Come funziona l'individuazione automatica dei dati sensibili - Amazon Macie
Componenti chiaveConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona l'individuazione automatica dei dati sensibili

Quando abiliti Amazon Macie per il tuo account Account AWS, Macie crea un ruolo AWS Identity and Access Management (IAM) collegato al servizio per il tuo account nella versione corrente. Regione AWS La politica di autorizzazione per questo ruolo consente a Macie di chiamare altri utenti Servizi AWS e monitorare le risorse per tuo conto. AWS Utilizzando questo ruolo, Macie genera e gestisce un inventario completo dei bucket generici Amazon Simple Storage Service (Amazon S3) nella regione. L'inventario include informazioni su ciascuno dei bucket S3 e degli oggetti in essi contenuti. Se sei l'amministratore Macie di un'organizzazione, il tuo inventario include informazioni sui bucket di proprietà dei tuoi account membro. Per ulteriori informazioni, consulta Gestione di più account .

Se abiliti il rilevamento automatico dei dati sensibili, Macie valuta i dati dell'inventario su base giornaliera per identificare gli oggetti S3 idonei per il rilevamento automatico. Come parte della valutazione, Macie seleziona anche un campione di oggetti rappresentativi da analizzare. Macie recupera e analizza quindi la versione più recente di ogni oggetto selezionato, ispezionandolo alla ricerca di dati sensibili.

Man mano che l'analisi procede ogni giorno, Macie aggiorna le statistiche, i dati di inventario e altre informazioni che fornisce sui dati di Amazon S3. Macie registra anche i dati sensibili che trova e le analisi che esegue. I dati risultanti forniscono informazioni su dove Macie ha trovato dati sensibili nel tuo patrimonio di dati Amazon S3, che possono riguardare tutti i bucket S3 generici che Macie monitora e analizza per il tuo account. I dati possono aiutarti a valutare la sicurezza e la privacy dei tuoi dati Amazon S3, determinare dove eseguire un'indagine più approfondita e identificare i casi in cui è necessaria una correzione.

Per una breve dimostrazione di come funziona il rilevamento automatico di dati sensibili, guarda il seguente video:

Per configurare e gestire il rilevamento automatico di dati sensibili, devi essere l'amministratore Macie di un'organizzazione o disporre di un account Macie autonomo. Se il tuo account fa parte di un'organizzazione, solo l'amministratore Macie dell'organizzazione può abilitare o disabilitare il rilevamento automatico degli account dell'organizzazione. Inoltre, solo l'amministratore Macie può configurare e gestire le impostazioni di rilevamento automatico per gli account. Ciò include impostazioni che definiscono l'ambito e la natura delle analisi eseguite da Macie. Se disponi di un account membro in un'organizzazione, contatta l'amministratore di Macie per conoscere le impostazioni del tuo account e della tua organizzazione.

Componenti chiave

Amazon Macie utilizza una combinazione di caratteristiche e tecniche per eseguire il rilevamento automatico di dati sensibili. Questi funzionano insieme alle funzionalità fornite da Macie per aiutarti a monitorare i dati di Amazon S3 per motivi di sicurezza e controllo degli accessi.

Selezione degli oggetti S3 da analizzare

Su base giornaliera, Macie valuta i dati dell'inventario Amazon S3 per identificare gli oggetti S3 idonei all'analisi mediante rilevamento automatico di dati sensibili. Se sei l'amministratore Macie di un'organizzazione, per impostazione predefinita la valutazione include i dati per i bucket S3 di proprietà dei tuoi account membro.

Come parte della valutazione, Macie utilizza tecniche di campionamento per selezionare oggetti S3 rappresentativi da analizzare. Le tecniche definiscono gruppi di oggetti che hanno metadati simili e che probabilmente hanno contenuti simili. I gruppi si basano su dimensioni quali il nome del bucket, il prefisso, la classe di archiviazione, l'estensione del nome di file e la data dell'ultima modifica. Macie seleziona quindi un set rappresentativo di campioni da ciascun gruppo, recupera la versione più recente di ogni oggetto selezionato da Amazon S3 e analizza ogni oggetto selezionato per determinare se l'oggetto contiene dati sensibili. Quando l'analisi è completa, Macie scarta la sua copia dell'oggetto.

