Macie가 Amazon S3 데이터 보안을 모니터링하는 방법

에 대해 Amazon Macie를 활성화하면 AWS 계정 Macie는 현재에서 계정에 대한 AWS Identity and Access Management (IAM) 서비스 연결 역할을 생성합니다 AWS 리전. 이 역할에 대한 권한 정책을 통해 Macie는 사용자를 대신하여 다른를 호출 AWS 서비스 하고 AWS 리소스를 모니터링할 수 있습니다. Macie는이 역할을 사용하여 리전에서 Amazon Simple Storage Service(Amazon S3) 범용 버킷의 인벤토리를 생성하고 유지 관리합니다. Macie는 또한 보안 및 액세스 제어를 위해 버킷을 모니터링 및 평가합니다.

귀하가 조직의 Macie 관리자인 경우, 인벤토리에는 귀하의 계정과 조직의 멤버 계정용 S3 버킷에 대한 통계 및 기타 데이터가 포함됩니다. 이 데이터를 통해, Macie를 사용하여 Amazon S3 데이터 자산 전반에서 조직의 보안 태세를 모니터링하고 평가할 수 있습니다. 자세한 내용은 다중 계정 관리 섹션을 참조하세요.

핵심 구성 요소

Amazon Macie는 기능과 기술을 조합하여 S3 범용 버킷에 대한 인벤토리 데이터를 제공 및 유지 관리하고 보안 및 액세스 제어를 위해 버킷을 모니터링하고 평가합니다.

메타데이터 수집 및 통계 계산

버킷 인벤토리에 대한 메타데이터와 통계를 생성하고 유지하기 위해 Macie는 Amazon S3에서 직접 버킷 및 객체 메타데이터를 검색합니다. 각 버킷의 메타데이터에는 다음이 포함됩니다.

버킷 이름, Amazon 리소스 이름(ARN), 생성 날짜, 암호화 설정, 태그, 버킷을 소유 AWS 계정 한의 계정 ID 등 버킷에 대한 일반 정보입니다.
버킷에 적용되는 계정 수준의 권한 설정(예: 계정의 공개 액세스 차단 설정).
버킷에 대한 버킷 수준 권한 설정(예: 버킷에 대한 공개 액세스 차단 설정, 버킷 정책 또는 액세스 제어 목록(ACL)에서 파생되는 설정).
버킷 데이터가 조직의 일부가 AWS 계정 아닌에 복제되거나 공유되는지 여부를 포함하여 버킷에 대한 공유 액세스 및 복제 설정입니다.
버킷의 객체 수 및 설정(예: 버킷의 객체 수, 암호화 유형, 파일 유형, 스토리지 클래스별 객체 수 분류).

Macie는 이 정보를 사용자에게 직접 제공합니다. 또한 Macie는 정보를 사용하여 통계를 계산하고 전체 버킷 인벤토리 및 인벤토리의 개별 버킷의 보안 및 개인 정보 보호에 대한 평가를 제공합니다. 예를 들어, 인벤토리의 총 스토리지 크기 및 버킷 수, 총 스토리지 크기 및 해당 버킷의 객체 수, Macie가 버킷의 민감한 데이터를 탐지하기 위해 분석할 수 있는 총 스토리지 크기 및 객체 수 등을 확인할 수 있습니다.

기본적으로 메타데이터와 통계에는 불완전한 멀티파트 업로드로 인해 존재하는 모든 객체 부분에 대한 데이터가 포함됩니다. 특정 버킷의 객체 메타데이터를 수동으로 새로 고치는 경우 Macie는 버킷 및 전체 버킷 인벤토리에 대한 통계를 다시 계산하고 객체 부분에 대한 데이터는 재계산된 값에서 제외합니다. 다음에 Macie가 일일 새로 고침 주기의 일부로 Amazon S3에서 버킷 및 객체 메타데이터를 검색할 때 Macie는 인벤토리 데이터를 업데이트하고 객체 부분에 대한 데이터를 다시 포함합니다. Macie가 버킷 및 객체 메타데이터를 검색하는 시점에 대한 자세한 내용은 데이터 새로 고침을 참조하세요.

Macie가 민감한 데이터를 탐지하기 위해 분석할 수 없는 객체의 부분이라는 점에 유의하는 것이 중요합니다. Amazon S3는 먼저 Macie가 분석할 수 있도록 부품을 하나 이상의 객체로 조립하는 작업을 완료해야 합니다. 수명 주기 규칙에 따라 파트를 자동으로 삭제하는 방법을 비롯하여 멀티파트 업로드 및 객체 파트에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 멀티파트 업로드를 사용한 객체 업로드 및 복사를 참조하세요. Amazon S3 Storage Lens에서 불완전한 멀티파트 업로드 지표를 참조하여 객체 부분이 포함된 버킷을 식별할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 스토리지 활동 및 사용량 평가를 참조하세요.

