Amazon Macie가 Amazon S3 데이터 보안을 모니터링하는 방법 - Amazon Macie
핵심 구성 요소데이터 새로 고침추가 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Macie가 Amazon S3 데이터 보안을 모니터링하는 방법

Amazon Macie를 활성화하면 Macie는 현재 계정에 AWS 계정대해 AWS Identity and Access Management (IAM) 서비스 연결 역할을 생성합니다. AWS 리전이 역할에 대한 권한 정책을 통해 Macie는 사용자를 대신하여 다른 사람에게 전화를 AWS 서비스 걸고 리소스를 모니터링할 수 있습니다. AWS 이 역할을 사용하여 Macie는 리전에서 Amazon Simple Storage Service (Amazon S3) 범용 버킷의 전체 인벤토리를 생성하고 유지 관리합니다. 또한 Macie는 보안 및 액세스 제어를 위해 버킷을 모니터링하고 평가합니다.

조직의 Macie 관리자인 경우 인벤토리에는 사용자 계정 및 조직 내 구성원 계정의 S3 버킷에 대한 통계 및 기타 데이터가 포함됩니다. 이 데이터를 통해 Macie를 사용하여 Amazon S3 데이터 자산 전반에 걸쳐 조직의 보안 상태를 모니터링하고 평가할 수 있습니다. 자세한 정보는 여러 계정 관리을 참조하세요.

핵심 구성 요소

Amazon Macie는 다양한 기능과 기술을 사용하여 S3 범용 버킷에 대한 인벤토리 데이터를 제공 및 유지하고 보안 및 액세스 제어를 위해 버킷을 모니터링 및 평가합니다.

메타데이터 수집 및 통계 계산

버킷 인벤토리에 대한 메타데이터와 통계를 생성하고 유지하기 위해 Macie는 Amazon S3에서 직접 버킷 및 객체 메타데이터를 검색합니다. 각 버킷의 메타데이터에는 다음이 포함됩니다.

  • 버킷의 이름, Amazon Resource Name (ARN), 생성 날짜, 암호화 설정, 태그, 버킷을 소유한 계정 ID 등과 같은 버킷에 대한 일반 정보. AWS 계정

  • 버킷에 적용되는 계정 수준의 권한 설정(예: 계정의 공개 액세스 차단 설정).

  • 버킷에 대한 버킷 수준 권한 설정(예: 버킷에 대한 공개 액세스 차단 설정, 버킷 정책 또는 액세스 제어 목록(ACL)에서 파생되는 설정).

  • 버킷에 대한 공유 액세스 및 복제 설정 (버킷 데이터를 조직에 속하지 AWS 계정 않은 사람과 복제할지 또는 공유할지 여부 포함)

  • 버킷의 객체 수 및 설정(예: 버킷의 객체 수, 암호화 유형, 파일 유형, 스토리지 클래스별 객체 수 분류).

Macie는 이 정보를 사용자에게 직접 제공합니다. 또한 Macie는 이 정보를 사용하여 통계를 계산하고 전체 버킷 인벤토리와 인벤토리 내 개별 버킷의 보안 및 개인 정보 보호에 대한 평가를 제공합니다. 예를 들어, 인벤토리의 총 스토리지 크기 및 버킷 수, 총 스토리지 크기 및 해당 버킷의 객체 수, Macie가 버킷의 민감한 데이터를 탐지하기 위해 분석할 수 있는 총 스토리지 크기 및 객체 수 등을 확인할 수 있습니다.

기본적으로 메타데이터와 통계에는 불완전한 멀티파트 업로드로 인해 존재하는 모든 객체 부분에 대한 데이터가 포함됩니다. 특정 버킷의 객체 메타데이터를 수동으로 새로 고치는 경우 Macie는 버킷 및 전체 버킷 인벤토리에 대한 통계를 다시 계산하고 객체 부분에 대한 데이터는 재계산된 값에서 제외합니다. 다음에 Macie가 일일 새로 고침 주기의 일부로 Amazon S3에서 버킷 및 객체 메타데이터를 검색할 때 Macie는 인벤토리 데이터를 업데이트하고 객체 부분에 대한 데이터를 다시 포함합니다. Macie가 버킷 및 객체 메타데이터를 검색하는 시점에 대한 자세한 내용은 데이터 새로 고침을 참조하세요.

Macie가 민감한 데이터를 탐지하기 위해 분석할 수 없는 객체의 부분이라는 점에 유의하는 것이 중요합니다. Amazon S3는 먼저 Macie가 분석할 수 있도록 부품을 하나 이상의 객체로 조립하는 작업을 완료해야 합니다. 수명 주기 규칙에 따라 파트를 자동으로 삭제하는 방법을 비롯하여 멀티파트 업로드 및 객체 파트에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서멀티파트 업로드를 사용한 객체 업로드 및 복사를 참조하세요. Amazon S3 Storage Lens에서 불완전한 멀티파트 업로드 지표를 참조하여 객체 부분이 포함된 버킷을 식별할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서스토리지 활동 및 사용량 평가를 참조하세요.

