민감한 데이터 자동 검색의 작동 방식 - Amazon Macie
핵심 구성 요소고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

민감한 데이터 자동 검색의 작동 방식

Amazon Macie를 활성화하면 Macie는 현재 계정에 AWS 계정대해 AWS Identity and Access Management (IAM) 서비스 연결 역할을 생성합니다. AWS 리전이 역할에 대한 권한 정책을 통해 Macie는 사용자를 대신하여 다른 사람에게 전화를 AWS 서비스 걸고 리소스를 모니터링할 수 있습니다. AWS 이 역할을 사용하여 Macie는 리전에서 Amazon Simple Storage Service (Amazon S3) 범용 버킷의 전체 인벤토리를 생성하고 유지 관리합니다. 인벤토리에는 각 S3 버킷 및 버킷 내 객체에 대한 정보가 포함됩니다. 조직의 Macie 관리자인 경우 인벤토리에는 구성원 계정이 소유한 버킷에 대한 정보가 포함됩니다. 자세한 정보는 여러 계정 관리을 참조하세요.

민감한 데이터 자동 검색을 활성화한 경우 Macie는 매일 인벤토리 데이터를 평가하여 자동 검색에 적합한 S3 객체를 식별합니다. 평가의 일환으로 Macie는 분석할 대표적인 객체의 샘플도 선택합니다. 그런 다음 Macie는 선택한 각 객체의 최신 버전을 검색하고 분석하여 민감한 데이터가 있는지 검사합니다.

매일 분석이 진행됨에 따라 Macie는 Amazon S3 데이터에 대해 제공하는 통계, 인벤토리 데이터 및 기타 정보를 업데이트합니다. 또한 Macie는 찾은 민감한 데이터와 수행한 분석에 대한 기록을 생성합니다. 결과 데이터를 통해 Macie가 Amazon S3 데이터 자산에서 민감한 데이터를 발견한 위치를 파악할 수 있습니다. 이 데이터는 Macie가 사용자 계정에 대해 모니터링하고 분석하는 모든 S3 범용 버킷에 걸쳐 있을 수 있습니다. 이 데이터는 Amazon S3 데이터의 보안 및 개인 정보 보호를 평가하고, 심층 조사를 수행할 위치를 결정하고, 수정이 필요한 사례를 식별하는 데 도움이 될 수 있습니다.

민감한 데이터 자동 검색의 작동 방식에 대한 간략한 데모를 보려면 다음 동영상을 시청하세요.

민감한 데이터 자동 검색을 구성하고 관리하려면 계정이 조직의 Macie 관리자 계정이거나 독립형 Macie 계정이어야 합니다. 계정이 조직의 일부인 경우 조직의 Macie 관리자만 조직 내 계정에 대한 민감한 데이터 자동 검색을 활성화하거나 비활성화할 수 있습니다. 또한 Macie 관리자만 계정에 대한 민감한 데이터 자동 검색 설정을 구성하고 관리할 수 있습니다.

핵심 구성 요소

Amazon Macie는 여러 기능과 기법을 조합하여 민감한 데이터 검색을 자동으로 수행합니다. 이러한 기능은 Macie가 제공하는 기능과 함께 작동하여 보안 및 액세스 제어를 위해 Amazon S3 데이터를 모니터링하는 데 도움이 됩니다.

분석할 S3 객체 선택

Macie는 매일 Amazon S3 인벤토리 데이터를 평가하여 민감한 데이터 자동 검색을 통해 분석에 적합한 S3 객체를 식별합니다. 조직의 Macie 관리자인 경우 기본적으로 회원 계정이 소유한 S3 버킷에 대한 데이터가 평가에 포함됩니다.

평가의 일환으로 Macie는 샘플링 기법을 사용하여 분석할 대표적인 S3 객체를 선택합니다. 이 기법은 메타데이터가 비슷하고 내용이 비슷할 가능성이 높은 객체 그룹을 정의합니다. 그룹은 버킷 이름, 접두사, 스토리지 클래스, 파일 이름 확장자, 마지막 수정 날짜 등의 차원을 기반으로 합니다. 그런 다음 Macie는 각 그룹에서 대표적인 샘플 세트를 선택하고, Amazon S3에서 선택한 각 객체의 최신 버전을 검색하고 선택한 각 객체를 분석하여 객체에 민감한 데이터가 포함되어 있는지 확인합니다. 분석이 완료되면 Macie는 객체 사본을 폐기합니다.

