So funktioniert die automatische Erkennung sensibler Daten - Amazon Macie
Zentrale KomponentenÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert die automatische Erkennung sensibler Daten

Wenn Sie Amazon Macie für Ihren aktivieren AWS-Konto, erstellt Macie in der aktuellen Version eine AWS Identity and Access Management (IAM) serviceverknüpfte Rolle für Ihr Konto. AWS-Region Die Berechtigungsrichtlinie für diese Rolle ermöglicht es Macie, andere Personen anzurufen AWS-Services und AWS Ressourcen in Ihrem Namen zu überwachen. Mithilfe dieser Rolle generiert und verwaltet Macie ein Inventar Ihrer Allzweck-Buckets von Amazon Simple Storage Service (Amazon S3) in der Region. Das Inventar umfasst Informationen zu jedem Ihrer S3-Buckets und zu den Objekten in den Buckets. Wenn Sie der Macie-Administrator einer Organisation sind, enthält Ihr Inventar Informationen zu Buckets, die Ihren Mitgliedskonten gehören. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

Wenn Sie die automatische Erkennung sensibler Daten aktivieren, wertet Macie Ihre Inventardaten täglich aus, um S3-Objekte zu identifizieren, die für eine automatische Erkennung in Frage kommen. Im Rahmen der Bewertung wählt Macie auch eine Stichprobe repräsentativer Objekte für die Analyse aus. Macie ruft dann die neueste Version jedes ausgewählten Objekts ab, analysiert sie und untersucht es auf sensible Daten.

Während die Analyse täglich voranschreitet, aktualisiert Macie Statistiken, Inventardaten und andere Informationen, die es über Ihre Amazon S3 S3-Daten bereitstellt. Macie erstellt auch Aufzeichnungen über die sensiblen Daten, die es findet, und über die Analysen, die es durchführt. Die daraus resultierenden Daten geben Aufschluss darüber, wo Macie sensible Daten in Ihrem Amazon S3 S3-Datenbestand gefunden hat, der alle S3-Allzweckbereiche Ihres Kontos umfassen kann. Anhand der Daten können Sie die Sicherheit und den Datenschutz Ihrer Amazon S3 S3-Daten beurteilen, bestimmen, wo eine eingehendere Untersuchung durchgeführt werden muss, und Fälle identifizieren, in denen Abhilfemaßnahmen erforderlich sind.

Sehen Sie sich das folgende Video an, um eine kurze Demonstration der Funktionsweise der automatisierten Erkennung sensibler Daten zu erhalten:

Um die automatische Erkennung sensibler Daten zu konfigurieren und zu verwalten, müssen Sie der Macie-Administrator einer Organisation sein oder über ein eigenständiges Macie-Konto verfügen. Wenn Ihr Konto Teil einer Organisation ist, kann nur der Macie-Administrator Ihrer Organisation die automatische Erkennung für Konten in der Organisation aktivieren oder deaktivieren. Darüber hinaus kann nur der Macie-Administrator die Einstellungen für die automatische Erkennung der Konten konfigurieren und verwalten. Dazu gehören Einstellungen, die den Umfang und die Art der von Macie durchgeführten Analysen definieren. Wenn Sie ein Mitgliedskonto in einer Organisation haben, wenden Sie sich an Ihren Macie-Administrator, um mehr über die Einstellungen für Ihr Konto und Ihre Organisation zu erfahren.

Zentrale Komponenten

Amazon Macie verwendet eine Kombination von Funktionen und Techniken, um die automatische Erkennung sensibler Daten durchzuführen. Diese arbeiten mit Funktionen zusammen, die Macie Ihnen zur Verfügung stellt, um Sie bei der Überwachung Ihrer Amazon S3 S3-Daten aus Sicherheitsgründen und zur Zugriffskontrolle zu unterstützen.