버킷 보안 및 개인정보 보호 모니터링

인벤토리의 버킷 수준 데이터의 정확성을 보장하기 위해 Macie는 Amazon S3 데이터에 발생할 수 있는 특정 AWS CloudTrail 이벤트를 모니터링하고 분석합니다. 관련 이벤트가 발생하면 Macie는 적절한 인벤토리 데이터를 업데이트합니다.

예를 들어, 버킷의 공개 액세스 차단 설정을 활성화하면 Macie는 버킷의 공개 액세스 설정에 대한 모든 데이터를 업데이트합니다. 마찬가지로 버킷에 대한 버킷 정책을 추가하거나 업데이트하는 경우 Macie는 정책을 분석하고 인벤토리의 관련 데이터를 업데이트합니다.

Macie는 다음 이벤트에 대한 데이터를 모니터링하고 분석합니다. CloudTrail

  • 계정 수준 이벤트 — 및 DeletePublicAccessBlock PutPublicAccessBlock

  • 버킷 수준 이벤트 —CreateBucket,,, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,DeleteBucketReplication,, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl, PutBucketEncryption, PutBucketPolicy PutBucketPublicAccessBlock PutBucketReplication PutBucketTagging PutBucketVersioning

추가 CloudTrail 이벤트에 대한 모니터링을 활성화하거나 이전 이벤트에 대한 모니터링을 비활성화할 수 없습니다. 이전 이벤트의 해당 작업에 대한 자세한 내용은 Amazon Simple Storage Service API 참조를 참조하세요.

작은 정보

객체 수준 이벤트를 모니터링하려면 Amazon의 Amazon S3 보호 기능을 사용하는 것이 좋습니다. GuardDuty 이 기능은 객체 수준의 Amazon S3 데이터 이벤트를 모니터링하고 악성 및 의심스러운 활동을 분석합니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 GuardDuty Amazon에서의 Amazon S3 보호를 참조하십시오.

버킷 보안 및 액세스 제어 평가

버킷 수준의 보안 및 액세스 제어를 평가하기 위해 Macie는 자동화된 로직 기반 추론을 사용하여 버킷에 적용되는 리소스 기반 정책을 분석합니다. 또한 Macie는 버킷에 적용되는 계정 및 버킷 수준의 권한 설정을 분석합니다. 이 분석에는 계정과 버킷에 대한 버킷 정책, 버킷 수준 ACL, 공개 액세스 차단 설정이 고려됩니다.

리소스 기반 정책의 경우 Macie는 Zelkova를 사용합니다. Zelkova는 AWS Identity and Access Management (IAM) 정책을 논리적 명령문으로 변환하고 의사 결정 문제에 대한 범용 및 특수 논리 해결사 모음 (만족도 모듈로 이론) 을 실행하는 자동화된 추론 엔진입니다. Macie는 정책이 허용하는 행동 수준을 특성화하기 위해 점점 더 구체적인 쿼리가 있는 정책에 Zelkova를 반복적으로 적용합니다. Zelkova가 사용하는 해석기의 특성에 대해 자세히 알아보려면 만족도 모듈로 이론을 참조하세요.

중요

버킷에 대해 위의 작업을 수행하려면 해당 버킷이 S3 범용 버킷이어야 합니다. Macie는 S3 디렉터리 버킷을 모니터링하거나 분석하지 않습니다.

또한 Macie가 버킷에 액세스할 수 있어야 합니다. 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 메타데이터를 검색할 수 없는 경우, Macie는 버킷에 대한 일부 정보만 제공할 수 있습니다. 여기에는 버킷 이름과 생성한 날짜가 포함됩니다. Macie는 버킷에 대한 추가 작업을 수행할 수 없습니다. 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.

데이터 새로 고침

Amazon Macie를 활성화하면 Macie는 Amazon AWS 계정 S3에서 직접 S3 범용 버킷 및 객체에 대한 메타데이터를 검색합니다. 이후 Macie는 일일 새로 고침 주기의 일부로 Amazon S3에서 직접 버킷 및 객체 메타데이터를 매일 자동으로 검색합니다.

또한 Macie는 다음이 발생할 때 Amazon S3에서 직접 버킷 메타데이터를 검색합니다.

  • Amazon Macie 콘솔에서 새로 고침( The refresh button, which is a button that contains an empty, dark gray circle with an arrow )을 선택하여 인벤토리 데이터를 새로 고칩니다. 매 5분 빈도로 데이터를 새로 고칠 수 있습니다.