샘플링 전략은 분산 분석의 우선 순위를 지정합니다. 일반적으로 Amazon S3 데이터 자산에는 폭 우선 접근 방식을 사용합니다. Amazon S3 데이터 에스테이트에 있는 분류 가능한 모든 객체의 총 스토리지 크기를 기준으로 가능한 한 많은 범용 버킷에서 매일 대표적인 S3 객체 세트를 선택합니다. 예를 들어 Macie가 이미 한 버킷의 객체에서 민감한 데이터를 분석하고 발견했지만 다른 버킷의 객체를 아직 분석하지 않은 경우 후자의 버킷이 분석 우선 순위가 더 높습니다. 이 접근 방식을 사용하면 Amazon S3 데이터의 민감도를 보다 빠르고 폭넓게 파악할 수 있습니다. 데이터 자산의 규모에 따라 48시간 이내에 분석 결과가 나타나기 시작할 수 있습니다.

또한 샘플링 전략은 다양한 종류의 S3 객체와 최근에 생성되거나 변경된 객체에 대한 분석의 우선 순위를 지정합니다. 단일 객체 샘플을 확실하다고 보장할 수는 없습니다. 따라서 다양한 객체 세트를 분석하면 S3 버킷에 포함될 수 있는 민감한 데이터의 유형 및 양을 더 잘 파악할 수 있습니다. 또한 새 객체 또는 최근에 변경된 객체의 우선 순위를 지정하면 분석을 버킷 인벤토리의 변화에 맞게 조정할 수 있습니다. 예를 들어 이전 분석 후에 객체를 만들거나 변경한 경우, 후속 분석에서는 해당 객체의 우선 순위가 더 높습니다. 반대로, 이전에 분석된 객체가 있고 그 분석 이후 변경되지 않은 경우, Macie는 해당 객체를 다시 분석하지 않습니다. 이 접근 방식은 개별 S3 버킷의 민감도 기준을 설정하는 데 도움이 됩니다. 그러면 계정에 지속적인 증분 분석이 진행됨에 따라 개별 버킷에 대한 민감도 평가가 예측 가능한 속도로 점점 더 심층적이고 상세해질 수 있습니다.

분석 범위 정의

기본적으로 Macie에는 인벤토리 데이터를 평가하고 분석할 S3 객체를 선택할 때 계정에 대해 모니터링하고 분석하는 모든 S3 범용 버킷이 포함되어 있습니다. 사용자가 조직의 Macie 관리자인 경우, 여기에는 멤버 계정이 소유한 버킷이 포함됩니다.

특정 S3 버킷을 제외하여 분석 범위를 조정할 수 있습니다. 예를 들어, 이벤트 로그와 같이 일반적으로 AWS 로깅 데이터를 저장하는 버킷은 제외하는 것이 좋을 수 있습니다. AWS CloudTrail 버킷을 제외하려면 계정 또는 버킷의 민감 데이터 자동 검색 설정을 변경할 수 있습니다. 이렇게 하면 Macie는 다음 일일 평가 및 분석 주기가 시작될 때 버킷을 제외하기 시작합니다. 분석에서 최대 1,000개의 버킷을 제외할 수 있습니다. S3 버킷을 제외하면 이후에 다시 포함시킬 수 있습니다. 이렇게 하려면 계정 또는 버킷의 설정을 다시 변경하십시오. 그러면 Macie는 다음 일일 평가 및 분석 주기가 시작될 때 버킷을 포함하기 시작합니다.

조직의 Macie 관리자인 경우 조직의 개별 계정에 대해 민감한 데이터 자동 검색을 활성화하거나 비활성화할 수도 있습니다. 계정에 대한 자동 검색을 비활성화하면 Macie는 계정이 소유한 모든 S3 버킷을 제외합니다. 이후에 계정에 대한 자동 검색을 다시 활성화하면 Macie가 버킷을 다시 포함하기 시작합니다.

감지 및 보고할 민감한 데이터 유형 결정

기본적으로 Macie는 민감한 데이터 자동 검색에 권장되는 관리형 데이터 식별자 세트를 사용하여 S3 객체를 검사합니다. 이러한 관리형 데이터 식별자 목록은 민감한 데이터 자동 검색을 위한 기본 설정 섹션을 참조하세요.

