Como o Macie monitora a segurança de dados do Amazon S3 - Amazon Macie

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Macie monitora a segurança de dados do Amazon S3

Quando você habilita o Amazon Macie para você Conta da AWS, o Macie cria uma função AWS Identity and Access Management (IAM) vinculada ao serviço para sua conta atual. Região da AWS A política de permissões para essa função permite que Macie ligue para outras pessoas Serviços da AWS e monitore AWS recursos em seu nome. Ao usar essa função, Macie gera e mantém um inventário completo dos seus buckets de uso geral do Amazon Simple Storage Service (Amazon S3) na região. O Macie também monitora e avalia os buckets para segurança e controle de acesso.

Se você for o administrador do Macie de uma organização, o inventário inclui dados estatísticos e outros dados sobre buckets do S3 para sua conta e contas de membros em sua organização. Com esses dados, você pode usar o Macie para monitorar e avaliar a postura de segurança da sua organização em todo o seu conjunto de dados do Amazon S3. Para obter mais informações, consulte Gerenciar várias contas.

Componentes principais

O Amazon Macie usa uma combinação de recursos e técnicas para fornecer e manter dados de inventário sobre seus buckets de uso geral do S3 e para monitorar e avaliar os buckets para fins de segurança e controle de acesso.

Coleta de metadados e cálculo de estatísticas

Para gerar e manter metadados e estatísticas para seu inventário de buckets, o Macie recupera metadados de bucket e do objeto diretamente do Amazon S3. Para cada bucket, os metadados incluem:

  • Informações gerais sobre o bucket, como nome do bucket, Amazon Resource Name (ARN), data de criação, configurações de criptografia, tags e o ID da conta do Conta da AWS proprietário do bucket.

  • Configurações de permissões no nível da conta que se aplicam ao bucket, como as configurações de bloqueio de acesso público para a conta.

  • Configurações de permissões em nível de bucket para o bucket, como as configurações de bloqueio de acesso público para o bucket e configurações derivadas de uma política de bucket ou lista de controle de acesso (). ACL

  • Configurações de acesso e replicação compartilhados para o bucket, incluindo se os dados do bucket são replicados ou compartilhados com pessoas Contas da AWS que não fazem parte da sua organização.

  • Contagens e configurações de objetos no bucket, como o número de objetos no bucket e os detalhamentos das contagens de objetos por tipo de criptografia, tipo de arquivo e classe de armazenamento.

O Macie fornece essas informações diretamente para você. O Macie também usa as informações para calcular estatísticas e fornecer avaliações sobre a segurança e a privacidade de seu inventário geral do seu bucket e de buckets individuais em seu inventário. Por exemplo, você pode encontrar o tamanho total do armazenamento e o número de buckets em seu inventário, o tamanho total do armazenamento e o número de objetos nesses buckets e o tamanho total do armazenamento e o número de objetos que o Macie pode analisar para detectar dados sigilosos nos buckets.

Por padrão, os metadados e as estatísticas incluem dados de qualquer parte do objeto que exista devido a carregamentos incompletos de várias partes. Se você atualizar manualmente os metadados do objeto para um bucket específico, o Macie recalcula as estatísticas do bucket e do inventário geral do bucket e exclui os dados das partes do objeto dos valores recalculados. Na próxima vez que o Macie recuperar metadados do bucket e do objeto do Amazon S3 como parte do ciclo diário de atualização, o Macie atualizará seus dados de inventário e incluirá novamente os dados das partes do objeto. Para obter informações sobre quando o Macie recupera metadados do bucket e do objeto, consulte Atualizações de dados.

É importante observar que o Macie não consegue analisar partes do objeto para detectar dados sigilosos. O Amazon S3 deve primeiro concluir a montagem das peças em um ou mais objetos para que o Macie analise. Para obter informações sobre uploads de várias partes e partes de objetos, incluindo como excluir peças automaticamente com regras de ciclo de vida, consulte Carregar e copiar objetos usando o upload de várias partes no Guia do usuário do Amazon Simple Storage Service. Para identificar buckets que contêm partes de objetos, você pode consultar métricas incompletas de upload de várias partes na Lente de Armazenamento do Amazon S3. Para obter mais informações, consulte Avaliação de sua atividade de armazenamento e uso com o Amazon S3 Storage Lens no Guia do usuário do Amazon S3.

