Macie를 사용하여 Amazon S3 보안 태세 평가 - Amazon Macie
대시보드 표시대시보드 구성 요소 이해대시보드의 데이터 보안 통계 이해

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Macie를 사용하여 Amazon S3 보안 태세 평가

Amazon Macie 콘솔의 요약 대시보드를 사용하여 Amazon Simple Storage Service(S3) 데이터의 전반적 보안 태세를 평가하고 조치를 취할 위치를 결정할 수 있습니다.

요약 대시보드는 현재 AWS 리전의 Amazon S3 데이터에 대한 집계된 통계의 스냅샷을 제공합니다. 통계에는 공개적으로 액세스할 수 있거나 다른 AWS 계정와 공유되는 범용 버킷 수와 같은 주요 보안 지표에 대한 데이터가 포함됩니다. 또한 대시보드에는 계정에 대해 집계된 조사 결과 데이터 그룹(예: 지난 7일 동안 가장 많이 발생한 조사 결과 유형)이 표시됩니다. 조직의 Macie 관리자인 경우, 대시보드는 조직 내 모든 계정에 대한 집계된 통계 및 데이터를 제공합니다. 필요에 따라 계정별로 데이터를 필터링할 수 있습니다.

더 심층적인 분석을 수행하려면 대시보드에서 개별 항목에 대한 지원 데이터를 드릴다운하고 검토할 수 있습니다. 또한, Amazon Macie 콘솔을 사용하여 S3 버킷 인벤토리를 검토 및 분석하거나 Amazon Macie API의 DescribeBuckets 작업을 사용하여 프로그래밍 방식으로 인벤토리 데이터를 쿼리 및 분석할 수 있습니다.

요약 대시보드 표시

Amazon Macie 콘솔에서, 요약 대시보드는 현재 AWS 리전의 Amazon S3 데이터에 대한 집계된 통계 및 조사 결과 데이터의 스냅샷을 제공합니다. 프로그래밍 방식으로 통계를 쿼리하려면 Amazon Macie API의 GetBucketStatistics 작업을 사용할 수 있습니다.

요약 대시보드를 표시하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 탐색 창에서 요약을 선택합니다. Macie는 요약 대시보드를 표시합니다.

  3. Macie가 사용자 계정의 Amazon S3에서 가장 최근에 버킷 또는 객체 메타데이터를 검색한 시점을 확인하려면 대시보드 상단의 마지막 업데이트 필드를 참조하세요. 자세한 내용은 데이터 새로 고침 섹션을 참조하세요.

  4. 대시보드의 항목에 대한 지원 데이터를 자세히 살펴보고 검토하려면 해당 항목을 선택합니다.

조직의 Macie 관리자인 경우, 대시보드는 사용자의 계정 및 조직의 멤버 계정에 대한 집계된 통계 및 데이터를 표시합니다. 대시보드를 필터링하고 특정 계정에 대한 데이터만 표시하려면 계정 상자에 계정 ID를 입력합니다.

요약 대시보드의 구성 요소 이해

요약 대시보드에는 통계 및 데이터가 여러 섹션으로 구성되어 있습니다. 대시보드 상단에는 Amazon S3에 저장하는 데이터의 양과 Amazon Macie가 민감한 데이터를 탐지하기 위해 분석할 수 있는 데이터의 양을 나타내는 집계된 통계가 있습니다. 또한 마지막 업데이트 필드를 참조하여 Macie가 사용자 계정의 Amazon S3에서 가장 최근에 버킷 또는 객체 메타데이터를 검색한 시점을 확인할 수 있습니다. 추가 섹션에서는 현재 AWS 리전의 Amazon S3 데이터의 보안, 개인정보 보호 및 민감도를 평가하는 데 도움이 되는 통계 및 최근 조사 결과 데이터를 제공합니다.

통계 및 데이터는 다음 섹션으로 구성되어 있습니다.

스토리지 및 민감한 데이터 검색 | 자동 검색 및 범위 문제 | 데이터 보안 | 상위 S3 버킷 | 주요 조사 결과 유형 | 정책 조사 결과

각 섹션을 검토할 때는 선택적으로 드릴다운할 항목을 선택하여 지원 데이터를 검토할 수 있습니다. 또한 대시보드에는 S3 디렉터리 버킷에 대한 데이터가 포함되지 않으며 범용 버킷만 포함됩니다. Macie는 디렉터리 버킷을 모니터링하거나 분석하지 않습니다.

