Bagaimana Amazon Macie memantau keamanan data Amazon S3 - Amazon Macie
Komponen kunciPenyegaran dataPertimbangan tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon Macie memantau keamanan data Amazon S3

Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie membuat peran terkait layanan AWS Identity and Access Management (IAM) untuk akun Anda saat ini. Wilayah AWS Kebijakan izin untuk peran ini memungkinkan Macie memanggil sumber lain Layanan AWS dan memantau AWS sumber daya atas nama Anda. Dengan menggunakan peran ini, Macie menghasilkan dan memelihara inventaris lengkap bucket tujuan umum Amazon Simple Storage Service (Amazon S3) Anda di Wilayah. Macie juga memantau dan mengevaluasi bucket untuk keamanan dan kontrol akses.

Jika Anda administrator Macie untuk suatu organisasi, inventaris mencakup data statistik dan data lain tentang bucket S3 untuk akun dan akun anggota di organisasi Anda. Dengan data ini, Anda dapat menggunakan Macie untuk memantau dan mengevaluasi postur keamanan organisasi Anda di seluruh kawasan data Amazon S3 Anda. Untuk informasi selengkapnya, lihat Mengelola beberapa akun.

Komponen utama

Amazon Macie menggunakan kombinasi fitur dan teknik untuk menyediakan dan memelihara data inventaris tentang bucket tujuan umum S3 Anda, serta untuk memantau dan mengevaluasi bucket untuk keamanan dan kontrol akses.

Mengumpulkan metadata dan menghitung statistik

Untuk menghasilkan dan memelihara metadata dan statistik untuk inventaris bucket Anda, Macie mengambil metadata bucket dan objek langsung dari Amazon S3. Untuk setiap bucket, metadata meliputi:

  • Informasi umum tentang bucket, seperti nama bucket, Amazon Resource Name (ARN), tanggal pembuatan, pengaturan enkripsi, tag, dan ID akun untuk pemilik bucket. Akun AWS

  • Pengaturan izin tingkat akun yang berlaku untuk bucket, seperti pengaturan blokir akses publik untuk akun.

  • Pengaturan izin tingkat ember untuk bucket, seperti pengaturan blokir akses publik untuk bucket dan setelan yang berasal dari kebijakan bucket atau daftar kontrol akses (ACL).

  • Setelan akses dan replikasi bersama untuk bucket, termasuk apakah data bucket direplikasi atau dibagikan dengan Akun AWS yang bukan bagian dari organisasi Anda.

  • Jumlah objek dan pengaturan untuk objek dalam bucket, misalnya jumlah objek di dalam bucket dan rincian jumlah objek berdasarkan tipe enkripsi, tipe file, dan kelas penyimpanan.

Macie memberikan informasi ini kepada Anda secara langsung. Macie juga menggunakan informasi untuk menghitung statistik dan memberikan penilaian tentang keamanan dan privasi inventaris bucket Anda secara keseluruhan dan bucket secara individual dalam inventaris Anda. Misalnya, Anda dapat menemukan ukuran penyimpanan total dan jumlah bucket dalam inventaris Anda, ukuran penyimpanan total dan jumlah objek dalam bucket tersebut, serta ukuran penyimpanan total dan jumlah objek yang dapat dianalisis Macie untuk mendeteksi data sensitif pada bucket.

Secara default, metadata dan statistik menyertakan data untuk setiap bagian objek yang ada karena unggahan multipart yang tidak lengkap. Jika Anda menyegarkan metadata objek secara manual untuk bucket tertentu, Macie menghitung ulang statistik untuk bucket dan inventaris bucket Anda secara keseluruhan, dan mengecualikan data untuk bagian objek dari nilai yang dihitung ulang. Lain kali Macie mengambil metadata bucket dan objek dari Amazon S3 sebagai bagian dari siklus penyegaran harian, Macie memperbarui data inventaris Anda dan menyertakan data untuk bagian objek lagi. Untuk informasi tentang kapan Macie mengambil bucket dan metadata objek, lihat. Penyegaran data

Penting untuk dicatat bahwa Macie tidak dapat menganalisis bagian objek untuk mendeteksi data sensitif. Amazon S3 pertama-tama harus menyelesaikan perakitan bagian-bagian menjadi satu atau lebih objek untuk dianalisis Macie. Untuk informasi tentang unggahan multibagian dan bagian objek, termasuk cara menghapus bagian secara otomatis dengan aturan siklus hidup, lihat Mengunggah dan menyalin objek menggunakan unggahan multibagian di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk mengidentifikasi bucket yang berisi bagian objek, Anda dapat merujuk ke metrik unggahan multibagian yang tidak lengkap di Amazon S3 Storage Lens. Untuk informasi selengkapnya, lihat Menilai aktivitas dan penggunaan penyimpanan Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Memantau keamanan dan privasi bucket

Untuk membantu memastikan keakuratan data tingkat bucket dalam inventaris Anda, Macie memantau dan menganalisis kejadian AWS CloudTrail tertentu yang dapat terjadi untuk data Amazon S3. Jika terjadi kejadian yang relevan, Macie akan memperbarui data inventaris yang sesuai.