Monitorando a segurança e a privacidade do bucket

Para ajudar a garantir a precisão dos dados em nível de bucket em seu inventário, o Macie monitora e analisa determinados AWS CloudTraileventos que podem ocorrer com os dados do Amazon S3. Se ocorrer um evento relevante, o Macie atualiza os dados de inventário apropriados.

Por exemplo, se você habilitar as configurações de bloqueio de acesso público para um bucket, o Macie atualizará todos os dados sobre as configurações de acesso público do bucket. Da mesma forma, se você adicionar ou atualizar a política de um bucket, o Macie analisará a política e atualizará os dados relevantes em seu inventário.

O Macie monitora e analisa os dados dos seguintes eventos: CloudTrail

  • Eventos em nível de conta — e DeletePublicAccessBlock PutPublicAccessBlock

  • Eventos em nível de bucket — CreateBucket DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl, PutBucketEncryption, PutBucketPolicy,PutBucketPublicAccessBlock, PutBucketReplication, PutBucketTagging PutBucketVersioning

Você não pode ativar o monitoramento de CloudTrail eventos adicionais nem desativar o monitoramento de nenhum dos eventos anteriores. Para obter informações detalhadas sobre as operações correspondentes aos eventos anteriores, consulte a APIReferência do Amazon Simple Storage Service.

dica

Para monitorar eventos em nível de objeto, recomendamos que você use o recurso de proteção Amazon S3 da Amazon. GuardDuty Esse atributo monitora eventos de dados do Amazon S3 em nível de objeto e os analisa em busca de atividades maliciosas e suspeitas. Para obter mais informações, consulte Proteção do Amazon S3 GuardDuty na Amazon no Guia GuardDuty do usuário da Amazon.

Avaliando a segurança e o controle de acesso do bucket

Para avaliar a segurança e o controle de acesso em nível de bucket, Macie usa raciocínio automatizado baseado em lógica para analisar políticas baseadas em recursos que se aplicam a um bucket. O Macie também analisa as configurações de permissões em nível de conta e de bucket que se aplicam a um bucket. Essa análise considera as políticas do bucket, o nível do bucket ACLs e as configurações de bloqueio de acesso público para a conta e o bucket.

Para políticas baseadas em recursos, Macie usa Zelkova. Zelkova é um mecanismo de raciocínio automatizado que traduz AWS Identity and Access Management (IAM) políticas em declarações lógicas e executa um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo de satisfatabilidade) contra o problema de decisão. O Macie aplica o Zelkova repetidamente a uma política com consultas cada vez mais específicas para caracterizar classes de comportamentos permitidos pela política. Para saber mais sobre a natureza dos solucionadores que Zelkova usa, consulte Teorias do Módulo de Satisfabilidade.

Importante

Para realizar as tarefas anteriores em um bucket, o bucket deve ser um bucket de uso geral do S3. O Macie não monitora nem analisa buckets de diretórios do S3.

Além disso, o Macie deve ter permissão para acessar o bucket. Se as configurações de permissões de um bucket impedirem que o Macie recupere metadados do bucket ou dos objetos do bucket, o Macie só poderá fornecer um subconjunto de informações sobre o bucket, como o seu nome e data de criação. Macie não pode realizar nenhuma tarefa adicional para o bucket. Para obter mais informações, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

Atualizações de dados

Quando você habilita o Amazon Macie para você Conta da AWS, o Macie recupera metadados para seus buckets e objetos de uso geral do S3 diretamente do Amazon S3. Depois disso, o Macie recupera automaticamente os metadados do bucket e do objeto diretamente do Amazon S3 diariamente, como parte de um ciclo diário de atualização.

O Macie também recuperará metadados do bucket diretamente do Amazon S3 quando uma das seguintes situações ocorre:

  • Você atualiza seus dados de inventário escolhendo atualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) no console do Amazon Macie. Você pode atualizar os dados a cada cinco minutos.