Auswahl von S3-Objekten zur Analyse

Macie wertet täglich Ihre Amazon S3-Inventardaten aus, um S3-Objekte zu identifizieren, die für eine Analyse durch automatisierte Erkennung sensibler Daten in Frage kommen. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst die Auswertung standardmäßig Daten für S3-Buckets, die Ihren Mitgliedskonten gehören.

Im Rahmen der Bewertung verwendet Macie Stichprobenverfahren, um repräsentative S3-Objekte für die Analyse auszuwählen. Die Techniken definieren Gruppen von Objekten, die ähnliche Metadaten haben und wahrscheinlich einen ähnlichen Inhalt haben. Die Gruppen basieren auf Dimensionen wie Bucket-Name, Präfix, Speicherklasse, Dateinamenerweiterung und Datum der letzten Änderung. Macie wählt dann einen repräsentativen Satz von Stichproben aus jeder Gruppe aus, ruft die neueste Version jedes ausgewählten Objekts von Amazon S3 ab und analysiert jedes ausgewählte Objekt, um festzustellen, ob das Objekt sensible Daten enthält. Wenn die Analyse abgeschlossen ist, verwirft Macie seine Kopie des Objekts.

Bei der Probenahmestrategie werden verteilte Analysen priorisiert. Im Allgemeinen verwendet es einen umfassenden Ansatz für Ihren Amazon S3 S3-Datenbestand. Jeden Tag wird ein repräsentativer Satz von S3-Objekten aus so vielen Ihrer Allzweck-Buckets wie möglich ausgewählt, basierend auf der Gesamtspeichergröße aller klassifizierbaren Objekte in Ihrem Amazon S3 S3-Datenbestand. Wenn Macie beispielsweise bereits sensible Daten in Objekten in einem Bucket analysiert und gefunden hat und noch keine Objekte in einem anderen Bucket analysiert hat, hat letzterer Bucket eine höhere Priorität für die Analyse. Mit diesem Ansatz erhalten Sie schneller einen umfassenden Einblick in die Sensibilität Ihrer Amazon S3 S3-Daten. Abhängig von der Größe Ihres Datenbestands können die Analyseergebnisse innerhalb von 48 Stunden erscheinen.

Die Stichprobenstrategie priorisiert auch die Analyse verschiedener Arten von S3-Objekten und Objekten, die kürzlich erstellt oder geändert wurden. Es kann nicht garantiert werden, dass eine einzelne Objektprobe aussagekräftig ist. Daher kann die Analyse einer Vielzahl von Objekten bessere Einblicke in die Art und Menge sensibler Daten liefern, die ein S3-Bucket enthalten könnte. Darüber hinaus hilft die Priorisierung neuer oder kürzlich geänderter Objekte dabei, die Analyse an Änderungen in Ihrem Bucket-Inventar anzupassen. Wenn Objekte beispielsweise nach einer vorherigen Analyse erstellt oder geändert wurden, haben diese Objekte für die nachfolgende Analyse eine höhere Priorität. Umgekehrt, wenn ein Objekt zuvor analysiert wurde und sich seit dieser Analyse nicht geändert hat, analysiert Macie das Objekt nicht erneut. Mit diesem Ansatz können Sie Basiswerte für die Sensitivität einzelner S3-Buckets festlegen. In dem Maße, wie die kontinuierlichen, inkrementellen Analysen für Ihr Konto voranschreiten, können Ihre Sensitivitätsbeurteilungen einzelner Buckets dann mit vorhersehbarer Geschwindigkeit immer tiefer und detaillierter werden.

