使用託管安全服務監控數據 AWS 安全 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用託管安全服務監控數據 AWS 安全

多種受管 AWS 安全服務可協助您識別、評估和監控 Amazon S3 資料的安全與合規風險。它們還可以協助您保護資料免於這些風險。這些服務包括自動偵測、監控和保護功能,這些功能旨在從 Amazon S3 資源擴展 AWS 帳戶 到適用於數千個組織的資源 AWS 帳戶。

AWS 偵測與回應服務可協助您識別潛在的安全性錯誤設定、威脅或未預期的行為,以便您快速回應環境中潛在未經授權或惡意的活動。 AWS 資料保護服務可協助您監控並保護您的資料、帳戶和工作負載,防止未經授權的存取。它們也可以協助您在 Amazon S3 資料資產中探索敏感資料,例如個人身分識別資訊 (PII)。

為了協助您識別並評估資料安全和合規風險,受管 AWS 安全服務會產生調查結果,以將 Amazon S3 資料的潛在安全事件或問題通知您。這些調查結果會提供相關詳細資訊,您可以用來根據事件回應工作流程和政策調查、評估這些風險並採取行動。您可以使用每個服務直接存取調查結果資料。您也可以將資料傳送至其他應用程式、服務和系統,例如安全事件和事件管理系統 (SIEM)。

若要監控 Amazon S3 資料的安全性,請考慮使用這些受管 AWS 安全服務。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可持續監控您 AWS 帳戶 和工作負載中是否有惡意活動,並提供詳細的安全發現結果以提供可見性和修復。

使用中的 S3 保護功能 GuardDuty,您可以設定 GuardDuty 為分析 Amazon S3 資源的 AWS CloudTrail 管理和資料事件。 GuardDuty 然後監視這些事件是否存在惡意和可疑活動。為了通知分析並識別潛在的安全風險,請 GuardDuty 使用威脅情報饋送和機器學習。

GuardDuty 可以為您的 Amazon S3 資源監控不同類型的活動。例如,Amazon S3 的 CloudTrail 管理事件包括儲存貯體層級的操作,例如ListBucketsDeleteBucket和。PutBucketReplication CloudTrail Amazon S3 的資料事件包括物件層級操作,例如GetObjectListObjects、和PutObject。如果 GuardDuty 偵測到異常或潛在的惡意活動,它會產生一個發現通知您。

有關更多信息,請參閱 Amazon GuardDuty 用戶指南 GuardDuty中的 Amazon S3 保護

Amazon Detective

Amazon Detective 可簡化調查程序,並協助您進行更快、更有效的安全調查。Detective 提供預先建置的資料彙總、摘要和內容,可協助您分析並評估潛在安全問題的本質和範圍。

Detective 會自動擷取以時間為基礎的事件,例如來自資源的 API 呼叫 AWS CloudTrail 和 Amazon VPC 流程日誌。 AWS 它還會擷取 Amazon GuardDuty 產生的發現。Detective 接著會使用機器學習、統計分析和圖論來產生視覺化,協助您更快地進行有效的安全調查。

這些視覺效果提供了資源行為的統一互動式檢視,以及它們之間一段時間後的互動。您可以探索此行為圖表,以檢查潛在的惡意動作,例如失敗的登入嘗試或可疑的 API 呼叫。您也可以查看這些動作如何影響資源,例如 S3 儲存貯體和物件。

如需詳細資訊,請參閱 Amazon Detective 管理指南

IAM Access Analyzer

AWS Identity and Access Management Access Analyzer (IAM 存取分析器) 可協助您識別與外部實體共用的資源。您也可以使用 IAM 存取分析器根據政策文法和最佳實務來驗證 IAM 政策,並根據日 AWS CloudTrail 誌中的存取活動產生 IAM 政策。

IAM Access Analyzer 使用邏輯推理來分析 AWS 環境中的資源政策,例如儲存貯體政策。使用適用於 S3 的 IAM Access Analyzer,當 S3 儲存貯體設定為允許存取網際網路上的任何人 (包括組織外部帳戶) 時 AWS 帳戶,系統就會收到警示。例如,IAM Access Analyzer for S3 可以報告儲存貯體具有透過儲存貯體存取控制清單 (ACL)、儲存貯體政策、多區域存取點政策或存取點政策提供的讀取或寫入存取權。針對每個公開或共用儲存貯體,您會收到調查結果,指出公開或共用存取的來源和層級。使用這些調查結果,您可以採取立即且精確的更正動作,將儲存貯體存取還原成您想要的內容。

如需詳細資訊,請參閱 使用 IAM Access Analyzer for S3 檢閱儲存貯體存取權

Amazon Macie

Amazon Macie 是一種資料安全服務,透過使用機器學習和模式比對來探索敏感資料、提供資料安全風險的可見性,以及啟用自動保護以防範這些風險。

使用 Macie,您可以自動探索和報告 S3 儲存貯體中的敏感資料,以更加了解貴組織存放在 Amazon S3 中的資料。若要偵測敏感資料,您可以使用 Macie 提供的內建條件和技術,您定義的自訂條件,或兩者的組合。如果 Macie 在 S3 物件中偵測到敏感資料,Macie 會產生調查結果以通知您。此調查結果提供受影響儲存貯體和物件的相關資訊、Macie 所找到敏感資料的類型和出現次數,以及協助您調查的其他詳細資訊。

Macie 還提供統計資訊和其他資料,讓您洞察 Amazon S3 資料的安全狀態,而且它會針對安全和存取控制自動評估和監控 S3 儲存貯體。如果 Macie 偵測到您資料的安全性或隱私權存在潛在問題,例如變成可公開存取的儲存貯體,Macie 會視需要產生調查結果來檢閱並修補此問題。

如需詳細資訊,請參閱 Amazon Macie 使用者指南

AWS Security Hub

AWS Security Hub 是一種安全性狀態管理服務,可執行安全性最佳作法檢查、將來自多個來源的警示和發現項目彙總為單一格式,並啟用自動補救。

Security Hub 會從整合式安全解決方案收集並提供 AWS Partner Network 安全發現資料 AWS 服務,包括 Amazon Detective GuardDuty、亞馬遜、IAM 存取分析器和 Amazon Macie。它還會根據 AWS 最佳實務和支援的業界標準執行連續的自動化安全檢查,產生自己的發現結果。

安全中樞接著會將提供者的調查結果相互關聯和合併,協助您優先處理最重要的調查結果。它也提供自訂動作的支援,您可以使用這些動作,來叫用特定調查結果類別的回應或修補動作。

使用 Security Hub,您可以評估 Amazon S3 資源的安全和合規狀態,並且可以進行更廣泛分析組織在個別 AWS 區域 和多個區域的安全狀態的一部分。這包括分析安全趨勢,以及識別優先順序最高的安全問題。您也可以彙總來自多個 AWS 區域的調查結果,以及監控並處理來自單一區域的彙總調查結果資料。

如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon Simple Storage Service 控制