon Macie?

Amazon Macie ist ein Datensicherheitsservice, der sensible Daten mithilfe von Machine Learning und Musterabgleich entdeckt, Einblicke in Datensicherheitsrisiken bietet und automatischen Schutz vor diesen Risiken ermöglicht.

Um Sie bei der Verwaltung des Sicherheitsstatus des Amazon Simple Storage Service (Amazon S3) -Datenbestands Ihres Unternehmens zu unterstützen, stellt Macie Ihnen eine Bestandsaufnahme Ihrer S3-Allzweck-Buckets zur Verfügung und bewertet und überwacht die Buckets automatisch im Hinblick auf Sicherheit und Zugriffskontrolle. Wenn Macie ein potenzielles Problem mit der Sicherheit oder dem Datenschutz erkennt, wie einen Bucket, der öffentlich zugänglich wird, generiert Macie eine Erkenntnis, die Sie überprüfen und bei Bedarf korrigieren können.

Macie automatisiert auch die Erkennung und Meldung sensibler Daten, um Ihnen ein besseres Verständnis der Daten zu vermitteln, die Ihre Organisation in Amazon S3 speichert. Um sensible Daten zu erkennen, können Sie die von Macie bereitgestellten integrierten Kriterien und Techniken, benutzerdefinierte Kriterien, die Sie definieren, oder eine Kombination aus beiden verwenden. Wenn Macie sensible Daten in einem S3-Objekt entdeckt, generiert Macie einen Befund, um Sie über die gefundenen vertraulichen Daten zu informieren.

Zusätzlich zu den Ergebnissen bietet Macie Statistiken und Informationen, die Aufschluss über den Sicherheitsstatus Ihrer Amazon S3 S3-Daten geben und darüber, wo sich sensible Daten in Ihrem Datenbestand befinden könnten. Die Statistiken und Informationen können Ihnen als Grundlage für Ihre Entscheidungen dienen, um tiefere Untersuchungen bestimmter S3-Buckets und -Objekte durchzuführen. Sie können Ergebnisse, Statistiken und andere Informationen mithilfe der Amazon Macie-Konsole oder der Amazon Macie Macie-API überprüfen und analysieren. Sie können auch die Macie-Integration mit Amazon nutzen EventBridge und AWS Security Hub Ergebnisse mithilfe anderer Dienste, Anwendungen und Systeme überwachen, verarbeiten und korrigieren.

Funktionen von Amazon Macie

Hier sind einige der wichtigsten Methoden, mit denen Amazon Macie Ihnen helfen kann, Ihre sensiblen Daten in Amazon S3 zu entdecken, zu überwachen und zu schützen.

Automatisieren Sie die Erkennung sensibler Daten

Mit Macie können Sie die Erkennung und Meldung vertraulicher Daten auf zwei Arten automatisieren: indem Sie Macie so konfigurieren, dass es die automatische Erkennung sensibler Daten durchführt, und indem Sie Aufgaben zur Erkennung sensibler Daten erstellen und ausführen. Wenn Macie sensible Daten in einem S3-Objekt erkennt, erstellt es eine Suche nach sensiblen Daten für Sie. Das Ergebnis liefert einen detaillierten Bericht über die sensiblen Daten, die Macie entdeckt hat.

Die automatisierte Erkennung sensibler Daten bietet einen umfassenden Überblick darüber, wo sich sensible Daten in Ihrem Amazon S3 S3-Datenbestand befinden könnten. Mit dieser Option bewertet Macie kontinuierlich Ihr S3-Bucket-Inventar und verwendet Stichprobenverfahren, um repräsentative S3-Objekte aus Ihren Buckets zu identifizieren und auszuwählen. Macie ruft dann die ausgewählten Objekte ab, analysiert sie und untersucht sie auf sensible Daten.

