In che modo Macie monitora la sicurezza dei dati di Amazon S3 - Amazon Macie

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo Macie monitora la sicurezza dei dati di Amazon S3

Quando abiliti Amazon Macie per il tuo account Account AWS, Macie crea un ruolo AWS Identity and Access Management (IAM) collegato al servizio per il tuo account nella versione corrente. Regione AWS La politica di autorizzazione per questo ruolo consente a Macie di chiamare altri utenti Servizi AWS e monitorare le risorse per tuo conto. AWS Utilizzando questo ruolo, Macie genera e gestisce un inventario completo dei bucket generici Amazon Simple Storage Service (Amazon S3) nella regione. Macie monitora e valuta anche i bucket per la sicurezza e il controllo degli accessi.

Se sei l'amministratore Macie di un'organizzazione, l'inventario include dati statistici e di altro tipo sui bucket S3 per il tuo account e gli account dei membri dell'organizzazione. Con questi dati, puoi utilizzare Macie per monitorare e valutare il livello di sicurezza della tua organizzazione in tutto il tuo patrimonio di dati Amazon S3. Per ulteriori informazioni, consulta Gestione di più account .

Componenti chiave

Amazon Macie utilizza una combinazione di caratteristiche e tecniche per fornire e gestire i dati di inventario relativi ai bucket generici S3 e per monitorare e valutare i bucket per motivi di sicurezza e controllo degli accessi.

Raccolta di metadati e calcolo delle statistiche

Per generare e gestire metadati e statistiche per l'inventario dei bucket, Macie recupera i metadati di bucket e oggetti direttamente da Amazon S3. Per ogni bucket, i metadati includono:

  • Informazioni generali sul bucket, come il nome del bucket, Amazon Resource Name (ARN), la data di creazione, le impostazioni di crittografia, i tag e l'ID dell'account del proprietario del Account AWS bucket.

  • Impostazioni delle autorizzazioni a livello di account che si applicano al bucket, come le impostazioni di blocco dell'accesso pubblico per l'account.

  • Impostazioni delle autorizzazioni a livello di bucket per il bucket, ad esempio le impostazioni di blocco dell'accesso pubblico per il bucket e le impostazioni che derivano da una policy del bucket o da una lista di controllo degli accessi (). ACL

  • Impostazioni di accesso e replica condivise per il bucket, ad esempio se i dati del bucket vengono replicati o condivisi con persone che non fanno parte dell'organizzazione. Account AWS

  • Numero di oggetti e impostazioni per gli oggetti nel bucket, ad esempio il numero di oggetti nel bucket e la suddivisione del conteggio degli oggetti per tipo di crittografia, tipo di file e classe di archiviazione.

Macie ti fornisce queste informazioni direttamente. Macie utilizza le informazioni anche per calcolare statistiche e fornire valutazioni sulla sicurezza e la privacy dell'inventario dei bucket in generale e dei singoli bucket presenti nell'inventario. Ad esempio, puoi trovare la dimensione totale di archiviazione e il numero di bucket nel tuo inventario, la dimensione totale di spazio di archiviazione e il numero di oggetti in quei bucket e la dimensione totale di spazio di archiviazione e il numero di oggetti che Macie può analizzare per rilevare i dati sensibili nei bucket.

Per impostazione predefinita, i metadati e le statistiche includono i dati relativi a tutte le parti dell'oggetto esistenti a causa di caricamenti incompleti in più parti. Se aggiorni manualmente i metadati degli oggetti per un bucket specifico, Macie ricalcola le statistiche relative al bucket e all'inventario complessivo del bucket ed esclude i dati relativi alle parti dell'oggetto dai valori ricalcolati. La prossima volta che Macie recupera i metadati di bucket e oggetti da Amazon S3 come parte del ciclo di aggiornamento giornaliero, Macie aggiorna i dati dell'inventario e include nuovamente i dati per le parti dell'oggetto. Per informazioni su quando Macie recupera i metadati del bucket e dell'oggetto, consulta. Aggiornamenti dei dati

È importante notare che Macie non può analizzare parti di oggetti per rilevare dati sensibili. Amazon S3 deve prima completare l'assemblaggio delle parti in uno o più oggetti affinché Macie possa analizzarle. Per informazioni sui caricamenti in più parti e sulle parti di oggetti, incluso come eliminare le parti automaticamente con le regole del ciclo di vita, consulta Caricamento e copia di oggetti utilizzando il caricamento multiparte nella Guida per l'utente di Amazon Simple Storage Service. Per identificare i bucket che contengono parti di oggetti, puoi fare riferimento a metriche di caricamento multiparte incomplete in Amazon S3 Storage Lens. Per ulteriori informazioni, consulta la sezione Valutazione dell'attività e dell'utilizzo dello storage nella Guida per l'utente di Amazon Simple Storage Service.