Misalnya, jika Anda mengaktifkan pengaturan blokir akses publik untuk bucket, Macie akan memperbarui semua data tentang setelan akses publik bucket. Demikian pula, jika Anda menambahkan atau memperbarui kebijakan bucket untuk bucket, Macie menganalisis kebijakan tersebut dan memperbarui data yang relevan dalam inventaris Anda.

Macie memantau dan menganalisis data untuk peristiwa berikut: CloudTrail

  • Acara tingkat akun — dan DeletePublicAccessBlock PutPublicAccessBlock

  • Acara tingkat ember —CreateBucket,,,,,, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy,, DeleteBucketPublicAccessBlock,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl,, PutBucketEncryption PutBucketPolicy, PutBucketPublicAccessBlock dan PutBucketReplication PutBucketTagging PutBucketVersioning

Anda tidak dapat mengaktifkan pemantauan untuk CloudTrail peristiwa tambahan atau menonaktifkan pemantauan untuk salah satu peristiwa sebelumnya. Untuk informasi detail tentang operasi yang sesuai untuk kejadian sebelumnya, lihat Referensi API Amazon Simple Storage Service.

Tip

Untuk memantau peristiwa tingkat objek, sebaiknya gunakan fitur perlindungan Amazon S3 dari Amazon. GuardDuty Fitur ini memantau peristiwa data tingkat objek, Amazon S3 dan menganalisanya untuk aktivitas berbahaya dan mencurigakan. Untuk informasi selengkapnya, lihat perlindungan Amazon S3 GuardDuty di Amazon di GuardDuty Panduan Pengguna Amazon.

Mengevaluasi keamanan bucket dan kontrol akses

Untuk mengevaluasi keamanan dan kontrol akses tingkat bucket, Macie menggunakan penalaran berbasis logika otomatis untuk menganalisis kebijakan berbasis sumber daya yang berlaku untuk bucket. Macie juga menganalisis pengaturan izin tingkat akun dan tingkat bucket yang berlaku untuk bucket. Analisis ini memfaktorkan kebijakan bucket, ACL tingkat bucket, dan memblokir pengaturan akses publik untuk akun dan bucket.

Untuk kebijakan berbasis sumber daya, Macie menggunakan Zelkova. Zelkova adalah mesin penalaran otomatis yang menerjemahkan kebijakan AWS Identity and Access Management (IAM) ke dalam pernyataan logis dan menjalankan serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan) terhadap masalah keputusan. Macie menerapkan Zelkova berulang kali pada kebijakan dengan kueri yang semakin spesifik untuk mencirikan kelas perilaku yang dimungkinkan oleh kebijakan. Untuk mempelajari selengkapnya tentang sifat pemecah yang digunakan Zelkova, lihat Teori Modulo Satisfiability.

penting

Untuk melakukan tugas-tugas sebelumnya untuk bucket, bucket harus berupa bucket tujuan umum S3. Macie tidak memantau atau menganalisis bucket direktori S3.

Selain itu, Macie harus diizinkan mengakses ember. Jika setelan izin bucket mencegah Macie mengambil metadata untuk bucket atau objek bucket, Macie hanya dapat memberikan subset informasi tentang bucket, seperti nama bucket dan tanggal pembuatan. Macie tidak dapat melakukan tugas tambahan apa pun untuk ember. Untuk informasi selengkapnya, lihat Mengizinkan Macie untuk mengakses bucket S3 dan objek.

Penyegaran data

Saat Anda mengaktifkan Amazon Macie untuk Anda Akun AWS, Macie mengambil metadata untuk bucket dan objek tujuan umum S3 langsung dari Amazon S3. Setelah itu, Macie secara otomatis mengambil bucket dan metadata objek langsung dari Amazon S3 setiap hari sebagai bagian dari siklus refresh harian.

Macie juga mengambil metadata bucket langsung dari Amazon S3 jika terjadi salah satu hal berikut:

  • Anda menyegarkan data inventaris dengan memilih segarkan ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) pada konsol Amazon Macie. Anda dapat menyegarkan data setiap lima menit.