Aufgaben zur Erkennung sensibler Daten ermöglichen tiefere und gezieltere Analysen. Mit dieser Option definieren Sie den Umfang und die Tiefe der Analyse — die zu analysierenden S3-Bereiche, die Stichprobentiefe und benutzerdefinierte Kriterien, die sich aus den Eigenschaften von S3-Objekten ergeben. Sie können einen Job auch so konfigurieren, dass er nur einmal für Analysen und Bewertungen auf Abruf oder für regelmäßige Analysen, Bewertungen und Überwachungen regelmäßig ausgeführt wird.

Beide Optionen können Ihnen dabei helfen, einen umfassenden Überblick über die Daten, die Ihr Unternehmen in Amazon S3 speichert, und über alle Sicherheits- oder Compliance-Risiken für diese Daten zu erstellen und aufrechtzuerhalten.

Entdecken Sie eine Vielzahl sensibler Datentypen

Um sensible Daten mit Macie zu entdecken, können Sie integrierte Kriterien und Techniken wie maschinelles Lernen und Musterabgleich verwenden, um Objekte in S3-Buckets zu analysieren. Mit diesen Kriterien und Techniken, die als verwaltete Datenkennungen bezeichnet werden, kann eine große und wachsende Liste sensibler Datentypen für viele Länder und Regionen erkannt werden, darunter mehrere Arten von personenbezogenen Daten (PII), Finanzinformationen und Anmeldeinformationen.

Sie können auch benutzerdefinierte Datenkennungen verwenden. Ein benutzerdefinierter Datenbezeichner besteht aus einer Reihe von Kriterien, die Sie für die Erkennung vertraulicher Daten definieren. Dabei handelt es sich um einen regulären Ausdruck (Regex), der ein abzugleichendes Textmuster definiert, sowie optional Zeichenfolgen und eine Näherungsregel, mit denen die Ergebnisse verfeinert werden. Mit dieser Art von ID können Sie sensible Daten erkennen, die Ihre speziellen Szenarien, Ihr geistiges Eigentum oder Ihre eigenen Daten widerspiegeln. Sie können die von Macie bereitgestellten Identifikatoren für verwaltete Daten ergänzen.

Zur Feinabstimmung der Analysen können Sie auch Zulassungslisten verwenden. Zulassungslisten definieren bestimmten Text und Textmuster, die Macie in S3-Objekten ignorieren soll. Dabei handelt es sich in der Regel um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. die Namen von Vertretern des öffentlichen Dienstes Ihrer Organisation, öffentliche Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet.

Evaluieren und überwachen Sie Daten im Hinblick auf Sicherheit und Zugriffskontrolle

Wenn Sie Macie aktivieren, generiert Macie automatisch ein vollständiges Inventar Ihrer S3-Allzweck-Buckets und beginnt damit, es zu verwalten. Macie beginnt außerdem mit der Bewertung und Überwachung der Buckets im Hinblick auf Sicherheit und Zugriffskontrolle. Wenn Macie ein potenzielles Problem mit der Sicherheit oder dem Datenschutz eines Buckets feststellt, erstellt sie eine Richtlinienfeststellung für Sie.

Zusätzlich zu den spezifischen Ergebnissen bietet Ihnen ein Dashboard eine Momentaufnahme der aggregierten Statistiken für Ihre Amazon S3 S3-Daten. Dazu gehören Statistiken für wichtige Kennzahlen wie die Anzahl der Buckets, auf die öffentlich zugegriffen werden kann oder die mit anderen geteilt werden. AWS-Konten Sie können sich jede Statistik genauer ansehen, um die unterstützenden Daten zu überprüfen.

Macie bietet auch detaillierte Informationen und Statistiken für einzelne S3-Buckets in Ihrem Inventar. Zu den Daten gehören Aufschlüsselungen der öffentlichen Zugriffs- und Verschlüsselungseinstellungen eines Buckets sowie die Größe und Anzahl der Objekte, die Macie analysieren kann, um sensible Daten im Bucket zu erkennen. Sie können das Inventar durchsuchen oder das Inventar nach bestimmten Feldern sortieren und filtern.

