Cómo supervisa Macie la seguridad de los datos de Amazon S3 - Amazon Macie
Componentes principalesActualizaciones de datosConsideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo supervisa Macie la seguridad de los datos de Amazon S3

Cuando habilita Amazon Macie para su cuenta Cuenta de AWS, Macie crea un rol vinculado al servicio AWS Identity and Access Management (IAM) para su cuenta en la cuenta actual. Región de AWS La política de permisos de este rol permite a Macie llamar a otros recursos Servicios de AWS y supervisarlos en su nombre. AWS Al utilizar esta función, Macie genera y mantiene un inventario de los depósitos de uso general de Amazon Simple Storage Service (Amazon S3) en la región. Macie también supervisa y evalúa los buckets para ofrecer seguridad y control de acceso.

Si es el administrador de Macie de una organización, el inventario incluye datos estadísticos y de otro tipo sobre los buckets de S3 de su cuenta y de las cuentas de miembro de su organización. Con estos datos, puede usar Macie para supervisar y evaluar el estado de seguridad de su organización en todo su patrimonio de datos de Amazon S3. Para obtener más información, consulte Administración de varias cuentas .

Componentes principales

Amazon Macie utiliza una combinación de características y técnicas para proporcionar y mantener datos de inventario para los depósitos de uso general de S3, y para supervisar y evaluar los depósitos con fines de seguridad y control de acceso.

Recopilación de metadatos y cálculo de estadísticas

Para generar y mantener los metadatos y las estadísticas de su inventario de buckets, Macie recupera los metadatos de los buckets y los objetos directamente de Amazon S3. Para cada bucket, los metadatos incluyen:

  • Información general sobre el depósito, como el nombre del depósito, el nombre del recurso de Amazon (ARN), la fecha de creación, la configuración de cifrado, las etiquetas y el ID de Cuenta de AWS cuenta del propietario del depósito.

  • Configuración de permisos a nivel de cuenta que se aplica al bucket, como la configuración de bloqueo del acceso público de la cuenta.

  • Configuración de permisos a nivel de bucket para el bucket, como la configuración de bloqueo del acceso público al bucket y la configuración derivada de una política de bucket o de una lista de control de acceso (ACL).

  • Configuración de acceso compartido y replicación del depósito, incluida la cuestión de si los datos del depósito se replican o se comparten con personas Cuentas de AWS que no forman parte de su organización.

  • Recuentos de objetos y configuración de los objetos del bucket, como el número de objetos del bucket y los desgloses de los recuentos de objetos por tipo de cifrado, tipo de archivo y clase de almacenamiento.

Macie le proporciona esta información directamente. Macie también utiliza la información para calcular estadísticas y evaluar la seguridad y la privacidad del inventario de cubos en general y de los grupos individuales de su inventario. Por ejemplo, puede encontrar el tamaño total de almacenamiento y el número de buckets de su inventario, el tamaño total del almacenamiento y el número de objetos de esos buckets, y el tamaño total del almacenamiento y el número de objetos que Macie puede analizar para detectar datos confidenciales en los buckets.

De forma predeterminada, los metadatos y las estadísticas incluyen los datos de cualquier parte del objeto que exista debido a una carga multiparte incompleta. Si actualiza manualmente los metadatos de los objetos de un bucket específico, Macie volverá a calcular las estadísticas del bucket y del inventario general del mismo, y excluirá los datos de las partes del objeto de los valores recalculados. La próxima vez que Macie recupere metadatos de buckets y objetos de Amazon S3 como parte del ciclo de actualización diario, Macie actualizará sus datos de inventario e incluirá de nuevo los datos de las partes del objeto. Para obtener información sobre cuándo recupera Macie los metadatos de los buckets y los objetos, consulte Actualizaciones de datos.

