Amazon Macie란 무엇인가요? - Amazon Macie

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Macie란 무엇인가요?

Amazon Macie는 기계 학습과 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험에 대한 자동 보호를 지원하는 데이터 보안 서비스입니다.

조직의 Amazon Simple Storage Service(Amazon S3) 데이터 자산의 보안 태세를 관리하는 데 도움이 되도록 Macie는 S3 범용 버킷의 인벤토리를 제공하고 버킷의 보안 및 액세스 제어를 자동으로 평가하고 모니터링합니다. 버킷에 퍼블릭 액세스가 가능해지는 등 Macie가 데이터의 보안이나 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 결과를 조사 생성하며, 필요에 따라 사용자가 검토하고 수정할 수 있습니다.

또한 Macie는 민감한 데이터의 검색 및 보고를 자동화하기 때문에 조직이 Amazon S3에 저장하는 데이터를 더 잘 이해할 수 있도록 도와줍니다. 민감한 데이터를 탐지하려면 Macie에서 제공하는 기본 제공 기준 및 기법, 사용자가 정의한 사용자 지정 기준 또는 이 둘의 조합을 사용할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 감지하면 Macie는 발견한 민감한 데이터를 알려주는 결과를 생성합니다.

조사 결과 외에도 Macie는 Amazon S3 데이터의 보안 태세와 민감한 데이터가 데이터 자산에 있을 수 있는 위치에 대한 통찰력을 제공하는 통계 및 정보를 제공합니다. 통계와 정보는 특정 S3 버킷 및 객체에 대한 심층 조사를 수행하기 위한 결정을 안내할 수 있습니다. Amazon Macie 콘솔 또는 Amazon Macie 를 사용하여 조사 결과, 통계 및 기타 정보를 검토하고 분석할 수 있습니다API. 또한 Amazon과의 Macie 통합 EventBridge 및 AWS Security Hub 를 활용하여 다른 서비스, 애플리케이션 및 시스템을 사용하여 조사 결과를 모니터링, 처리 및 수정할 수 있습니다.

Macie의 기능

Amazon Macie가 Amazon S3의 민감한 데이터를 검색, 모니터링 및 보호하는 데 도움을 줄 수 있는 몇 가지 주요 방법은 다음과 같습니다.

민감한 데이터 검색 자동화

Macie를 사용하면 민감한 데이터 자동 검색을 수행하도록 Macie를 구성하는 방법과 민감한 데이터 검색 작업을 생성 및 실행하는 방법으로 민감한 데이터의 검색 및 보고를 자동화할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 탐지하면 Macie가 민감한 데이터 조사 결과물을 생성합니다. 조사 결과는 Macie가 감지한 민감한 데이터에 대한 자세한 보고서를 제공합니다.

민감한 데이터 자동 검색을 통해 Amazon S3 데이터 자산에서 민감한 데이터가 어디에 있는지 폭넓게 파악할 수 있게 해줍니다. 이 옵션을 사용하여 Macie는 계속해서 S3 버킷 인벤토리를 평가하고 샘플링 기법을 사용하여 버킷의 대표적인 S3 객체를 식별하고 선택합니다. 그런 다음 Macie는 선택한 객체를 검색 및 분석하여 민감한 데이터가 있는지 검사합니다.

민감한 데이터 검색 작업은 심층적이고 표적화된 분석을 제공합니다. 이 옵션을 사용하면 분석할 S3 버킷, 샘플링 깊이, S3 객체의 속성에서 파생되는 사용자 지정 기준 등 분석의 범위와 심도를 정의합니다. 온디맨드 분석 및 평가를 위해 한 번만 실행하거나 주기적 분석, 평가 및 모니터링을 위해 반복적으로 실행하도록 작업을 구성할 수도 있습니다.

두 옵션 모두 조직이 Amazon S3에 저장하는 데이터와 해당 데이터에 대한 보안 또는 규정 준수 위험을 포괄적으로 파악하고 유지하는 데 도움이 됩니다.

다양한 민감한 데이터 유형 살펴보기

Macie를 사용하여 민감한 데이터를 검색하려면 기계 학습과 패턴 일치와 같은 기본 기준 및 기법을 사용하여 S3 버킷에서 객체를 분석할 수 있습니다. 관리형 데이터 식별자 라고 하는 이러한 기준 및 기법은 여러 유형의 개인 식별 정보(PII), 금융 정보 및 자격 증명 데이터를 포함하여 많은 국가 및 리전에 대한 중요 데이터 유형의 크고 증가하는 목록을 감지할 수 있습니다.