버킷 보안 및 개인정보 보호 모니터링

인벤토리의 버킷 수준 데이터의 정확성을 보장하기 위해 Macie는 Amazon S3 데이터에 발생할 수 있는 특정 AWS CloudTrail 이벤트를 모니터링하고 분석합니다. 관련 이벤트가 발생하면 Macie는 적절한 인벤토리 데이터를 업데이트합니다.

예를 들어, 버킷의 공개 액세스 차단 설정을 활성화하면 Macie는 버킷의 공개 액세스 설정에 대한 모든 데이터를 업데이트합니다. 마찬가지로 버킷에 대한 버킷 정책을 추가하거나 업데이트하면 Macie는 정책을 분석하고 인벤토리의 적절한 데이터를 업데이트합니다.

Macie는 이벤트로 인해 버킷의 보안 또는 개인 정보 보호가 감소한다고 판단하면 필요에 따라 검토하고 수정할 수 있는 정책 조사 결과도 생성합니다.

Macie는 다음과 같은 CloudTrail 이벤트에 대한 데이터를 모니터링하고 분석합니다.

계정 수준 이벤트 – DeletePublicAccessBlock 및 PutPublicAccessBlock
버킷 수준 이벤트 – CreateBucket, DeleteAccountPublicAccessBlock, DeleteBucket, DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock, DeleteBucketReplication, DeleteBucketTagging, PutAccountPublicAccessBlock, PutBucketAcl, PutBucketEncryption, PutBucketPolicy, PutBucketPublicAccessBlock, PutBucketReplication, PutBucketTagging 및 PutBucketVersioning

추가 CloudTrail 이벤트에 대한 모니터링을 활성화하거나 이전 이벤트에 대한 모니터링을 비활성화할 수 없습니다. 이전 이벤트의 해당 작업에 대한 자세한 내용은 Amazon Simple Storage Service API 참조를 참조하세요.

작은 정보

객체 수준 이벤트를 모니터링하려면 Amazon GuardDuty의 Amazon S3 보호 기능을 사용하는 것이 좋습니다. 이 기능은 객체 수준의 Amazon S3 데이터 이벤트를 모니터링하고 악성 및 의심스러운 활동을 분석합니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 GuardDuty S3 Protection을 참조하세요.

버킷 보안 및 액세스 제어 평가

버킷 수준의 보안 및 액세스 제어를 평가하기 위해 Macie는 자동화된 로직 기반 추론을 사용하여 버킷에 적용되는 리소스 기반 정책을 분석합니다. 또한 Macie는 버킷에 적용되는 계정 및 버킷 수준의 권한 설정을 분석합니다. 이 분석에는 계정과 버킷에 대한 버킷 정책, 버킷 수준 ACL, 공개 액세스 차단 설정이 고려됩니다.

리소스 기반 정책의 경우 Macie는 Zelkova를 사용합니다. Zelkova는 AWS Identity and Access Management (IAM) 정책을 논리적 문으로 변환하고 결정 문제에 대해 범용 및 특수 논리적 솔버(만족도 모듈로 이론) 제품군을 실행하는 자동 추론 엔진입니다. Zelkova가 사용하는 해석기의 특성에 대해 자세히 알아보려면 만족도 모듈로 이론을 참조하세요.

Macie는 리소스 기반 정책에 Zelkova를 반복적으로 적용하여 점점 더 구체적인 쿼리를 사용하여 정책에서 허용하는 동작 클래스를 특성화합니다. 이 분석은 Amazon S3 데이터의 잠재적 보안 위험을 식별하고 거짓 부정을 최소화하도록 설계되었습니다. 여기에는 서비스 제어 정책(SCPs) 또는 리소스 제어 정책(RCP)과 같이 조직의 리소스에 사용할 수 있는 최대 권한을 정의하는 AWS Organizations 권한 부여 정책은 포함되지 않습니다.RCPs 연결된에 대한 키 정책도 포함되지 않습니다 AWS KMS keys. 예를 들어 버킷 정책이 s3:x-amz-server-side-encryption-aws-kms-key-id 조건 키를 사용하여 버킷에 대한 쓰기 액세스를 제한하는 경우 Macie는 지정된 키에 대한 키 정책을 분석하지 않습니다. 즉, Macie는 버킷 정책의 다른 구성 요소와 버킷에 적용되는 Amazon S3 권한 설정에 따라 버킷에 공개적으로 액세스할 수 있다고 보고할 수 있습니다.