  • Você envia uma DescribeBucketssolicitação para o Amazon Macie de API forma programática e não enviou uma DescribeBuckets solicitação nos últimos cinco minutos.

  • Macie detecta um evento relevante AWS CloudTrail .

O Macie também pode recuperar os metadados mais recentes do objeto para um bucket específico se você optar por atualizar esses dados manualmente. Isso pode ser útil se você criou recentemente um bucket ou fez alterações significativas nos objetos de um bucket nas últimas 24 horas. Para atualizar manualmente os metadados do objeto para um bucket, selecione refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) na seção Estatísticas do objeto do painel de detalhes do bucket na página de buckets do S3 do console. Esse recurso está disponível para buckets que armazenam 30.000 objetos ou menos.

Sempre que o Macie recupera metadados do bucket ou do objeto, o Macie atualiza automaticamente todos os dados relevantes em seu inventário. Se o Macie detectar diferenças que afetem a segurança ou a privacidade de um bucket, o Macie imediatamente começará a avaliar e analisar as alterações. Quando a análise estiver concluída, o Macie atualiza os dados relevantes em seu inventário. Se uma diferença reduzir a segurança ou a privacidade de um bucket, ele também criará as descobertas de políticas apropriadas para você revisar e corrigir conforme necessário.

Para determinar quando o Macie recuperou mais recentemente os metadados de bucket ou objeto da sua conta, você pode consultar o campo Última atualização no console. Esse campo aparece no painel de resumo, na página de buckets do S3 e no painel de detalhes do bucket na página de buckets do S3. (Se você usa o Amazon Macie API para consultar dados de inventário, o lastUpdated campo fornece essas informações.) Se você for o administrador do Macie de uma organização, o campo Última atualização indicará a data e a hora mais antigas quando o Macie recuperou os dados de uma conta em sua organização.

Em raras ocasiões, sob certas condições, a latência e outros problemas podem impedir que o Macie recupere metadados do bucket e do objeto. Eles também podem atrasar as notificações que o Macie recebe sobre alterações em seu inventário de buckets ou sobre as configurações e políticas de permissões para buckets individuais. Por exemplo, problemas de entrega com CloudTrail eventos podem causar atrasos. Se isso acontecer, o Macie analisará dados novos e atualizados na próxima vez que realizar a atualização diária, que ocorre em até 24 horas.

Considerações

Ao usar o Amazon Macie para monitorar e avaliar a postura de segurança dos seus dados do Amazon S3, lembre-se do seguinte:

  • Os dados de inventário se aplicam somente aos buckets de uso geral do S3 no momento. Região da AWS Para acessar os dados de regiões adicionais, habilite e use o Macie em cada região adicional.

  • Se você for o administrador do Macie de uma organização, poderá acessar os dados de inventário de uma conta membro somente se o Macie estiver habilitado para essa conta na região atual.

  • Se as configurações de permissões de um bucket impedirem o Macie de recuperar informações sobre o bucket ou os objetos do bucket, o Macie não poderá avaliar e monitorar a segurança e a privacidade dos dados do bucket nem fornecer informações detalhadas sobre o bucket.

    Para ajudá-lo a identificar um bucket em que esse seja o caso, Macie faz o seguinte:

    • Em seu inventário de buckets, o Macie exibe um ícone de aviso ( The warning icon, which is a red triangle that has an exclamation point in it. ) para o bucket. Para os detalhes do bucket, o Macie exibe somente um subconjunto de campos e dados: o ID da conta do proprietário do Conta da AWS bucket; o nome do bucket, Amazon Resource Name (ARN), a data de criação e a região; e a data e a hora em que o Macie recuperou mais recentemente os metadados do bucket e do objeto para o bucket como parte do ciclo diário de atualização. Se você usar o Amazon Macie API para consultar dados de inventário, o Macie fornecerá um código de erro e uma mensagem para o bucket, e o valor da maioria das propriedades do bucket será nulo.