사용자 지정 데이터 식별자를 사용할 수도 있습니다. 사용자 지정 데이터 식별자는 민감한 데이터를 탐지하기 위해 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하고 정규 표현식(regex)을 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하는 기준 세트입니다. 이 유형의 식별자를 사용하면 특정 시나리오, 지적 재산 또는 독점 데이터를 반영하는 민감한 데이터를 탐지할 수 있습니다. Macie에서 제공하는 관리형 데이터 식별자를 보완할 수 있습니다.

분석을 세밀하게 조정하기 위해 허용 목록을 사용할 수도 있습니다. 허용 목록은 Macie가 S3 객체에서 무시할 특정 텍스트 및 텍스트 패턴을 정의합니다. 이는 일반적으로 특정 시나리오나 환경에 대한 민감한 데이터 예외입니다. 예를 들어 조직의 공공 담당자 이름, 조직의 공용 전화번호, 조직에서 테스트에 사용하는 샘플 데이터 등이 이에 해당합니다.

보안 및 액세스 제어를 위한 데이터 평가 및 모니터링

Macie를 활성화하면 Macie는 S3 범용 버킷의 전체 인벤토리를 자동으로 생성하고 유지 관리하기 시작합니다. Macie는 또한 보안 및 액세스 제어를 위한 버킷의 평가 및 모니터링도 시작합니다. Macie가 버킷의 보안 또는 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 정책 조사 결과를 생성합니다.

대시보드는 구체적인 조사 결과 외에도 Amazon S3 데이터에 대한 집계된 통계의 스냅샷을 제공합니다. 여기에는 공개적으로 액세스하거나 다른 와 공유하는 버킷 수와 같은 주요 지표에 대한 통계가 포함됩니다 AWS 계정. 각 통계를 자세히 분석하여 지원 데이터를 검토할 수 있습니다.

또한 Macie는 인벤토리의 개별 S3 버킷에 대한 자세한 정보와 통계를 제공합니다. 데이터에는 버킷의 공개 액세스 및 암호화 설정에 대한 분석, Macie가 분석하여 버킷의 민감한 데이터를 탐지할 수 있는 객체의 크기 및 수 등이 포함됩니다. 인벤토리를 찾아보거나 특정 필드를 기준으로 인벤토리를 정렬 및 필터링할 수 있습니다.

조사 결과 검토 및 분석

Macie에서 조사 결과는 Macie가 S3 객체에서 감지한 민감한 데이터 또는 S3 범용 버킷의 보안 또는 프라이버시와 관련된 잠재적 문제에 대한 세부 보고서입니다. 각 조사 결과는 심각도 등급, 영향을 받는 리소스에 대한 정보, Macie가 데이터 또는 문제를 탐지한 시기 및 방법과 같은 추가 세부 정보를 제공합니다.

조사 결과를 검토, 분석 및 관리하려면 Amazon Macie 콘솔의 조사 결과 페이지를 사용할 수 있습니다. 이 페이지는 조사 결과를 나열하고 개별 조사 결과에 대한 세부 정보를 제공합니다. 또한 조사 결과를 그룹화, 필터링, 정렬 및 제외하기 위한 여러 옵션을 제공합니다. Amazon Macie를 사용하여 조사 결과를 쿼리, 검색 및 억제API할 수도 있습니다. 를 사용하는 경우 심층 분석, 장기 스토리지 또는 보고를 위해 다른 애플리케이션, 서비스 또는 시스템에 데이터를 전달할 API수 있습니다.

다른 서비스 및 시스템과 함께 결과 모니터링 및 처리

다른 서비스 및 시스템과의 통합을 지원하기 위해 Macie는 조사 결과를 조사 결과 이벤트로 Amazon에 게시합니다 EventBridge. EventBridge 는 조사 결과 데이터를 AWS Lambda 함수 및 Amazon Simple Notification Service(AmazonSNS) 주제와 같은 대상으로 라우팅할 수 있는 서버리스 이벤트 버스 서비스입니다. 를 사용하면 기존 보안 및 규정 준수 워크플로의 일부로 결과를 거의 실시간으로 모니터링하고 처리할 EventBridge수 있습니다.

