Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험으로부터 데이터를 자동으로 보호하는 데이터 보안 서비스입니다. Macie는 Amazon S3 환경의 데이터 보안 태세를 관리할 수 있도록 S3 버킷의 보안 및 액세스 제어를 지속적으로 평가하고, 평가 결과를 생성하여 암호화되지 않은 버킷, 공개적으로 액세스 가능한 버킷 및 조직 외부의 AWS 계정과 공유되는 버킷과 같은 문제를 알려줍니다. 그런 다음 S3 버킷의 객체를 자동으로 샘플링하고 분석하여 객체에서 개인 식별 정보(PII)와 같은 민감한 데이터를 검사하고, 계정 전체에 걸쳐 S3의 민감한 데이터가 상주하는 위치에 대한 대화형 데이터 맵을 작성하며, 각 버킷의 민감도 점수를 제공합니다. 대화형 데이터 맵은 Macie를 사용하여 민감한 데이터의 표적 검색 작업을 실행함으로써 특정 S3 버킷에 대한 심층 조사를 수행할지 여부를 결정하는 지침으로 사용될 수 있습니다. 민감한 데이터의 표적 검색 작업을 실행하면 건강 보험 이전 및 책임에 관한 법(HIPAA) 및 일반 데이터 개인 정보 보호 규정(GDPR)과 같은 규제를 준수하는 데 도움이 될 수 있습니다. 모든 Macie 결과는 Amazon EventBridge로 전송되며 AWS Security Hub에 게시하여 S3 스토리지에 대한 공개 액세스를 차단하는 등의 자동 해결 작업을 시작할 수도 있습니다. 민감한 데이터 자동 검색 및 S3 버킷 수준 평가가 포함된 30일 무료 평가판을 활용하여 Macie를 시작할 수 있습니다. 무료 평가판은 유료 사용량을 약정하기 전에 사용을 지속할 경우의 예상 지출을 파악하는 데 도움이 될 수 있습니다.
Amazon S3 보안 태세를 지속적으로 평가
Amazon Macie는 Amazon S3 환경을 지속적으로 평가하고 계정 전반의 데이터 보안 태세를 요약하여 보여줍니다. 메타데이터 변수(예: 버킷 이름), 태그, 그리고 보안 제어(예: 암호화 상태 또는 공개적 접근성)를 기준으로 S3 버킷을 검색 및 필터링하고 정렬할 수 있습니다. 암호화되지 않은 버킷, 공개적으로 액세스할 수 있는 버킷 또는 AWS Organizations에서 정의한 계정 외부의 AWS 계정과 공유한 버킷의 경우, 조치를 취하라는 알림을 순서대로 받을 수 있습니다. 그런 다음 Macie를 통해 S3 버킷의 객체를 자동으로 샘플링하고 분석하여 객체에서 개인 식별 정보(PII)와 같은 민감한 데이터를 검사하고, 계정 전체에 걸쳐 S3의 민감한 데이터가 상주하는 위치에 대한 대화형 데이터 맵을 작성하며, 각 버킷의 민감도 점수를 확인할 수 있습니다. 대화형 데이터 맵은 Macie를 사용하여 민감한 데이터의 표적 검색 작업을 실행함으로써 특정 S3 버킷에 대한 심층 조사를 수행할지 여부를 결정하는 지침으로 사용될 수 있습니다.
민감한 데이터에 대한 표적 검색
Amazon Macie를 사용하면 Amazon S3 버킷의 모든 객체나 일부 객체에 대해 민감한 데이터 검색 작업을 한 번, 매일, 매주 또는 매월 실행할 수 있습니다. 민감한 데이터 표적 검색 작업의 경우 Amazon Macie는 버킷의 변경 내용을 자동으로 추적하고, 시간이 지남에 따라 수정된 객체나 새 객체만 평가합니다.
민감한 데이터 유형을 완벽하게 관리
Amazon Macie에서 유지 관리하는 민감한 데이터 유형 목록은 날로 증가하며, 여기에는 일반적인 개인 식별 정보(PII)를 비롯하여 GDPR, PCI DSS, HIPAA 같은 데이터 프라이버시 규정에 정의된 그 밖의 민감한 데이터 유형이 포함됩니다. 이러한 데이터 유형은 기계 학습 같은 다양한 데이터 검색 기법을 사용하며, 시간의 경과에 따라 지속적으로 추가 및 개선됩니다.