    • No painel Resumo, o bucket tem um valor de Desconhecido para estatísticas de acesso público, criptografia e compartilhamento. (Se você usar o Amazon Macie API para consultar as estatísticas, o bucket terá um valor de unknown para essas estatísticas.) Além disso, o Macie exclui o bucket ao calcular dados para estatísticas de armazenamento e objetos.

    Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3. Por exemplo, o bucket pode ter uma política restritiva de bucket. Para obter mais informações, consulte Permitindo que o Amazon Macie acesse buckets e objetos do S3.

  • Os dados sobre acesso e permissões são limitados às configurações no nível da conta e do bucket. Ela não reflete as configurações em nível de objeto que determinam o acesso a objetos específicos em um bucket. Por exemplo, se o acesso público estiver habilitado para um objeto específico em um bucket, o Macie não informa que o bucket ou os objetos do bucket estão acessíveis publicamente.

    Para monitorar operações em nível de objeto e identificar possíveis riscos de segurança, recomendamos que você use o recurso de proteção Amazon S3 da Amazon. GuardDuty Esse atributo monitora eventos de dados do Amazon S3 em nível de objeto e os analisa em busca de atividades maliciosas e suspeitas. Para obter mais informações, consulte Proteção do Amazon S3 GuardDuty na Amazon no Guia GuardDuty do usuário da Amazon.

  • Se você atualizar manualmente os metadados do objeto para um bucket específico, o Macie reportará temporariamente Desconhecido para obter estatísticas de criptografia que se aplicam aos objetos. Na próxima vez que o Macie realizar a atualização diária dos dados (dentro de 24 horas), o Macie reavalia os metadados de criptografia dos objetos e relata novamente os dados quantitativos para as estatísticas.

  • Se você atualizar manualmente os metadados do objeto para um bucket específico, o Macie excluirá temporariamente os dados de qualquer parte do objeto que o bucket contenha devido a uploads incompletos de várias partes. Na próxima vez que o Macie realizar a atualização diária dos dados (em 24 horas), o Macie recalcula as contagens e os valores do tamanho de armazenamento dos objetos do bucket e inclui os dados das peças nesses cálculos.

  • Em casos raros, o Macie pode não conseguir determinar se um bucket é acessível ao público ou compartilhado, ou se requer criptografia do lado do servidor de novos objetos. Por exemplo, um problema temporário pode impedir que o Macie recupere e analise os dados necessários. Ou talvez Macie não consiga determinar completamente se uma ou mais declarações de política concedem acesso a uma entidade externa. Nesses casos, Macie relata Desconhecido para as estatísticas e campos relevantes no inventário. Para investigar o problema, revise as configurações de políticas e permissões do bucket no Amazon S3.

Observe também que o Macie gera descobertas de políticas somente se a segurança ou a privacidade de um bucket forem reduzidas depois que você habilitar o Macie para sua conta. Por exemplo, se você desativar as configurações de bloqueio de acesso público para um bucket depois de habilitar o Macie, o Macie gerará uma BlockPublicAccessDisabled descoberta Policy: IAMUser /S3 para o bucket. No entanto, se as configurações de bloqueio de acesso público foram desativadas para um bucket quando você habilitou o Macie e elas continuarem desativadas, o Macie não gerará uma BlockPublicAccessDisabled descoberta Policy: IAMUser /S3 para o bucket.

Além disso, quando o Macie avalia a segurança e a privacidade de um bucket, ele não examina os logs de acesso nem analisa usuários, funções e outras configurações relevantes das contas. Em vez disso, o Macie analisa e relata os dados das principais configurações que indicam possíveis riscos de segurança. Por exemplo, se uma descoberta de política indicar que um bucket está acessível publicamente, isso não significa necessariamente que uma entidade externa acessou o bucket. Da mesma forma, se uma constatação de política indicar que um bucket é compartilhado com Conta da AWS alguém externo à sua organização, o Macie não tenta determinar se esse acesso é intencional e seguro. Em vez disso, essas descobertas indicam que uma entidade externa pode potencialmente acessar os dados do bucket, o que pode ser um risco de segurança não intencional.