Es importante tener en cuenta que Macie no puede analizar partes de objetos para detectar datos confidenciales. Amazon S3 primero debe terminar de ensamblar las partes en uno o más objetos para que Macie los analice. Para obtener información sobre las cargas multiparte y las partes de objetos, incluido cómo eliminar partes automáticamente según las reglas del ciclo de vida, consulte Carga y copia de objetos mediante la carga multiparte en la Guía del usuario de Amazon Simple Storage Service. Para identificar los buckets que contienen partes de objetos, puede consultar las métricas de carga multiparte incompleta en Lente de almacenamiento de Amazon S3. Para obtener más información, consulte Evaluación de la actividad y el uso en la Guía del usuario de Amazon Simple Storage Service.

Supervisión de la seguridad y la privacidad de los buckets

Para garantizar la precisión de los datos a nivel de bucket de su inventario, Macie supervisa y analiza determinados eventos AWS CloudTrail que pueden producirse en los datos de Amazon S3. Si se produce un evento relevante, Macie actualiza los datos de inventario correspondientes.

Por ejemplo, si habilita la configuración de bloqueo de acceso público para un bucket, Macie actualiza todos los datos sobre la configuración de acceso público del bucket. Del mismo modo, si añades o actualizas la política de cubos de un lote, Macie analiza la política y actualiza los datos correspondientes de tu inventario.

Si Macie determina que un evento reduce la seguridad o la privacidad de un depósito, Macie también crea una declaración de política para que la revises y la corrijas según sea necesario.

Macie monitorea y analiza los datos de los siguientes eventos: CloudTrail

  • Eventos a nivel de cuenta, y DeletePublicAccessBlock PutPublicAccessBlock

  • Eventos a nivel de grupo:CreateBucket,, DeleteAccountPublicAccessBlock,, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy,,DeleteBucketPublicAccessBlock, DeleteBucketReplication,DeleteBucketTagging,, PutAccountPublicAccessBlock, PutBucketAcl,PutBucketEncryption,, PutBucketPolicy, PutBucketPublicAccessBlock PutBucketReplication PutBucketTagging PutBucketVersioning

No puede habilitar la supervisión de CloudTrail eventos adicionales ni deshabilitar la supervisión de ninguno de los eventos anteriores. Para obtener información detallada sobre las operaciones correspondientes de los eventos anteriores, consulte Referencia de la API de Amazon Simple Storage Service.

sugerencia

Para supervisar los eventos a nivel de objeto, le recomendamos que utilice la función de protección Amazon S3 de Amazon. GuardDuty Esta característica supervisa eventos de datos de Amazon S3 y los analiza en busca de actividades maliciosas y sospechosas. Para obtener más información, consulte GuardDuty S3 Protection en la Guía del GuardDuty usuario de Amazon.

Evaluación de la seguridad y el control de acceso de los buckets

Para evaluar la seguridad y el control de acceso a nivel de bucket, Macie utiliza un razonamiento automatizado y basado en la lógica para analizar las políticas basadas en los recursos que se aplican a un bucket. Macie también analiza la configuración de permisos a nivel de cuenta y de bucket que se aplica a un bucket. Este análisis tiene en cuenta las políticas de los grupos y los ajustes de acceso público a nivel ACLs de grupo y bloquea el acceso público a la cuenta y al grupo.

Para las políticas basadas en recursos, Macie utiliza Zelkova. Zelkova es un motor de razonamiento automatizado que traduce las políticas AWS Identity and Access Management (IAM) en enunciados lógicos y utiliza un conjunto de soluciones lógicas especializadas y de uso general (teorías del módulo de satisfactibilidad) para resolver el problema de decisión. Para obtener más información sobre la naturaleza de los solucionadores que utiliza Zelkova, consulte Teorías de los módulos de satisfactibilidad.

