Amazon Macie를 사용하여 대규모 데이터 검색 및 보호

GDPR 제32조에 따르면 “...컨트롤러와 프로세서는 위험에 적절한 수준의 보안을 보장할 수 있는 적절한 기술적 및 조직적 조치를 구현해야 하며, 이러한 조치에는 적절한 경우 특히 다음이 포함됩니다. […]

(b) 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성, 복원력을 보장할 수 있는 기능

[…]

(d) 처리의 보안을 보장하는 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 검사 및 평가하기 위한 프로세스”

지속적인 데이터 분류 프로세스를 유지하는 것은 보안 데이터 처리를 데이터 특성에 맞게 조정하는 데 중요합니다. 조직에서 민감한 데이터를 관리하는 경우 데이터가 상주하는 위치를 모니터링하고, 데이터를 적절하게 보호하며, 규정 준수 요구 사항을 충족하는 데 필요한 데이터 보안 및 개인 정보 보호를 시행하고 있다는 증거를 제공해야 합니다. 고객이 민감한 데이터를 대규모로 식별하고 보호할 수 있도록 지원하기 위해 AWS는 개인 식별 정보(PII) 감지를 위한 패턴 매칭 및 기계 학습 모델을 사용하여 S3 버킷에 저장된 민감한 데이터를 검색하고 보호하는 완전 관리형 데이터 보안 및 데이터 개인 정보 보호 서비스인 Amazon Macie를 제공합니다. Amazon Macie는 이러한 버킷을 스캔하고, 여러 범주의 민감한 데이터를 감지하도록 설계된 관리형 데이터 식별자를 사용하여 버킷의 데이터를 범주별로 분류합니다. Macie는 전체 이름, 이메일 주소, 생년월일, 국가 식별 번호, 납세자 식별 또는 참조 번호 등과 같은 PII를 감지할 수 있습니다. 고객은 조직의 특정 시나리오(예: 고객 계정 번호 또는 내부 데이터 분류)를 반영하는 사용자 지정 데이터 식별자를 정의할 수 있습니다.

Amazon Macie는 버킷 내부의 객체를 지속적으로 평가하고 정의된 데이터 범주와 일치하는 암호화되지 않거나 퍼블릭으로 액세스할 수 있는 데이터에 대한 검색 결과 요약(그림 4)을 자동으로 제공합니다. 이 데이터에는 AWS Organizations에서 정의한 것 이외에 AWS 계정과 공유되는 암호화되지 않거나 퍼블릭으로 액세스할 수 있는 객체 또는 버킷에 대한 경고가 포함될 수 있습니다. Amazon Macie는 AWS Security Hub와 같은 다른 AWS 서비스와 통합되어 실행 가능한 보안 결과를 생성하고 이 결과에 대해 자동 대응 작업을 제공합니다(그림 5).

그림 4 – 데이터 검사 및 검색의 예