O que é o Amazon Macie?

O Amazon Macie é um serviço de segurança de dados que descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos.

Para ajudá-lo a gerenciar a postura de segurança do patrimônio de dados do Amazon Simple Storage Service (Amazon S3) da sua organização, o Macie fornece um inventário de seus buckets de uso geral do S3 e avalia e monitora automaticamente os buckets para segurança e controle de acesso. Se o Macie detectar um possível problema com a segurança ou a privacidade dos dados, como um bucket que se torna acessível ao público, ele gerará uma descoberta para você revisar e corrigir conforme necessário.

O Macie também automatiza a descoberta e a emissão de relatórios de dados sigilosos para compreender melhor os dados armazenados pela organização no Amazon S3. Para detectar dados sigilosos, é possível usar critérios e técnicas incorporados que o Macie fornece, critérios personalizados que você define ou uma combinação dos dois. Se o Macie detectar dados confidenciais em um objeto do S3, o Macie gera uma descoberta para notificá-lo sobre os dados confidenciais encontrados.

Além das descobertas, o Macie fornece estatísticas e informações que oferecem uma visão sobre a postura de segurança de seus dados do Amazon S3 e onde os dados confidenciais podem residir em seu estado de dados. As estatísticas e as informações podem orientar suas decisões para realizar investigações mais profundas de buckets e objetos específicos do S3. Você pode revisar e analisar descobertas, estatísticas e outras informações usando o console do Amazon Macie ou a API do Amazon Macie. Você também pode aproveitar a integração do EventBridge Macie com AWS Security Hub a Amazon e monitorar, processar e corrigir descobertas usando outros serviços, aplicativos e sistemas.

Recursos do Amazon Macie

Aqui estão algumas das principais maneiras pelas quais o Amazon Macie pode ajudá-lo a descobrir, monitorar e proteger seus dados confidenciais no Amazon S3.

Automatize a descoberta de dados sigilosos

Com o Macie, é possível automatizar a descoberta e a emissão de relatórios de dados sigilosos de duas maneiras: configurar o Macie para realizar descoberta automática de dados sigilosos e criar e executar trabalhos de descoberta de dados sigilosos. Se o detectar dados confidenciais em um objeto do S3, ele também criará uma descoberta de dados confidenciais para você. A descoberta fornece um relatório detalhado dos dados confidenciais que Macie detectou.

A descoberta automatizada de dados confidenciais fornece ampla visibilidade sobre onde os dados confidenciais podem residir em seu patrimônio de dados do Amazon S3. Com essa opção, o Macie avalia continuamente seu inventário de buckets do S3 e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 em seus buckets. Em seguida, o Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais.

Trabalhos confidenciais de descoberta de dados fornecem uma análise mais profunda e direcionada. Com essa opção, você define a amplitude e a profundidade da análise — os buckets do S3 a serem analisados, a profundidade da amostragem e os critérios personalizados que derivam das propriedades dos objetos do S3. Você também pode configurar um trabalho para ser executado somente uma vez para análise e avaliação sob demanda, ou de forma recorrente para análise, avaliação e monitoramento periódicos.

Ambas as opções podem ajudar você a criar e manter uma visão abrangente dos dados armazenados pela organização no Amazon S3 e dos riscos de segurança ou conformidade desses dados.

Descubra uma variedade de tipos de dados confidenciais

Para descobrir dados confidenciais com o Macie, é possível usar técnicas e critérios incorporados, como machine learning e comparação de padrões, para analisar objetos nos buckets do S3. Esses critérios e técnicas, denominados identificadores de dados gerenciados, podem detectar uma lista extensa e crescente de tipos de dados sigilosos para muitos países e regiões, inclusive vários tipos de informações de identificação pessoal (PII), informações financeiras e dados de credenciais.

Você também pode usar identificadores de dados personalizados. Um identificador de dados personalizado é um conjunto de critérios que você define para detectar dados confidenciais — uma expressão regular (regex) que define um padrão de texto a ser correspondido e, opcionalmente, sequências de caracteres e uma regra de proximidade que refinam os resultados. Com esse tipo de identificador, é possível detectar dados confidenciais que refletem determinados cenários, propriedade intelectual ou dados proprietários. Você pode complementar os identificadores de dados gerenciados fornecidos pelo Macie.

Para ajustar as análises, você também pode usar listas de permissões. As listas de permissões definem textos e padrões de texto específicos que você deseja que o Macie ignore nos objetos do S3. Normalmente, essas são exceções de dados confidenciais para seus cenários ou ambientes específicos; por exemplo, os nomes dos representantes públicos da sua organização, números de telefone públicos da sua organização ou dados de amostra que sua organização usa para testes.

Avalie e monitore dados para segurança e controle de acesso

Quando você ativa o Macie, o Macie gera automaticamente e começa a manter um inventário completo de seus buckets de uso geral do S3. O Macie também começa a avaliar e monitorar os buckets em relação à segurança e ao controle de acesso. Se o Macie detectar um possível problema com a segurança ou a privacidade de um bucket, ele criará uma descoberta de política para você.