스토리지 및 민감한 데이터 검색

대시보드 상단의 통계는 Amazon S3에 저장하는 데이터의 양과 Macie가 민감한 데이터를 탐지하기 위해 분석할 수 있는 데이터의 양을 나타냅니다. 다음 이미지는 7개의 계정이 있는 조직에 대한 이러한 통계의 예를 보여줍니다.

대시보드의 스토리지 및 민감한 데이터 검색 섹션입니다. 각 필드에는 예제 데이터가 포함되어 있습니다.

이 섹션의 개별 통계는 다음과 같습니다.

  • 총 계정 - 조직의 Macie 관리자거나 독립형 Macie 계정이 있는 경우 이 필드가 표시됩니다. 버킷 인벤토리에 AWS 계정 있는 해당 소유 버킷의 총 수를 나타냅니다. 귀하가 Macie 관리자인 경우, 이는 조직을 위해 귀하가 관리하는 Macie 계정의 총 수입니다. 독립형 Macie 계정이 있는 경우, 이 값은 1입니다.

    총 S3 버킷 - 조직의 멤버 계정이 있는 경우 이 필드가 나타납니다. 이는 객체를 보관하지 않는 버킷을 포함하여 인벤토리의 총 범용 버킷 수를 나타냅니다.

  • 스토리지 - 이 통계는 버킷 인벤토리에 있는 객체의 스토리지 크기에 대한 정보를 제공합니다.

    • 분류 가능 - Macie가 버킷에서 분석할 수 있는 모든 객체의 총 스토리지 크기입니다.

    • 합계 - Macie가 분석할 수 없는 객체를 포함하여 버킷에 있는 모든 객체의 총 스토리지 크기입니다.

    객체가 압축된 파일인 경우, 이러한 값은 압축을 푼 후의 해당 파일의 실제 크기를 반영하지 않습니다. 모든 버킷에 버전 관리가 활성화된 경우, 이 값은 해당 버킷에 있는 각 객체의 최신 버전 스토리지 크기를 기반으로 합니다.

  • 객체 - 이 통계는 버킷 인벤토리의 객체 수에 대한 정보를 제공합니다.

    • 분류 가능 - Macie가 버킷에서 분석할 수 있는 총 객체 수입니다.

    • 합계 - Macie가 분석할 수 없는 객체를 포함하여 버킷에 있는 총 객체 수입니다.

위 통계에서 데이터와 객체는 지원되는 Amazon S3 스토리지 클래스를 사용하고 지원되는 파일 또는 스토리지 형식에 대한 파일 이름 확장자가 있는 경우, 분류 가능합니다. Macie를 사용하여 객체에서 민감한 데이터를 탐지할 수 있습니다. 자세한 내용은 지원하는 스토리지 클래스 및 형식 섹션을 참조하세요.

참고로 스토리지객체 통계에는 Macie가 액세스할 수 없는 버킷의 객체에 대한 데이터는 포함되지 않습니다. 제한적인 버킷 정책이 적용되는 버킷의 객체를 예로 들 수 있습니다. 해당하는 버킷을 식별하려면, S3 버킷 테이블을 사용하여 버킷 인벤토리를 검토할 수 있습니다. 버킷 이름 옆에 경고 아이콘( The warning icon, which is a red triangle that has an exclamation point in it. )이 표시되면 Macie는 해당 버킷에 액세스할 수 없습니다.

자동 검색 적용 범위 문제

민감한 데이터 자동 검색이 활성화된 경우, 해당 섹션이 대시보드에 표시됩니다. 섹션은 Macie가 Amazon S3 데이터에 대해 지금까지 수행한 민감한 데이터 자동 검색 활동의 상태 및 결과를 수집합니다. 다음 이미지는 이러한 섹션에서 제공하는 통계의 예를 보여줍니다.

대시보드의 민감한 데이터 자동 검색 통계 각 통계에는 예제 데이터가 있습니다.

통계에 대한 자세한 내용은 요약 대시보드에서 데이터 민감도 통계 검토(을)를 참조하세요.

데이터 보안

이 섹션에서는 Amazon S3 데이터에 대한 잠재적 보안 및 개인 정보 보호 위험을 나타내는 통계를 제공합니다. 다음 이미지는 이 섹션의 통계 예제를 보여줍니다.

대시보드의 데이터 보안 섹션입니다. 여기에는 각 통계에 대한 예제 데이터가 있습니다.

통계에 대한 자세한 내용은 요약 대시보드의 데이터 보안 통계 이해(을)를 참조하세요.