La strategia di campionamento dà priorità alle analisi distribuite. In generale, utilizza un approccio innovativo al tuo patrimonio di dati Amazon S3. Ogni giorno, viene selezionato un set rappresentativo di oggetti S3 dal maggior numero possibile di bucket generici in base alla dimensione totale di storage di tutti gli oggetti classificabili nel tuo patrimonio di dati Amazon S3. Ad esempio, se Macie ha già analizzato e trovato dati sensibili negli oggetti in un bucket e non ha ancora analizzato gli oggetti in un altro bucket, quest'ultimo bucket ha una priorità maggiore per l'analisi. Con questo approccio, ottieni più rapidamente informazioni dettagliate sulla sensibilità dei tuoi dati Amazon S3. A seconda della dimensione del patrimonio di dati, i risultati dell'analisi possono iniziare a comparire entro 48 ore.

La strategia di campionamento dà inoltre priorità all'analisi di diversi tipi di oggetti S3 e oggetti che sono stati creati o modificati di recente. Non è garantito che ogni singolo campione di oggetto sia conclusivo. Pertanto, l'analisi di un insieme diversificato di oggetti può fornire una migliore comprensione dei tipi e della quantità di dati sensibili che un bucket S3 potrebbe contenere. Inoltre, l'assegnazione di priorità agli oggetti nuovi o modificati di recente aiuta l'analisi ad adattarsi alle modifiche all'inventario dei bucket. Ad esempio, se gli oggetti vengono creati o modificati dopo un'analisi precedente, tali oggetti hanno una priorità maggiore per l'analisi successiva. Al contrario, se un oggetto è stato analizzato in precedenza e non è cambiato da quell'analisi, Macie non lo analizza nuovamente. Questo approccio consente di stabilire linee di base di sensibilità per i singoli bucket S3. Quindi, man mano che le analisi continue e incrementali procedono per il tuo account, le valutazioni di sensibilità dei singoli bucket possono diventare sempre più approfondite e dettagliate a un ritmo prevedibile.

Definizione dell'ambito delle analisi

Per impostazione predefinita, Macie include tutti i bucket S3 per uso generico che monitora e analizza per conto dell'account quando valuta i dati dell'inventario e seleziona gli oggetti S3 da analizzare. Se sei l'amministratore Macie di un'organizzazione, sono inclusi i bucket di proprietà dei tuoi account membro.

Puoi modificare l'ambito delle analisi escludendo specifici bucket S3 dal rilevamento automatico dei dati sensibili. Ad esempio, potresti preferire escludere i bucket che in genere memorizzano i dati di AWS registrazione, come i registri degli eventi. AWS CloudTrail Per escludere un bucket, puoi modificare le impostazioni di rilevamento automatico per il tuo account o per il bucket. Se lo fai, Macie inizia a escludere il bucket all'inizio del successivo ciclo giornaliero di valutazione e analisi. Puoi escludere fino a 1.000 bucket dalle analisi. Se escludi un bucket S3, puoi includerlo di nuovo in un secondo momento. Per fare ciò, modifica nuovamente le impostazioni del tuo account o del bucket. Macie inizia quindi a includere il bucket quando inizia il successivo ciclo giornaliero di valutazione e analisi.

Se sei l'amministratore Macie di un'organizzazione, puoi anche abilitare o disabilitare il rilevamento automatico dei dati sensibili per i singoli account dell'organizzazione. Se disabiliti il rilevamento automatico per un account, Macie esclude tutti i bucket S3 di proprietà dell'account. Se successivamente riattivi il rilevamento automatico per l'account, Macie ricomincia a includere i bucket.

Determinazione dei tipi di dati sensibili da rilevare e segnalare

Per impostazione predefinita, Macie ispeziona gli oggetti S3 utilizzando il set di identificatori di dati gestiti che consigliamo per l'individuazione automatica dei dati sensibili. Per un elenco di questi identificatori di dati gestiti, consulta. Impostazioni predefinite per l'individuazione automatica dei dati sensibili

Puoi personalizzare le analisi per concentrarti su tipi specifici di dati sensibili. A tale scopo, modifica le impostazioni di rilevamento automatico in uno dei seguenti modi:

  • Aggiungere o rimuovere identificatori di dati gestiti: un identificatore di dati gestito è un insieme di criteri e tecniche integrati progettati per rilevare un tipo specifico di dati sensibili, come numeri di carte di credito, chiavi di accesso AWS segrete o numeri di passaporto per un determinato paese o area geografica. Per ulteriori informazioni, consulta Utilizzo di identificatori di dati gestiti.

