¿Qué es Amazon Macie?

Amazon Macie es un servicio de seguridad de datos que descubre datos confidenciales mediante el machine learning y la coincidencia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite establecer una protección automatizada contra esos riesgos.

Para ayudarle a gestionar la seguridad del patrimonio de datos del Amazon Simple Storage Service (Amazon S3) de su organización, Macie le proporciona un inventario de sus depósitos de uso general de S3 y evalúa y supervisa automáticamente los depósitos para garantizar la seguridad y el control de acceso. Si Macie detecta un posible problema con la seguridad o la privacidad de sus datos, como un bucket de acceso público, Macie genera un resultado para que lo revise y solucione según sea necesario.

Macie también automatiza la detección y la notificación de informes de datos confidenciales para ofrecerle una mejor comprensión de los datos que su organización almacena en Amazon S3. Para detectar datos confidenciales, puede utilizar los criterios y técnicas integrados que proporciona Macie, los criterios personalizados que usted defina o una combinación de ambos. Si Macie detecta datos confidenciales en un objeto de S3, Macie genera un hallazgo para notificarle los datos confidenciales que ha encontrado.

Además de los resultados, Macie proporciona estadísticas e información que ofrecen información sobre el estado de seguridad de sus datos de Amazon S3 y sobre dónde pueden residir los datos confidenciales en su patrimonio de datos. Las estadísticas y la información pueden guiar sus decisiones para llevar a cabo investigaciones más exhaustivas de objetos y depósitos de S3 específicos. Puede revisar y analizar los hallazgos, las estadísticas y otra información mediante la consola de Amazon Macie o la API de Amazon Macie. También puede aprovechar la integración de Macie con Amazon EventBridge AWS Security Hub para monitorear, procesar y corregir los hallazgos mediante el uso de otros servicios, aplicaciones y sistemas.

Características de Amazon Macie

Estas son algunas de las formas clave en las que Amazon Macie puede ayudarle a descubrir, supervisar y proteger sus datos confidenciales en Amazon S3.

Automatice la detección de datos confidenciales

Con Macie, puede automatizar la detección y la notificación de información confidencial de dos maneras: configurando Macie para realizar un descubrimiento automatizado de información confidencial y creando y ejecutando trabajos de detección de información confidencial. Si Macie detecta datos confidenciales en un objeto de S3, crea un resultado de datos confidenciales para usted. El hallazgo proporciona un informe detallado de los datos confidenciales que Macie detectó.

La detección de datos confidenciales proporciona una amplia visibilidad de dónde pueden residir los datos confidenciales en su patrimonio de datos de Amazon S3. Con esta opción, Macie evalúa continuamente su inventario de buckets de S3 y utiliza técnicas de muestreo para identificar y seleccionar objetos de S3 representativos de sus buckets. A continuación, Macie recupera y analiza los objetos seleccionados, inspeccionándolos en busca de datos confidenciales.

Los trabajos de detección de datos confidenciales proporcionan un análisis más profundo y específico. Con esta opción, puede definir la amplitud y profundidad del análisis: los segmentos de S3 que se van a analizar, la profundidad de muestreo y los criterios personalizados que se derivan de las propiedades de los objetos de S3. También puede configurar un trabajo para que se ejecute solo una vez para el análisis y la evaluación bajo demanda, o de forma periódica para el análisis, la evaluación y el monitoreo periódicos.

Ambas opciones pueden ayudarle a crear y mantener una visión integral de los datos que almacena su organización en Amazon S3 y de cualquier riesgo de seguridad o cumplimiento de esos datos.

Descubra una variedad de tipos de datos confidenciales

Para detectar información confidencial con Macie, puede utilizar criterios y técnicas integradas, como machine learning y coincidencia de patrones, para analizar objetos en buckets de S3. Estos criterios y técnicas, que se denominan identificadores de datos administrados, pueden detectar una lista extensa y creciente de tipos de datos confidenciales en muchos países y regiones, incluidos varios tipos de información de identificación personal (PII), datos financieros y datos de credenciales.

