Cómo supervisa Amazon Macie la seguridad de los datos de Amazon S3 - Amazon Macie
Componentes principalesActualizaciones de datosConsideraciones adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo supervisa Amazon Macie la seguridad de los datos de Amazon S3

Cuando habilita Amazon Macie para su cuenta Cuenta de AWS, Macie crea un rol vinculado al servicio AWS Identity and Access Management (IAM) para su cuenta en la cuenta actual. Región de AWS La política de permisos de este rol permite a Macie llamar a otros recursos Servicios de AWS y supervisarlos en su nombre. AWS Al utilizar esta función, Macie genera y mantiene un inventario completo de los depósitos de uso general de Amazon Simple Storage Service (Amazon S3) en la región. Macie también supervisa y evalúa los depósitos para garantizar la seguridad y el control de acceso.

Si es el administrador de Macie de una organización, el inventario incluye datos estadísticos y de otro tipo sobre los depósitos de S3 de su cuenta y de las cuentas de los miembros de su organización. Con estos datos, puede usar Macie para monitorear y evaluar el estado de seguridad de su organización en todo el patrimonio de datos de Amazon S3. Para obtener más información, consulte Administración de varias cuentas .

Componentes principales

Amazon Macie utiliza una combinación de características y técnicas para proporcionar y mantener datos de inventario sobre los depósitos de uso general de S3, y para supervisar y evaluar los depósitos con fines de seguridad y control de acceso.

Recopilación de metadatos y cálculo de estadísticas

Para generar y mantener los metadatos y las estadísticas de su inventario de buckets, Macie recupera los metadatos de los buckets y los objetos directamente de Amazon S3. Para cada bucket, los metadatos incluyen:

  • Información general sobre el depósito, como el nombre del depósito, el nombre del recurso de Amazon (ARN), la fecha de creación, la configuración de cifrado, las etiquetas y el ID de Cuenta de AWS cuenta del propietario del depósito.

  • Configuración de permisos a nivel de cuenta que se aplica al bucket, como la configuración de bloqueo del acceso público de la cuenta.

  • Configuración de permisos a nivel de bucket para el bucket, como la configuración de bloqueo del acceso público al bucket y la configuración derivada de una política de bucket o de una lista de control de acceso (ACL).

  • Configuración de acceso compartido y replicación del depósito, incluida la cuestión de si los datos del depósito se replican o se comparten con personas Cuentas de AWS que no forman parte de su organización.

  • Recuentos de objetos y configuración de los objetos del bucket, como el número de objetos del bucket y los desgloses de los recuentos de objetos por tipo de cifrado, tipo de archivo y clase de almacenamiento.

Macie le proporciona esta información directamente. Macie también utiliza la información para calcular estadísticas y proporcionar evaluaciones sobre la seguridad y la privacidad del inventario de buckets en general y de los buckets individuales de su inventario. Por ejemplo, puede encontrar el tamaño total de almacenamiento y el número de buckets de su inventario, el tamaño total del almacenamiento y el número de objetos de esos buckets, y el tamaño total del almacenamiento y el número de objetos que Macie puede analizar para detectar datos confidenciales en los buckets.

De forma predeterminada, los metadatos y las estadísticas incluyen los datos de cualquier parte del objeto que exista debido a una carga multiparte incompleta. Si actualiza manualmente los metadatos de los objetos de un bucket específico, Macie volverá a calcular las estadísticas del bucket y del inventario general del mismo, y excluirá los datos de las partes del objeto de los valores recalculados. La próxima vez que Macie recupere metadatos de buckets y objetos de Amazon S3 como parte del ciclo de actualización diario, Macie actualizará sus datos de inventario e incluirá de nuevo los datos de las partes del objeto. Para obtener información sobre cuándo recupera Macie los metadatos de los buckets y los objetos, consulte Actualizaciones de datos.

Es importante tener en cuenta que Macie no puede analizar partes de objetos para detectar datos confidenciales. Amazon S3 primero debe terminar de ensamblar las partes en uno o más objetos para que Macie los analice. Para obtener información sobre las cargas multiparte y las partes de objetos, incluido cómo eliminar partes automáticamente según las reglas del ciclo de vida, consulte Carga y copia de objetos mediante la carga multiparte en la Guía del usuario de Amazon Simple Storage Service. Para identificar los buckets que contienen partes de objetos, puede consultar las métricas de carga multiparte incompleta en Lente de almacenamiento de Amazon S3. Para obtener más información, consulte Evaluación de la actividad y el uso en la Guía del usuario de Amazon Simple Storage Service.

