Amazon Macie란 무엇인가요?

Amazon Macie는 기계 학습과 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험에 대한 자동 보호를 지원하는 데이터 보안 서비스입니다.

조직의 Amazon Simple Storage Service (Amazon S3) 데이터 자산의 보안 상태를 관리할 수 있도록 Macie는 S3 범용 버킷의 인벤토리를 제공하고 보안 및 액세스 제어를 위해 버킷을 자동으로 평가 및 모니터링합니다. 버킷에 퍼블릭 액세스가 가능해지는 등 Macie가 데이터의 보안이나 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 결과를 조사 생성하며, 필요에 따라 사용자가 검토하고 수정할 수 있습니다.

또한 Macie는 민감한 데이터의 검색 및 보고를 자동화하기 때문에 조직이 Amazon S3에 저장하는 데이터를 더 잘 이해할 수 있도록 도와줍니다. 민감한 데이터를 탐지하려면 Macie에서 제공하는 기본 제공 기준 및 기법, 사용자가 정의한 사용자 지정 기준 또는 이 둘의 조합을 사용할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 감지하면 Macie는 검색 결과를 생성하여 찾은 민감한 데이터를 사용자에게 알립니다.

조사 결과 외에도 Macie는 Amazon S3 데이터의 보안 상태와 민감한 데이터가 데이터 자산의 어디에 위치할 수 있는지에 대한 통찰력을 제공하는 통계 및 정보를 제공합니다. 통계 및 정보는 특정 S3 버킷 및 객체를 심층적으로 조사하기 위한 결정을 내리는 데 지침이 될 수 있습니다. Amazon Macie 콘솔 또는 Amazon Macie를 사용하여 결과, 통계 및 기타 정보를 검토하고 분석할 수 있습니다. API 또한 Macie와 EventBridge Amazon의 통합을 활용하여 다른 서비스, 애플리케이션 및 시스템을 사용하여 결과를 모니터링, 처리 및 수정할 수 있습니다. AWS Security Hub

Macie의 특징

Amazon Macie가 Amazon S3의 민감한 데이터를 검색, 모니터링 및 보호하는 데 도움을 줄 수 있는 몇 가지 주요 방법은 다음과 같습니다.

민감한 데이터 검색 자동화

Macie를 사용하면 민감한 데이터 자동 검색을 수행하도록 Macie를 구성하는 방법과 민감한 데이터 검색 작업을 생성 및 실행하는 방법으로 민감한 데이터의 검색 및 보고를 자동화할 수 있습니다. Macie가 S3 객체에서 민감한 데이터를 탐지하면 Macie가 민감한 데이터 조사 결과물을 생성합니다. 이 발견은 Macie가 탐지한 민감한 데이터에 대한 자세한 보고서를 제공합니다.

민감한 데이터 자동 검색을 통해 Amazon S3 데이터 자산에서 민감한 데이터가 어디에 있는지 폭넓게 파악할 수 있게 해줍니다. 이 옵션을 사용하여 Macie는 계속해서 S3 버킷 인벤토리를 평가하고 샘플링 기법을 사용하여 버킷의 대표적인 S3 객체를 식별하고 선택합니다. 그런 다음 Macie는 선택한 객체를 검색 및 분석하여 민감한 데이터가 있는지 검사합니다.

민감한 데이터 검색 작업은 심층적이고 표적화된 분석을 제공합니다. 이 옵션을 사용하면 분석할 S3 버킷, 샘플링 깊이, S3 객체의 속성에서 파생되는 사용자 지정 기준 등 분석의 범위와 심도를 정의합니다. 온디맨드 분석 및 평가를 위해 한 번만 실행하거나 주기적 분석, 평가 및 모니터링을 위해 반복적으로 실행하도록 작업을 구성할 수도 있습니다.

두 옵션 모두 조직이 Amazon S3에 저장하는 데이터와 해당 데이터에 대한 보안 또는 규정 준수 위험을 포괄적으로 파악하고 유지하는 데 도움이 됩니다.

다양한 민감한 데이터 유형 살펴보기

Macie를 사용하여 민감한 데이터를 검색하려면 기계 학습과 패턴 일치와 같은 기본 기준 및 기법을 사용하여 S3 버킷에서 객체를 분석할 수 있습니다. 관리형 데이터 식별자라고 하는 이러한 기준과 기법을 사용하면 여러 유형의 개인 식별 정보 (PII), 재무 정보 및 자격 증명 데이터를 포함하여 여러 국가 및 지역에서 점점 더 많은 민감한 데이터 유형을 탐지할 수 있습니다.

