亚马逊AWS官方博客
新资讯 – 增强版 Amazon Macie 现已推出,价格大幅降低
Amazon Macie 是一项完全托管的服务,可利用机器学习自动发现数据并对数据进行分类,从而帮助您发现和保护敏感数据。
经过一段时间后,Macie 客户告诉我们他们喜欢和不喜欢的方面。 服务团队一直在努力解决这些反馈。今天,我非常高兴能跟大家分享我们新的增强版 Amazon Macie!
这一新版本简化了定价方案:现在,您将根据评估的 Amazon Simple Storage Service (S3) 存储桶数量以及针对敏感数据发现作业处理的数据量付费。新的分级定价方案将成本降低了 80%。如果量更大,成本降低可能超过 90%。
同时,我们还引入了许多新功能:
- 扩展了敏感数据发现的范围,包括更新了用于检测个人可识别信息 (PII) 的机器学习模型,以及使用正则表达式的 customer-defined 敏感数据类型。
- 使用 AWS Organizations 的多账户支持。
- 完整的 API 覆盖范围,可用于通过 AWS 开发工具包和 AWS 命令行界面 (CLI) 以编程方式使用服务。
- 将区域可用性扩展至 17 个区域。
- 经过简化的新免费套餐和免费试用可帮助您入门并了解您的成本。
- 经过完全重新设计的控制台和用户体验。
现在,Macie 在后端与 S3 紧密集成,提供更多优势:
- 不再需要在 AWS CloudTrail 中启用 S3 数据事件,进一步降低总成本。
- 现在,将会对所有存储桶进行持续评估,发布有关任何公共存储桶、未加密存储桶以及与组织外部的 AWS 账户共享(或复制到组织外部的 AWS 账户)的存储桶的安全检测结果。
Macie 中之前提供的用于监控 S3 数据访问活动的异常检测功能,现在在 Amazon GuardDuty 的内测版中提供,且已经过增强,添加了更深入的功能来保护 S3 中的数据。
启用 Amazon Macie
我在 Macie 控制台中选择启用 Macie。如果您使用 AWS Organizations,则可以指派一个 AWS 账户来为您的组织管理 Macie。
启用后,Amazon Macie 会自动提供我在该区域的 S3 存储桶的摘要,并持续评估这些存储桶(包括与我的组织外的 AWS 账户共享的存储桶),以针对任何未加密或可公开访问的数据生成可行性安全检测结果。
在摘要下方,我可以按类型和 S3 存储桶查看主要的检测结果。总体而言,此页面很好地概述了我的 S3 存储桶的状态。
检测结果部分列出了完整的检测结果,我可以选择对它们进行存档、取消存档或导出。我还可以选择其中一项检测结果,查看 Macie 收集的全部信息。
我们可以在 Web 控制台中查看检测结果,并将检测结果发送至 Amazon CloudWatch Events,以便轻松与现有工作流程或事件管理系统集成,或者与 AWS Step Functions 结合使用来执行自动化补救措施。这可以帮助满足合规性要求,例如支付卡行业数据安全标准 (PCI-DSS)、健康保险携带和责任法案 (HIPAA)、一般数据隐私条例 (GDPR) 以及加利福尼亚州消费者隐私保护法案 (CCPA)。
在 S3 存储桶部分,我可以搜索和筛选我感兴趣的存储桶,以跨一个或多个存储桶创建敏感数据发现作业,用于发现对象中的敏感数据和检查对象级别的加密状态与公开可访问性。作业可以执行一次,也可以安排为每天、每周或每月执行一次。
对于作业,Amazon Macie 会自动跟踪对存储桶的更改,并仅评估一段时间内的新对象或已修改对象。在其他设置中,我可以根据标签、大小、文件扩展名或上次修改日期来添加或删除对象。
为了监控我的成本和免费试用的使用情况,我查看控制台的使用情况部分。
创建自定义数据标识符
Amazon Macie 原生支持最常见的敏感数据类型,包括个人可识别信息 (PII) 和凭证数据。 您可以使用自定义数据标识符扩展该列表,以发现您的业务专有或唯一敏感数据。
例如,公司通常会使用特定的语法为其员工分配 ID。可能使用的语法包括使用大写字母,后跟破折号和 8 位数字。其中,大写字母用于定义员工是全职员工还是兼职员工。这种情况下,可能的值有 F-12345678
或 P-87654321
。
为创建此自定义数据标识符,我输入了正则表达式 (regex) 来描述匹配模式。
[A-Z]-\d{8}
为避免出现误报,我要求在标识符附近输入 employee
关键字(默认情况下间隔不超过 50 个字符)。 我使用评估框来测试此配置是否适用于示例文本,然后选择提交。
现已推出
有关 Amazon Macie 区域可用性,请参阅 AWS 区域表。 您可以在文档中找到有关新增强的 Macie 的更多信息。
此版本的 Amazon Macie 也已针对 S3 进行了优化。但是,您可以扫描以 Macie 支持的对象格式临时或永久存入 S3 的所有内容,以查找敏感数据。这样,您可以通过将数据从自定义应用程序、数据库和第三方服务中拉出并暂时放置在 S3 中,以及使用 Amazon Macie 识别敏感数据,来将覆盖范围扩展到 S3 外部的数据。
例如,现在这个过程更加简单了,因为 RDS 和 Aurora 现在支持将快照以 Macie 支持的 Apache Parquet 格式导出到 S3。同样,在 DynamoDB 中,您可以使用 AWS Glue 将表导出到 S3,然后通过 Macie 进行扫描。 借助新的 API 和开发工具包覆盖范围,您可以将新的增强版 Amazon Macie 用作将数据导出至 S3 的自动化流程中的构建块,以便在多个源中发现和保护您的敏感数据。
– Danilo