Supervisión de la seguridad y la privacidad de los buckets

Para garantizar la precisión de los datos a nivel de bucket de su inventario, Macie supervisa y analiza determinados eventos AWS CloudTrail que pueden producirse en los datos de Amazon S3. Si se produce un evento relevante, Macie actualiza los datos de inventario correspondientes.

Por ejemplo, si habilita la configuración de bloqueo de acceso público para un bucket, Macie actualiza todos los datos sobre la configuración de acceso público del bucket. Del mismo modo, si añade o actualiza la política de un bucket, Macie analizará la política y actualizará los datos relevantes de su inventario.

Macie monitorea y analiza los datos de los siguientes eventos: CloudTrail

  • Eventos a nivel de cuenta, y DeletePublicAccessBlock PutPublicAccessBlock

  • Eventos a nivel de grupo:CreateBucket,,, DeleteAccountPublicAccessBlock,, DeleteBucket,,DeleteBucketEncryption, DeleteBucketPolicy,, DeleteBucketPublicAccessBlock,DeleteBucketReplication,, DeleteBucketTagging, PutAccountPublicAccessBlock,,PutBucketAcl, PutBucketEncryption, PutBucketPolicy, y PutBucketPublicAccessBlock PutBucketReplication PutBucketTagging PutBucketVersioning

No puede habilitar la supervisión de CloudTrail eventos adicionales ni deshabilitar la supervisión de ninguno de los eventos anteriores. Para obtener información detallada sobre las operaciones correspondientes de los eventos anteriores, consulte Referencia de la API de Amazon Simple Storage Service.

sugerencia

Para supervisar los eventos a nivel de objeto, le recomendamos que utilice la función de protección Amazon S3 de Amazon. GuardDuty Esta característica supervisa eventos de datos de Amazon S3 y los analiza en busca de actividades maliciosas y sospechosas. Para obtener más información, consulte la protección de Amazon S3 en Amazon GuardDuty en la Guía del GuardDuty usuario de Amazon.

Evaluación de la seguridad y el control de acceso de los buckets

Para evaluar la seguridad y el control de acceso a nivel de bucket, Macie utiliza un razonamiento automatizado y basado en la lógica para analizar las políticas basadas en los recursos que se aplican a un bucket. Macie también analiza la configuración de permisos a nivel de cuenta y de bucket que se aplica a un bucket. Este análisis tiene en cuenta las políticas de bucket, las ACL a nivel de bucket y la configuración de bloqueo del acceso público a la cuenta y al bucket.

Para las políticas basadas en recursos, Macie utiliza Zelkova. Zelkova es un motor de razonamiento automatizado que traduce las políticas AWS Identity and Access Management (IAM) en declaraciones lógicas y utiliza un conjunto de soluciones lógicas especializadas y de uso general (teorías de los módulos de adaptabilidad) para resolver el problema de decisión. Macie aplica Zelkova repetidamente a una política con consultas cada vez más específicas para caracterizar las clases de comportamientos que permite la política. Para obtener más información sobre la naturaleza de los solucionadores que utiliza Zelkova, consulte Teorías de los módulos de satisfactibilidad.

importante

Para realizar las tareas anteriores para un bucket, el bucket debe ser un bucket de uso general de S3. Macie no supervisa ni analiza los cubos de directorio de S3.

Además, se debe permitir a Macie acceder al depósito. Si la configuración de permisos de un bucket impide que Macie recupere los metadatos del bucket o de sus objetos, Macie solo podrá proporcionar un subconjunto de información sobre el bucket, como el nombre y la fecha de creación del bucket. Macie no puede realizar ningún trabajo adicional para el bucket. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.

Actualizaciones de datos

Cuando habilita Amazon Macie para usted Cuenta de AWS, Macie recupera los metadatos de sus buckets y objetos de uso general de S3 directamente de Amazon S3. A partir de entonces, Macie recupera automáticamente los metadatos de los cubos y objetos directamente de Amazon S3 a diario como parte de un ciclo de actualización diario.