Macie aplica Zelkova repetidamente a una política basada en los recursos, utilizando consultas cada vez más específicas para caracterizar las clases de comportamientos que permite la política. El análisis está diseñado para identificar los posibles riesgos de seguridad para sus datos de Amazon S3 y minimizar los falsos negativos. No incluye políticas de AWS Organizations autorización que definan los permisos máximos disponibles para los recursos de su organización, como las políticas de control de servicios (SCPs) o las políticas de control de recursos (RCPs). Tampoco incluye políticas clave para los asociados AWS KMS keys. Por ejemplo, si una política de bucket utiliza la clave condicionada s3: x-amz-server-side - encryption-aws-kms-key -id para restringir el acceso de escritura al bucket, Macie no analiza la política de claves para la clave especificada. Esto significa que Macie podría informar de que el depósito es de acceso público, en función de otros componentes de la política del depósito y de la configuración de permisos de Amazon S3 que se apliquen al depósito.

Además, cuando Macie evalúa la seguridad y la privacidad de un bucket, no examina los registros de acceso ni analiza los usuarios, las funciones y otras configuraciones relevantes de las cuentas. En su lugar, Macie analiza los datos e informa sobre los ajustes clave que indican posibles riesgos de seguridad. Por ejemplo, si el resultado de una política indica que un bucket es de acceso público, no significa necesariamente que una entidad externa haya accedido al bucket. Del mismo modo, si una conclusión de una política indica que un bucket se comparte con una Cuenta de AWS persona ajena a su organización, Macie no intentará determinar si este acceso es previsto y seguro. Por el contrario, estos resultados indican que una entidad externa podría acceder a los datos del bucket, lo que podría suponer un riesgo de seguridad imprevisto.

Si Macie informa de que una entidad externa podría acceder a un bucket de S3, le recomendamos que revise la política y la configuración del bucket para determinar si este acceso está previsto y es seguro. Si procede, revise también las políticas y la configuración de los recursos asociados AWS KMS keys, como las políticas de AWS Organizations autorización de su organización.

importante

Para realizar los trabajos anteriores para un bucket, el bucket debe ser un bucket de uso general de S3. Macie no supervisa ni analiza los buckets de directorio de S3.

Además, Macie debe poder acceder al bucket. Si la configuración de permisos de un bucket impide que Macie recupere los metadatos del bucket o de sus objetos, Macie solo podrá proporcionar un subconjunto de información sobre el bucket, como el nombre y la fecha de creación del bucket. Macie no puede realizar ningún trabajo adicional para el bucket. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.

Macie puede realizar las tareas anteriores para un máximo de 10 000 cubos por cuenta. Si almacena más de 10 000 depósitos en Amazon S3, Macie realiza estas tareas solo para los 10 000 depósitos que se crearon o modificaron más recientemente. En el caso del resto de los depósitos, Macie no mantiene datos de inventario completos, ni evalúa ni supervisa la seguridad y la privacidad de los datos de los depósitos, ni genera conclusiones sobre políticas. En su lugar, Macie solo proporciona un subconjunto de información sobre los cubos.

Actualizaciones de datos

Cuando habilita Amazon Macie para usted Cuenta de AWS, Macie recupera los metadatos de sus buckets y objetos de uso general de S3 directamente de Amazon S3. A partir de ese momento, Macie recupera automáticamente los metadatos del bucket y del objeto directamente de Amazon S3 a diario como parte de un ciclo de actualización diario.

Macie también recupera los metadatos del bucket directamente de Amazon S3 cuando se da alguno de los casos siguientes:

  • Macie detecta un evento relevante. AWS CloudTrail

  • Para actualizar los datos de inventario, selecciona refresh ( The refresh button, which is a button that displays an empty blue circle with an arrow. ) en la consola de Amazon Macie. Según el tamaño del patrimonio de datos, puede actualizarlos con una frecuencia de hasta cinco minutos.

  • Usted envía una DescribeBucketssolicitud a la API de Amazon Macie mediante programación y Macie ha terminado de procesar las solicitudes anteriores. DescribeBuckets

Macie también puede recuperar los metadatos de objetos más recientes de un bucket específico si decide actualizar esos datos manualmente. Esto puede resultar útil si ha creado un bucket recientemente o ha realizado cambios importantes en los objetos de un bucket durante las últimas 24 horas. Para actualizar manualmente los metadatos de los objetos de un bucket, seleccione actualizar ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) en la sección Estadísticas de objetos del Panel de detalles del bucket de la página Buckets de S3 de la consola. Esta característica está disponible para los buckets que almacenan 30 000 objetos o menos.

