Amazon Macie란 무엇인가요?

Amazon Macie는 기계 학습과 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험에 대한 자동 보호를 지원하는 데이터 보안 서비스입니다.

조직의 Amazon Simple Storage Service(S3) 데이터 자산의 보안 태세를 관리할 수 있도록 Macie는 S3 버킷의 인벤토리를 제공하며 보안 및 액세스 제어를 위해 버킷을 자동으로 평가 및 모니터링합니다. 버킷에 퍼블릭 액세스가 가능해지는 등 Macie가 데이터의 보안이나 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 결과를 조사 생성하며, 필요에 따라 사용자가 검토하고 수정할 수 있습니다.

또한 Macie는 민감한 데이터의 검색 및 보고를 자동화하기 때문에 조직이 Amazon S3에 저장하는 데이터를 더 잘 이해할 수 있도록 도와줍니다. 민감한 데이터를 탐지하려면 Macie에서 제공하는 기본 제공 기준 및 기법, 사용자가 정의한 사용자 지정 기준 또는 이 둘의 조합을 사용할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 감지하면, Macie가 발견한 민감한 데이터를 사용자에게 알려주는 조사 결과를 결과를 생성합니다.

조사 결과 외에도 Macie는 Amazon S3 데이터의 보안 태세에 대한 인사이트를 제공하고 민감한 데이터가 데이터 자산에서 있을 수 있는 위치에 대한 인사이트를 제공하는 통계 및 기타 데이터를 제공합니다. 통계 및 데이터는 특정 S3 버킷 및 객체를 심층적으로 조사하기 위한 결정을 내리는 데 지침이 될 수 있습니다. Amazon Macie 콘솔 또는 Amazon Macie API를 사용하여 조사 결과, 통계 및 기타 데이터를 검토하고 분석할 수 있습니다. 또한 Macie와 Amazon EventBridge 및 AWS Security Hub의 통합을 활용하여 다른 서비스, 애플리케이션 및 시스템을 사용하여 조사 결과를 모니터링, 처리 및 수정할 수 있습니다.

Amazon Macie의 기능

Amazon Macie가 Amazon S3의 민감한 데이터를 검색, 모니터링 및 보호하는 데 도움을 줄 수 있는 몇 가지 주요 방법은 다음과 같습니다.

민감한 데이터 검색 자동화

Macie를 사용하면 민감한 데이터 자동 검색을 수행하도록 Macie를 구성하는 방법과 민감한 데이터 검색 작업을 생성 및 실행하는 방법으로 민감한 데이터의 검색 및 보고를 자동화할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 탐지하면 Macie가 민감한 데이터 조사 결과물을 생성합니다. 조사 결과는 Macie가 발견한 민감한 데이터에 대한 자세한 보고서를 제공합니다.

민감한 데이터 자동 검색을 통해 Amazon S3 데이터 자산에서 민감한 데이터가 어디에 있는지 폭넓게 파악할 수 있게 해줍니다. 이 옵션을 사용하여 Macie는 계속해서 S3 버킷 인벤토리를 평가하고 샘플링 기법을 사용하여 버킷의 대표적인 S3 객체를 식별하고 선택합니다. 그런 다음 Macie는 선택한 객체를 검색 및 분석하여 민감한 데이터가 있는지 검사합니다.

민감한 데이터 검색 작업은 심층적이고 표적화된 분석을 제공합니다. 이 옵션을 사용하면 분석할 S3 버킷, 샘플링 깊이, S3 객체의 속성에서 파생되는 사용자 지정 기준 등 분석의 범위와 심도를 정의합니다. 온디맨드 분석 및 평가를 위해 한 번만 실행하거나 주기적 분석, 평가 및 모니터링을 위해 반복적으로 실행하도록 작업을 구성할 수도 있습니다.

두 옵션 모두 조직이 Amazon S3에 저장하는 데이터와 해당 데이터에 대한 보안 또는 규정 준수 위험을 포괄적으로 파악하고 유지하는 데 도움이 됩니다.

다양한 민감한 데이터 유형 살펴보기

Macie를 사용하여 민감한 데이터를 검색하려면 기계 학습과 패턴 일치와 같은 기본 기준 및 기법을 사용하여 S3 버킷에서 객체를 분석할 수 있습니다. 총칭하여 관리형 데이터 식별자라고 하는 이러한 기준 및 기술은 여러 유형의 개인 식별 정보(PII), 금융 정보, 자격 증명 데이터를 포함하여 점점 증가하는 민감한 데이터 유형 목록을 많은 국가 및 리전에서 탐지할 수 있습니다.