특정 유형의 민감한 데이터에 초점을 맞추도록 분석을 조정할 수 있습니다. 이렇게 하려면 다음과 같은 방법으로 계정의 민감한 데이터 자동 검색 설정을 변경합니다.

  • 관리형 데이터 식별자 추가 또는 제거 - 관리형 데이터 식별자는 특정 국가 또는 지역의 신용 카드 번호, AWS 비밀 액세스 키 또는 여권 번호와 같은 특정 유형의 민감한 데이터를 탐지하도록 설계된 일련의 기본 제공 기준 및 기법입니다. 자세한 정보는 관리형 데이터 식별자 사용을 참조하세요.

  • 사용자 지정 데이터 식별자 추가 또는 제거 - 사용자 지정 데이터 식별자는 민감한 데이터를 탐지하기 위해 정의하는 일련의 기준입니다. 사용자 지정 데이터 식별자를 사용하면 조직의 특정 시나리오, 지적 재산 또는 독점 데이터(예: 직원 ID, 고객 계정 번호 또는 내부 데이터 분류)를 반영하는 민감한 데이터를 감지할 수 있습니다. 자세한 정보는 사용자 지정 데이터 식별자 빌드을 참조하세요.

  • 허용 목록 추가 또는 제거 - Macie의 허용 목록은 Macie가 S3 객체에서 무시할 텍스트 또는 텍스트 패턴을 지정합니다. 이는 일반적으로 조직의 공개 이름이나 전화번호, 조직에서 테스트에 사용하는 샘플 데이터 등 특정 시나리오나 환경에 대한 민감한 데이터 예외입니다. 자세한 정보는 허용 목록을 사용하여 민감한 데이터 예외사항 정의을 참조하세요.

설정을 변경하면 Macie는 다음 일일 분석 주기가 시작될 때 변경 내용을 적용합니다. 조직의 Macie 관리자인 경우 Macie는 조직의 다른 계정에 대한 S3 객체를 분석할 때 해당 계정의 설정을 사용합니다.

버킷 민감도 평가에 특정 유형의 민감한 데이터를 포함할지 여부를 결정하는 버킷 수준 설정을 조정할 수도 있습니다. 자세한 방법은 개별 S3 버킷에 대한 민감한 데이터 자동 검색 관리(을)를 참조하세요.

민감도 점수 계산

기본적으로 Macie는 계정에 대해 모니터링하고 분석하는 각 S3 범용 버킷의 민감도 점수를 자동으로 계산합니다. 사용자가 조직의 Macie 관리자인 경우, 여기에는 멤버 계정이 소유한 버킷이 포함됩니다.

Macie에서 민감도 점수는 Macie가 버킷에서 발견한 민감한 데이터의 양과 Macie가 버킷에서 분석한 데이터의 양, 이 두 가지 기본 차원의 교차점을 정량적으로 측정한 것입니다. 버킷의 민감도 점수에 따라 Macie가 버킷에 할당하는 민감도 레이블이 결정됩니다. 민감도 레이블은 버킷의 민감도 점수를 정성적으로 표현한 것입니다(예: 민감함, 민감하지 않음, 아직 분석되지 않음). Macie가 정의하는 민감도 점수 및 레이블의 범위에 대한 자세한 내용은 S3 버킷의 민감도 점수 섹션을 참조하세요.

중요

S3 버킷의 민감도 점수 및 레이블은 해당 버킷 또는 버킷 객체가 조직에 미칠 수 있는 중요도나 중요성을 암시하거나 나타내지 않습니다. 대신 잠재적 보안 위험을 식별하고 모니터링하는 데 도움이 되는 참조 지점을 제공합니다.

처음에 민감한 데이터 자동 검색을 활성화하면 Macie는 각 S3 버킷에 민감도 점수 50과 아직 분석되지 않음 레이블을 자동으로 할당합니다. 빈 버킷은 예외입니다. 빈 버킷은 객체를 저장하지 않거나 모든 버킷의 객체에 0바이트의 데이터가 포함된 버킷입니다. 버킷이 이 경우에 해당하면 Macie는 버킷에 점수 1을 할당하고 버킷에는 민감하지 않음 레이블을 할당합니다.

민감한 데이터 자동 검색이 진행됨에 따라 Macie는 분석 결과를 반영하도록 민감도 점수와 레이블을 업데이트합니다. 예:

  • Macie가 객체에서 민감한 데이터를 찾지 못하면 Macie는 버킷의 민감도 점수를 낮추고 필요에 따라 버킷의 민감도 레이블을 업데이트합니다.