También puede utilizar identificadores de datos personalizados. Un identificador de datos personalizado es un conjunto de criterios que usted define para detectar datos confidenciales: una expresión regular (regex) que define un patrón de texto para coincidir y, opcionalmente, secuencias de caracteres y una regla de proximidad que refina los resultados. Con este tipo de identificador, puede detectar datos confidenciales que reflejen escenarios particulares, propiedad intelectual o datos de propietario. Pueden complementar los identificadores de datos administrados que Macie proporciona.

Para ajustar los análisis, también puede utilizar listas de permisos. Permita que las listas definan texto y patrones de texto específicos que desea que Macie ignore en los objetos de S3. Por lo general, se trata de excepciones a los datos confidenciales en situaciones o entornos específicos, por ejemplo, los nombres de los representantes públicos de la organización, los números de teléfono públicos de la organización o los datos de muestra que la organización utiliza para las pruebas.

Evalúe y supervise los datos para garantizar la seguridad y el control de acceso

Al activar Macie, Macie genera automáticamente y comienza a mantener un inventario completo de sus cubos S3 de uso general. Macie también comienza a evaluar y monitorear los buckets para ofrecer seguridad y control de acceso. Si Macie detecta un posible problema con la seguridad o la privacidad de un bucket, crea un resultado de política para usted.

Además de los resultados específicos, un panel le ofrece una instantánea de las estadísticas agregadas de sus datos de Amazon S3. Esto incluye estadísticas de métricas clave, como la cantidad de depósitos a los que se puede acceder públicamente o que se comparten con otros usuarios. Cuentas de AWS Puedes profundizar en cada estadística para revisar los datos de respaldo.

Macie también proporciona información y estadísticas detalladas para cada uno de los buckets S3 de su inventario. Los datos incluyen un desglose de la configuración de acceso público y cifrado de un bucket, así como el tamaño y la cantidad de objetos que Macie puede analizar para detectar datos confidenciales en el bucket. Puede examinar el inventario u ordenar y filtrar el inventario por determinados campos.

Revise y analice los resultados

En Macie, un hallazgo es un informe detallado de los datos confidenciales que Macie ha detectado en un objeto de S3 o de un posible problema con la seguridad o la privacidad de un depósito de uso general de S3. Cada hallazgo proporciona una clasificación de gravedad, información sobre el recurso afectado y detalles adicionales, como cuándo y cómo Macie detectó los datos o el problema.

Para revisar, analizar y administrar los resultados, puede utilizar las páginas de Resultados de la consola de Amazon Macie. En estas páginas se enumeran sus resultados y se proporcionan los detalles de los resultados individuales. También ofrecen múltiples opciones para agrupar, filtrar, ordenar y suprimir los resultados. También puede utilizar la API de Amazon Macie para consultar, recuperar y suprimir resultados. Si usa la API, puede pasar los datos a otra aplicación, servicio o sistema para realizar análisis más detallados, almacenarlos a largo plazo o generar informes.

Supervise y procese los resultados con otros servicios y sistemas

Para facilitar la integración con otros servicios y sistemas, Macie publica los resultados en Amazon EventBridge como eventos de búsqueda. EventBridge es un servicio de bus de eventos sin servidor que puede dirigir los datos de los hallazgos a objetivos, como AWS Lambda funciones y temas del Amazon Simple Notification Service (Amazon SNS). Con EventBridge él, puede monitorear y procesar los hallazgos casi en tiempo real como parte de sus flujos de trabajo actuales de seguridad y cumplimiento.

Puede configurar Macie para que también publique los resultados en AWS Security Hub. Security Hub es un servicio que proporciona una visión integral de su postura de seguridad en todo su AWS entorno y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad. Con Security Hub, puede supervisar y procesar los resultados de forma sencilla como parte de un análisis más completo del estado de seguridad de la organización en AWS. También puede agregar las conclusiones de varias regiones y Regiones de AWS, a continuación, supervisar y procesar los datos de las conclusiones agregadas de una sola región.