사용자 지정 데이터 식별자를 사용할 수도 있습니다. 사용자 지정 데이터 식별자는 민감한 데이터를 탐지하기 위해 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하고 정규 표현식(regex)을 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하는 기준 세트입니다. 이 유형의 식별자를 사용하면 특정 시나리오, 지적 재산 또는 독점 데이터를 반영하는 민감한 데이터를 탐지할 수 있습니다. Macie에서 제공하는 관리형 데이터 식별자를 보완할 수 있습니다.

분석을 세밀하게 조정하기 위해 허용 목록을 사용할 수도 있습니다. 허용 목록은 Macie가 S3 객체에서 무시할 특정 텍스트 및 텍스트 패턴을 정의합니다. 이는 일반적으로 특정 시나리오나 환경에 대한 민감한 데이터 예외입니다. 예를 들어 조직의 공공 담당자 이름, 조직의 공용 전화번호, 조직에서 테스트에 사용하는 샘플 데이터 등이 이에 해당합니다.

보안 및 액세스 제어를 위한 데이터 평가 및 모니터링

Macie를 활성화하면 Macie는 S3 버킷의 전체 인벤토리를 자동으로 생성하고 유지 관리하기 시작합니다. 또한 보안 및 액세스 제어를 위한 버킷의 평가 및 모니터링도 포함됩니다. Macie가 버킷의 보안 또는 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 정책 조사 결과를 생성합니다.

대시보드는 구체적인 조사 결과 외에도 Amazon S3 데이터에 대한 집계된 통계의 스냅샷을 제공합니다. 여기에는 공개적으로 액세스할 수 있거나 다른 AWS 계정와 공유되는 버킷 수와 같은 주요 지표에 대한 통계가 포함됩니다. 각 통계를 자세히 분석하여 지원 데이터를 검토할 수 있습니다.

또한 Macie는 인벤토리의 개별 S3 버킷에 대한 자세한 정보와 통계를 제공합니다. 데이터에는 버킷의 공개 액세스 및 암호화 설정에 대한 분석, Macie가 분석하여 버킷의 민감한 데이터를 탐지할 수 있는 객체의 크기 및 수 등이 포함됩니다. 인벤토리를 찾아보거나 특정 필드를 기준으로 인벤토리를 정렬 및 필터링할 수 있습니다. 버킷을 선택하면 패널에 버킷의 세부 정보가 표시됩니다.

조사 결과 검토 및 분석

Macie에서 조사 결과란 Macie가 S3 객체에서 발견한 민감한 데이터 또는 S3 버킷의 보안 또는 개인 정보 보호와 관련된 잠재적 문제에 대한 자세한 보고서입니다. 각 조사 결과는 심각도 등급, 영향을 받는 리소스에 대한 정보, Macie가 문제를 발견한 시기와 방법 같은 추가 세부 정보를 제공합니다.

조사 결과를 검토, 분석 및 관리하려면 Amazon Macie 콘솔의 조사 결과 페이지를 사용할 수 있습니다. 이 페이지는 조사 결과를 나열하고 개별 조사 결과에 대한 세부 정보를 제공합니다. 또한 조사 결과를 그룹화, 필터링, 정렬 및 제외하기 위한 여러 옵션을 제공합니다. Amazon Macie API를 사용하여 조사 결과를 쿼리, 검색 및 숨길 수도 있습니다. API를 사용하는 경우 심층 분석, 장기 보관 또는 보고를 위해 데이터를 다른 애플리케이션, 서비스 또는 시스템으로 전달할 수 있습니다.

다른 서비스 및 시스템을 사용하여 조사 결과를 모니터링하고 처리

다른 서비스 및 시스템과의 통합을 지원하기 위해 Macie는 검색 이벤트로 조사 결과를 Amazon EventBridge에 게시합니다. EventBridge는 조사 결과 데이터를 AWS Lambda 함수 및 Amazon Simple Notification Service(SNS) 주제와 같은 대상으로 라우팅할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge를 사용하면 기존 보안 및 규정 준수 워크플로의 일부로 거의 실시간으로 조사 결과를 모니터링하고 처리할 수 있습니다.