Definition des Umfangs der Analysen

Standardmäßig bezieht Macie bei der Auswertung Ihrer Inventardaten und der Auswahl von S3-Objekten zur Analyse alle S3-Allzweck-Buckets für Ihr Konto mit ein. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

Sie können den Umfang der Analysen anpassen, indem Sie bestimmte S3-Buckets von der automatisierten Erkennung sensibler Daten ausschließen. Beispielsweise möchten Sie möglicherweise Buckets ausschließen, in denen normalerweise AWS Protokolldaten gespeichert werden, wie z. B. AWS CloudTrail Ereignisprotokolle. Um einen Bucket auszuschließen, können Sie die Einstellungen für die automatische Erkennung für Ihr Konto oder den Bucket ändern. Wenn Sie dies tun, beginnt Macie, den Bucket auszuschließen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt. Sie können bis zu 1.000 Buckets von Analysen ausschließen. Wenn Sie einen S3-Bucket ausschließen, können Sie ihn später wieder einbeziehen. Ändern Sie dazu erneut die Einstellungen für Ihr Konto oder den Bucket. Macie beginnt dann, den Bucket einzubeziehen, wenn der nächste tägliche Auswertungs- und Analysezyklus beginnt.

Wenn Sie der Macie-Administrator einer Organisation sind, können Sie auch die automatische Erkennung sensibler Daten für einzelne Konten in Ihrer Organisation aktivieren oder deaktivieren. Wenn Sie die automatische Erkennung für ein Konto deaktivieren, schließt Macie alle S3-Buckets aus, die dem Konto gehören. Wenn Sie die automatische Erkennung für das Konto anschließend wieder aktivieren, beginnt Macie erneut, die Buckets einzubeziehen.

Feststellen, welche Arten von sensiblen Daten erkannt und gemeldet werden sollen

Standardmäßig untersucht Macie S3-Objekte anhand der verwalteten Datenkennungen, die wir für die automatische Erkennung sensibler Daten empfehlen. Eine Liste dieser verwalteten Datenkennungen finden Sie unter. Standardeinstellungen für die automatische Erkennung sensibler Daten

Sie können die Analysen so anpassen, dass sie sich auf bestimmte Arten sensibler Daten konzentrieren. Ändern Sie dazu Ihre Einstellungen für die automatische Erkennung auf eine der folgenden Arten:

  • Verwaltete Datenkennungen hinzufügen oder entfernen — Eine verwaltete Daten-ID besteht aus einer Reihe integrierter Kriterien und Techniken, mit denen eine bestimmte Art sensibler Daten erkannt werden soll, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Weitere Informationen finden Sie unter Verwenden von verwalteten Datenbezeichnern.

  • Benutzerdefinierte Datenkennungen hinzufügen oder entfernen — Eine benutzerdefinierte Daten-ID besteht aus einer Reihe von Kriterien, die Sie zur Erkennung vertraulicher Daten definieren. Mit benutzerdefinierten Datenkennungen können Sie sensible Daten erkennen, die die speziellen Szenarien, das geistige Eigentum oder die firmeneigenen Daten Ihres Unternehmens widerspiegeln. Sie können beispielsweise Mitarbeiter-IDs, Kundenkontonummern oder interne Datenklassifizierungen erkennen. Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Datenbezeichnern.

  • Zulassungslisten hinzufügen oder entfernen — In Macie gibt eine Zulassungsliste Text oder ein Textmuster an, das Macie in S3-Objekten ignorieren soll. Dabei handelt es sich in der Regel um Ausnahmen für sensible Daten für Ihre speziellen Szenarien oder Umgebungen, z. B. öffentliche Namen oder Telefonnummern für Ihre Organisation oder Beispieldaten, die Ihre Organisation für Tests verwendet. Weitere Informationen finden Sie unter Definition von Ausnahmen für sensible Daten mit Zulassungslisten.

Wenn Sie eine Einstellung ändern, wendet Macie Ihre Änderung an, wenn der nächste tägliche Analysezyklus beginnt. Wenn Sie der Macie-Administrator einer Organisation sind, verwendet Macie die Einstellungen für Ihr Konto, wenn es S3-Objekte für andere Konten in Ihrer Organisation analysiert.

Sie können auch Einstellungen auf Bucket-Ebene konfigurieren, die festlegen, ob bestimmte Arten vertraulicher Daten bei der Bewertung der Vertraulichkeit eines Buckets berücksichtigt werden. Um zu erfahren wie dies geht, vgl. Anpassen der Empfindlichkeitswerte für S3-Buckets.