사용자 지정 데이터 식별자를 사용할 수도 있습니다. 사용자 지정 데이터 식별자는 민감한 데이터를 탐지하기 위해 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하고 정규 표현식(regex)을 정의하고 선택적으로 문자 시퀀스와 결과를 세분화하는 근접성 규칙을 정의하는 기준 세트입니다. 이 유형의 식별자를 사용하면 특정 시나리오, 지적 재산 또는 독점 데이터를 반영하는 민감한 데이터를 탐지할 수 있습니다. Macie에서 제공하는 관리형 데이터 식별자를 보완할 수 있습니다.

분석을 세밀하게 조정하기 위해 허용 목록을 사용할 수도 있습니다. 허용 목록은 Macie가 S3 객체에서 무시할 특정 텍스트 및 텍스트 패턴을 정의합니다. 이는 일반적으로 특정 시나리오나 환경에 대한 민감한 데이터 예외입니다. 예를 들어 조직의 공공 담당자 이름, 조직의 공용 전화번호, 조직에서 테스트에 사용하는 샘플 데이터 등이 이에 해당합니다.

보안 및 액세스 제어를 위한 데이터 평가 및 모니터링

Macie를 활성화하면 Macie는 S3 범용 버킷의 전체 인벤토리를 자동으로 생성하고 유지 관리하기 시작합니다. Macie는 또한 보안 및 액세스 제어를 위한 버킷의 평가 및 모니터링도 시작합니다. Macie가 버킷의 보안 또는 프라이버시와 관련된 잠재적 문제를 탐지하면 Macie가 정책 조사 결과를 생성합니다.

대시보드는 구체적인 조사 결과 외에도 Amazon S3 데이터에 대한 집계된 통계의 스냅샷을 제공합니다. 여기에는 공개적으로 액세스할 수 있거나 다른 사람과 공유된 버킷 수와 같은 주요 지표에 대한 통계가 포함됩니다. AWS 계정각 통계를 자세히 분석하여 지원 데이터를 검토할 수 있습니다.

또한 Macie는 인벤토리의 개별 S3 버킷에 대한 자세한 정보와 통계를 제공합니다. 데이터에는 버킷의 공개 액세스 및 암호화 설정에 대한 분석, Macie가 분석하여 버킷의 민감한 데이터를 탐지할 수 있는 객체의 크기 및 수 등이 포함됩니다. 인벤토리를 찾아보거나 특정 필드를 기준으로 인벤토리를 정렬 및 필터링할 수 있습니다.

조사 결과 검토 및 분석

Macie에서 탐지 결과는 Macie가 S3 객체에서 감지한 민감한 데이터 또는 S3 범용 버킷의 보안 또는 개인 정보 보호와 관련된 잠재적 문제에 대한 자세한 보고서입니다. 각 검색 결과는 심각도 등급, 영향을 받는 리소스에 대한 정보, 추가 세부 정보 (예: Macie가 데이터 또는 문제를 감지한 시기와 방법) 를 제공합니다.

조사 결과를 검토, 분석 및 관리하려면 Amazon Macie 콘솔의 조사 결과 페이지를 사용할 수 있습니다. 이 페이지는 조사 결과를 나열하고 개별 조사 결과에 대한 세부 정보를 제공합니다. 또한 조사 결과를 그룹화, 필터링, 정렬 및 제외하기 위한 여러 옵션을 제공합니다. Amazon Macie를 사용하여 결과를 쿼리, 검색 및 API 숨길 수도 있습니다. 를 사용하는 경우 심층 분석API, 장기 보관 또는 보고를 위해 데이터를 다른 애플리케이션, 서비스 또는 시스템으로 전달할 수 있습니다.

다른 서비스 및 시스템과 함께 결과 모니터링 및 처리

다른 서비스 및 시스템과의 통합을 지원하기 위해 Macie는 결과를 검색 EventBridge 이벤트로 Amazon에 게시합니다. EventBridge 는 결과 데이터를 AWS Lambda 함수 및 Amazon Simple Notification Service (AmazonSNS) 주제와 같은 대상으로 라우팅할 수 있는 서버리스 이벤트 버스 서비스입니다. 를 사용하면 기존 보안 및 규정 준수 워크플로의 일부로 거의 실시간으로 결과를 모니터링하고 처리할 수 있습니다. EventBridge

Macie가 AWS Security Hub에 조사 결과를 게시하도록 구성할 수도 있습니다. Security Hub는 AWS 환경 전반의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례와 비교하여 환경을 점검하는 데 도움이 되는 서비스입니다. Security Hub를 사용하면 조직의 보안 태세에 대한 광범위한 분석의 일환으로 결과를 보다 쉽게 평가하고 처리할 수 있습니다. AWS또한 여러 조사 결과를 집계한 다음 단일 AWS 리전지역에서 집계된 조사 결과 데이터를 평가 및 처리할 수 있습니다.