Macie가 AWS Security Hub에 조사 결과를 게시하도록 구성할 수도 있습니다. Security Hub는 사용자에게 사용자 AWS 환경에서의 보안 상태를 포괄적으로 제공하는 서비스로 보안 업계 표준 및 모범 사례와 비교하여 환경을 점검할 수 있도록 도와주는 서비스입니다. Security Hub를 사용하면 AWS에서 조직의 보안 태세에 대한 광범위한 분석의 일환으로 조사 결과를 보다 쉽게 모니터링하고 처리할 수 있습니다. 또한 여러 AWS 리전의 조사 결과를 집계한 다음 집계된 결과 데이터를 단일 리전에서 모니터링 및 처리할 수 있습니다.

여러 Macie 계정을 중앙에서 관리

AWS 환경에 계정이 여러 개 있는 경우 해당 환경의 Macie 계정을 중앙에서 관리할 수 있습니다. Macie를 Macie와 AWS Organizations를 통합하거나 Macie에서 멤버 초대를 보내고 수락하는 두 가지 방법으로 이 작업을 수행할 수 있습니다.

다중 계정 구성에서는 지정된 Macie 관리자가 특정 작업을 수행하고 동일한 조직의 멤버인 계정에 대한 특정 Macie 설정, 데이터 및 리소스에 액세스할 수 있습니다. 작업에는 멤버 계정이 소유한 S3 버킷에 대한 정보 검토, 해당 버킷에 대한 정책 조사 결과 검토, 버킷의 민감한 데이터 검사 등이 포함됩니다. AWS Organizations를 통해 계정이 연결된 경우 Macie 관리자는 조직의 멤버 계정에 대해 Macie를 활성화할 수도 있습니다.

프로그래밍 방식으로 리소스를 개발하고 관리

Amazon Macie 콘솔 외에도 Amazon Macie API를 사용하여 Macie와 상호 작용할 수 있습니다. Amazon Macie API를 사용하면 Macie 계정 설정, 데이터 및 리소스에 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다.

프로그래밍 방식으로 Macie와 상호 작용하려면 HTTPS 요청을 Macie에 직접 보내거나 최신 버전의 AWS 명령줄 도구 또는 AWS SDK를 사용할 수 있습니다. AWS에서는 PowerShell, Java, Go, Python, C++, .NET 등의 다양한 언어 및 플랫폼에 대한 라이브러리와 샘플 코드로 구성된 도구 및 SDK를 제공합니다.

Amazon Macie 액세스

Amazon Macie는 대부분 AWS 리전에서 사용할 수 있습니다. 현재 Macie를 사용할 수 있는 모든 리전 목록은 AWS 일반 참조의 Amazon Macie 및 엔드포인트 및 할당량을 참조하세요. 사용자 AWS 계정의 AWS 리전 관리에 대한 자세한 내용은 AWS Account Management 참조 안내서에서 사용할 수 있는 AWS 리전 계정 지정을 참조하세요.

각 리전에서 다음 방법 중 하나로 Macie와 작업할 수 있습니다.

AWS Management Console

AWS Management Console은 AWS 리소스를 생성하고 관리하는 데 사용할 수 있는 브라우저 기반 인터페이스입니다. 이 콘솔의 일부인 Amazon Macie 콘솔은 Macie 계정, 데이터 및 리소스에 대한 액세스를 제공합니다. Macie 콘솔을 사용하여 S3 버킷에 대한 통계 및 기타 정보를 검토하고, 민감한 데이터 검색 작업을 생성 및 실행하고, 조사 결과를 검토 및 분석하는 등 모든 Macie 작업을 수행할 수 있습니다.

AWS 명령줄 도구

AWS 명령줄 도구를 사용하면 시스템 명령줄에서 명령을 실행하여 Macie 작업 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS에서는 AWS Command Line Interface(AWS CLI) 및 AWS Tools for PowerShell라는 두 가지 명령줄 도구 세트를 제공합니다. AWS CLI 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하세요. Tools for PowerShell 도구 설치 및 사용에 대한 자세한 내용은 AWS Tools for PowerShell 사용 설명서를 참조하세요.

AWS SDK

AWS는 다양한 프로그래밍 언어 및 플랫폼(예: Java, Go, Python, C++, .NET)을 위한 라이브러리와 샘플 코드로 구성된 SDK를 제공합니다. SDK를 사용하면 편리하게 Macie 및 기타 AWS 서비스에 대한 편리하고 프로그래밍 방식의 액세스를 제공합니다. 이는 또한 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 처리합니다. AWS SDK 설치 및 사용에 대한 자세한 내용은 AWS 기반의 도구를 참조하세요.