Macie가 AWS Security Hub에 조사 결과를 게시하도록 구성할 수도 있습니다. Security Hub는 AWS 환경 전반의 보안 태세를 포괄적으로 볼 수 있도록 하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 되는 서비스입니다. Security Hub를 사용하면 에서 조직의 보안 태세에 대한 광범위한 분석의 일환으로 조사 결과를 보다 쉽게 평가하고 처리할 수 있습니다 AWS. 또한 여러 의 결과를 집계 AWS 리전한 다음 단일 리전에서 집계된 결과 데이터를 평가하고 처리할 수 있습니다.

여러 Macie 계정을 중앙에서 관리

AWS 환경에 여러 계정이 있는 경우 환경의 계정에 대해 Macie를 중앙에서 관리할 수 있습니다. Macie를 와 통합 AWS Organizations 하거나 Macie에서 멤버십 초대를 보내고 수락하는 두 가지 방법으로 이 작업을 수행할 수 있습니다.

다중 계정 구성에서는 지정된 Macie 관리자가 특정 작업을 수행하고 동일한 조직의 멤버인 계정에 대한 특정 Macie 설정, 데이터 및 리소스에 액세스할 수 있습니다. 작업에는 멤버 계정이 소유한 S3 버킷에 대한 정보 검토, 해당 버킷에 대한 정책 조사 결과 검토, 버킷의 민감한 데이터 검사 등이 포함됩니다. 계정이 를 통해 연결된 경우 AWS Organizations Macie 관리자는 조직의 멤버 계정에 Macie를 활성화할 수도 있습니다.

프로그래밍 방식으로 리소스를 개발하고 관리

Amazon Macie 콘솔 외에도 Amazon Macie 를 Amazon MacieAPI와 상호 작용할 수 있습니다. Amazon Macie는 Macie 계정 설정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식의 액세스를 API 제공합니다.

Macie와 프로그래밍 방식으로 상호 작용하기 위해 Macie에 직접 HTTPS 요청을 보내거나 현재 버전의 AWS 명령줄 도구 또는 AWS SDK. AWS provids 도구를 사용할 수 SDKs 있습니다. 이 도구는 PowerShell, Java, Go, Python, C++ 및 와 같은 다양한 언어 및 플랫폼에 대한 라이브러리 및 샘플 코드로 구성됩니다NET.

Macie 액세스

Amazon Macie는 대부분의 에서 사용할 수 있습니다 AWS 리전. 현재 Macie를 사용할 수 있는 모든 리전 목록은 AWS 일반 참조 Amazon Macie 및 엔드포인트 및 할당량을 참조하세요. 에 대한 관리에 AWS 리전 대한 자세한 내용은 AWS Account Management 참조 가이드계정 AWS 리전 에서 활성화 또는 비활성화를 AWS 계정참조하세요.

각 리전에서 다음 방법 중 하나로 Macie와 작업할 수 있습니다.

AWS Management Console

AWS Management Console 는 리소스를 생성하고 관리하는 AWS 데 사용할 수 있는 브라우저 기반 인터페이스입니다. 이 콘솔의 일부인 Amazon Macie 콘솔은 Macie 계정, 데이터 및 리소스에 대한 액세스를 제공합니다. Macie 콘솔을 사용하여 S3 버킷에 대한 통계 및 기타 정보를 검토하고, 민감한 데이터 검색 작업을 생성 및 실행하고, 조사 결과를 검토 및 분석하는 등 모든 Macie 작업을 수행할 수 있습니다.

AWS 명령줄 도구

AWS 명령줄 도구를 사용하면 시스템의 명령줄에서 명령을 실행하여 Macie 작업 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS 는 AWS Command Line Interface (AWS CLI)와 의 두 가지 명령줄 도구 세트를 제공합니다 AWS Tools for PowerShell. 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서 섹션을 AWS CLI참조하세요. 용 도구 설치 및 사용에 대한 자세한 내용은 AWS Tools for PowerShell 사용 설명서 섹션을 PowerShell참조하세요.

AWS SDKs

AWS 는 Java, Go, Python, C++ 및 와 같은 다양한 프로그래밍 언어 및 플랫폼의 라이브러리 및 샘플 코드로 SDKs 구성된 를 제공합니다NET. 는 Macie 및 기타 에 대한 편리하고 프로그래밍 방식의 액세스를 SDKs 제공합니다 AWS 서비스. SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 포함합니다. 설치 및 사용에 대한 자세한 내용은 에서 빌드할 도구를 AWS AWS SDKs참조하세요.

