使用 Amazon Macie 大規模地探索及保護資料

GDPR 第 32 條規定：「…控制者與處理者應實作適當的技術與組織措施，確認風險的安全層級，包括除但不限於：[…]

(b) 能夠確保處理系統與服務的持續機密性、完整性、可用性與恢復力；

[…]

(d) 定期測試、評定及評估技術與組織措施之有效性的程序，以確保處理安全。」

持續的資料分類程序，對於調整資料本質的安全資料處理而言非常重要。若您的組織會管理敏感資料，就必須監控其位置、適當施以保護，以提供證據證明，您已照法規與合規要求，施行資料安全與隱私權。為協助客戶大規模地識別及保護其敏感資料，AWS 提供了 Amazon Macie 這項管理完善的資料安全與資料隱私服務，其使用模式比對與機器學習模型偵測個人識別資訊 (PII)，從而探索及保護儲存在 S3 儲存貯體中的敏感資料。Amazon Macie 會掃描這些儲存貯體，並提供專為偵測幾類敏感資料而設計的受管資料識別符，分類儲存貯體的資料。Macie 可以偵測 PII，例如全名、電子郵件地址、出生日期、身分證號碼、納稅人身分或參考號碼等等。客戶可以定義自訂資料識別符來反映其組織的特定案例 (例如客戶帳戶號碼或內部資料分類)。

Amazon Macie 會持續評估儲存貯體中的物件，並自動提供所找到符合資料類別定義，但未加密或可公開存取之資料的結果摘要 (圖 4)。這些資料可能包括提供給您未在 AWS Organizations 中定義之 AWS 帳戶，任何未經加密並可公開存取之物件或儲存貯體的警示。Amazon Macie 與其他 AWS 服務整合 (例如 AWS Security Hub)，可產生可採取動作的安全結果，並針對該結果 (圖 5) 建議自動與被動的動作。

圖 4 – 資料檢查與結果範例