여러 Macie 계정을 중앙에서 관리

AWS 환경에 계정이 여러 개 있는 경우 해당 환경의 Macie 계정을 중앙에서 관리할 수 있습니다. Macie를 Macie와 AWS Organizations 통합하거나 Macie에서 회원 초대를 보내고 수락하는 두 가지 방법으로 이 작업을 수행할 수 있습니다.

다중 계정 구성에서는 지정된 Macie 관리자가 특정 작업을 수행하고 동일한 조직의 멤버인 계정에 대한 특정 Macie 설정, 데이터 및 리소스에 액세스할 수 있습니다. 작업에는 멤버 계정이 소유한 S3 버킷에 대한 정보 검토, 해당 버킷에 대한 정책 조사 결과 검토, 버킷의 민감한 데이터 검사 등이 포함됩니다. 계정을 통해 연결된 경우 Macie 관리자는 AWS Organizations조직의 구성원 계정에 대해 Macie를 활성화할 수도 있습니다.

프로그래밍 방식으로 리소스를 개발하고 관리

Amazon Macie 콘솔 외에도 Amazon Macie를 사용하여 Macie와 상호 작용할 수 있습니다. API Amazon Macie를 API 사용하면 Macie 계정 설정, 데이터 및 리소스에 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다.

프로그래밍 방식으로 Macie와 상호 작용하려면 Macie에 직접 HTTPS 요청을 보내거나 최신 버전의 명령줄 도구 또는 다른 도구를 사용할 수 있습니다. AWS AWS SDK AWS 는 Java, Go, Python, C++ 등과 같은 PowerShell 다양한 언어 및 플랫폼에 대한 라이브러리 및 샘플 코드로 구성된 도구를 제공합니다. SDKs NET.

맥시에 접근하기

Amazon Macie는 대부분 사용할 수 있습니다. AWS 리전현재 Macie를 사용할 수 있는 모든 리전 목록은 AWS 일반 참조의 Amazon Macie 및 엔드포인트 및 할당량을 참조하세요. 사용자 AWS 계정관리에 AWS 리전 대한 자세한 내용은 AWS Account Management 참조 안내서에서 사용할 수 있는 AWS 리전 계정 지정을 참조하십시오.

각 리전에서 다음 방법 중 하나로 Macie와 작업할 수 있습니다.

AWS Management Console

리소스를 AWS Management Console 만들고 관리하는 AWS 데 사용할 수 있는 브라우저 기반 인터페이스입니다. 이 콘솔의 일부인 Amazon Macie 콘솔은 Macie 계정, 데이터 및 리소스에 대한 액세스를 제공합니다. Macie 콘솔을 사용하여 S3 버킷에 대한 통계 및 기타 정보를 검토하고, 민감한 데이터 검색 작업을 생성 및 실행하고, 조사 결과를 검토 및 분석하는 등 모든 Macie 작업을 수행할 수 있습니다.

AWS 명령줄 도구

AWS 명령줄 도구를 사용하면 시스템의 명령줄에서 명령을 실행하여 Macie 작업 및 AWS 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS 는 두 가지 명령줄 도구 세트, 즉 AWS Command Line Interface (AWS CLI) 와 를 AWS Tools for PowerShell제공합니다. 설치 및 사용에 대한 자세한 내용은 사용 AWS Command Line Interface 설명서를 참조하십시오. AWS CLI도구 설치 및 사용에 대한 자세한 내용은 사용 AWS Tools for PowerShell 설명서를 참조하십시오. PowerShell

AWS SDKs

AWS 는 SDKs Java, Go, Python, C++ 등과 같은 다양한 프로그래밍 언어 및 플랫폼에 대한 라이브러리 및 샘플 코드로 구성되어 있습니다. NET. Macie 및 기타 기기에 편리하고 프로그래밍 방식으로 액세스할 수 있습니다. SDKs AWS 서비스 SDK는 요청에 암호화 방식으로 서명, 오류 관리 및 자동으로 요청 재시도와 같은 작업을 포함합니다. 설치 및 사용에 대한 자세한 내용은 빌드 기반 도구를 참조하십시오. AWS SDKs AWS

아마존 메이시 REST API

Amazon Macie를 REST API 사용하면 Macie 계정, 데이터 및 리소스에 대한 포괄적이고 프로그래밍 방식으로 액세스할 수 있습니다. 이를 통해 API Macie에 직접 HTTPS 요청을 보낼 수 있습니다. 그러나 AWS 명령줄 도구와 달리 이 도구를 API 사용하려면 응용 프로그램에서 요청에 서명하기 위한 해시 생성과 SDKs 같은 낮은 수준의 세부 정보를 처리해야 합니다. 이에 API 대한 자세한 내용은 Amazon Macie API 레퍼런스를 참조하십시오.