또한 Macie는 버킷의 보안 및 개인 정보를 평가할 때 액세스 로그를 검사하거나 사용자, 역할 및 계정에 대한 기타 관련 구성을 분석하지 않습니다. 대신 Macie는 잠재적 보안 위험을 나타내는 주요 설정에 대한 데이터를 분석하고 보고합니다. 예를 들어, 정책 조사 결과에 따르면 버킷에 공개적으로 액세스할 수 있는 것으로 나타났다고 해서 반드시 외부 주체가 버킷에 액세스했다는 의미는 아닙니다. 마찬가지로 정책 조사 결과 버킷이 조직 AWS 계정 외부의와 공유된 것으로 나타나는 경우 Macie는이 액세스가 의도되고 안전한지 여부를 확인하려고 시도하지 않습니다. 대신 이러한 조사 결과는 외부 주체가 잠재적으로 버킷 데이터에 액세스할 수 있다는 것을 나타내며, 이는 의도하지 않은 보안 위험일 수 있습니다.

Macie가 외부 엔터티가 잠재적으로 S3 버킷에 액세스할 수 있다고 보고하는 경우 버킷의 정책 및 설정을 검토하여이 액세스가 의도되고 안전한지 확인하는 것이 좋습니다. 해당하는 경우와 같은 관련 리소스에 대한 정책 및 설정 AWS KMS keys과 조직의 AWS Organizations 권한 부여 정책도 검토합니다.

중요

버킷에 대해 이전 작업을 수행하려면 버킷이 S3 범용 버킷이어야 합니다. Macie는 S3 디렉터리 버킷을 모니터링하거나 분석하지 않습니다.

또한 Macie는 버킷에 액세스할 수 있어야 합니다. 버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 메타데이터를 검색할 수 없는 경우, Macie는 버킷에 대한 일부 정보만 제공할 수 있습니다. 여기에는 버킷 이름과 생성한 날짜가 포함됩니다. Macie는 버킷에 대한 추가 작업을 수행할 수 없습니다. 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 단원을 참조하십시오.

Macie는 계정에 대해 최대 10,000개의 버킷에 대해 이전 작업을 수행할 수 있습니다. Amazon S3에 버킷을 10,000개 이상 저장하는 경우 Macie는 가장 최근에 생성되거나 변경된 버킷 10,000개에 대해서만 이러한 작업을 수행합니다. 다른 모든 버킷의 경우 Macie는 전체 인벤토리 데이터를 유지 관리하거나, 버킷 데이터의 보안 및 프라이버시를 평가 또는 모니터링하거나, 정책 결과를 생성하지 않습니다. 대신 Macie는 버킷에 대한 정보의 하위 집합만 제공합니다.

데이터 새로 고침

에 대해 Amazon Macie를 활성화하면 AWS 계정 Macie는 Amazon S3에서 Amazon S3 범용 버킷 및 객체에 대한 메타데이터를 검색합니다. 이후 Macie는 일일 새로 고침 주기의 일부로 Amazon S3에서 직접 버킷과 객체 메타데이터를 자동으로 검색합니다.

또한 Macie는 다음이 발생할 때 Amazon S3에서 직접 버킷 메타데이터를 검색합니다.

Macie는 관련 AWS CloudTrail 이벤트를 감지합니다.
Amazon Macie 콘솔에서 새로 고침( )을 선택하여 인벤토리 데이터를 새로 고칩니다. 데이터 자산의 크기에 따라 5분마다 데이터를 새로 고칠 수 있습니다.
프로그래밍 방식으로 Amazon Macie API에 DescribeBuckets 요청을 제출하고 Macie가 이전 DescribeBuckets 요청 처리를 완료했습니다.

Macie는 데이터를 수동으로 새로 고치기로 선택한 경우 특정 버킷의 최신 객체 메타데이터를 검색할 수도 있습니다. 최근에 버킷을 만들었거나 지난 24시간 동안 버킷의 객체를 상당 부분 변경한 경우에 유용할 수 있습니다. 버킷의 객체 메타데이터를 수동으로 새로 고치려면 콘솔의 S3 버킷 페이지에 있는 버킷 세부 정보 패널의 객체 통계 섹션에서 새로 고침( )을 선택합니다. 이 기능은 저장된 객체가 30,000개 이하인 버킷에 사용할 수 있습니다.

Macie가 계정에 대한 버킷 또는 객체 메타데이터를 가장 최근에 검색한 시점을 확인하려면 콘솔의 최근 업데이트 필드를 참조하세요. 이 필드는 요약 대시보드, S3 버킷 페이지, S3 버킷 페이지의 버킷 세부 정보 패널에 표시됩니다. Amazon Macie API를 사용하여 인벤토리 데이터를 쿼리하는 경우 lastUpdated 필드는이 정보를 제공합니다. 조직의 Macie 관리자인 경우 필드는 Macie가 조직의 계정에 대한 데이터를 검색한 가장 빠른 날짜와 시간을 나타냅니다.