상위 S3 버킷

이 섹션에는 지난 7일 동안 최대 5개 버킷에 대해 모든 유형의 조사 결과를 가장 많이 생성한 S3 버킷이 나열되어 있습니다. 또한 Macie가 각 버킷에 대해 생성한 조사 결과의 수를 나타냅니다. 다음 이미지는 이 섹션에서 제공하는 데이터의 예를 보여줍니다.

대시보드의 상위 S3 버킷 섹션입니다. 여기에는 5개의 S3 버킷에 대한 예제 데이터가 있습니다.

지난 7일 동안의 버킷에 대한 모든 조사 결과를 표시하고 선택적으로 드릴다운하려면 전체 조사 결과 필드에서 값을 선택합니다. 모든 버킷에 대한 모든 현재 조사 결과를 버킷별로 그룹화하여 표시하려면 버킷별로 모든 조사 결과 보기를 선택합니다.

Macie가 지난 7일 동안 조사 결과를 생성하지 않은 경우 이 섹션은 비어 있습니다. 또는 지난 7일 동안 생성된 모든 조사 결과는 금지 규칙에 의해 숨겨집니다.

상위 조사 결과 유형

이 섹션에는 지난 7일 동안 가장 많이 발생한 조사 결과 유형(최대 5개 유형)이 나열되어 있습니다. 또한 Macie가 각 유형에 대해 생성한 조사 결과의 수를 나타냅니다. 다음 이미지는 이 섹션에서 제공하는 데이터의 예를 보여줍니다.

대시보드의 상위 조사 결과 유형 섹션입니다. 여기에는 5가지 유형의 조사 결과에 대한 예제 데이터가 있습니다.

지난 7일 동안의 특정 유형의 모든 조사 결과를 표시하고 선택적으로 드릴다운하려면 전체 조사 결과 필드에서 값을 선택합니다. 모든 현재 조사 결과를 조사 결과 유형별로 그룹화하여 표시하려면 유형별로 모든 조사 결과 보기를 선택합니다.

Macie가 지난 7일 동안 조사 결과를 생성하지 않은 경우 이 섹션은 비어 있습니다. 또는 지난 7일 동안 생성된 모든 조사 결과는 금지 규칙에 의해 숨겨집니다.

정책 조사 결과

이 섹션에는 Macie가 가장 최근에 생성하거나 업데이트한 정책 조사 결과(최대 10개의 조사 결과)가 나열되어 있습니다. 다음 이미지는 이 섹션에서 제공하는 데이터의 예를 보여줍니다.

대시보드의 정책 조사 결과 섹션입니다. 여기에는 6개의 정책 조사 결과에 대한 예제 데이터가 있습니다.

특정 조사 결과의 세부 정보를 표시하려면 조사 결과를 선택합니다.

Macie가 지난 7일 동안 정책 조사 결과를 생성하거나 업데이트하지 않은 경우 이 섹션은 비어 있습니다. 또는 지난 7일 동안 생성되거나 업데이트된 모든 정책 조사 결과는 금지 규칙에 의해 숨겨집니다.

요약 대시보드의 데이터 보안 통계 이해

요약 대시보드의 데이터 보안 섹션은 현재 AWS 리전의 Amazon S3 데이터에 대한 잠재적 보안 및 개인정보 보호 위험을 식별하고 조사하는 데 도움이 되는 통계를 제공합니다. 예를 들어, 이 데이터를 사용하여 공개적으로 액세스할 수 있거나 다른 AWS 계정과 공유되는 범용 버킷을 식별할 수 있습니다.

민감한 데이터 자동 검색이 비활성화된 경우이 섹션 상단의 스토리지 및 민감한 데이터 검색 통계는 Amazon S3에 저장하는 데이터의 양과 Amazon Macie가 민감한 데이터를 감지하기 위해 분석할 수 있는 데이터의 양을 나타냅니다. 다음 이미지와 같이 추가 통계가 세 가지 영역으로 구성되어 있습니다.

대시보드의 데이터 보안 섹션입니다. 각 영역에는 예제 데이터가 포함되어 있습니다.

각 영역을 검토할 때는 선택적으로 드릴다운할 항목을 선택하여 지원 데이터를 검토할 수 있습니다. 또한 통계에는 S3 디렉터리 버킷에 대한 데이터가 포함되지 않고 범용 버킷만 포함됩니다. Macie는 디렉터리 버킷을 모니터링하거나 분석하지 않습니다.

각 영역의 개별 통계는 다음과 같습니다.