Monitoraggio della sicurezza e della privacy dei bucket

Per garantire l'accuratezza dei dati a livello di bucket nel tuo inventario, Macie monitora e analizza determinati AWS CloudTraileventi che possono verificarsi per i dati di Amazon S3. Se si verifica un evento rilevante, Macie aggiorna i dati di inventario appropriati.

Ad esempio, se abiliti le impostazioni di blocco dell'accesso pubblico per un bucket, Macie aggiorna tutti i dati relativi alle impostazioni di accesso pubblico del bucket. Allo stesso modo, se aggiungi o aggiorni la policy del bucket per un bucket, Macie analizza la policy e aggiorna i dati pertinenti nel tuo inventario.

Macie monitora e analizza i dati per i seguenti eventi: CloudTrail

  • Eventi a livello di account e DeletePublicAccessBlock PutPublicAccessBlock

  • Eventi a livello di bucket:CreateBucket, DeleteAccountPublicAccessBlock, DeleteBucket,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,,DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl,, PutBucketEncryption PutBucketPolicy, e PutBucketPublicAccessBlock PutBucketReplication PutBucketTagging PutBucketVersioning

Non puoi abilitare il monitoraggio di CloudTrail eventi aggiuntivi o disabilitare il monitoraggio per nessuno degli eventi precedenti. Per informazioni dettagliate sulle operazioni corrispondenti per gli eventi precedenti, consulta Amazon Simple Storage Service API Reference.

Suggerimento

Per monitorare gli eventi a livello di oggetto, ti consigliamo di utilizzare la funzionalità di protezione Amazon S3 di Amazon. GuardDuty Questa funzionalità monitora gli eventi relativi ai dati di Amazon S3 a livello di oggetto e li analizza per individuare attività dannose e sospette. Per ulteriori informazioni, consulta la protezione di Amazon S3 in Amazon GuardDuty nella Amazon GuardDuty User Guide.

Valutazione della sicurezza e del controllo degli accessi dei bucket

Per valutare la sicurezza a livello di bucket e il controllo degli accessi, Macie utilizza un ragionamento automatizzato e basato sulla logica per analizzare le politiche basate sulle risorse che si applicano a un bucket. Macie analizza anche le impostazioni delle autorizzazioni a livello di account e bucket che si applicano a un bucket. Questa analisi tiene conto delle politiche del bucket, a livello di ACLs bucket e delle impostazioni di accesso pubblico di blocco per l'account e il bucket.

Per le politiche basate sulle risorse, Macie utilizza Zelkova. Zelkova è un motore di ragionamento automatizzato che traduce AWS Identity and Access Management (IAM) le politiche in istruzioni logiche ed esegue una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per risolvere il problema decisionale. Macie applica ripetutamente Zelkova a una politica con domande sempre più specifiche per caratterizzare le classi di comportamenti consentite dalla politica. Per saperne di più sulla natura dei solutori utilizzati da Zelkova, consulta Satisfiability Modulo Theories.

Importante

Per eseguire le attività precedenti per un bucket, il bucket deve essere un bucket S3 per uso generico. Macie non monitora né analizza i bucket di directory S3.

Inoltre, a Macie deve essere consentito l'accesso al bucket. Se le impostazioni delle autorizzazioni di un bucket impediscono a Macie di recuperare i metadati per il bucket o gli oggetti del bucket, Macie può fornire solo un sottoinsieme di informazioni sul bucket, come il nome e la data di creazione del bucket. Macie non può eseguire alcuna attività aggiuntiva per il bucket. Per ulteriori informazioni, consulta Consentire a Macie di accedere a bucket e oggetti S3.

Aggiornamenti dei dati

Quando abiliti Amazon Macie per il tuo Account AWS, Macie recupera i metadati per i tuoi bucket e oggetti generici S3 direttamente da Amazon S3. Successivamente, Macie recupera automaticamente i metadati di bucket e oggetti direttamente da Amazon S3 su base giornaliera come parte di un ciclo di aggiornamento giornaliero.