Para determinar cuándo fue la última vez que Macie recuperó los metadatos de un bucket u objeto para su cuenta, consulte el campo Última actualización de la consola. Este campo aparece en el panel Resumen y en la página Buckets de S3, y en el Panel de detalles del bucket de la página Buckets de S3. Si utilizas la API de Amazon Macie para consultar datos de inventario, el lastUpdated campo proporciona esta información. Si es el administrador de Macie de una organización, el campo indica la fecha y la hora más tempranas en las que Macie recuperó los datos de una cuenta de su organización.

Cada vez que Macie recupera los metadatos de un depósito o un objeto, actualiza automáticamente los datos correspondientes de tu inventario. Si Macie detecta diferencias que afectan a la seguridad o la privacidad de un bucket, Macie comienza inmediatamente a evaluar y analizar los cambios. Una vez finalizado el análisis, Macie actualiza los datos correspondientes de su inventario. Si alguna diferencia reduce la seguridad o la privacidad de un bucket, Macie crea también los resultados de política apropiados para que los revise y solucione como sea oportuno. Macie lo hace para un máximo de 10 000 cubos para tu cuenta. Si tienes más de 10 000 depósitos, Macie lo hará con los 10 000 depósitos que se hayan creado o modificado más recientemente. Si es el administrador de Macie de una organización, esta cuota se aplica a todas las cuentas de la organización, no a la organización en general.

En raras ocasiones, y en determinadas condiciones, la latencia y otros problemas pueden impedir que Macie recupere los metadatos de los buckets y los objetos. También pueden retrasar las notificaciones que recibe Macie sobre los cambios en su inventario de buckets o la configuración de permisos y las políticas de los buckets individuales. Por ejemplo, los problemas de entrega relacionados con CloudTrail los eventos pueden provocar retrasos. Si esto sucede, Macie analiza los datos nuevos y actualizados la próxima vez que realice la actualización diaria, que es en un plazo de 24 horas.

Consideraciones

Cuando utilice Amazon Macie para supervisar y evaluar el nivel de seguridad de sus datos de Amazon S3, tenga en cuenta lo siguiente:

  • Los datos de inventario se aplican únicamente a los buckets de uso general de S3 en la Región de AWS actual. Para acceder a los datos de otras regiones, habilite y use Macie en cada región adicional.

  • Si es el administrador de Macie de una organización, solo podrá acceder a los datos de inventario de una cuenta de miembro si Macie está habilitada para esa cuenta en la región actual.

  • Macie puede proporcionar datos de inventario completos para un máximo de 10 000 cubos por cuenta. Además, Macie puede evaluar y supervisar la seguridad y la privacidad de no más de 10 000 depósitos por cuenta. Si su cuenta supera este límite, Macie evalúa, supervisa y proporciona información detallada sobre los 10 000 depósitos que se crearon o modificaron más recientemente. Para todos los demás depósitos, Macie solo proporciona un subconjunto de información sobre los depósitos.

    Si su cuenta se acerca a esta cuota, se lo notificaremos mediante la creación de un AWS Health evento para su cuenta. También enviamos correos electrónicos a la dirección asociada a tu cuenta. Te avisaremos de nuevo si tu cuenta supera la cuota. Si es administrador de Macie, esta cuota se aplica a todas las cuentas de su organización, no a toda la organización.

  • Si la configuración de permisos de un bucket impide que Macie recupere información sobre el bucket o sus objetos, Macie no podrá evaluar ni supervisar la seguridad y la privacidad de los datos del bucket ni proporcionar información detallada sobre el bucket. Para ayudarle a identificar un bucket en ese caso, Macie hace lo siguiente:

    • En el inventario de cubos de la consola, Macie muestra un icono de advertencia ( The warning icon, which is a red triangle that has an exclamation point in it. ) para el depósito.