Überprüfen und analysieren Sie die Ergebnisse

In Macie ist ein Ergebnis ein detaillierter Bericht über sensible Daten, die Macie in einem S3-Objekt entdeckt hat, oder um ein potenzielles Problem mit der Sicherheit oder dem Datenschutz eines S3-Allzweck-Buckets. Jedes Ergebnis enthält eine Bewertung des Schweregrads, Informationen über die betroffene Ressource und zusätzliche Details, z. B. wann und wie Macie die Daten oder das Problem erkannt hat.

Um Ergebnisse zu überprüfen, zu analysieren und zu verwalten, können Sie die Ergebnisseiten in der Amazon Macie Macie-Konsole verwenden. Auf diesen Seiten werden Ihre Ergebnisse aufgeführt und die Einzelheiten der einzelnen Ergebnisse bereitgestellt. Sie bieten auch mehrere Optionen zum Gruppieren, Filtern, Sortieren und Unterdrücken von Ergebnissen. Sie können auch die Amazon Macie Macie-API verwenden, um Ergebnisse abzufragen, abzurufen und zu unterdrücken. Wenn Sie die API verwenden, können Sie die Daten zur eingehenderen Analyse, Langzeitspeicherung oder Berichterstattung an eine andere Anwendung, einen anderen Service oder ein anderes System weitergeben.

Überwachen und verarbeiten Sie die Ergebnisse mit anderen Diensten und Systemen

Um die Integration mit anderen Diensten und Systemen zu unterstützen, veröffentlicht Macie die Ergebnisse EventBridge als Finding Events auf Amazon. EventBridge ist ein serverloser Eventbus-Service, der Ergebnisdaten an Ziele wie AWS Lambda Funktionen und Amazon Simple Notification Service (Amazon SNS) -Themen weiterleiten kann. Damit EventBridge können Sie die Ergebnisse im Rahmen Ihrer bestehenden Sicherheits- und Compliance-Workflows nahezu in Echtzeit überwachen und verarbeiten.

Sie können Macie so konfigurieren, dass die Ergebnisse auch veröffentlicht werden AWS Security Hub. Security Hub ist ein Service, der Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in Ihrer gesamten AWS Umgebung bietet und Ihnen hilft, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Mit Security Hub können Sie Ihre Ergebnisse im Rahmen einer umfassenderen Analyse der Sicherheitslage Ihres Unternehmens in einfacher überwachen und verarbeiten AWS. Sie können auch Ergebnisse aus mehreren AWS-Regionen Regionen zusammenfassen und dann aggregierte Ergebnisdaten aus einer einzelnen Region überwachen und verarbeiten.

Verwalten Sie mehrere Macie-Konten zentral

Wenn Ihre AWS Umgebung über mehrere Konten verfügt, können Sie Macie für Konten in Ihrer Umgebung zentral verwalten. Sie können dies auf zwei Arten tun, indem Sie Macie in Macie integrieren AWS Organizations oder indem Sie Mitgliedschaftseinladungen in Macie senden und annehmen.

In einer Konfiguration mit mehreren Konten kann ein designierter Macie-Administrator bestimmte Aufgaben ausführen und auf bestimmte Macie-Einstellungen, Daten und Ressourcen für Konten zugreifen, die Mitglieder derselben Organisation sind. Zu den Aufgaben gehören die Überprüfung von Informationen über S3-Buckets, die Mitgliedskonten gehören, die Überprüfung der Richtlinienfeststellungen für diese Buckets und die Überprüfung der Buckets auf sensible Daten. Wenn die Konten über verknüpft sind AWS Organizations, kann der Macie-Administrator Macie auch für Mitgliedskonten in der Organisation aktivieren.

Ressourcen programmgesteuert entwickeln und verwalten

Zusätzlich zur Amazon Macie Macie-Konsole können Sie mit Macie über die Amazon Macie Macie-API interagieren. Die Amazon Macie Macie-API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihre Macie-Kontoeinstellungen, Daten und Ressourcen.