Amazon Macie REST API

Amazon Macie REST API를 사용하면 Macie 계정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다. 이 API를 사용하면 HTTPS 요청을 Macie에 직접 보낼 수 있습니다. 하지만 AWS 명령줄 도구 및 SDK와 달리 이 API를 사용하려면 애플리케이션에서 요청에 서명할 해시 생성과 같은 하위 수준의 세부 정보를 처리해야 합니다. 이러한 API에 대한 자세한 내용은 Amazon Macie API 참조를 참조하세요.

Amazon Macie 요금

다른 AWS 제품과 마찬가지로 Amazon Macie 사용 관련 계약이나 최소 약정이 없습니다.

Macie 요금은 보안 및 액세스 제어를 위한 S3 버킷 평가 및 모니터링, 민감한 데이터 자동 검색을 위한 S3 객체 모니터링, 객체에서 민감한 데이터를 발견하고 보고하기 위한 S3 객체 분석 등 여러 차원을 기반으로 합니다. 자세한 내용은 Amazon Macie 요금을 참조하세요.

Macie는 Macie 사용 비용을 이해하고 예측하는 데 도움이 되도록 계정의 예상 사용 비용을 제공합니다. Amazon Macie 콘솔에서 이러한 추정치를 검토하고 Amazon Macie API를 사용하여 이에 액세스할 수 있습니다. 서비스 사용 방식에 따라 Amazon S3에서 버킷 데이터를 검색하고 분석을 위해 고객이 관리형 AWS KMS keys를 사용하여 객체 암호를 해독하는 등 특정 Macie 기능과 함께 다른 AWS 서비스를 함께 사용하면 추가 비용이 발생할 수 있습니다.

Macie를 처음 활성화하면 사용자의 AWS 계정가 Macie의 30일 무료 평가판에 자동으로 등록됩니다. 여기에는 AWS Organizations에서 조직의 일부로 활성화된 개별 계정도 포함됩니다. 무료 평가판 기간 동안 보안 및 액세스 제어를 위해 이용 가능한 AWS 리전에서 S3 버킷을 평가하고 모니터링하는 데 Macie를 사용하면 요금이 부과되지 않습니다. 계정 설정에 따라 무료 평가판에는 Amazon S3 데이터에 대한 민감한 데이터 자동 검색 수행도 포함될 수 있습니다. S3 객체에서 민감한 데이터를 검색 및 보고할 민감한 데이터 검색 작업을 실행하는 것은 무료 평가판에 포함되지 않습니다.

Macie는 무료 평가판 종료 후 Macie를 사용하는 데 드는 비용을 이해하고 예측할 수 있도록 평가판 사용 기간 중 Macie를 사용한 금액을 기준으로 예상 사용 비용을 제공합니다. 사용량 데이터에는 무료 평가판이 종료될 때까지 남은 시간도 표시됩니다. Amazon Macie 콘솔에서 이 데이터를 검토하고 Amazon Macie API를 사용하여 데이터에 액세스할 수 있습니다.

관련 서비스

AWS에서 데이터, 워크로드 및 애플리케이션을 더욱 안전하게 보호하려면 Amazon Macie와 함께 다음 AWS 서비스를 사용하는 것이 좋습니다.

AWS Security Hub

AWS Security Hub에서는 AWS 리소스의 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 점검할 수 있도록 도와줍니다. 이는 부분적으로 여러 AWS 서비스(Macie 포함) 및 지원되는 AWS 파트너 네트워크(APN) 제품의 보안 조사 결과를 소비, 집계, 구성 및 우선 순위를 지정함으로써 이루어집니다. Security Hub는 보안 추세를 분석하여 AWS 환경 전반의 가장 우선순위가 높은 보안 문제를 파악할 수 있도록 도와줍니다.

에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요. Macie와 Security Hub를 함께 사용하는 방법에 대한 자세한 내용은 Amazon Macie와 통합 AWS Security Hub 단원을 참조하세요.

Amazon GuardDuty

Amazon GuardDuty는 Amazon S3에 대한 AWS CloudTrail 데이터 이벤트 로그 및 CloudTrail 관리 이벤트 로그와 같은 특정 유형의 AWS 로그를 분석하고 처리하는 보안 모니터링 서비스입니다. 악성 IP 주소 및 도메인 목록 등 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경에서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다.

GuardDuty에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서를 참조하세요.

추가 AWS 보안 서비스에 대해 알아보려면 AWS에서 보안, 자격 증명 및 규정 준수를 참조하세요.