  • Macie가 객체에서 민감한 데이터를 발견하면 Macie는 버킷의 민감도 점수를 높이고 필요에 따라 버킷의 민감도 레이블을 업데이트합니다.

  • Macie가 이후에 변경된 객체에서 민감한 데이터를 발견하면 Macie는 해당 객체에 대한 민감한 데이터 감지를 버킷의 민감도 점수에서 제거하고, 필요에 따라 버킷의 민감도 레이블을 업데이트합니다.

  • Macie가 이후에 삭제된 객체에서 민감한 데이터를 발견하면 해당 객체에 대한 민감한 데이터 감지를 버킷의 민감도 점수에서 제거하고, 필요에 따라 버킷의 민감도 레이블을 업데이트합니다.

버킷 점수에서 특정 유형의 민감한 데이터를 포함하거나 제외하여 개별 S3 버킷의 민감도 점수 설정을 조정할 수 있습니다. 또한 버킷에 최대 점수(100)를 수동으로 할당하여 버킷의 계산된 점수를 재정의할 수 있습니다. 최대 점수를 할당하는 경우, 버킷에는 민감함 레이블이 지정됩니다. 자세한 정보는 개별 S3 버킷에 대한 자동화된 데이터 검색 관리을 참조하세요.

메타데이터, 통계 및 결과 생성

민감한 데이터 자동 검색을 활성화하면 Macie는 계정에 대해 모니터링하고 분석하는 S3 범용 버킷에 대한 추가 인벤토리 데이터, 통계 및 기타 정보를 생성하고 유지 관리하기 시작합니다. 조직의 Macie 관리자인 경우 기본적으로 여기에는 구성원 계정이 소유한 버킷이 포함됩니다.

추가 정보는 Macie가 지금까지 수행한 자동화된 민감한 데이터 검색 활동의 결과를 캡처합니다. 또한 개별 버킷의 퍼블릭 액세스 및 공유 액세스 설정과 같이 Macie가 Amazon S3 데이터에 대해 제공하는 기타 정보를 보완합니다. 추가 정보에는 다음이 포함됩니다.

  • 집계된 데이터 민감도 통계(예: Macie가 민감한 데이터를 발견한 총 버킷 수, 공개 액세스할 수 있는 버킷 수)

  • Amazon S3 데이터 자산 전반의 데이터 민감도를 대화식형으로 시각적으로 표현.

  • 분석의 현재 상태를 나타내는 버킷 수준의 세부 정보. Macie가 버킷에서 분석한 객체 목록, Macie가 버킷에서 발견한 민감한 데이터의 유형, Macie가 발견한 각 유형의 민감한 데이터 발생 횟수 등을 예로 들 수 있습니다.

이 정보에는 Amazon S3 데이터의 적용 범위를 평가하고 모니터링하는 데 도움이 되는 통계 및 세부 정보도 포함되어 있습니다. 전체 데이터 자산과 버킷 인벤토리의 개별 S3 버킷에 대한 분석 상태를 확인할 수 있습니다. 또한 Macie가 특정 버킷의 객체를 분석하지 못하게 하는 문제를 식별할 수 있습니다. 문제를 해결하면 후속 분석 주기 동안 Amazon S3 데이터의 적용 범위를 늘릴 수 있습니다. 자세한 정보는 민감한 데이터 자동 검색 범위 평가을 참조하세요.

Macie는 자동화된 민감한 데이터 검색을 수행하는 동안 이 정보를 자동으로 재계산하고 업데이트합니다. 예를 들어 Macie가 이후에 변경되거나 삭제된 S3 객체에서 민감한 데이터를 발견하면 Macie는 해당 버킷의 메타데이터를 업데이트합니다. 즉, 분석된 객체 목록에서 해당 객체를 제거하고, Macie가 객체에서 발견한 민감한 데이터의 발생을 제거하고, 점수가 자동으로 계산되면 민감도 점수를 다시 계산하고, 필요에 따라 민감도 레이블을 업데이트하여 새 점수를 반영합니다.