독점 또는 고유 데이터 유형을 검색
Amazon Macie에서는 정규식을 사용해 사용자 정의된 데이터 유형을 추가하여 비즈니스와 관련된 독점적이거나 고유한 민감한 데이터를 검색할 수 있습니다.
세부적이고 실행 가능한 보안 및 민감한 데이터 검색 결과
Macie는 객체 또는 버킷별로 검색 결과를 통합하여 생성되는 알림의 양을 줄이고 우선 순위를 신속하게 지정합니다. Macie 검색 결과는 심각도 수준에 따라 우선 순위가 지정되며 각각의 검색 결과에는 민감한 데이터 유형, 태그, 공개적 접근성, 암호화 상태 같은 세부 정보가 포함됩니다. 검색 결과는 30일 동안 유지되고 AWS Management Console에서 또는 API를 통해 확인할 수 있습니다. 민감한 데이터에 대한 전체 검색 세부 정보는 장기적으로 보관할 수 있도록 고객이 소유한 S3 버킷에 자동으로 기록됩니다.
Amazon S3 객체에 있는 민감한 데이터를 안전하게 검토하고 검증
Macie를 사용하면 선택 한 번으로 S3에 있는 민감한 데이터의 사례를 최대 10개까지 임시로 검색할 수 있습니다. 이 기능은 민감한 것으로 식별된 S3 객체 콘텐츠를 좀 더 쉽게 확인하고 파악하는 데 도움이 되므로 필요에 따라 검토 및 검증한 후 빠른 조치를 취할 수 있습니다. 캡처된 모든 민감한 데이터 사례는 고객이 관리하는 AWS Key Management Service(KMS) 키로 암호화되며, 검색된 후에는 Macie 콘솔 내에서 임시로 확인할 수 있습니다.
텍스트 또는 텍스트 패턴을 지정하는 허용 목록을 생성하고 관리
Macie의 허용 목록 기능은 환경에서 조치가 필요하지 않은, 데이터 텍스트 또는 형식으로 인한 알림의 양을 줄이는 데 도움이 될 수 있습니다. 허용 목록은 Macie에서 S3 객체 내의 민감한 데이터를 검사할 때 무시할 특정 텍스트 또는 텍스트 패턴을 정의합니다. 텍스트가 허용 목록의 입력 또는 패턴과 일치하는 경우 Macie는 텍스트가 관리되는 데이터 식별자 또는 사용자 지정 데이터 식별자의 기준과 일치하더라도 민감한 데이터 결과 또는 민감한 데이터 검색 결과에 이 텍스트를 보고하지 않습니다.
사전 데이터 소스 통합 없이 선택 한 번으로 배포
AWS Management Console에서 선택 한 번 또는 단일 API 호출로 단일 계정에서 Amazon Macie를 사용할 수 있습니다. 그리고 콘솔에서 몇 번의 선택으로 여러 계정 전체에 Macie를 사용하도록 설정할 수 있습니다. 사용하도록 설정한 후에는 계정 전반에 걸친 S3 리소스 요약이 지속적으로 생성되는데, 이러한 요약 정보에는 버킷 및 객체 수는 물론 버킷 수준 보안 및 액세스 제어도 포함됩니다.
다중 계정 지원 및 AWS Organizations와의 통합
다중 계정 구성에서는 단일 Macie 관리자 계정으로 계정 전반에 걸친 민감한 데이터 검색 작업의 생성 및 관리를 포함하여 모든 회원 계정을 관리할 수 있습니다. Macie는 AWS Organizations 통합을 통해 다중 계정을 지원합니다. 보안 데이터 및 민감한 데이터 검색 결과는 Macie 관리자 계정에 집계되고 Amazon EventBridge로 전송됩니다. 이제 계정 하나를 사용하여 이벤트 관리, 워크플로 및 티켓팅 시스템과 통합할 수도 있고, Macie 검색 결과와 AWS Step Functions를 함께 사용하여 개선 조치를 자동화할 수도 있습니다.