Macie también recupera los metadatos del bucket directamente de Amazon S3 cuando se da alguno de los casos siguientes:

  • Para actualizar los datos de inventario, selecciona refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) en la consola de Amazon Macie. Puede actualizar los datos con una frecuencia de hasta cinco minutos.

  • Envía una DescribeBucketssolicitud a la API de Amazon Macie mediante programación y no ha enviado ninguna DescribeBuckets solicitud en los cinco minutos anteriores.

  • Macie detecta un evento relevante. AWS CloudTrail

Macie también puede recuperar los metadatos de objetos más recientes de un bucket específico si decide actualizar esos datos manualmente. Esto puede resultar útil si ha creado un bucket recientemente o ha realizado cambios importantes en los objetos de un bucket durante las últimas 24 horas. Para actualizar manualmente los metadatos de los objetos de un bucket, seleccione actualizar ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) en la sección Estadísticas de objetos del Panel de detalles del bucket de la página Buckets de S3 de la consola. Esta función está disponible para depósitos que almacenan 30 000 objetos o menos.

Cada vez que Macie recupera los metadatos de un bucket o un objeto, actualiza automáticamente todos los datos relevantes de su inventario. Si Macie detecta diferencias que afectan a la seguridad o la privacidad de un bucket, Macie comienza inmediatamente a evaluar y analizar los cambios. Cuando se completa el análisis, Macie actualiza los datos relevantes de su inventario. Si alguna diferencia reduce la seguridad o la privacidad de un bucket, Macie crea también los resultados de política apropiados para que los revise y solucione como sea oportuno.

Para determinar cuándo fue la última vez que Macie recuperó los metadatos de un bucket u objeto para su cuenta, consulte el campo Última actualización de la consola. Este campo aparece en el panel de resumen, en la página de depósitos de S3 y en el panel de detalles del depósito de la página de depósitos de S3. (Si utiliza la API de Amazon Macie para consultar datos de inventario, el campo lastUpdated proporciona esta información). Si es el administrador de Macie de una organización, el campo Última actualización indica la fecha y hora más antiguas en que Macie recuperó los datos de una cuenta de su organización.

En raras ocasiones, y en determinadas condiciones, la latencia y otros problemas pueden impedir que Macie recupere los metadatos de los buckets y los objetos. También pueden retrasar las notificaciones que recibe Macie sobre los cambios en su inventario de buckets o la configuración de permisos y las políticas de los buckets individuales. Por ejemplo, los problemas de entrega relacionados con CloudTrail los eventos pueden provocar retrasos. Si esto sucede, Macie analiza los datos nuevos y actualizados la próxima vez que realice la actualización diaria, que es dentro de las 24 horas.

Consideraciones adicionales

Cuando utilice Amazon Macie para supervisar y evaluar el nivel de seguridad de sus datos de Amazon S3, tenga en cuenta lo siguiente:

  • Los datos de inventario solo se aplican a los depósitos de uso general de S3 en la actualidad Región de AWS. Para acceder a los datos de otras regiones, habilite y use Macie en cada región adicional.

  • Si es el administrador de Macie de una organización, solo podrá acceder a los datos de inventario de una cuenta de miembro si Macie está habilitada para esa cuenta en la región actual.

  • Si la configuración de permisos de un bucket impide que Macie recupere información sobre el bucket o sus objetos, Macie no podrá evaluar ni supervisar la seguridad y la privacidad de los datos del bucket ni proporcionar información detallada sobre el bucket.

    Para ayudarle a identificar un bucket en ese caso, Macie hace lo siguiente:

    • En su inventario de buckets, Macie muestra un icono de advertencia ( A red triangle with a red exclamation point in it ) para el bucket. Para ver los detalles del depósito, Macie muestra solo un subconjunto de campos y datos: el ID de cuenta del Cuenta de AWS propietario del depósito; el nombre del depósito, el nombre del recurso de Amazon (ARN), la fecha de creación y la región; y la fecha y la hora en que Macie recuperó por última vez los metadatos del depósito y del objeto del depósito como parte del ciclo de actualización diario. Si utiliza la API de Amazon Macie para consultar los datos de inventario, Macie proporciona un código y un mensaje de error para el bucket y el valor de la mayoría de las propiedades del bucket es nulo.