공개 액세스(Public access)

이 통계는 공개적으로 액세스할 수 있거나 액세스할 수 없는 S3 버킷 수를 나타냅니다.

  • 공개적으로 액세스 가능 - 일반 대중이 버킷에 대한 읽기 또는 쓰기 액세스 권한을 가질 수 있는 버킷의 총 수 및 백분율입니다.

  • 공개적으로 전체 쓰기 가능 - 일반 대중이 버킷에 대한 쓰기 액세스 권한을 가질 수 있는 버킷의 총 수입니다.

  • 공개적으로 전체 읽기 가능 - 일반 대중이 버킷에 대한 읽기 액세스 권한을 가질 수 있는 버킷의 총 수입니다.

  • 공개적으로 액세스할 수 없음 - 일반 대중이 버킷에 대한 읽기 또는 쓰기 액세스 권한을 가질 수 없는 버킷의 총 수입니다.

각 백분율을 계산하기 위해 Macie는 해당 버킷 수를 버킷 인벤토리의 총 버킷 수로 나눕니다.

이 영역에서 값을 결정하기 위해 Macie는 계정의 공개 액세스 차단 설정, 버킷의 공개 액세스 차단 설정, 버킷의 버킷 정책, 버킷의 액세스 제어 목록(ACL) 등 각 버킷에 대한 계정 및 버킷 수준 설정의 조합을 분석합니다. 이러한 설정에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 스토리지에 대한 액세스 제어 및 퍼블릭 액세스 차단을 참조하세요. Amazon S3

경우에 따라 공개 액세스 영역에 알 수 없음에 대한 값도 표시됩니다. 이러한 값이 나타나면, Macie는 지정된 버킷 수 및 백분율에 대한 공개 액세스 설정을 평가할 수 없었습니다. 예를 들어, 일시적인 문제나 버킷의 권한 설정으로 인해 Macie는 필요한 데이터를 검색하지 못했습니다. 또는 Macie는 하나 이상의 정책 문이 외부 주체의 버킷 액세스를 허용하는지를 완전히 판단할 수 없었습니다. 예방적 제어 모니터링 할당량을 초과하는 버킷의 경우도 마찬가지입니다. Macie는 계정에 대해 10,000개 이하의 버킷, 즉 가장 최근에 생성되거나 변경된 10,000개의 버킷의 보안 및 개인 정보 보호를 평가하고 모니터링합니다.

암호화(Encryption)

이 통계는 버킷에 추가된 객체에 특정 유형의 서버 측 암호화를 적용하도록 구성된 S3 버킷 수를 나타냅니다.

  • 기본적으로 암호화 - SSE-S3 - Amazon S3 관리 키를 사용하여 새 객체를 암호화하도록 기본 암호화 설정이 구성된 버킷 수와 백분율입니다. 이 버킷의 경우 새 객체는 SSE-S3 암호화를 사용하여 자동으로 암호화됩니다.

  • 기본적으로 암호화 - DSSE-KMS/SSE-KMS - AWS 관리형 키 또는 고객 관리형 키를 사용하여 새 객체를 암호화하도록 기본 암호화 설정이 구성된 버킷 AWS KMS key의 수 및 백분율입니다. 이러한 버킷에서 새 객체는 DSSE-KMS 또는 SSE-KMS 암호화를 사용하여 자동으로 암호화됩니다.

각 백분율을 계산하기 위해 Macie는 해당 버킷 수를 버킷 인벤토리의 총 버킷 수로 나눕니다.

이 영역의 값을 결정하기 위해 Macie는 각 버킷의 기본 암호화 설정을 분석합니다. 2023년 1월 5일부터 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화 (SSE-S3) 를 버킷에 추가되는 객체의 암호화의 기본 수준으로 자동 적용합니다. 선택적으로 키를 사용한 서버 측 암호화(SSE-KMS) 또는 AWS KMS 키를 사용한 이중 계층 서버 측 암호화 AWS KMS (DSSE-KMS)를 대신 사용하도록 버킷의 기본 암호화 설정을 구성할 수 있습니다. 기본 암호화 설정 및 옵션에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서S3 버킷의 기본 서버 측 암호화 동작 설정을 참조하세요.

경우에 따라 암호화 영역에 알 수 없음에 대한 값도 표시됩니다. 이러한 값이 나타나면 Macie는 지정된 버킷 수 및 백분율에 대한 기본 암호화 설정을 평가할 수 없었습니다. 예를 들어, 일시적인 문제나 버킷의 권한 설정으로 인해 Macie는 필요한 데이터를 검색하지 못했습니다. 또는 버킷이 예방 제어 모니터링 할당량을 초과합니다. Macie는 계정에 대해 10,000개 이하의 버킷, 즉 가장 최근에 생성되거나 변경된 10,000개의 버킷의 보안 및 개인 정보 보호를 평가하고 모니터링합니다.