Administre de forma centralizada varias cuentas de Macie

Si su AWS entorno tiene varias cuentas, puede administrar Macie de forma centralizada para las cuentas de su entorno. Puede hacerlo de dos maneras: integrando Macie AWS Organizations o enviando y aceptando invitaciones de membresía en Macie.

En una configuración de cuentas múltiples, un administrador designado de Macie puede realizar determinadas tareas y acceder a determinados ajustes, datos y recursos de Macie para las cuentas que son miembros de la misma organización. Las tareas incluyen revisar la información sobre los grupos de S3 que son propiedad de las cuentas de los miembros, revisar las conclusiones de las políticas para esos grupos e inspeccionar los grupos para detectar datos confidenciales. Si las cuentas están asociadas directamente AWS Organizations, el administrador de Macie también puede habilitar Macie para las cuentas de los miembros de la organización.

Desarrolle y administre los recursos mediante programación

Además de la consola de Amazon Macie, puede interactuar con Macie mediante la API de Amazon Macie. La API de Amazon Macie le proporciona un acceso completo y programático a la configuración, los datos y los recursos de su cuenta de Macie.

Para interactuar con Macie mediante programación, puede enviar solicitudes HTTPS directamente a Macie o utilizar una versión actual de una herramienta de línea de AWS comandos o un SDK. AWS AWS proporciona herramientas y SDK que consisten en bibliotecas y código de muestra para varios lenguajes y plataformas, como Java PowerShell, Go, Python, C++ y.NET.

Acceso a Amazon Macie

Amazon Macie está disponible en la mayoría. Regiones de AWS Para obtener una lista de todas las regiones en las que Macie se encuentra actualmente disponible, consulte Puntos de conexión y cuotas de Amazon Macie en la Referencia general de AWS. Para obtener información sobre cómo administrar Regiones de AWS su cuenta Cuenta de AWS, consulte Especificar qué Regiones de AWS cuenta puede usar en la Guía de AWS Account Management referencia.

En cada región, puede trabajar con Macie de cualquiera de las siguientes maneras.

AWS Management Console

AWS Management Console Se trata de una interfaz basada en un navegador que puede utilizar para crear y gestionar AWS recursos. Como parte de esa consola, la consola de Amazon Macie proporciona acceso a su cuenta, datos y recursos de Macie. Puede realizar cualquier tarea de Macie mediante la consola de Macie: revise las estadísticas y otra información sobre sus buckets de S3, cree y ejecute tareas de descubrimiento de datos confidenciales, revise y analice los resultados, etc.

AWS herramientas de línea de comandos

Con las herramientas de línea de AWS comandos, puede emitir comandos en la línea de comandos de su sistema para realizar tareas y AWS tareas de Macie. Usar la línea de comandos puede ser más rápido y práctico que usar la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas.

AWS proporciona dos conjuntos de herramientas de línea de comandos: el AWS Command Line Interface (AWS CLI) y el AWS Tools for PowerShell. Para obtener información sobre la instalación y el uso de AWS CLI, consulte la Guía del AWS Command Line Interface usuario. Para obtener información sobre la instalación y el uso de las herramientas PowerShell, consulte la Guía del AWS Tools for PowerShell usuario.

AWS SDK

AWS proporciona SDK que constan de bibliotecas y código de muestra para varios lenguajes de programación y plataformas, por ejemplo, Java, Go, Python, C++ y.NET. Los SDK proporcionan un acceso práctico y programático a Macie y a otros. Servicios de AWS También permiten realizar tareas como firmar solicitudes criptográficamente, administrar errores y reintentar solicitudes automáticamente. Para obtener información sobre la instalación y el uso de los AWS SDK, consulte Herramientas sobre las que basarse. AWS

API de REST de Amazon Macie

La API de REST de Amazon Macie le proporciona un acceso completo y programático a su cuenta, datos y recursos de Macie. Con esta API, puede enviar solicitudes HTTPS directamente a Macie. Sin embargo, a diferencia de las herramientas de línea de AWS comandos y los SDK, el uso de esta API requiere que tu aplicación gestione detalles de bajo nivel, como la generación de un hash para firmar una solicitud. Para obtener más información acerca de esta API, consulte Referencia de la API de Amazon Macie.