메이시 요금

다른 AWS 제품과 마찬가지로 Amazon Macie를 사용하기 위한 계약 또는 최소 약정은 없습니다.

Macie 요금은 보안 및 액세스 제어를 위한 S3 버킷 평가 및 모니터링, 민감한 데이터 자동 검색을 위한 S3 객체 모니터링, 객체에서 민감한 데이터를 발견하고 보고하기 위한 S3 객체 분석 등 여러 차원을 기반으로 합니다. 자세한 내용은 Amazon Macie 요금을 참조하세요.

Macie는 Macie 사용 비용을 이해하고 예측하는 데 도움이 되도록 계정의 예상 사용 비용을 제공합니다. Amazon Macie 콘솔에서 이러한 추정치를 검토하고 Amazon Macie를 통해 확인할 수 있습니다. API 서비스 사용 방식에 따라 Amazon AWS 서비스 S3에서 버킷 데이터를 검색하고 분석을 위해 고객이 관리하는 객체 암호 해독을 사용하는 등 특정 Macie 기능과 함께 다른 기능을 함께 사용하면 추가 비용이 발생할 AWS KMS keys 수 있습니다.

Macie를 처음 활성화하면 Macie의 30일 무료 AWS 계정 평가판에 자동으로 등록됩니다. 여기에는 AWS Organizations에서 조직의 일부로 활성화된 개별 계정도 포함됩니다. 무료 평가판 기간 동안에는 보안 및 액세스 제어를 위해 S3 버킷을 평가하고 모니터링하는 AWS 리전 데 Macie를 무료로 사용할 수 있습니다. 계정 설정에 따라 무료 평가판에는 Amazon S3 데이터에 대한 민감한 데이터 자동 검색 수행도 포함될 수 있습니다. S3 객체에서 민감한 데이터를 검색 및 보고할 민감한 데이터 검색 작업을 실행하는 것은 무료 평가판에 포함되지 않습니다.

Macie는 무료 평가판 종료 후 Macie를 사용하는 데 드는 비용을 이해하고 예측할 수 있도록 평가판 사용 기간 중 Macie를 사용한 금액을 기준으로 예상 사용 비용을 제공합니다. 사용량 데이터에는 무료 평가판이 종료될 때까지 남은 시간도 표시됩니다. Amazon Macie 콘솔에서 이 데이터를 검토하고 Amazon Macie를 통해 데이터에 액세스할 수 있습니다. API 자세한 내용은 무료 평가판 참여 단원을 참조하십시오.

관련 서비스

에서 AWS데이터, 워크로드 및 애플리케이션을 더욱 안전하게 보호하려면 Amazon Macie와 함께 다음을 AWS 서비스 사용하는 것이 좋습니다.

AWS Security Hub

AWS Security Hub AWS 리소스의 보안 상태를 포괄적으로 파악하고 보안 업계 표준 및 모범 사례와 비교하여 AWS 환경을 점검하는 데 도움이 됩니다. 이는 부분적으로 여러 AWS 서비스 (Macie 포함) 및 지원되는 AWS Partner Network () 제품의 보안 결과를 사용, 집계, 구성 및 우선 순위를 지정함으로써 이루어집니다. APN Security Hub를 사용하면 AWS 환경 전반에서 보안 동향을 분석하고 우선 순위가 가장 높은 보안 문제를 식별할 수 있습니다.

에 대한 자세한 내용은 AWS Security Hub 사용 설명서를 참조하세요. Macie와 Security Hub를 함께 사용하는 방법에 대한 자세한 내용은 Macie의 연구 결과를 다음과 같이 평가합니다. AWS Security Hub 단원을 참조하세요.

아마존 GuardDuty

GuardDuty Amazon은 Amazon S3의 AWS CloudTrail 데이터 이벤트 로그 및 CloudTrail 관리 이벤트 로그와 같은 특정 유형의 AWS 로그를 분석하고 처리하는 보안 모니터링 서비스입니다. 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예상치 못한 잠재적으로 무단 악의적인 활동을 식별합니다.

자세히 GuardDuty 알아보려면 Amazon GuardDuty 사용 설명서를 참조하십시오.

추가 AWS 보안 서비스에 대해 알아보려면 보안, ID 및 규정 준수를 참조하십시오 AWS.