Amazon Macie es un servicio de seguridad de datos que detecta datos confidenciales mediante el machine learning y la concordancia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite automatizar la protección contra esos riesgos. Para ayudarlo a administrar la postura de seguridad de los datos de su entorno de Amazon S3, Macie evalúa continuamente sus buckets de S3 en cuanto a controles de seguridad y acceso, y genera conclusiones para notificar problemas como los buckets sin cifrar, los de acceso público y los que se comparten con cuentas de AWS fuera de su organización. A continuación, Macie muestrea y analiza automáticamente los objetos de sus buckets de S3, inspeccionándolos en busca de datos confidenciales, como la información de identificación personal (PII), crea un mapa de datos interactivo de dónde residen sus datos confidenciales en S3 a través de las cuentas, y proporciona una puntuación de confidencialidad para cada bucket. El mapa de datos interactivo puede guiar sus decisiones para realizar investigaciones más profundas de buckets de S3 específicos mediante la ejecución de trabajos de detección de datos confidenciales y específicos con Macie. La ejecución de trabajos de detección de datos confidenciales específicos puede ayudarlo a cumplir con las normativas, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Privacidad de Datos (GDPR). Todos los hallazgos de Macie se envían a Amazon EventBridge y también pueden publicarse en AWS Security Hub para iniciar la corrección automática, como el bloqueo del acceso público a su almacenamiento S3. Puede empezar a trabajar con Macie con una prueba gratuita de 30 días, que incluye la detección automática de datos confidenciales y la evaluación a nivel de bucket de S3. La prueba gratuita también puede ayudarlo a comprender el gasto estimado para un uso continuado antes de comprometerse a un uso de pago.
Evaluación continua de su estado de seguridad en Amazon S3
Amazon Macie evalúa continuamente su entorno de Amazon S3 y proporciona un resumen del estado de seguridad de los datos en todas sus cuentas. Puede buscar, filtrar y ordenar los buckets de S3 por variables de metadatos, como los nombres de los buckets, las etiquetas y los controles de seguridad, como el estado de cifrado o la accesibilidad pública. Para cualquier bucket no cifrado, de acceso público o compartido con las cuentas de AWS fuera de las definidas en AWS Organizations, puede recibir alertas para realizar alguna acción. A continuación, Macie muestrea y analiza automáticamente los objetos de sus buckets de S3, inspeccionándolos en busca de datos confidenciales, como la información de identificación personal (PII), crea un mapa de datos interactivo de dónde residen sus datos confidenciales en S3 a través de las cuentas, y proporciona una puntuación de confidencialidad para cada bucket. El mapa de datos interactivo puede guiar sus decisiones para realizar investigaciones más profundas de buckets de S3 específicos mediante la ejecución de trabajos de detección de datos confidenciales y específicos con Macie.
Búsqueda selectiva de datos confidenciales
Amazon Macie permite ejecutar trabajos de detección de datos confidenciales únicos, diarios, semanales o mensuales para todos o un subconjunto de objetos en un bucket de Amazon S3. Para los trabajos de búsqueda de datos confidenciales específicos, Amazon Macie realiza un seguimiento automático de los cambios en el bucket y solo evalúa los objetos nuevos o modificados a lo largo del tiempo.
Tipos de datos confidenciales totalmente administrados
Amazon Macie mantiene una lista cada vez más larga de tipos de datos que incluyen la información de identificación personal (PII) común y otros tipos de datos confidenciales, como se define en las normativas de privacidad de datos, como GDPR, PCI-DSS e HIPAA. Estos tipos de datos utilizan diversas técnicas de detección de datos, incluido el machine learning, y se amplían y mejoran de forma continua con el paso del tiempo.
Detección de tipos de datos propios o únicos
Amazon Macie ofrece la capacidad de agregar tipos de datos personalizados mediante el uso de expresiones regulares para permitir que Macie detecte datos confidenciales únicos y patentados de su empresa.
Conclusiones detalladas y procesables sobre la seguridad y búsqueda de datos confidenciales
Macie reduce la cantidad de alertas y acelera la clasificación mediante la consolidación de los hallazgos por objeto o bucket. Según el nivel de gravedad, los hallazgos de Macie se priorizan y cada uno incluye detalles, como el tipo de dato confidencial, las etiquetas, la accesibilidad pública y el estado de cifrado. Los hallazgos se conservan durante 30 días y están disponibles en la consola de administración de AWS o a través de la API. Los detalles completos de la detección de datos confidenciales se escriben en un bucket de S3 del cliente para una retención a largo plazo.
Revisión y validación seguras de los datos confidenciales que se encuentran en un objeto de Amazon S3
Macie permite recuperar temporalmente, con una sola selección, hasta 10 ejemplos de datos confidenciales encontrados en S3. Esta capacidad le permite ver y entender más fácilmente qué contenidos de un objeto S3 fueron identificados como confidenciales, para que pueda revisar, validar y tomar rápidamente las medidas necesarias. Todos los ejemplos de datos confidenciales capturados se cifran mediante claves de AWS Key Management Service (KMS) administradas por el cliente y se pueden ver temporalmente en la consola de Macie después de recuperarlos.
Crear y administrar listas de permisos para especificar texto o patrones de texto
La función de lista de permisos de Macie puede permitirle reducir las alertas de volumen que se producen debido a textos o formatos de datos en su entorno que no requieren ninguna acción. Una lista de permisos define un texto específico o un patrón de texto que desea que Macie ignore cuando inspeccione los objetos S3 en busca de datos confidenciales. Si el texto coincide con una entrada o un patrón de una lista permitida, Macie no informa del texto en los resultados de los hallazgos de datos confidenciales o de la detección de los mismos, aunque el texto coincida con los criterios de un identificador de datos administrados o de un identificador de datos personalizado.
Implementación con una sola selección sin integración anticipada del origen de datos
Con una selección en la consola de administración de AWS o una sola llamada a la API, puede habilitar Amazon Macie en una sola cuenta. Con unas pocas selecciones más en la consola, puede habilitar Macie en varias cuentas. Una vez que se habilita, Macie genera un resumen continuo de los recursos de S3 en todas las cuentas que incluye el recuento de buckets y objetos, así como los controles de seguridad y acceso a nivel de bucket.
Compatibilidad con múltiples cuentas e integración con AWS Organizations
En la configuración de múltiples cuentas, una sola cuenta de administrador de Macie puede administrar todas las cuentas miembro, incluida la creación y la administración de los trabajos de detección de datos confidenciales en todas las cuentas. Macie admite varias cuentas mediante la integración de AWS Organizations. Los hallazgos de seguridad y detección de datos confidenciales se agregan en la cuenta del administrador de Macie y se envían a Amazon EventBridge. Ahora con una cuenta, puede integrar la administración de eventos, el flujo de trabajo y los sistemas de tickets o usar los hallazgos de Macie con AWS Step Functions para automatizar las acciones correctivas.
Obtenga más información acerca de las capacidades y la implementación de Amazon Macie en la documentación correspondiente.
Obtenga acceso instantáneo a la capa gratuita de AWS.