Amazon Macie REST API

Amazon Macie는 Macie 계정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식의 액세스를 REST API 제공합니다. 이 를 사용하면 Macie에 직접 HTTPS 요청을 보낼 API수 있습니다. 그러나 AWS 명령줄 도구 및 와 달리 를 SDKs사용하려면 API 애플리케이션이 요청에 서명하기 위한 해시 생성과 같은 하위 수준의 세부 정보를 처리해야 합니다. 이 에 대한 자세한 API내용은 Amazon Macie API 참조를 참조하세요.

Macie 요금

다른 AWS 제품과 마찬가지로 Amazon Macie 를 사용하기 위한 계약이나 최소 약정은 없습니다.

Macie 요금은 보안 및 액세스 제어를 위한 S3 버킷 평가 및 모니터링, 민감한 데이터 자동 검색을 위한 S3 객체 모니터링, 객체에서 민감한 데이터를 발견하고 보고하기 위한 S3 객체 분석 등 여러 차원을 기반으로 합니다. 자세한 내용은 Amazon Macie 요금을 참조하세요.

Macie는 Macie 사용 비용을 이해하고 예측하는 데 도움이 되도록 계정의 예상 사용 비용을 제공합니다. Amazon Macie 콘솔에서 이러한 추정치를 검토하고 Amazon Macie 를 사용하여 액세스할 수 있습니다API. 서비스 사용 방식에 따라 Amazon S3에서 버킷 데이터를 검색하고 분석을 위해 객체를 복호화 AWS KMS keys 하는 데 고객 관리형을 사용하는 등 특정 Macie 기능과 AWS 서비스 함께 다른 를 사용하는 데 추가 비용이 발생할 수 있습니다.

Macie를 처음 활성화하면 AWS 계정 가 Macie의 30일 무료 평가판에 자동으로 등록됩니다. 여기에는 AWS Organizations에서 조직의 일부로 활성화된 개별 계정도 포함됩니다. 무료 평가판 중에 해당 에서 Macie를 사용하여 S3 버킷의 보안 및 액세스 제어를 평가하고 모니터링하는 AWS 리전 데 드는 비용은 없습니다. 계정 설정에 따라 무료 평가판에는 Amazon S3 데이터에 대한 민감한 데이터 자동 검색 수행도 포함될 수 있습니다. S3 객체에서 민감한 데이터를 검색 및 보고할 민감한 데이터 검색 작업을 실행하는 것은 무료 평가판에 포함되지 않습니다.

Macie는 무료 평가판 종료 후 Macie를 사용하는 데 드는 비용을 이해하고 예측할 수 있도록 평가판 사용 기간 중 Macie를 사용한 금액을 기준으로 예상 사용 비용을 제공합니다. 사용량 데이터에는 무료 평가판이 종료될 때까지 남은 시간도 표시됩니다. Amazon Macie 콘솔에서 이 데이터를 검토하고 Amazon Macie 로 액세스할 수 있습니다API. 자세한 내용은 무료 평가판 참여 단원을 참조하십시오.

에서 데이터, 워크로드 및 애플리케이션을 더욱 안전하게 보호하려면 Amazon Macie 와 AWS 서비스 함께 다음을 사용하는 것이 AWS좋습니다.

AWS Security Hub

AWS Security Hub 는 AWS 리소스의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례를 기준으로 AWS 환경을 확인하는 데 도움이 됩니다. 이는 여러 AWS 서비스 (Macie 포함) 및 지원되는 AWS Partner Network(APN) 제품의 보안 조사 결과를 부분적으로 소비, 집계, 구성 및 우선 순위 지정하여 이를 수행합니다. Security Hub를 사용하면 보안 추세를 분석하고 AWS 환경 전체에서 가장 우선 순위가 높은 보안 문제를 식별할 수 있습니다.

에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요. Macie와 Security Hub를 함께 사용하는 방법에 대한 자세한 내용은 Macie의 연구 결과를 다음과 같이 평가합니다. AWS Security Hub 단원을 참조하세요.

Amazon GuardDuty

Amazon GuardDuty 은 Amazon S3에 대한 AWS CloudTrail 데이터 이벤트 AWS 로그 및 CloudTrail 관리 이벤트 로그와 같은 특정 유형의 로그를 분석하고 처리하는 보안 모니터링 서비스입니다. 악성 IP 주소 및 도메인 목록, 기계 학습과 같은 위협 인텔리전스 피드를 사용하여 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악성 활동을 식별합니다.

에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서 섹션을 GuardDuty참조하세요.

추가 AWS 보안 서비스에 대한 자세한 내용은 의 보안, 자격 증명 및 규정 준수를 AWS참조하세요.