메타데이터 및 통계 외에도 Macie는 Macie가 개별 S3 객체에서 발견한 민감한 데이터를 보고하는 민감한 데이터 검색 결과, 개별 S3 객체의 분석에 대한 세부 정보를 기록하는 민감한 데이터 검색 결과 등 찾은 민감한 데이터와 수행하는 분석에 대한 기록을 생성합니다.

자세한 정보는 민감한 데이터 자동 검색 통계 및 결과 검토을 참조하세요.

고려 사항

Amazon Macie를 구성하고 사용하여 Amazon S3 데이터에 대한 민감한 데이터 자동 검색을 수행할 때는 다음 사항에 유의하십시오.

  • 자동 검색 설정은 현재 AWS 리전설정에만 적용됩니다. 따라서 결과 분석 및 데이터는 현재 지역의 S3 범용 버킷 및 객체에만 적용됩니다. 자동 검색을 수행하고 추가 지역의 결과 데이터에 액세스하려면 각 추가 리전에서 자동 검색을 활성화하고 구성하세요.

  • 조직의 Macie 관리자인 경우

    • 현재 리전의 계정에 Macie가 활성화된 경우에만 멤버 계정에 대해 자동 검색을 수행할 수 있습니다. 또한 해당 지역의 계정에 대해 자동 검색을 활성화해야 합니다. 구성원은 자신의 계정에 대해 자동 검색을 활성화할 수 없습니다.

    • 회원 계정에 대한 자동 검색을 활성화하면 Macie는 구성원 계정의 데이터를 분석할 때 관리자 계정의 자동 검색 설정을 사용합니다. 적용 가능한 설정은 분석에서 제외할 S3 버킷 목록과 S3 객체를 분석할 때 사용할 관리 데이터 식별자, 사용자 지정 데이터 식별자, 허용 목록입니다. 구성원은 자신의 계정에 대해 이러한 설정을 구성할 수 없습니다.

    • 구성원은 S3 버킷의 자동 검색 설정에 액세스할 수 없습니다. 예를 들어 구성원은 자신이 소유한 버킷의 민감도 점수 설정을 조정할 수 없습니다. Macie 관리자만 이러한 설정에 액세스할 수 있습니다.

    • 구성원은 Macie가 S3 버킷에 직접 제공하는 민감한 데이터 검색 통계 및 기타 결과에 액세스할 수 없습니다. 예를 들어 구성원은 Macie를 사용하여 S3 버킷의 민감도 점수를 검토하거나 자동 검색이 S3 객체에 대해 생성한 결과에 액세스할 수 없습니다. Macie 관리자만 Macie를 사용하여 이 데이터에 액세스할 수 있습니다.

  • S3 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 정보를 검색하거나 액세스할 수 없는 경우, Macie는 버킷에 대한 자동 검색을 수행할 수 없습니다. Macie는 버킷을 소유한 AWS 계정 의 계정 ID, 버킷 이름, Macie가 가장 최근 일일 새로 고침 주기의 일부로 버킷에 대한 버킷 및 객체 메타데이터를 검색한 시기 등 버킷에 대한 일부 정보만 제공할 수 있습니다. 버킷 인벤토리에서 이러한 버킷의 민감도 점수는 50이며 민감도 레이블은 아직 분석되지 않음입니다.

    이러한 경우, S3 버킷을 빠르게 식별하려면 자동 검색 범위 데이터를 참조하세요. 자세한 정보는 민감한 데이터 자동 검색 범위 평가을 참조하세요. 특정 버킷의 문제를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하세요. 예를 들어 버킷에 제한적인 버킷 정책이 있을 수 있습니다. 자세한 정보는 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용을 참조하세요.

  • 선택 및 분석 대상이 되려면 S3 객체를 범용 버킷에 저장하고 분류할 수 있어야 합니다. 분류 가능한 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하며 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자를 가집니다. 자세한 정보는 지원하는 스토리지 클래스 및 형식을 참조하세요.

  • S3 객체가 암호화된 경우, Macie는 Macie가 액세스할 수 있고 사용할 수 있는 키로 해당 객체를 암호화한 경우에만 해당 객체를 분석할 수 있습니다. 자세한 정보는 암호화된 S3 객체 분석을 참조하세요. 암호화 설정으로 인해 Macie가 버킷에 있는 하나 이상의 객체를 분석하지 못한 경우를 파악하려면 자동 검색 범위 데이터를 참조하세요. 자세한 내용은 민감한 데이터 자동 검색 범위 평가을(를) 참조하세요.