    • En el panel Resumen, el bucket tiene el valor Desconocido para las estadísticas de Acceso público, Cifrado y Uso compartido. (Si utiliza la API de Amazon Macie para consultar las estadísticas, el bucket tiene un valor de unknown para estas estadísticas). Además, Macie excluye el bucket cuando calcula los datos para las estadísticas de Almacenamiento y Objetos.

    Para investigar el problema, revise la política y la configuración de permisos del bucket en Amazon S3. Por ejemplo, el bucket puede tener una política de bucket restrictiva. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.

  • Los datos sobre el acceso y los permisos se limitan a la configuración a nivel de cuenta y de bucket. No refleja la configuración a nivel de objeto que determina el acceso a objetos específicos de un bucket. Por ejemplo, si el acceso público está habilitado para un objeto específico de un bucket, Macie no informa de que el bucket o los objetos del bucket sean de acceso público.

    Para supervisar las operaciones a nivel de objeto e identificar posibles riesgos de seguridad, le recomendamos que utilice la función de protección Amazon S3 de Amazon. GuardDuty Esta característica supervisa eventos de datos de Amazon S3 y los analiza en busca de actividades maliciosas y sospechosas. Para obtener más información, consulte la protección de Amazon S3 en Amazon GuardDuty en la Guía del GuardDuty usuario de Amazon.

  • Si actualiza manualmente los metadatos de los objetos de un bucket específico, Macie mostrará temporalmente el informe Desconocido para obtener estadísticas de cifrado aplicables a los objetos. La próxima vez que Macie actualice los datos diariamente (en un plazo de 24 horas), Macie volverá a evaluar los metadatos de cifrado de los objetos y volverá a generar datos cuantitativos para las estadísticas.

  • Si actualizas manualmente los metadatos de los objetos de un segmento específico, Macie excluye temporalmente los datos de cualquier parte del objeto que contenga el depósito debido a que las cargas de varias partes están incompletas. La próxima vez que Macie actualice los datos a diario (en un plazo de 24 horas), volverá a calcular los recuentos y los valores del tamaño de almacenamiento de los objetos del bucket e incluirá los datos de las partes en esos cálculos.

  • En raras ocasiones, es posible que Macie no pueda determinar si un bucket es de acceso público o compartido, o que necesite cifrar los objetos nuevos en el servidor. Por ejemplo, un problema temporal podría impedir que Macie recupere y analice los datos necesarios. O bien, es posible que Macie no pueda determinar completamente si una o más declaraciones de política otorgan acceso a una entidad externa. En estos casos, Macie envía un informe Desconocido para las estadísticas y los campos relevantes del inventario. Para investigar estos casos, revise la política y la configuración de permisos del bucket en Amazon S3.

Tenga en cuenta también que Macie solo genera resultados sobre las políticas si se reduce la seguridad o la privacidad de un bucket después de habilitar Macie en su cuenta. Por ejemplo, si inhabilitas la configuración de bloqueo de acceso público de un bucket después de activar Macie, Macie generará un archivo Policy:iamUser/S3 para el bucket. BlockPublicAccessDisabled Sin embargo, si la configuración de bloquear el acceso público estaba deshabilitada en un bucket cuando activaste Macie y sigue estando deshabilitada, Macie no generará ninguna búsqueda de Policy:iamUser/S3 para el bucket. BlockPublicAccessDisabled

Además, cuando Macie evalúa la seguridad y la privacidad de un bucket, no examina los registros de acceso ni analiza los usuarios, las funciones y otras configuraciones relevantes de las cuentas. En su lugar, Macie analiza los datos e informa sobre los ajustes clave que indican posibles riesgos de seguridad. Por ejemplo, si el resultado de una política indica que un bucket es de acceso público, no significa necesariamente que una entidad externa haya accedido al bucket. Del mismo modo, si la conclusión de una política indica que un depósito se comparte con una persona Cuenta de AWS ajena a tu organización, Macie no intentará determinar si este acceso está previsto y es seguro. Por el contrario, estos resultados indican que una entidad externa podría acceder a los datos del bucket, lo que podría suponer un riesgo de seguridad imprevisto.