Um programmgesteuert mit Macie zu interagieren, können Sie HTTPS-Anfragen direkt an Macie senden oder eine aktuelle Version eines Befehlszeilentools oder eines SDK verwenden. AWS AWS AWS bietet Tools und SDKs, die aus Bibliotheken und Beispielcode für verschiedene Sprachen und Plattformen wie Java PowerShell, Go, Python, C++ und .NET bestehen.

Zugreifen auf Amazon Macie

Amazon Macie ist in den meisten AWS-Regionen Fällen verfügbar. Eine Liste der Regionen, in denen Macie derzeit verfügbar ist, finden Sie unter Amazon Macie Macie-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz Informationen zur Verwaltung AWS-Regionen für Sie finden Sie im AWS-Konto Referenzhandbuch unter Angeben, welche Konten für AWS-Regionen Ihr Konto verwendet werden können.AWS Account Management

In jeder Region können Sie auf eine der folgenden Arten mit Macie zusammenarbeiten.

AWS Management Console

Das AWS Management Console ist eine browserbasierte Oberfläche, mit der Sie Ressourcen erstellen und verwalten AWS können. Als Teil dieser Konsole bietet die Amazon Macie Macie-Konsole Zugriff auf Ihr Macie-Konto, Ihre Daten und Ressourcen. Mit der Macie-Konsole können Sie jede Macie-Aufgabe ausführen — Statistiken und andere Informationen zu Ihren S3-Buckets überprüfen, Aufgaben zur Erkennung sensibler Daten erstellen und ausführen, Ergebnisse überprüfen und analysieren und vieles mehr.

AWS Befehlszeilentools

Mit AWS Befehlszeilentools können Sie Befehle an der Befehlszeile Ihres Systems ausgeben, um Macie-Aufgaben und AWS -Aufgaben auszuführen. Die Verwendung der Befehlszeile kann schneller und bequemer sein als die Verwendung der Konsole. Die Befehlszeilen-Tools können auch beim Erstellen von Skripts für -Aufgaben hilfreich sein.

AWS stellt zwei Gruppen von Befehlszeilentools bereit: das AWS Command Line Interface (AWS CLI) und das AWS Tools for PowerShell. Informationen zur Installation und Verwendung von finden Sie im AWS Command Line Interface Benutzerhandbuch. AWS CLI Informationen zur Installation und Verwendung der Tools für PowerShell finden Sie im AWS Tools for PowerShell Benutzerhandbuch.

AWS SDKs

AWS stellt SDKs bereit, die aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen bestehen, z. B. Java, Go, Python, C++ und .NET. Die SDKs bieten bequemen, programmatischen Zugriff auf Macie und andere. AWS-Services Sie übernehmen auch Aufgaben wie das kryptografische Signieren von Anfragen, das Verwalten von Fehlern und das automatische Wiederholen von Anfragen. Informationen zur Installation und Verwendung der AWS SDKs finden Sie unter Tools to Build On. AWS

Amazon Macie REST-API

Die Amazon Macie REST API bietet Ihnen umfassenden, programmatischen Zugriff auf Ihr Macie-Konto, Ihre Daten und Ressourcen. Mit dieser API können Sie HTTPS-Anfragen direkt an Macie senden. Im Gegensatz zu den AWS Befehlszeilentools und SDKs erfordert die Verwendung dieser API jedoch, dass Ihre Anwendung Details auf niedriger Ebene verarbeitet, z. B. die Generierung eines Hashs zum Signieren einer Anfrage. Informationen zu dieser API finden Sie in der Amazon Macie API-Referenz.

Preise für Amazon Macie

Wie bei anderen AWS Produkten gibt es keine Verträge oder Mindestverpflichtungen für die Nutzung von Amazon Macie.

Die Preisgestaltung von Macie basiert auf mehreren Dimensionen: der Bewertung und Überwachung von S3-Buckets im Hinblick auf Sicherheit und Zugriffskontrolle, der Überwachung von S3-Objekten im Hinblick auf die automatische Erkennung sensibler Daten und der Analyse von S3-Objekten, um sensible Daten in den Objekten zu erkennen und zu melden. Weitere Informationen finden Sie unter Amazon Macie — Preise.