Além de descobertas específicas, um painel fornece uma visão geral das estatísticas agregadas dos seus dados do Amazon S3. Isso inclui estatísticas das principais métricas, como o número de compartimentos acessíveis ao público ou compartilhados com outras Contas da AWS pessoas. Você pode detalhar cada estatística para analisar os dados de suporte.

O Macie também fornece informações e estatísticas detalhadas para buckets do S3 individuais em seu inventário. Os dados incluem detalhamentos das configurações de acesso público e criptografia de um bucket e o tamanho e o número de objetos que o Macie pode analisar para detectar dados confidenciais no bucket. Você pode navegar pelo inventário ou classificar e filtrar o inventário por determinados campos.

Revise e analise as descobertas

No Macie, uma descoberta é um relatório detalhado de dados confidenciais que o Macie detectou em um objeto do S3 ou de um possível problema com a segurança ou a privacidade de um bucket de uso geral do S3. Cada descoberta fornece uma classificação de gravidade, informações sobre o recurso afetado e detalhes adicionais, como quando e como o Macie detectou os dados ou o problema.

Para revisar, analisar e gerenciar descobertas, você pode usar as páginas de descobertas no console do Amazon Macie. Essas páginas listam suas descobertas e fornecem os detalhes de descobertas individuais. Elas também oferecem várias opções para agrupar, filtrar, classificar e suprimir descobertas. Também é possível usar a API do Amazon Macie para consultar, recuperar e suprimir descobertas. Se você usa a API, pode passar os dados para outro aplicativo, serviço ou sistema para uma análise mais profunda, armazenamento de longo prazo ou geração de relatórios.

Monitore e processe as descobertas com outros serviços e sistemas

Para apoiar a integração com outros serviços e sistemas, a Macie publica descobertas na Amazon EventBridge como eventos de descoberta. EventBridge é um serviço de barramento de eventos sem servidor que pode encaminhar dados de descobertas para destinos como AWS Lambda funções e tópicos do Amazon Simple Notification Service (Amazon SNS). Com EventBridge, você pode monitorar e processar as descobertas quase em tempo real como parte de seus fluxos de trabalho existentes de segurança e conformidade.

Você pode configurar o Macie para também publicar descobertas em arquivos para o AWS Security Hub. O Security Hub é um serviço que fornece uma visão abrangente de sua postura de segurança em todo o AWS ambiente e ajuda você a verificar seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. Com o Security Hub, é possível monitorar e processar com mais facilidade as descobertas como parte de uma análise mais ampla do procedimento de segurança da organização na AWS. Você também pode agregar descobertas de várias e Regiões da AWS, em seguida, monitorar e processar dados agregados de descobertas de uma única região.

Gerencie centralmente várias contas Macie

Se seu AWS ambiente tiver várias contas, você poderá gerenciar centralmente o Macie para contas em seu ambiente. Você pode fazer isso de duas maneiras: integrando o Macie AWS Organizations ou enviando e aceitando convites de associação no Macie.

Em uma configuração de várias contas, um administrador designado do Macie pode executar determinadas tarefas e acessar determinadas configurações, dados e recursos do Macie para contas que são membros da mesma organização. As tarefas incluem revisar as informações sobre os buckets do S3 que pertencem às contas dos membros, analisar as descobertas das políticas desses buckets e inspecionar os buckets em busca de dados confidenciais. Se as contas estiverem associadas por meio de AWS Organizations, o administrador do Macie também poderá habilitar o Macie para contas de membros na organização.

Desenvolva e gerencie recursos de forma programática

Além do console do Amazon Macie, você pode interagir com o Macie usando a API do Amazon Macie. A API do Amazon Macie oferece acesso abrangente e programático às configurações, dados e recursos da sua conta Macie.

Para interagir com o Macie programaticamente, você pode enviar solicitações HTTPS diretamente para o Macie ou usar uma versão atual de uma ferramenta de linha de AWS comando ou de um SDK. AWS AWS fornece ferramentas e SDKs que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas, como Java PowerShell, Go, Python, C++ e .NET.

Acessando o Amazon Macie

O Amazon Macie está disponível na maioria. Regiões da AWS Para obter uma lista de regiões onde o Macie está disponível atualmente, consulte Endpoints e cotas do Amazon Macie no Referência geral da AWS. Para obter informações sobre como gerenciar Regiões da AWS seu Conta da AWS, consulte Especificação de qual Regiões da AWS conta pode ser usada no Guia de AWS Account Management referência.

Em cada região, você pode trabalhar com o Macie de qualquer uma das seguintes maneiras.

AWS Management Console

AWS Management Console É uma interface baseada em navegador que você pode usar para criar e gerenciar AWS recursos. Como parte desse console, o console Amazon Macie fornece acesso à sua conta, dados e recursos do Macie. Você pode realizar qualquer tarefa do Macie usando o console do Macie: revisar estatísticas e outras informações sobre seus buckets do S3, criar e executar trabalhos confidenciais de descoberta de dados, revisar e analisar descobertas e muito mais.

AWS ferramentas de linha de comando

Com as ferramentas de linha de AWS comando, você pode emitir comandos na linha de comando do seu sistema para realizar tarefas e tarefas do Macie AWS . Usar a linha de comando pode ser mais rápido e mais conveniente do que usar o console. As ferramentas da linha de comando também são úteis se você quiser criar scripts que realizem tarefas.

