Amazon Web Services 한국 블로그

Amazon Macie 자동 민감 데이터 검색 기능 출시

오늘 AWS는 Amazon Macie자동 데이터 검색을 발표합니다. 이 새로운 기능을 사용하면 모든 S3 버킷에서 전체 데이터 검사를 실행할 때보다 훨씬 저렴한 비용으로 Amazon Simple Storage Service(Amazon S3)에서 민감한 데이터가 있는 곳을 파악할 수 있습니다.

AWS는 보안을 가장 중시합니다. 인프라 자체의 보안은 물론 사용자 데이터의 보안도 유지해야 합니다. AWS 사용자는 ID와 액세스를 관리하고, 네트워크와 애플리케이션을 보호하고, 의심스러운 활동을 탐지하고, 데이터를 보호하고, 규정 준수 상태를 보고하고 모니터링할 수 있는다양한 서비스를 사용할 수 있습니다.

Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하며 데이터 보안 위험에 대한 가시성과 자동 보호를 지원하는 데이터 보안 서비스입니다. Amazon Macie를 사용하면 이름, 주소 및 신용카드 번호 같은 민감한 데이터가 있는지 검사하고, 암호화 및 액세스 정책 같은 적절하게 구성된 예방 제어를 지속적으로 모니터링하여 S3에 있는 데이터를 보호할 수 있습니다. Amazon Macie는 공개적으로 액세스할 수 있는 버킷, 암호화되지 않은 버킷 또는 사용자 조직 외부에서 AWS 계정을 공유하는 버킷을 탐지하면 알림을 보냅니다 또한 S3를 스캔하도록 Amazon Macie를 구성하여, S3 버킷에서 완전한 민감한 데이터 검색 스캔을 실행하여 민감한 데이터가 있는 위치를 파악할 수도 있습니다.

하지만 대규모로 운영하는 고객은 어떻게 시작해야 할지 모르겠다고 토로하곤 했습니다. 직원과 애플리케이션이 매일 새 버킷을 추가하고 페타바이트 단위의 데이터를 생성한다면, 무엇을 먼저 스캔해야 할까요?

자동 데이터 검색은 AWS Organizations 수준에서 집계된 전체 버킷 모음에서 민감한 데이터와 잠재적 데이터 보안 위험을 지속적으로 검색하는 작업을 자동화합니다.

콘솔에서 자동 검색을 활성화하면 Macie는 각 버킷의 민감도 수준을 평가하고 모든 데이터 보안 위험을 강조합니다. 자동 데이터 검색은 지능적이고 완벽하게 관리형 데이터 샘플링을 도입하여, 분석해야 하는 데이터의 양을 크게 줄이는 최적화된 샘플링 속도를 제공합니다. 따라서 전체 데이터를 검사할 때보다 적은 비용으로 민감한 데이터가 포함된 S3 버킷을 찾을 수 있습니다.

100개 이상의 관리하는 민감한 데이터 유형(예: 개인 식별 정보) 및 여러 국가에서 사용하는 특정 형식의 재무 기록을 선택하여, 사용 사례와 관련된 민감한 데이터 유형만 식별하도록 자동 데이터 검색을 조정할 수도 있습니다. 예를 들어 사용 사례에 따라 스페인 또는 스웨덴 운전면허증 번호 감지를 활성화하고 미국 사회보장 번호는 무시할 수 있습니다. 관리하는 특정 데이터 유형이 목록에 없다면, 직원 또는 환자 식별 번호 같은 사용자의 비즈니스에만 적용되는 사용자 지정 데이터 유형을 만들 수 있습니다.

실제 작동 모습 살펴보기
모든 신규 Amazon Macie 고객은 기본적으로 자동 데이터 검색이 활성화되며, 기존 Macie 고객은 Amazon Macie 관리자 계정의 AWS Management Console에서 클릭 한 번으로 자동 데이터 검색을 활성화할 수 있습니다. 30일 무료 평가판이 제공되며 관리자 수준에서 언제든지 수신 거부할 수 있습니다.