  • Aggiungere o rimuovere identificatori di dati personalizzati: un identificatore di dati personalizzato è un insieme di criteri definiti per rilevare dati sensibili. Con gli identificatori di dati personalizzati, puoi rilevare dati sensibili che riflettono scenari particolari, proprietà intellettuale o dati proprietari della tua organizzazione. Ad esempio, puoi rilevare i numeri di account dei dipendentiIDs, dei clienti o le classificazioni interne dei dati. Per ulteriori informazioni, consulta Creazione di identificatori di dati personalizzati.

  • Aggiungi o rimuovi elenchi consentiti: in Macie, un elenco di elementi consentiti specifica il testo o uno schema di testo che desideri che Macie ignori negli oggetti S3. Si tratta in genere di eccezioni relative ai dati sensibili per scenari o ambienti particolari, come nomi pubblici o numeri di telefono dell'organizzazione o dati di esempio utilizzati dall'organizzazione per i test. Per ulteriori informazioni, consulta Definizione delle eccezioni relative ai dati sensibili con gli elenchi consentiti.

Se modifichi un'impostazione, Macie applica la modifica all'inizio del successivo ciclo di analisi giornaliero. Se sei l'amministratore Macie di un'organizzazione, Macie utilizza le impostazioni del tuo account quando analizza gli oggetti S3 per altri account dell'organizzazione.

Puoi anche configurare impostazioni a livello di bucket che determinano se tipi specifici di dati sensibili sono inclusi nelle valutazioni della sensibilità di un bucket. Per scoprire come, consulta Regolazione dei punteggi di sensibilità per i bucket S3.

Calcolo dei punteggi di sensibilità

Per impostazione predefinita, Macie calcola automaticamente un punteggio di sensibilità per ogni bucket S3 generico che monitora e analizza per il tuo account. Se sei l'amministratore Macie di un'organizzazione, questo include i bucket di proprietà dei tuoi account membro.

In Macie, un punteggio di sensibilità è una misura quantitativa dell'intersezione di due dimensioni principali: la quantità di dati sensibili che Macie ha trovato in un bucket e la quantità di dati che Macie ha analizzato in un bucket. Il punteggio di sensibilità di un bucket determina l'etichetta di sensibilità che Macie assegna al bucket. Un'etichetta di sensibilità è una rappresentazione qualitativa del punteggio di sensibilità di un bucket, ad esempio Sensibile, Non sensibile e Non ancora analizzato. Per dettagli sulla gamma di punteggi di sensibilità ed etichette definiti da Macie, consulta. Punteggio di sensibilità per i bucket S3

Importante

Il punteggio di sensibilità e l'etichetta di un bucket S3 non implicano o indicano in altro modo la criticità o l'importanza che il bucket o gli oggetti del bucket potrebbero avere per te o la tua organizzazione. Al contrario, hanno lo scopo di fornire punti di riferimento che possono aiutarti a identificare e monitorare i potenziali rischi per la sicurezza.

Quando abiliti il rilevamento automatico dei dati sensibili per la prima volta, Macie assegna automaticamente un punteggio di sensibilità di 50 e l'etichetta Non ancora analizzato a ciascun bucket S3. L'eccezione sono i bucket vuoti. Un bucket vuoto è un bucket che non memorizza alcun oggetto o che tutti gli oggetti del bucket contengono zero (0) byte di dati. Se questo è il caso di un bucket, Macie assegna un punteggio pari a 1 al bucket e gli assegna l'etichetta Non sensibile.

Man mano che la scoperta automatica dei dati sensibili progredisce, Macie aggiorna i punteggi e le etichette di sensibilità per riflettere i risultati delle sue analisi. Per esempio:

  • Se Macie non trova dati sensibili in un oggetto, Macie riduce il punteggio di sensibilità del bucket e aggiorna l'etichetta di sensibilità del bucket, se necessario.

