Amazon Macie – Funktionen

Amazon Macie beurteilt kontinuierlich Ihre Amazon-S3-Umgebung und stellt eine Zusammenfassung des Sicherheitsstatus der Daten für all Ihre Konten bereit. Sie können S3-Buckets nach Metadatenvariablen durchsuchen, filtern und sortieren, z. B. nach Bucket-Namen, Tags und Sicherheitskontrollen wie dem Verschlüsselungsstatus oder der öffentlichen Zugänglichkeit. Über alle unverschlüsselten Buckets, öffentlich zugänglichen Buckets oder für AWS-Konten freigegebenen Buckets außerhalb der von Ihnen in AWS Organizations definierten Buckets, können Sie benachrichtigt werden, um Maßnahmen ergreifen zu können. Macie erstellt dann automatisch Stichproben von den Objekten in Ihren S3-Buckets und analysiert diese, um zu prüfen, ob sie sensible Daten wie persönlich identifizierbare Informationen (PII) enthalten. Außerdem erstellt Macie eine interaktive Datenkarte, die aufzeigt, wo sich Ihre sensiblen Daten in S3 in den Konten befinden, und es wird eine Sensibilitätsbewertung für jeden Bucket generiert. Mithilfe der interaktiven Datenkarte können Sie bestimmen, welche S3-Buckets genauer untersucht werden sollten, indem Sie mit Macie gezielte Aufträge zur Erkennung sensibler Daten ausführen.

Mit Amazon Macie können Sie einmalige, tägliche, wöchentliche oder monatliche Aufgaben für die Erkennung vertraulicher Daten für alle Objekte oder eine Untergruppe an Objekten in einem Amazon-S3-Bucket ausführen. Für zielgerichtete Aufträge zur Erkennung sensibler Daten verfolgt Amazon Macie im Laufe der Zeit automatisch Änderungen am Bucket nach und beurteilt nur neue oder bearbeitete Objekte.

Von Amazon Macie wird eine wachsende Liste an vertraulichen Datentypen gepflegt, die gemäß Datenschutzbestimmungen wie DSGVO, PCI-DSS und HIPAA personenbezogene Daten (Personally Identifiable Information, PII) und andere vertrauliche Datentypen enthält. Diese Datentypen verwenden verschiedene Methoden zur Datenerkennung, darunter Machine Learning. Diese werden fortlaufend ergänzt und im Laufe der Zeit verbessert.

Amazon Macie stellt Ihnen die Möglichkeit zum Hinzufügen benutzerdefinierter Datentypen mithilfe von regulären Ausdrücken bereit, damit Macie proprietäre oder spezielle sensible Daten für Ihr Unternehmen erkennen kann.

Macie verringert die Anzahl an Warnungen und beschleunigt die Priorisierung durch die Zusammenfassung von Erkenntnissen nach Objekt oder Bucket. Anhand des Schweregrads werden die Erkenntnisse von Macie priorisiert und jedes Ergebnis enthält Details wie den vertraulichen Datentyp, Tags, die öffentliche Zugänglichkeit und den Verschlüsselungsstatus. Die Erkenntnisse werden für 30 Tage aufbewahrt und sind in der AWS-Managementkonsole oder über die API verfügbar. Die Details zur vollständigen Erkennung sensibler Daten werden automatisch in ein kundeneigenes S3-Bucket für Langzeitspeicherung geschrieben.

Macie bietet die Möglichkeit, bis zu 10 Beispiele für sensible Daten, die in S3 gefunden werden, durch eine Auswahl vorübergehend abzurufen. Mit dieser Funktion können Sie leichter sehen und verstehen, welche Inhalte eines S3-Objekts als sensibel identifiziert wurden, damit Sie diese Daten prüfen, validieren und bei Bedarf schnell Maßnahmen ergreifen können. Alle erfassten Beispiele für sensible Daten werden mit vom Kunden verwalteten AWS-KMS (AWS Key Management Service)-Schlüsseln verschlüsselt und sind nach dem Abrufen vorübergehend in der Macie-Konsole einsehbar.

Durch den Einsatz von Genehmigungslisten in Macie lässt sich das Alarmvolumen verringern, die aufgrund von Datentext oder -formaten in Ihrer Umgebung, die keine Aktionen erfordern, entstehen könnten. Mit einer Genehmigungsliste wird bestimmter Text oder ein Textmuster definiert, das Macie ignoriert, wenn es S3-Objekte auf sensible Daten hin untersucht. Wenn Text mit einem Eintrag oder Muster in einer Genehmigungsliste übereinstimmt, meldet Macie diesen Text nicht in den Ergebnissen für sensible Daten oder für die Erkennung sensibler Daten – selbst wenn der Text den Kriterien für eine verwaltete oder benutzerdefinierte Datenkennung entspricht.

Mit nur einer Auswahl in der AWS-Managementkonsole oder einem einzelnen API-Aufruf können Sie Amazon Macie für ein Einzelkonto aktivieren. Zur Aktivierung von Macie für mehrere Konten sind nur einige weitere Auswahlen in der Konsole erforderlich. Wenn Macie aktiviert ist, wird eine laufende kontoübergreifende S3-Ressourcenzusammenfassung generiert, die Bucket- und Objektzahlen sowie Sicherheits- und Zugriffskontrollen auf Bucket-Ebene umfasst.

In der Multi-Account-Konfiguration kann ein einzelnes Macie-Administratorkonto alle Mitgliederkonten verwalten. Dies umfasst u. a. die Erstellung und Verwaltung von kontenübergreifenden Aufgaben zur Erkennung vertraulicher Daten. Macie unterstützt mehrere Konten durch die AWS Organizations-Integration. Sicherheitserkenntnisse und Ergebnisse der Erkennung vertraulicher Daten werden im Macie-Administratorkonto zusammengefasst und an Amazon EventBridge gesendet. Dazu wird jetzt ein Konto verwendet, das Sie in die Ereignisverwaltungs-, Workflow- und Ticketing-Systeme integrieren können. Wahlweise können Sie auch Macie-Ergebnisse mit AWS Step Functions verwenden, um Korrekturmaßnahmen zu automatisieren.