Precios de Amazon Macie

Al igual que con otros AWS productos, no hay contratos ni compromisos mínimos para usar Amazon Macie.

Los precios de Macie se basan en varias dimensiones: evaluar y monitorear los segmentos de S3 para garantizar la seguridad y el control de acceso, monitorear los objetos de S3 para detectar automáticamente datos confidenciales y analizar los objetos de S3 para detectar y reportar datos confidenciales en los objetos. Para obtener más información, consulte Precios de Amazon Macie.

Para ayudarlo a comprender y pronosticar el costo de usar Macie, Macie proporciona los costos de uso estimados de su cuenta. Puede revisar estas estimaciones en la consola de Amazon Macie y acceder a ellas con la API de Amazon Macie. En función de cómo utilice el servicio, podría incurrir en costes adicionales si utiliza otras funciones de Macie Servicios de AWS en combinación con determinadas funciones, como la recuperación de datos de los buckets de Amazon S3 y el uso de la tecnología gestionada por el cliente AWS KMS keys para descifrar objetos para su análisis.

Al activar Macie por primera vez, se inscribirá automáticamente en la versión de prueba Cuenta de AWS gratuita de 30 días de Macie. Esto incluye cuentas individuales habilitadas como parte de una organización en AWS Organizations. Durante la prueba gratuita, el uso de Macie en la versión aplicable para evaluar y monitorizar sus buckets de S3 Región de AWS con fines de seguridad y control de acceso es gratuito. Según la configuración de su cuenta, la prueba gratuita también puede incluir la detección automática de datos confidenciales para sus datos de Amazon S3. La prueba gratuita no incluye la ejecución de trabajos de detección de información confidencial para detectar e informar de información confidencial en objetos de S3.

Para ayudarle a comprender y pronosticar el costo de utilizar Macie una vez finalizada la prueba gratuita, Macie le proporciona una estimación de los costos de uso en función del uso de Macie durante la prueba. Sus datos de uso también indican el tiempo que queda hasta que finalice la prueba gratuita. Puede revisar estos datos en la consola de Amazon Macie y acceder a ellos con la API de Amazon Macie.

Servicios relacionados

Para proteger aún más sus datos, cargas de trabajo y aplicaciones AWS, considere usar lo siguiente Servicios de AWS en combinación con Amazon Macie.

AWS Security Hub

AWS Security Hub le ofrece una visión completa del estado de seguridad de sus AWS recursos y le ayuda a comprobar si su AWS entorno se ajusta a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando las conclusiones de seguridad procedentes de varios productos Servicios de AWS (incluido Macie) y de AWS Partner Network (APN) compatibles. Security Hub le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno.

Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario. Para obtener información sobre el uso conjunto de Macie y Security Hub, consulte Integración de Amazon Macie con AWS Security Hub.

Amazon GuardDuty

Amazon GuardDuty es un servicio de supervisión de seguridad que analiza y procesa determinados tipos de AWS registros, como los registros de eventos de AWS CloudTrail datos para Amazon S3 y los registros CloudTrail de eventos de administración. Utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, y el aprendizaje automático para identificar actividades inesperadas y potencialmente no autorizadas y maliciosas en su AWS entorno.

Para obtener más información GuardDuty, consulta la Guía del GuardDuty usuario de Amazon.

Para obtener más información sobre los servicios de AWS seguridad adicionales, consulte Seguridad, identidad y conformidad en AWS.