  • Se Macie trova dati sensibili in un oggetto, Macie aumenta il punteggio di sensibilità del bucket e aggiorna l'etichetta di sensibilità del bucket, se necessario.

  • Se Macie trova dati sensibili in un oggetto che viene successivamente modificato, Macie rimuove i rilevamenti di dati sensibili per l'oggetto dal punteggio di sensibilità del bucket e aggiorna l'etichetta di sensibilità del bucket, se necessario.

  • Se Macie trova dati sensibili in un oggetto che viene successivamente eliminato, Macie rimuove i rilevamenti di dati sensibili per l'oggetto dal punteggio di sensibilità del bucket e aggiorna l'etichetta di sensibilità del bucket, se necessario.

Puoi regolare le impostazioni del punteggio di sensibilità per i singoli bucket S3 includendo o escludendo tipi specifici di dati sensibili dal punteggio di un bucket. Puoi anche sovrascrivere il punteggio calcolato di un bucket assegnando manualmente il punteggio massimo (100) al bucket. Se assegni il punteggio massimo, l'etichetta del bucket è Sensibile. Per ulteriori informazioni, consulta Regolazione dei punteggi di sensibilità per i bucket S3.

Generazione di metadati, statistiche e altri tipi di risultati

Quando abiliti il rilevamento automatico dei dati sensibili, Macie genera e inizia a gestire dati di inventario aggiuntivi, statistiche e altre informazioni sui bucket generici S3 che monitora e analizza per il tuo account. Se sei l'amministratore Macie di un'organizzazione, per impostazione predefinita sono inclusi i bucket di proprietà dei tuoi account membro.

Le informazioni aggiuntive raccolgono i risultati delle attività automatizzate di rilevamento di dati sensibili che Macie ha svolto finora. Inoltre, integra altre informazioni fornite da Macie sui tuoi dati Amazon S3, come le impostazioni di accesso pubblico e accesso condiviso per i singoli bucket. Le informazioni aggiuntive includono:

  • Una rappresentazione visiva e interattiva della sensibilità dei dati in tutto il tuo patrimonio di dati Amazon S3.

  • Statistiche aggregate sulla sensibilità dei dati, ad esempio il numero totale di bucket in cui Macie ha trovato dati sensibili e quanti di questi bucket sono accessibili al pubblico.

  • Dettagli a livello di bucket che indicano lo stato attuale delle analisi. Ad esempio, un elenco di oggetti che Macie ha analizzato in un bucket, i tipi di dati sensibili che Macie ha trovato in un bucket e il numero di occorrenze di ogni tipo di dati sensibili trovati da Macie.

Le informazioni includono anche statistiche e dettagli che possono aiutarti a valutare e monitorare la copertura dei tuoi dati Amazon S3. Puoi controllare lo stato delle analisi per il tuo patrimonio di dati in generale e per i singoli bucket S3. Puoi anche identificare i problemi che impedivano a Macie di analizzare gli oggetti in bucket specifici. Se risolvi i problemi, puoi aumentare la copertura dei dati di Amazon S3 durante i cicli di analisi successivi. Per ulteriori informazioni, consulta Valutazione della copertura automatizzata del rilevamento di dati sensibili.

Macie ricalcola e aggiorna automaticamente queste informazioni mentre esegue il rilevamento automatico dei dati sensibili. Ad esempio, se Macie trova dati sensibili in un oggetto S3 che viene successivamente modificato o eliminato, Macie aggiorna i metadati del bucket applicabile: rimuove l'oggetto dall'elenco degli oggetti analizzati; rimuove le occorrenze di dati sensibili che Macie ha trovato nell'oggetto; ricalcola il punteggio di sensibilità, se il punteggio viene calcolato automaticamente; e aggiorna l'etichetta di sensibilità se necessario per riflettere il nuovo punteggio.

Oltre ai metadati e alle statistiche, Macie produce registrazioni dei dati sensibili che trova e delle analisi che esegue: rilevamenti di dati sensibili, che riportano i dati sensibili che Macie trova nei singoli oggetti S3, e risultati di rilevamento dei dati sensibili, che registrano i dettagli sull'analisi dei singoli oggetti S3.