    • Para obtener los detalles del depósito, Macie proporciona datos solo para un subconjunto de campos: el ID de cuenta del propietario del Cuenta de AWS depósito; el nombre del depósito, el nombre del recurso de Amazon (ARN), la fecha de creación y la región; y la fecha y la hora en las que Macie recuperó por última vez los metadatos del depósito y del objeto del depósito como parte del ciclo de actualización diario. Si consultas los datos de inventario mediante programación con la API de Amazon Macie, Macie también proporcionará un código de error y un mensaje para el depósito.

    • En el panel de resumen de la consola, el depósito tiene el valor Desconocido para las estadísticas de acceso público, cifrado y uso compartido. Además, Macie excluye el bucket cuando calcula los datos para las estadísticas de Almacenamiento y Objetos.

    • Si consulta las estadísticas agregadas mediante programación mediante la GetBucketStatisticsoperación, el depósito tendrá un valor de unknown para muchas estadísticas y Macie lo excluirá al calcular el número de objetos y los valores del tamaño de almacenamiento.

    Para investigar el problema, revise la política y la configuración de permisos del bucket en Amazon S3. Por ejemplo, el bucket puede tener una política de bucket restrictiva. Para obtener más información, consulte Permitir a Macie el acceso a buckets y objetos de S3.

  • Los datos sobre el acceso y los permisos se limitan a la configuración a nivel de cuenta y de bucket. No refleja la configuración a nivel de objeto que determina el acceso a objetos específicos de un bucket. Por ejemplo, si el acceso público está habilitado para un objeto específico de un bucket, Macie no informa de que el bucket o los objetos del bucket sean de acceso público.

    Para supervisar las operaciones a nivel de objeto e identificar posibles riesgos de seguridad, le recomendamos que utilice la función de protección Amazon S3 de Amazon. GuardDuty Esta característica supervisa eventos de datos de Amazon S3 y los analiza en busca de actividades maliciosas y sospechosas. Para obtener más información, consulte GuardDuty S3 Protection en la Guía del GuardDuty usuario de Amazon.

  • Si actualizas manualmente los metadatos de los objetos de un bucket específico:

    • Macie informa temporalmente de Desconocido para las estadísticas de cifrado aplicables a los objetos. La próxima vez que Macie actualice los datos diariamente (en un plazo de 24 horas), Macie volverá a evaluar los metadatos de cifrado de los objetos y volverá a generar datos cuantitativos para las estadísticas.

    • Macie excluye temporalmente los datos de cualquier parte del objeto que contenga el depósito debido a que ha subido varias partes de forma incompleta. La próxima vez que Macie actualice los datos a diario (en un plazo de 24 horas), volverá a calcular los recuentos y los valores del tamaño de almacenamiento de los objetos del bucket e incluirá los datos de las partes en esos cálculos.

  • En algunos casos, es posible que Macie no pueda determinar si un depósito es de acceso público o compartido, o que necesite cifrar los objetos nuevos en el servidor. Por ejemplo, un problema temporal o de cuota podría impedir que Macie recupere y analice los datos necesarios. O bien, es posible que Macie no pueda determinar completamente si una o más declaraciones de política otorgan acceso a una entidad externa. En estos casos, Macie reporta Unknown para las estadísticas y los campos relevantes de tu inventario por lotes. Para investigar estos casos, revise la política y la configuración de permisos del bucket en Amazon S3.

Tenga en cuenta también que Macie solo genera resultados sobre las políticas si se reduce la seguridad o la privacidad de un bucket después de habilitar Macie en su cuenta. Por ejemplo, si inhabilitas la configuración de bloqueo de acceso público para un depósito después de activar Macie, Macie generará un mensaje Policy: IAMUser /S3 BlockPublicAccessDisabled para el depósito. Sin embargo, si la configuración de bloqueo de acceso público estaba deshabilitada para un bucket cuando activaste Macie y sigue estando deshabilitada, Macie no generará ningún buscador de Policy: IAMUser BlockPublicAccessDisabled /S3 para el bucket.