공유 중

이러한 통계는 다른 AWS 계정, Amazon CloudFront 오리진 액세스 ID(OAIs) 또는 CloudFront 오리진 액세스 제어(OACs)와 공유되거나 공유되지 않는 S3 버킷 수를 나타냅니다.

  • 외부 공유됨 - CloudFront OAI, CloudFront OAC 또는 동일한 조직에 속하지 않는 계정 중 하나 이상 또는 이들의 조합과 공유되는 버킷 수와 백분율입니다.

  • 내부 공유됨 - 동일한 조직 내 하나 이상의 계정과 공유된 버킷 수 및 백분율입니다. 이러한 버킷은 CloudFront OAI 또는 OAC와 공유되지 않습니다.

  • 공유되지 않음 - 다른 계정, CloudFront OAI 또는 CloudFront OAC와 공유되지 않는 버킷 수와 백분율입니다.

각 백분율을 계산하기 위해 Macie는 해당 버킷 수를 버킷 인벤토리의 총 버킷 수로 나눕니다.

버킷이 다른 버킷과 공유되는지 여부를 확인하기 위해 AWS 계정 Macie는 각 버킷의 버킷 정책 및 ACL을 분석합니다. 또한 조직은 AWS Organizations 또는 Macie 초대를 통해 관련 계정 그룹으로 중앙에서 관리하는 Macie 계정 집합으로 정의됩니다. 버킷 공유를 위한 Amazon S3 옵션에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서액세스 제어를 참조하세요.

참고

경우에 따라 Macie는 버킷이 동일한 조직에 AWS 계정 없는와 공유된다고 잘못 보고할 수 있습니다. 이는 Macie가 버킷 정책의 Principal 요소와 정책의 Condition 요소의 특정 AWS 글로벌 조건 컨텍스트 키 또는 Amazon S3 조건 키 간의 관계를 완전히 평가할 수 없는 경우 발생할 수 있습니다. aws:PrincipalAccount, , aws:PrincipalArn, aws:PrincipalOrgID, , , , , , aws:PrincipalOrgPathsaws:PrincipalTagaws:PrincipalTypeaws:SourceAccountaws:SourceArn, aws:SourceIpaws:SourceOrgID, aws:SourceOrgPaths, aws:SourceVpc, aws:SourceVpce, aws:userid, , s3:DataAccessPointAccount, 및 조건 키의 경우일 수 있습니다s3:DataAccessPointArn.

개별 버킷에 해당하는지 확인하려면 대시보드에서 외부 공유됨 통계를 선택합니다. 표시되는 표에서 각 버킷의 이름을 기록해 둡니다. 그런 다음, Amazon S3를 사용하여 각 버킷의 정책을 검토하고 공유 액세스 설정이 의도된 내용이고 안전한지를 결정합니다.

버킷이 다른 CloudFront OAI 또는 OAC와 공유되고 있는지 확인하기 위해 Macie는 각 버킷의 버킷 정책을 분석합니다. CloudFront OAI 또는 OAC를 사용하면 사용자가 하나 이상의 지정된 CloudFront 배포를 통해 버킷의 객체에 액세스할 수 있습니다. CloudFront OAI 및 OAC에 대한 자세한 내용은 Amazon CloudFront 개발자 안내서Amazon S3 오리진에 대한 액세스 제한을 참조하세요.

경우에 따라 공유 중 영역에 알 수 없음에 대한 값도 표시됩니다. 이러한 값이 나타나면 Macie는 지정된 버킷 수와 백분율이 다른 계정, CloudFront OAI 또는 CloudFront OAC와 공유되는지를 확인할 수 없었습니다. 예를 들어, 일시적인 문제나 버킷의 권한 설정으로 인해 Macie는 필요한 데이터를 검색하지 못했습니다. 또는 Macie는 버킷의 정책 또는 ACL을 완전히 평가할 수 없었습니다. 예방적 제어 모니터링 할당량을 초과하는 버킷의 경우도 마찬가지입니다. Macie는 계정에 대해 10,000개 이하의 버킷, 즉 가장 최근에 생성되거나 변경된 10,000개의 버킷의 보안 및 개인 정보 보호를 평가하고 모니터링합니다.