Macie recupera anche i metadati del bucket direttamente da Amazon S3 quando si verifica una delle seguenti situazioni:

  • Puoi aggiornare i dati dell'inventario scegliendo refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) sulla console Amazon Macie. Puoi aggiornare i dati ogni cinque minuti.

  • Invii una DescribeBucketsrichiesta ad Amazon Macie in modo API programmatico e non l'hai inviata nei cinque DescribeBuckets minuti precedenti.

  • Macie rileva un evento rilevante. AWS CloudTrail

Macie può anche recuperare i metadati degli oggetti più recenti per un bucket specifico se scegli di aggiornare manualmente tali dati. Questo può essere utile se hai creato di recente un bucket o hai apportato modifiche significative agli oggetti di un bucket nelle ultime 24 ore. Per aggiornare manualmente i metadati degli oggetti per un bucket, scegli refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. ) nella sezione Statistiche degli oggetti del pannello dei dettagli del bucket nella pagina dei bucket S3 della console. Questa funzionalità è disponibile per i bucket che memorizzano 30.000 o meno oggetti.

Ogni volta che Macie recupera i metadati di un bucket o di un oggetto, Macie aggiorna automaticamente tutti i dati pertinenti del tuo inventario. Se Macie rileva differenze che influiscono sulla sicurezza o sulla privacy di un bucket, Macie inizia immediatamente a valutare e analizzare le modifiche. Una volta completata l'analisi, Macie aggiorna i dati pertinenti nel tuo inventario. Se alcune differenze riducono la sicurezza o la privacy di un bucket, Macie crea anche i risultati delle policy appropriati da esaminare e correggere se necessario.

Per determinare quando Macie ha recuperato l'ultima volta i metadati del bucket o dell'oggetto per il tuo account, puoi fare riferimento al campo Ultimo aggiornamento sulla console. Questo campo viene visualizzato nella dashboard di riepilogo, nella pagina dei bucket S3 e nel pannello dei dettagli dei bucket della pagina dei bucket S3. (Se utilizzi Amazon Macie API per interrogare i dati di inventario, il lastUpdated campo fornisce queste informazioni.) Se sei l'amministratore Macie di un'organizzazione, il campo Ultimo aggiornamento indica la prima data e ora in cui Macie ha recuperato i dati per un account della tua organizzazione.

In rare occasioni, in determinate condizioni, la latenza e altri problemi potrebbero impedire a Macie di recuperare i metadati del bucket e dell'oggetto. Potrebbero anche ritardare le notifiche che Macie riceve in merito alle modifiche all'inventario dei bucket o alle impostazioni e alle politiche delle autorizzazioni per i singoli bucket. Ad esempio, i problemi di consegna relativi CloudTrail agli eventi potrebbero causare ritardi. In tal caso, Macie analizza i dati nuovi e aggiornati la prossima volta che esegue l'aggiornamento giornaliero, ovvero entro 24 ore.

Considerazioni

Quando utilizzi Amazon Macie per monitorare e valutare il livello di sicurezza dei tuoi dati Amazon S3, tieni presente quanto segue:

  • I dati di inventario si applicano solo ai bucket S3 per uso generico attualmente disponibili. Regione AWS Per accedere ai dati per altre regioni, abilita e usa Macie in ogni regione aggiuntiva.

  • Se sei l'amministratore Macie di un'organizzazione, puoi accedere ai dati di inventario per un account membro solo se Macie è abilitato per quell'account nella regione corrente.

  • Se le impostazioni delle autorizzazioni di un bucket impediscono a Macie di recuperare informazioni sul bucket o sugli oggetti del bucket, Macie non può valutare e monitorare la sicurezza e la privacy dei dati del bucket o fornire informazioni dettagliate sul bucket.

    Per aiutarti a identificare un bucket in questo caso, Macie fa quanto segue:

    • Nell'inventario dei bucket, Macie visualizza un'icona di avviso ( The warning icon, which is a red triangle that has an exclamation point in it. ) per il bucket. Per i dettagli del bucket, Macie visualizza solo un sottoinsieme di campi e dati: l'ID dell'account del proprietario del bucket, il Account AWS nome del bucket, Amazon Resource Name (ARN), la data di creazione e la regione; e la data e l'ora in cui Macie ha recentemente recuperato i metadati del bucket e dell'oggetto per il bucket come parte del ciclo di aggiornamento giornaliero. Se usi Amazon Macie API per interrogare i dati dell'inventario, Macie fornisce un codice di errore e un messaggio per il bucket e il valore per la maggior parte delle proprietà del bucket è nullo.