  • Anda mengirimkan DescribeBucketspermintaan ke Amazon Macie API secara terprogram dan Anda belum mengirimkan DescribeBuckets permintaan dalam lima menit sebelumnya.

  • Macie mendeteksi peristiwa yang relevan AWS CloudTrail .

Macie juga dapat mengambil metadata objek terbaru untuk bucket tertentu jika Anda memilih untuk menyegarkan data tersebut secara manual. Hal ini dapat membantu jika Anda baru saja membuat bucket atau membuat perubahan signifikan pada objek bucket selama 24 jam terakhir. Untuk menyegarkan metadata objek secara manual untuk bucket, pilih refresh ( The refresh button, which is a button that contains an empty, dark gray circle with an arrow ) di bagian Statistik objek pada panel detail bucket di halaman bucket S3 konsol. Fitur ini tersedia untuk ember yang menyimpan 30.000 objek atau lebih sedikit.

Setiap kali Macie mengambil metadata bucket atau objek, Macie secara otomatis memperbarui semua data yang relevan dalam inventaris Anda. Jika Macie mendeteksi perbedaan yang memengaruhi keamanan atau privasi bucket, Macie akan segera mulai mengevaluasi dan menganalisis perubahan. Ketika analisis selesai, Macie memperbarui data yang relevan dalam inventaris Anda. Jika ada perbedaan yang menurunkan keamanan atau privasi bucket, Macie juga akan membuat temuan kebijakan yang sesuai yang dapat ditinjau dan dipulihkan jika diperlukan.

Untuk menentukan kapan Macie baru-baru ini mengambil bucket atau metadata objek untuk akun Anda, Anda dapat merujuk ke bidang Terakhir diperbarui di konsol. Bidang ini muncul di dasbor Ringkasan, di halaman bucket S3, dan di panel detail bucket di halaman bucket S3. (Jika Anda menggunakan API Amazon Macie untuk meminta data inventaris, bidang lastUpdated menyediakan informasi ini.) Jika Anda administrator Macie untuk organisasi, bidang Terakhir diperbarui menunjukkan tanggal dan waktu paling awal saat Macie mengambil data untuk akun di organisasi Anda.

Pada kesempatan langka dalam kondisi tertentu, latensi dan permasalahan lain dapat mencegah Macie mengambil metadata bucket dan objek. Hal ini juga dapat menunda notifikasi bahwa Macie menerima perubahan pada inventaris bucket Anda atau pengaturan izin dan kebijakan untuk setiap bucket. Misalnya, masalah pengiriman dengan CloudTrail acara dapat menyebabkan penundaan. Jika ini terjadi, Macie menganalisis data baru dan yang diperbarui pada kesempatan berikutnya saat melakukan penyegaran harian, yaitu dalam waktu 24 jam.

Pertimbangan tambahan

Saat Anda menggunakan Amazon Macie untuk memantau dan menilai postur keamanan data Amazon S3 Anda, ingatlah hal-hal berikut:

  • Data inventaris hanya berlaku untuk bucket tujuan umum S3 saat ini. Wilayah AWS Untuk mengakses data untuk Wilayah tambahan, aktifkan dan gunakan Macie di setiap Wilayah tambahan.

  • Jika Anda administrator Macie untuk organisasi, Anda dapat mengakses data inventaris untuk akun anggota hanya jika Macie diaktifkan untuk akun tersebut di Wilayah saat ini.

  • Jika pengaturan izin bucket mencegah Macie mengambil informasi tentang bucket atau objek bucket, Macie tidak dapat mengevaluasi dan memantau keamanan dan privasi data bucket atau memberikan informasi rinci tentang bucket.

    Untuk membantu Anda mengidentifikasi ember di mana hal ini terjadi, Macie melakukan hal berikut:

    • Di inventaris bucket Anda, Macie menampilkan icon peringatan ( A red triangle with a red exclamation point in it ) untuk bucket. Untuk detail bucket, Macie hanya menampilkan subset bidang dan data: ID akun untuk pemilik bucket; nama bucket, Nama Sumber Daya Amazon (ARN), tanggal pembuatan, dan Wilayah; dan, tanggal dan waktu Macie baru-baru ini mengambil metadata bucket dan objek untuk bucket sebagai bagian dari siklus penyegaran harian. Akun AWS Jika Anda menggunakan Amazon Macie API untuk menanyakan data inventaris, Macie menyediakan kode kesalahan dan pesan untuk bucket dan nilai untuk sebagian besar properti bucket adalah null.

    • Di dasbor Ringkasan, bucket memiliki nilai statistik Unknown for Public access, Encryption, dan Sharing. (Jika Anda menggunakan Amazon Macie API untuk menanyakan statistik, bucket memiliki nilai unknown untuk statistik ini.) Selain itu, Macie mengecualikan bucket saat menghitung data untuk statistik Storage dan Objects.