Berechnung von Sensitivitätswerten

Standardmäßig berechnet Macie automatisch eine Sensitivitätsbewertung für jeden S3-Allzweckbereich Ihres Kontos. Wenn Sie der Macie-Administrator einer Organisation sind, schließt dies auch Buckets ein, die Ihren Mitgliedskonten gehören.

In Macie ist ein Sensitivitätswert ein quantitatives Maß für den Schnittpunkt zweier primärer Dimensionen: der Menge vertraulicher Daten, die Macie in einem Bucket gefunden hat, und der Menge an Daten, die Macie in einem Bucket analysiert hat. Der Sensitivitätswert eines Buckets bestimmt, welches Sensitivitätslabel Macie dem Bucket zuweist. Ein Sensitivitätslabel ist eine qualitative Darstellung des Sensitivitätswerts eines Buckets, z. B. Sensitiv, Nicht sensibel und Noch nicht analysiert. Einzelheiten zu den von Macie definierten Bereichen der Sensitivitätswerte und Kennzeichnungen finden Sie unter. Empfindlichkeitsbewertung für S3-Buckets

Wichtig

Die Sensitivitätsbewertung und das Label eines S3-Buckets implizieren oder deuten nicht auf andere Weise auf die Wichtigkeit oder Bedeutung hin, die der Bucket oder die Objekte des Buckets für Sie oder Ihre Organisation haben könnten. Stattdessen sollen sie als Anhaltspunkte dienen, anhand derer Sie potenzielle Sicherheitsrisiken identifizieren und überwachen können.

Wenn Sie die automatische Erkennung sensibler Daten zum ersten Mal aktivieren, weist Macie jedem S3-Bucket automatisch einen Vertraulichkeitswert von 50 und das Label Noch nicht analysiert zu. Die Ausnahme bilden leere Buckets. Ein leerer Bucket ist ein Bucket, der keine Objekte speichert oder alle Objekte des Buckets enthalten null (0) Byte an Daten. Wenn dies bei einem Bucket der Fall ist, weist Macie dem Bucket eine Punktzahl von 1 zu und weist dem Bucket das Label Nicht sensibel zu.

Während die automatische Erkennung sensibler Daten voranschreitet, aktualisiert Macie die Sensibilitätswerte und Kennzeichnungen, um die Ergebnisse seiner Analysen widerzuspiegeln. Beispielsweise:

  • Wenn Macie keine sensiblen Daten in einem Objekt findet, senkt Macie den Vertraulichkeitswert des Buckets und aktualisiert das Sensitivitätslabel des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, erhöht Macie den Sensitivitätswert des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das später geändert wurde, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert die Vertraulichkeitsbeschriftung des Buckets nach Bedarf.

  • Wenn Macie sensible Daten in einem Objekt findet, das anschließend gelöscht wird, entfernt Macie die Erkennungen sensibler Daten für das Objekt aus der Vertraulichkeitsbewertung des Buckets und aktualisiert bei Bedarf die Vertraulichkeitsbeschriftung des Buckets.

Sie können die Einstellungen für die Sensitivitätsbewertung für einzelne S3-Buckets anpassen, indem Sie bestimmte Arten vertraulicher Daten in die Bewertung eines Buckets ein- oder ausschließen. Sie können die berechnete Punktzahl eines Buckets auch überschreiben, indem Sie dem Bucket manuell die maximale Punktzahl (100) zuweisen. Wenn Sie die Höchstpunktzahl zuweisen, lautet die Bezeichnung des Buckets Sensitiv. Weitere Informationen finden Sie unter Anpassen der Empfindlichkeitswerte für S3-Buckets.