    • Nella dashboard di riepilogo, il valore del bucket è Unknown for Public Access, Encryption and Sharing. (Se usi Amazon Macie API per interrogare le statistiche, il bucket ha un valore di unknown per queste statistiche.) Inoltre, Macie esclude il bucket quando calcola i dati per le statistiche di Storage and Objects.

    Per esaminare il problema, consulta la policy e le impostazioni delle autorizzazioni del bucket in Amazon S3. Ad esempio, il bucket potrebbe avere una politica restrittiva. Per ulteriori informazioni, consulta Consentire a Macie di accedere a bucket e oggetti S3.

  • I dati relativi all'accesso e alle autorizzazioni sono limitati alle impostazioni a livello di account e bucket. Non riflette le impostazioni a livello di oggetto che determinano l'accesso a oggetti specifici in un bucket. Ad esempio, se l'accesso pubblico è abilitato per un oggetto specifico in un bucket, Macie non segnala che il bucket o gli oggetti del bucket sono accessibili pubblicamente.

    Per monitorare le operazioni a livello di oggetto e identificare potenziali rischi per la sicurezza, ti consigliamo di utilizzare la funzionalità di protezione Amazon S3 di Amazon. GuardDuty Questa funzionalità monitora gli eventi relativi ai dati di Amazon S3 a livello di oggetto e li analizza per individuare attività dannose e sospette. Per ulteriori informazioni, consulta la protezione di Amazon S3 in Amazon GuardDuty nella Amazon GuardDuty User Guide.

  • Se aggiorni manualmente i metadati degli oggetti per un bucket specifico, Macie segnala temporaneamente Unknown per le statistiche di crittografia che si applicano agli oggetti. La prossima volta che Macie esegue l'aggiornamento quotidiano dei dati (entro 24 ore), Macie rivaluta i metadati di crittografia per gli oggetti e riporta nuovamente i dati quantitativi per le statistiche.

  • Se aggiorni manualmente i metadati degli oggetti per un bucket specifico, Macie esclude temporaneamente i dati per tutte le parti dell'oggetto contenute nel bucket a causa di caricamenti multiparte incompleti. La prossima volta che Macie esegue l'aggiornamento giornaliero dei dati (entro 24 ore), Macie ricalcola i conteggi e i valori delle dimensioni di archiviazione per gli oggetti del bucket e include i dati per le parti in quei calcoli.

  • In rari casi, Macie potrebbe non essere in grado di determinare se un bucket è accessibile pubblicamente o condiviso o richiede la crittografia lato server di nuovi oggetti. Ad esempio, un problema temporaneo potrebbe impedire a Macie di recuperare e analizzare i dati necessari. Oppure Macie potrebbe non essere in grado di determinare con certezza se una o più dichiarazioni politiche concedano l'accesso a un'entità esterna. In questi casi, Macie riporta Unknown per le statistiche e i campi pertinenti dell'inventario. Per esaminare questi casi, consulta la policy e le impostazioni delle autorizzazioni del bucket in Amazon S3.

Tieni inoltre presente che Macie genera i risultati delle policy solo se la sicurezza o la privacy di un bucket vengono ridotte dopo aver abilitato Macie per il tuo account. Ad esempio, se disabiliti le impostazioni di blocco dell'accesso pubblico per un bucket dopo aver abilitato Macie, Macie genera una ricerca Policy: IAMUser /S3 per il bucket. BlockPublicAccessDisabled Tuttavia, se le impostazioni di blocco dell'accesso pubblico sono state disabilitate per un bucket quando hai abilitato Macie e continuano a esserlo, Macie non genera una ricerca Policy: /S3 per il bucket. IAMUser BlockPublicAccessDisabled

Inoltre, quando Macie valuta la sicurezza e la privacy di un bucket, non esamina i log di accesso né analizza utenti, ruoli e altre configurazioni pertinenti per gli account. Invece, Macie analizza e riporta i dati per le impostazioni chiave che indicano potenziali rischi per la sicurezza. Ad esempio, se un risultato di una policy indica che un bucket è accessibile pubblicamente, ciò non significa necessariamente che un'entità esterna abbia avuto accesso al bucket. Allo stesso modo, se un risultato di una policy indica che un bucket è condiviso con una persona Account AWS esterna all'organizzazione, Macie non tenta di determinare se questo accesso sia previsto e sicuro. Questi risultati indicano invece che un'entità esterna può potenzialmente accedere ai dati del bucket, il che potrebbe rappresentare un rischio involontario per la sicurezza.