    Untuk menyelidiki masalah ini, tinjau pengaturan kebijakan dan izin bucket di Amazon S3. Misalnya, bucket mungkin memiliki kebijakan bucket yang membatasi. Untuk informasi selengkapnya, lihat Mengizinkan Macie untuk mengakses bucket S3 dan objek.

  • Data tentang akses dan izin terbatas pada pengaturan tingkat akun dan tingkat bucket. Ini tidak mencerminkan pengaturan tingkat objek yang menentukan akses ke objek tertentu dalam bucket. Misalnya, jika akses publik diaktifkan untuk objek tertentu dalam bucket, Macie tidak melaporkan bahwa bucket atau objek bucket tersebut dapat diakses secara publik.

    Untuk memantau operasi tingkat objek dan mengidentifikasi potensi risiko keamanan, sebaiknya gunakan fitur perlindungan Amazon S3 Amazon. GuardDuty Fitur ini memantau peristiwa data tingkat objek, Amazon S3 dan menganalisanya untuk aktivitas berbahaya dan mencurigakan. Untuk informasi selengkapnya, lihat perlindungan Amazon S3 GuardDuty di Amazon di GuardDuty Panduan Pengguna Amazon.

  • Jika Anda menyegarkan metadata objek untuk bucket tertentu secara manual, untuk sementara Macie melaporkan sebagai Tidak Diketahui untuk statistik enkripsi yang berlaku untuk objek. Pada kesempatan lain saat Macie melakukan penyegaran data harian (dalam waktu 24 jam), Macie mengevaluasi ulang metadata enkripsi untuk objek dan melaporkan data kuantitatif untuk statistik lagi.

  • Jika Anda menyegarkan metadata objek secara manual untuk bucket tertentu, Macie untuk sementara mengecualikan data untuk bagian objek apa pun yang berisi bucket karena unggahan multibagian yang tidak lengkap. Lain kali Macie melakukan penyegaran data harian (dalam 24 jam), Macie menghitung ulang jumlah dan nilai ukuran penyimpanan untuk objek bucket dan menyertakan data untuk bagian-bagian dalam perhitungan tersebut.

  • Dalam kasus yang jarang terjadi, Macie mungkin tidak dapat menentukan apakah bucket dapat diakses publik atau dibagikan, atau memerlukan enkripsi sisi server objek baru. Misalnya, masalah sementara dapat mencegah Macie mengambil dan menganalisis data yang diperlukan. Atau Macie mungkin tidak dapat sepenuhnya menentukan apakah satu atau beberapa pernyataan kebijakan memberikan akses ke entitas eksternal. Dalam kasus ini, Macie melaporkan sebagai Tidak Diketahui untuk statistik dan bidang yang relevan dalam inventaris. Untuk menyelidiki kasus ini, tinjau setelan kebijakan dan izin bucket di Amazon S3.

Perhatikan juga bahwa Macie menghasilkan temuan kebijakan hanya jika keamanan atau privasi bucket berkurang setelah Anda mengaktifkan Macie untuk akun Anda. Misalnya, jika Anda menonaktifkan setelan blokir akses publik untuk bucket setelah Anda mengaktifkan Macie, Macie akan membuat pencarian BlockPublicAccessDisabledpolicy:iamuser/S3 untuk bucket. Namun, jika setelan blokir akses publik dinonaktifkan untuk bucket saat Anda mengaktifkan Macie dan setelan tersebut terus dinonaktifkan, Macie tidak akan menghasilkan temuan BlockPublicAccessDisabledpolicy:iamuser/S3 untuk bucket tersebut.

Selain itu, ketika Macie menilai keamanan dan privasi bucket, Macie tidak memeriksa log akses atau menganalisis pengguna, peran, dan konfigurasi lain yang relevan untuk akun. Sebaliknya, Macie menganalisis dan melaporkan data untuk pengaturan kunci yang menunjukkan potensi risiko keamanan. Misalnya, jika temuan kebijakan menunjukkan bahwa bucket dapat diakses secara publik, tidak berarti bahwa entitas eksternal mengakses bucket. Demikian pula, jika temuan kebijakan menunjukkan bahwa bucket dibagikan dengan orang Akun AWS luar organisasi Anda, Macie tidak mencoba menentukan apakah akses ini dimaksudkan dan aman. Sebaliknya, temuan ini menunjukkan bahwa entitas eksternal berpotensi mengakses data bucket, yang mungkin menjadi risiko keamanan yang tidak diinginkan.