Damit Sie die Kosten für die Nutzung von Macie besser verstehen und prognostizieren können, gibt Macie die geschätzten Nutzungskosten für Ihr Konto an. Sie können diese Schätzungen auf der Amazon Macie Macie-Konsole überprüfen und mit der Amazon Macie Macie-API darauf zugreifen. Je nachdem, wie Sie den Service nutzen, können zusätzliche Kosten für die Nutzung anderer Funktionen AWS-Services in Kombination mit bestimmten Macie-Funktionen anfallen, z. B. das Abrufen von Bucket-Daten aus Amazon S3 und die Nutzung von kundenverwalteten AWS KMS keys Objekten zur Analyse.

Wenn Sie Macie zum ersten Mal aktivieren, werden Sie automatisch für die kostenlose AWS-Konto 30-Tage-Testversion von Macie registriert. Dies schließt einzelne Konten ein, die als Teil einer Organisation in aktiviert wurden. AWS Organizations Während der kostenlosen Testphase fallen für die Nutzung von Macie in den jeweiligen Fällen keine Gebühren an, AWS-Region um Ihre S3-Buckets im Hinblick auf Sicherheit und Zugriffskontrolle zu evaluieren und zu überwachen. Abhängig von Ihren Kontoeinstellungen kann die kostenlose Testversion auch die automatische Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten beinhalten. Die kostenlose Testversion beinhaltet nicht die Ausführung von Aufträgen zur Erkennung sensibler Daten, um sensible Daten in S3-Objekten zu entdecken und zu melden.

Um Ihnen zu helfen, die Kosten für die Nutzung von Macie nach Ablauf der kostenlosen Testversion zu verstehen und zu prognostizieren, gibt Macie Ihnen die geschätzten Nutzungskosten an, die auf Ihrer Nutzung von Macie während der Testphase basieren. Ihre Nutzungsdaten geben auch an, wie viel Zeit bis zum Ende Ihrer kostenlosen Testversion noch verbleibt. Sie können diese Daten auf der Amazon Macie Macie-Konsole überprüfen und mit der Amazon Macie Macie-API darauf zugreifen.

Zugehörige Services

Um Ihre Daten, Workloads und Anwendungen weiter zu schützen, sollten Sie erwägen AWS, Folgendes AWS-Services in Kombination mit Amazon Macie zu verwenden.

AWS Security Hub

AWS Security Hub bietet Ihnen einen umfassenden Überblick über den Sicherheitsstatus Ihrer AWS Ressourcen und hilft Ihnen dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Dies geschieht unter anderem dadurch, dass Ihre Sicherheitsergebnisse aus mehreren AWS-Services (einschließlich Macie) und unterstützten AWS Partner Network (APN) -Produkten (einschließlich Macie) erfasst, zusammengefasst, organisiert und priorisiert werden. Security Hub hilft Ihnen dabei, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität in Ihrer AWS Umgebung zu identifizieren.

Weitere Informationen zu Security Hub finden Sie im AWS Security Hub Benutzerhandbuch. Weitere Informationen zur gemeinsamen Verwendung von Macie und Security Hub finden Sie unterAmazon MacieIntegration mit AWS Security Hub.

Amazon GuardDuty

Amazon GuardDuty ist ein Sicherheitsüberwachungsdienst, der bestimmte Arten von AWS Protokollen analysiert und verarbeitet, z. B. AWS CloudTrail Datenereignisprotokolle für Amazon S3 und CloudTrail Verwaltungsereignisprotokolle. Er verwendet Feeds mit Bedrohungsinformationen wie Listen bösartiger IP-Adressen und Domänen sowie maschinelles Lernen, um unerwartete und potenziell unautorisierte und bösartige Aktivitäten in Ihrer AWS Umgebung zu identifizieren.

Weitere Informationen GuardDuty finden Sie im GuardDuty Amazon-Benutzerhandbuch.

Weitere Informationen zu zusätzlichen AWS Sicherheitsservices finden Sie unter Sicherheit, Identität und Compliance auf AWS.