Per ulteriori informazioni, consulta Revisione dei risultati automatizzati del rilevamento di dati sensibili.

Considerazioni

Quando configuri e utilizzi Amazon Macie per eseguire il rilevamento automatico di dati sensibili per i tuoi dati Amazon S3, tieni presente quanto segue:

  • Le tue impostazioni di rilevamento automatico si applicano solo a quelle correnti. Regione AWS Di conseguenza, le analisi e i dati risultanti si applicano solo ai bucket e agli oggetti generici S3 nella regione corrente. Per eseguire il rilevamento automatico e accedere ai dati risultanti in altre regioni, abilita e configura il rilevamento automatico in ogni regione aggiuntiva.

  • Se sei l'amministratore Macie di un'organizzazione:

    • Puoi eseguire l'individuazione automatica di un account membro solo se Macie è abilitato per l'account nella regione corrente. Inoltre, devi abilitare il rilevamento automatico per l'account in quella regione. I membri non possono abilitare o disabilitare il rilevamento automatico per i propri account.

    • Se abiliti il rilevamento automatico per un account membro, Macie utilizza le impostazioni di rilevamento automatico per il tuo account amministratore quando analizza i dati relativi all'account membro. Le impostazioni applicabili sono: l'elenco dei bucket S3 da escludere dalle analisi e gli identificatori di dati gestiti, gli identificatori di dati personalizzati e gli elenchi di dati consentiti da utilizzare per l'analisi degli oggetti S3. I membri non possono rivedere o modificare queste impostazioni.

    • I membri non possono accedere alle impostazioni di rilevamento automatico per i singoli bucket S3 di loro proprietà. Ad esempio, un membro non può rivedere o modificare le impostazioni del punteggio di sensibilità per uno dei propri bucket. Solo l'amministratore di Macie può accedere a queste impostazioni.

    • I membri hanno accesso in lettura alle statistiche sulla scoperta di dati sensibili e ad altri risultati che Macie fornisce direttamente per i loro bucket S3. Ad esempio, un membro può utilizzare Macie per esaminare i punteggi di sensibilità e i dati di copertura per i propri bucket S3. L'eccezione è rappresentata dai rilevamenti di dati sensibili. Solo l'amministratore di Macie ha accesso diretto ai risultati prodotti dal rilevamento automatico.

  • Se le impostazioni delle autorizzazioni di un bucket S3 impediscono a Macie di accedere o recuperare informazioni sul bucket o sugli oggetti del bucket, Macie non può eseguire il rilevamento automatico del bucket. Macie può fornire solo un sottoinsieme di informazioni sul bucket, come l'ID account del proprietario del Account AWS bucket, il nome del bucket e l'ultima data in cui Macie ha recuperato i metadati del bucket e dell'oggetto per il bucket come parte del ciclo di aggiornamento giornaliero. Nel tuo inventario dei bucket, il punteggio di sensibilità per questi bucket è 50 e la loro etichetta di sensibilità Non è ancora stata analizzata. Per identificare i bucket S3 in cui ciò si verifica, puoi fare riferimento ai dati di copertura. Per ulteriori informazioni, consulta Valutazione della copertura automatizzata del rilevamento di dati sensibili.

  • Per essere idoneo alla selezione e all'analisi, un oggetto S3 deve essere archiviato in un bucket generico e deve essere classificabile. Un oggetto classificabile utilizza una classe di storage Amazon S3 supportata e ha un'estensione del nome di file per un file o un formato di storage supportato. Per ulteriori informazioni, consulta Classi e formati di archiviazione supportati.

  • Se un oggetto S3 è crittografato, Macie può analizzarlo solo se è crittografato con una chiave a cui Macie può accedere e che può usare. Per ulteriori informazioni, consulta Analisi di oggetti S3 crittografati. Per identificare i casi in cui le impostazioni di crittografia hanno impedito a Macie di analizzare uno o più oggetti in un bucket, puoi fare riferimento ai dati di copertura. Per ulteriori informazioni, consulta Valutazione della copertura automatizzata del rilevamento di dati sensibili.