Generierung von Metadaten, Statistiken und anderen Arten von Ergebnissen

Wenn Sie die automatische Erkennung sensibler Daten aktivieren, generiert Macie zusätzliche Inventardaten, Statistiken und andere Informationen zu den S3-Allzweck-Buckets und beginnt mit der Verwaltung dieser Daten für Ihr Konto. Wenn Sie der Macie-Administrator einer Organisation sind, umfasst dies standardmäßig auch Buckets, die Ihren Mitgliedskonten gehören.

Die zusätzlichen Informationen erfassen die Ergebnisse der automatisierten Aktivitäten zur Erkennung sensibler Daten, die Macie bisher durchgeführt hat. Es ergänzt auch andere Informationen, die Macie zu Ihren Amazon S3 S3-Daten bereitstellt, z. B. die Einstellungen für den öffentlichen Zugriff und den gemeinsamen Zugriff für einzelne Buckets. Zu den zusätzlichen Informationen gehören:

  • Eine interaktive, visuelle Darstellung der Datensensitivität in Ihrem gesamten Amazon S3 S3-Datenbestand.

  • Aggregierte Statistiken zur Datensensitivität, z. B. die Gesamtzahl der Buckets, in denen Macie sensible Daten gefunden hat, und wie viele dieser Buckets öffentlich zugänglich sind.

  • Details auf Bucket-Ebene, die den aktuellen Status der Analysen angeben. Zum Beispiel eine Liste von Objekten, die Macie in einem Bucket analysiert hat, die Typen sensibler Daten, die Macie in einem Bucket gefunden hat, und die Anzahl der Vorkommen der einzelnen Typen sensibler Daten, die Macie gefunden hat.

Die Informationen enthalten auch Statistiken und Details, anhand derer Sie die Reichweite Ihrer Amazon S3 S3-Daten beurteilen und überwachen können. Sie können den Status der Analysen für Ihren gesamten Datenbestand und für einzelne S3-Buckets überprüfen. Sie können auch Probleme identifizieren, die Macie daran gehindert haben, Objekte in bestimmten Buckets zu analysieren. Wenn Sie die Probleme beheben, können Sie die Abdeckung Ihrer Amazon S3 S3-Daten in nachfolgenden Analysezyklen erhöhen. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.

Macie berechnet und aktualisiert diese Informationen automatisch neu und führt gleichzeitig eine automatische Erkennung sensibler Daten durch. Wenn Macie beispielsweise sensible Daten in einem S3-Objekt findet, das anschließend geändert oder gelöscht wurde, aktualisiert Macie die Metadaten des entsprechenden Buckets: entfernt das Objekt aus der Liste der analysierten Objekte, entfernt Vorkommen sensibler Daten, die Macie in dem Objekt gefunden hat, berechnet die Sensitivitätsbewertung neu, falls die Bewertung automatisch berechnet wird, und aktualisiert die Vertraulichkeitsbeschriftung nach Bedarf, um die neue Bewertung widerzuspiegeln.

Zusätzlich zu Metadaten und Statistiken erstellt Macie Aufzeichnungen über die gefundenen sensiblen Daten und die durchgeführten Analysen: Ergebnisse sensibler Daten, die sensible Daten melden, die Macie in einzelnen S3-Objekten findet, und Erkennungsergebnisse sensibler Daten, in denen Details zur Analyse einzelner S3-Objekte protokolliert werden.

Weitere Informationen finden Sie unter Überprüfung der Ergebnisse der automatisierten Erkennung sensibler Daten.

Überlegungen

Beachten Sie bei der Konfiguration und Verwendung von Amazon Macie zur automatischen Erkennung sensibler Daten für Ihre Amazon S3 S3-Daten Folgendes:

  • Ihre Einstellungen für die automatische Erkennung gelten nur für die aktuelle AWS-Region Version. Folglich gelten die resultierenden Analysen und Daten nur für S3-Allzweck-Buckets und -Objekte in der aktuellen Region. Um eine automatische Erkennung durchzuführen und auf die resultierenden Daten in zusätzlichen Regionen zuzugreifen, aktivieren und konfigurieren Sie die automatische Erkennung in jeder weiteren Region.