AWS fornece dois conjuntos de ferramentas de linha de comando: o AWS Command Line Interface (AWS CLI) e AWS Tools for PowerShell o. Para obter informações sobre como instalar e usar o AWS CLI, consulte o Guia AWS Command Line Interface do usuário. Para obter informações sobre como instalar e usar as Ferramentas para PowerShell, consulte o Guia AWS Tools for PowerShell do usuário.

AWS SDKs

AWS fornece SDKs que consistem em bibliotecas e exemplos de código para várias linguagens e plataformas de programação, por exemplo, Java, Go, Python, C++ e .NET. Os SDKs fornecem acesso conveniente e programático ao Macie e a outros. Serviços da AWS Eles também incluem tarefas como assinatura criptográfica de solicitações, gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre como instalar e usar os AWS SDKs, consulte Ferramentas para criar. AWS

API REST do Amazon Macie

A API REST do Amazon Macie oferece acesso abrangente e programático à sua conta, dados e recursos do Macie. Com esta API, você pode enviar solicitações HTTPS diretamente para o Macie. No entanto, diferentemente das ferramentas de linha de AWS comando e dos SDKs, o uso dessa API exige que seu aplicativo gerencie detalhes de baixo nível, como gerar um hash para assinar uma solicitação. Para obter informações sobre essa API, consulte a Referência da API do Amazon Macie.

Definição de preços do Amazon Macie

Assim como acontece com outros AWS produtos, não há contratos ou compromissos mínimos para usar o Amazon Macie.

Os preços do Macie são baseados em várias dimensões: avaliação e monitoramento de buckets do S3 para segurança e controle de acesso, monitoramento de objetos do S3 para descoberta automatizada de dados confidenciais e análise de objetos do S3 para descobrir e relatar dados confidenciais nos objetos. Para obter mais informações, consulte Definição de preços do Amazon Macie.

Para ajudar você a entender e prever o custo do uso do Macie, o Macie fornece custos estimados de uso da sua conta. Você pode revisar essas estimativas no console do Amazon Macie e acessá-las com a API do Amazon Macie. Dependendo de como você usa o serviço, você pode incorrer em custos adicionais ao usar outros Serviços da AWS em combinação com determinados recursos do Macie, como recuperar dados do bucket do Amazon S3 e usar o gerenciamento do cliente para descriptografar objetos AWS KMS keys para análise.

Quando você ativa o Macie pela primeira vez, você Conta da AWS é automaticamente inscrito no teste gratuito de 30 dias do Macie. Isso inclui contas individuais habilitadas como parte de uma organização no AWS Organizations. Durante o teste gratuito, não há cobrança pelo uso do Macie no aplicativo Região da AWS para avaliar e monitorar seus buckets S3 para segurança e controle de acesso. Dependendo das configurações da sua conta, o teste gratuito também pode incluir a descoberta automática de dados confidenciais para seus dados do Amazon S3. O teste gratuito não inclui executar trabalhos confidenciais de descoberta de dados confidenciais para detectar e relatar dados confidenciais nos objetos do S3.

Para ajudá-lo a entender e prever o custo do uso do Macie após o término do teste gratuito, o Macie fornece custos de uso estimados com base no uso do Macie durante o teste. Seus dados de uso também indicam o tempo que resta até o término do teste gratuito. Você pode revisar esses dados no console do Amazon Macie e acessá-los com a API do Amazon Macie.

Serviços relacionados

Para proteger ainda mais seus dados, cargas de trabalho e aplicativos AWS, considere usar o seguinte Serviços da AWS em combinação com o Amazon Macie.

AWS Security Hub

AWS Security Hub oferece uma visão abrangente do estado de segurança de seus AWS recursos e ajuda a verificar seu AWS ambiente em relação aos padrões e às melhores práticas de segurança do setor. Ele faz isso em parte consumindo, agregando, organizando e priorizando suas descobertas de segurança de vários produtos Serviços da AWS (incluindo Macie) e compatíveis da AWS Partner Network (APN). O Security Hub ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade em seu AWS ambiente.

Para saber mais sobre o Security Hub, consulte o Guia do usuário da AWS Security Hub. Para saber como usar o Macie e o Security Hub juntos, consulteIntegração do Amazon Macie com o AWS Security Hub.

Amazon GuardDuty

GuardDuty A Amazon é um serviço de monitoramento de segurança que analisa e processa certos tipos de AWS registros, como registros de eventos de AWS CloudTrail dados para o Amazon S3 CloudTrail e registros de eventos de gerenciamento. Ele usa feeds de inteligência de ameaças, como listas de endereços IP e domínios maliciosos, e aprendizado de máquina para identificar atividades inesperadas, potencialmente não autorizadas e maliciosas em seu ambiente. AWS

Para saber mais sobre isso GuardDuty, consulte o Guia GuardDuty do usuário da Amazon.

Para saber mais sobre serviços AWS de segurança adicionais, consulte Segurança, identidade e conformidade em AWS.