  • Amazon Macie API에 프로그래밍 방식으로 DescribeBuckets요청을 제출했지만 지난 5분 동안 DescribeBuckets 요청을 제출하지 않았습니다.

  • Macie는 관련 이벤트를 감지합니다. AWS CloudTrail

Macie는 데이터를 수동으로 새로 고치기로 선택한 경우 특정 버킷의 최신 객체 메타데이터를 검색할 수도 있습니다. 최근에 버킷을 만들었거나 지난 24시간 동안 버킷의 객체를 상당 부분 변경한 경우에 유용할 수 있습니다. 버킷의 객체 메타데이터를 수동으로 새로 고치려면 콘솔의 S3 버킷 페이지에 있는 버킷 세부 정보 패널객체 통계 섹션에서 새로 고침( The refresh button, which is a button that contains an empty, dark gray circle with an arrow )을 선택합니다. 이 기능은 30,000개 이하의 객체를 저장하는 버킷에 사용할 수 있습니다.

Macie가 버킷 또는 객체 메타데이터를 검색할 때마다 Macie는 인벤토리의 모든 관련 데이터를 자동으로 업데이트합니다. Macie는 버킷의 보안 또는 개인 정보 보호에 영향을 미치는 차이점을 탐지하면 즉시 변경 사항을 평가하고 분석하기 시작합니다. 분석이 완료되면 Macie는 인벤토리의 관련 데이터를 업데이트합니다. 버킷의 보안 또는 개인정보 보호를 약화시키는 차이점을 탐지하면 Macie는 사용자가 검토하고 필요에 따라 수정할 수 있도록 정책 조사 결과를 생성합니다.

Macie가 계정에 대한 버킷 또는 객체 메타데이터를 가장 최근에 검색한 시점을 확인하려면 콘솔의 최근 업데이트 필드를 참조하세요. 이 필드는 요약 대시보드, S3 버킷 페이지 및 S3 버킷 페이지의 버킷 세부 정보 패널에 표시됩니다. (Amazon Macie API를 사용하여 재고 데이터를 쿼리하는 경우 lastUpdated 필드에 이 정보가 제공됩니다.) 조직의 Macie 관리자인 경우 최근 업데이트 필드에는 Macie가 조직 계정의 데이터를 검색한 가장 최근 날짜와 시간이 표시됩니다.

드문 경우이긴 하지만, 특정 조건에서는 지연 시간 및 기타 문제로 인해 Macie가 버킷 및 객체 메타데이터를 검색하지 못할 수 있습니다. 또한 이로 인해 버킷 인벤토리 변경 사항이나 개별 버킷의 권한 설정 및 정책에 대한 Macie의 알림이 지연될 수도 있습니다. 예를 들어 CloudTrail 이벤트와 관련된 전송 문제로 인해 지연이 발생할 수 있습니다. 이 경우 Macie는 다음 번에 24시간 이내에 매일 새로 고침을 수행할 때 새 데이터와 업데이트된 데이터를 분석합니다.

추가 고려 사항

Amazon Macie를 사용하여 Amazon S3 데이터의 보안 태세를 모니터링하고 평가할 때는 다음 사항에 유의하세요.

  • 인벤토리 데이터는 현재의 AWS 리전 S3 범용 버킷에만 적용됩니다. 추가 리전의 데이터에 액세스하려면 각 추가 리전에서 Macie를 활성화하고 사용하세요.

  • 조직의 Macie 관리자인 경우 현재 리전에서 Macie가 해당 계정에 대해 활성화된 경우에만 멤버 계정의 인벤토리 데이터에 액세스할 수 있습니다.

  • 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 정보를 검색할 수 없는 경우, Macie는 버킷 데이터의 보안 및 개인정보를 평가 및 모니터링하거나 버킷의 세부 정보를 제공할 수 없습니다.

    이러한 경우에 해당하는 버킷을 식별할 수 있도록 Macie는 다음과 같은 작업을 수행합니다.

    • 버킷 인벤토리에서 Macie는 해당 버킷에 대한 경고 아이콘( A red triangle with a red exclamation point in it )을 표시합니다. 버킷 세부 정보의 경우 Macie는 버킷을 소유한 계정 ID, 버킷 이름, Amazon Resource Name (ARN), 생성 날짜, 지역, Macie가 가장 최근에 일일 새로 고침 주기의 일부로 버킷에 대한 버킷과 객체 메타데이터를 모두 검색한 날짜 및 시간 등 필드 및 데이터의 하위 집합만 표시합니다. AWS 계정 Amazon Macie API를 사용하여 인벤토리 데이터를 쿼리하는 경우 Macie는 버킷에 대한 오류 코드와 메시지를 제공하며 대부분의 버킷 속성 값은 null입니다.