왼쪽 탐색 메뉴의 설정(Settings)에 있는 자동 검색(Automated discovery) 항목에서 이 기능을 활성화하거나 비활성화할 수 있습니다. 상태(Status) 섹션에 현재 상태가 표시됩니다.

Amazon Macie에 대한 자동 데이터 검색 - 활성화

같은 페이지에서 관리형 데이터 식별자 목록을 구성할 수 있습니다. 100개 이상의 관리형 데이터 식별자 유형 중에서 개별 데이터 유형을 켜거나 끌 수 있습니다. 새 유형을 구성할 수도 있습니다. 관리형 데이터 식별자(Managed data identifiers) 섹션에서 편집(Edit)을 선택하여 추가 데이터 식별자를 포함하거나 제외합니다.

Amazon Macie용 자동 데이터 검색 - 데이터 식별자 포함 또는 제외

객체가 많은 버킷도 있지만 그렇지 않은 버킷도 있을 때, 대형 버킷을 검사하느라 작은 버킷을 검사하지 못하는 일은 Macie에서는 발생하지 않습니다. 또한 Macie는 확인 수준이 낮은 버킷에 우선 순위를 지정합니다. 예를 들어 Macie가 작은 버킷에 있는 객체 대부분을 확인했다면, 이 버킷은 상대적으로 적은 수의 객체가 든 대형 버킷에 비해 우선 순위가 낮아집니다.

자동 데이터 검색을 사용하면 기능 활성화 후 며칠 안에 S3 버킷 내 민감한 데이터 배포에 관한 대화형 데이터 맵을 얻을 수 있습니다. 이 데이터 맵은 버킷 내 S3 객체를 지능적으로 선택하고 스캔하기 때문이 매일 갱신되며, 해당 월에 전체 S3 자산에 스캔 작업을 분산합니다.

다음은 Amazon Macie 페이지의 요약(Summary) 섹션입니다. 버킷 모음이 안전한 것 같습니다. 퍼블릭 액세스 권한이 있는 버킷은 없으며, 버킷 중 31개에 민감한 데이터가 포함되어 있을 수 있습니다.

Amazon Macie에 대한 자동 데이터 검색 - 요약(Summary) 섹션

왼쪽 탐색 메뉴의 S3 buckets(S3 버킷) 섹션을 선택하면 버킷의 데이터 맵을 볼 수 있습니다. 사각형의 빨간색이 진할수록 버킷에서 탐지된 민감한 데이터가 많다는 뜻입니다. 파란색 사각형은 아직까지 민감한 데이터가 탐지되지 않은 버킷을 의미합니다. 버킷 수준에서 드릴다운하면 세부 정보를 확인할 수 있습니다.

Amazon Macie용 자동 데이터 검색 - 히트 맵

요금 및 가용성
Amazon Macie를 처음 사용한다면 자동 데이터 검색이 기본적으로 활성화됩니다. 조직에서 Amazon Macie를 이미 사용하고 있다면, Amazon Macie 관리자 계정의 관리 콘솔에서 클릭 한 번으로 자동 데이터 검색을 활성화할 수 있습니다.

AWS 계정에서 자동 데이터 검색을 활성화하면 30일 무료 평가 기간이 제공됩니다. 평가 기간이 지나면 계정에 있는 S3 객체의 총 수량과 민감한 콘텐츠를 스캔한 바이트를 기준으로 요금이 청구됩니다. 요금은 하루 단위로 비례 배분하여 청구됩니다. 이 기능은 언제든 비활성화할 수 있습니다. 세부 정보는 요금 페이지에서 확인할 수 있습니다.

이 새로운 기능은 현재 Macie를 사용할 수 있는 21개 상용 AWS 리전 모두에서 사용할 수 있습니다.

지금 바로 Amazon Macie 자동 데이터 검색을 활성화하세요!

— seb