  • Wenn Sie der Macie-Administrator einer Organisation sind:

    • Sie können die automatische Erkennung für ein Mitgliedskonto nur durchführen, wenn Macie für das Konto in der aktuellen Region aktiviert ist. Darüber hinaus müssen Sie die automatische Erkennung für das Konto in dieser Region aktivieren. Mitglieder können die automatische Erkennung nicht für ihre eigenen Konten aktivieren oder deaktivieren.

    • Wenn Sie die automatische Erkennung für ein Mitgliedskonto aktivieren, verwendet Macie die Einstellungen für die automatische Erkennung für Ihr Administratorkonto, wenn es Daten für das Mitgliedskonto analysiert. Die anwendbaren Einstellungen sind: die Liste der S3-Buckets, die von Analysen ausgeschlossen werden sollen, sowie die verwalteten Datenkennungen, benutzerdefinierten Datenkennungen und Zulassungslisten, die bei der Analyse von S3-Objekten verwendet werden sollen. Mitglieder können diese Einstellungen nicht überprüfen oder ändern.

    • Mitglieder können nicht auf die Einstellungen für die automatische Erkennung einzelner S3-Buckets zugreifen, die sie besitzen. Beispielsweise kann ein Mitglied die Einstellungen für die Sensitivitätsbewertung für einen seiner Buckets nicht überprüfen oder anpassen. Nur der Macie-Administrator kann auf diese Einstellungen zugreifen.

    • Mitglieder haben Lesezugriff auf Statistiken zur Entdeckung sensibler Daten und andere Ergebnisse, die Macie direkt für ihre S3-Buckets bereitstellt. Beispielsweise kann ein Mitglied Macie verwenden, um die Sensibilitätswerte und Abdeckungsdaten für seine S3-Buckets zu überprüfen. Die Ausnahme bilden Ergebnisse sensibler Daten. Nur der Macie-Administrator hat direkten Zugriff auf die Ergebnisse, die durch automatische Erkennung erzielt werden.

  • Wenn die Berechtigungseinstellungen eines S3-Buckets Macie daran hindern, auf Informationen über den Bucket oder die Objekte des Buckets zuzugreifen oder diese abzurufen, kann Macie keine automatische Erkennung für den Bucket durchführen. Macie kann nur einen Teil der Informationen über den Bucket bereitstellen, z. B. die Konto-ID für den Bucket, dem der Bucket gehört AWS-Konto , den Namen des Buckets und wann Macie im Rahmen des täglichen Aktualisierungszyklus zuletzt Bucket- und Objekt-Metadaten für den Bucket abgerufen hat. In Ihrem Bucket-Inventar liegt der Sensitivitätswert für diese Buckets bei 50, und ihr Vertraulichkeitslabel wurde noch nicht analysiert. Um S3-Buckets zu identifizieren, in denen dies der Fall ist, können Sie sich auf die Deckungsdaten beziehen. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.

  • Um für die Auswahl und Analyse in Frage zu kommen, muss ein S3-Objekt in einem Allzweck-Bucket gespeichert werden und klassifizierbar sein. Ein klassifizierbares Objekt verwendet eine unterstützte Amazon S3 S3-Speicherklasse und hat eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und Formate.

  • Wenn ein S3-Objekt verschlüsselt ist, kann Macie es nur analysieren, wenn es mit einem Schlüssel verschlüsselt ist, auf den Macie zugreifen kann und den er verwenden darf. Weitere Informationen finden Sie unter Analysieren verschlüsselter S3-Objekte. Um Fälle zu identifizieren, in denen Macie aufgrund von Verschlüsselungseinstellungen daran gehindert wurde, ein oder mehrere Objekte in einem Bucket zu analysieren, können Sie auf die Deckungsdaten zurückgreifen. Weitere Informationen finden Sie unter Bewertung der Reichweite automatisierter Erkennung sensibler Daten.