    • 요약 대시보드에서 버킷의 공개 액세스, 암호화공유 통계 값은 알 수 없음으로 설정되어 있습니다. (Amazon Macie API를 사용하여 통계를 쿼리하는 경우, 버킷은 이 통계에 대해 unknown에 해당하는 값을 보유합니다.) 또한 Macie는 스토리지객체 통계에 대한 데이터를 계산할 때 버킷을 제외합니다.

    문제를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하십시오. 예를 들어 버킷에 제한적인 버킷 정책이 있을 수 있습니다. 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.

  • 액세스 및 권한에 대한 데이터는 계정 및 버킷 수준 설정으로 제한됩니다. 버킷의 특정 객체에 대한 액세스를 결정하는 객체 수준 설정은 반영하지 않습니다. 예를 들어, 버킷의 특정 객체에 대해 공개 액세스가 활성화된 경우, Macie는 해당 버킷 또는 버킷의 객체에 공개적으로 액세스할 수 있다고 보고하지 않습니다.

    객체 수준 작업을 모니터링하고 잠재적인 보안 위험을 식별하려면 Amazon의 Amazon S3 보호 기능을 사용하는 것이 좋습니다. GuardDuty 이 기능은 객체 수준의 Amazon S3 데이터 이벤트를 모니터링하고 악성 및 의심스러운 활동을 분석합니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 GuardDuty Amazon에서의 Amazon S3 보호를 참조하십시오.

  • 특정 버킷의 객체 메타데이터를 수동으로 새로 고침하면 Macie는 객체에 적용되는 암호화 통계를 일시적으로 알 수 없음으로 보고합니다. 다음에 Macie가 매일 데이터를 새로 고칠 때(24시간 이내) Macie는 객체의 암호화 메타데이터를 재평가하고 통계를 위해 정량적 데이터를 다시 보고합니다.

  • 특정 버킷의 객체 메타데이터를 수동으로 새로 고치는 경우 Macie는 불완전한 멀티파트 업로드로 인해 버킷에 포함된 모든 객체 부분의 데이터를 일시적으로 제외합니다. 다음에 Macie가 매일 데이터 새로 고침을 수행하면(24시간 이내) Macie는 버킷 객체의 개수 및 스토리지 크기 값을 다시 계산하고 해당 계산에 해당 부분에 대한 데이터를 포함합니다.

  • 드문 경우이긴 하지만, Macie는 버킷이 공개적으로 액세스 가능한지 또는 공유되는지 판단하지 못하거나 새 객체의 서버 측 암호화가 필요한지 확인하지 못할 수도 있습니다. 예를 들어, 일시적인 문제로 인해 Macie가 필요한 데이터를 검색하고 분석하지 못할 수 있습니다. 또는 Macie는 하나 이상의 정책 명령문이 외부 주체에 대한 액세스 권한을 부여하는지를 완전히 판단하지 못할 수도 있습니다. 이러한 경우 Macie는 인벤토리의 관련 통계 및 필드에 대해 알 수 없음을 보고합니다. 이러한 사례를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하세요.

또한 Macie는 계정에서 Macie를 활성화한 후 버킷의 보안 또는 개인 정보 보호가 저하되는 경우에만 정책 조사 결과를 생성한다는 점에 유의하세요. 예를 들어 Macie를 활성화한 후 버킷에 대한 공개 액세스 차단 설정을 비활성화하면 Macie는 해당 버킷에 대해 정책:IAmuser/S3 찾기 기능을 생성합니다. BlockPublicAccessDisabled 하지만 Macie를 활성화했을 때 버킷에 대한 공개 액세스 차단 설정이 비활성화되었는데도 계속 비활성화되어 있는 경우 Macie는 해당 버킷에 대해 정책:IAmuser/S3 찾기 기능을 생성하지 않습니다. BlockPublicAccessDisabled

또한 Macie는 버킷의 보안 및 개인 정보를 평가할 때 액세스 로그를 검사하거나 사용자, 역할 및 계정에 대한 기타 관련 구성을 분석하지 않습니다. 대신 Macie는 잠재적 보안 위험을 나타내는 주요 설정에 대한 데이터를 분석하고 보고합니다. 예를 들어, 정책 조사 결과에 따르면 버킷에 공개적으로 액세스할 수 있는 것으로 나타났다고 해서 반드시 외부 주체가 버킷에 액세스했다는 의미는 아닙니다. 마찬가지로, 정책 결과에 따르면 버킷이 조직 AWS 계정 외부와 공유되는 것으로 나타나는 경우 Macie는 이러한 액세스가 의도되고 안전한지 여부를 확인하려고 하지 않습니다. 대신 이러한 조사 결과는 외부 주체가 잠재적으로 버킷 데이터에 액세스할 수 있다는 것을 나타내며, 이는 의도하지 않은 보안 위험일 수 있습니다.