使用 Amazon Macie 规模化地发现和保护数据

GDPR 第 32 条规定：“...控制者和处理者应采取适当的技术和组织性措施以确保达到与风险相称的安全级别，酌情包括：[...]

(b) 能够确保处理系统和服务的持续机密性、完整性、可用性和恢复能力；

[…]

(d) 制定一个流程来定期测试、评估和评价技术和组织措施的有效性，以确保处理的安全性。”

使用持续的数据分类流程对于根据数据的性质调整安全数据处理至关重要。如果您的组织需要管理敏感数据，应监控敏感数据所在的位置，对其进行适当保护，并根据需要提供证据证明您正在实施数据安全和隐私保护，以满足合规要求。为了帮助客户规模化地识别和保护他们的敏感数据，AWS 提供了 Amazon Macie，这是一项完全托管式数据安全和数据隐私服务，使用模式匹配和机器学习模型来检测个人身份信息（PII），以发现和保护存储在 S3 存储桶中的敏感数据。Amazon Macie 会扫描这些存储桶，并使用专门用于检测多种敏感数据类别的托管数据标识符对这些存储桶进行数据分类。Macie 可以检测 PII，如全名、电子邮件地址、出生日期、身份证号码、纳税人识别号或参考号等。客户可以定义反映其组织特定场景的自定义数据标识符（例如，客户账号或内部数据分类）。

Amazon Macie 会持续评估存储桶内的对象，并自动为发现的与定义的数据类别匹配的任何未加密或可公开访问的数据提供发现结果摘要（图 4）。此数据可以包括针对任何可公开访问的未加密对象，或与您在 AWS Organizations 中定义的 AWS 账户之外的账户共享的存储桶发出的警报。Amazon Macie 已与其他 AWS 服务（如 AWS Security Hub）集成，可以生成可操作的安全发现结果，并针对发现结果提供自动的反应性操作（图 5）。

图 4 – 数据检查和查找示例