Macie는 버킷 또는 객체 메타데이터를 검색할 때마다 인벤토리에서 적절한 데이터를 자동으로 업데이트합니다. Macie는 버킷의 보안 또는 개인 정보 보호에 영향을 미치는 차이점을 탐지하면 즉시 변경 사항을 평가하고 분석하기 시작합니다. 분석이 완료되면 Macie는 인벤토리에서 적절한 데이터를 업데이트합니다. 버킷의 보안 또는 개인정보 보호를 약화시키는 차이점을 탐지하면 Macie는 사용자가 검토하고 필요에 따라 수정할 수 있도록 정책 조사 결과를 생성합니다. Macie는 계정에 대해 최대 10,000개의 버킷에 대해이 작업을 수행합니다. 버킷이 10,000개 이상인 경우 Macie는 가장 최근에 생성되거나 변경된 버킷 10,000개에 대해이 작업을 수행합니다. 조직의 Macie 관리자인 경우이 할당량은 조직 전체가 아닌 조직의 각 계정에 적용됩니다.

드문 경우이긴 하지만, 특정 조건에서는 지연 시간 및 기타 문제로 인해 Macie가 버킷 및 객체 메타데이터를 검색하지 못할 수 있습니다. 또한 이로 인해 버킷 인벤토리 변경 사항이나 개별 버킷의 권한 설정 및 정책에 대한 Macie의 알림이 지연될 수도 있습니다. 예를 들어, CloudTrail 이벤트와 관련된 전송 문제로 인해 지연이 발생할 수 있습니다. 이 경우 Macie는 다음 번에 24시간 이내에 매일 새로 고침을 수행할 때 새 데이터와 업데이트된 데이터를 분석합니다.

고려 사항

Amazon Macie를 사용하여 Amazon S3 데이터의 보안 태세를 모니터링하고 평가할 때는 다음 사항에 유의하세요.

인벤토리 데이터는 현재 AWS 리전의 S3 범용 버킷에만 적용됩니다. 추가 리전의 데이터에 액세스하려면 각 추가 리전에서 Macie를 활성화하고 사용하세요.
조직의 Macie 관리자인 경우 현재 리전에서 Macie가 해당 계정에 대해 활성화된 경우에만 멤버 계정의 인벤토리 데이터에 액세스할 수 있습니다.
Macie는 계정에 대해 10,000개 이하의 버킷에 대한 전체 인벤토리 데이터를 제공할 수 있습니다. 또한 Macie는 계정에 대해 10,000개 이하의 버킷의 보안 및 개인 정보 보호를 평가하고 모니터링할 수 있습니다. 계정이이 할당량을 초과하면 Macie는 가장 최근에 생성되거나 변경된 10,000개의 버킷에 대한 세부 정보를 평가, 모니터링 및 제공합니다. 다른 모든 버킷의 경우 Macie는 버킷에 대한 정보의 하위 집합만 제공합니다.

계정이이 할당량에 도달하면 계정에 대한 AWS Health 이벤트를 생성하여 알려줍니다. 또한 계정과 연결된 주소로 이메일을 보냅니다. 계정이 할당량을 초과하면 다시 알려 드립니다. Macie 관리자인 경우이 할당량은 조직 전체가 아닌 조직의 각 계정에 적용됩니다.
버킷의 권한 설정으로 인해 Macie가 버킷 또는 버킷의 객체에 대한 정보를 검색할 수 없는 경우, Macie는 버킷 데이터의 보안 및 개인정보를 평가 및 모니터링하거나 버킷의 세부 정보를 제공할 수 없습니다. 이러한 경우에 해당하는 버킷을 식별할 수 있도록 Macie는 다음과 같은 작업을 수행합니다.
- 콘솔의 버킷 인벤토리에서 Macie는 버킷에 대한 경고 아이콘( )을 표시합니다.
- 버킷의 세부 정보에서 Macie는 버킷을 소유 AWS 계정 한의 계정 ID, 버킷 이름, Amazon 리소스 이름(ARN), 생성 날짜 및 리전, Macie가 가장 최근에 일일 새로 고침 주기의 일부로 버킷의 버킷 및 객체 메타데이터를 모두 검색한 날짜 및 시간 등 필드의 하위 집합에 대한 데이터만 제공합니다. Amazon Macie API를 사용하여 프로그래밍 방식으로 인벤토리 데이터를 쿼리하는 경우 Macie는 버킷에 대한 오류 코드와 메시지도 제공합니다.
- 콘솔의 요약 대시보드에서 버킷의 값은 퍼블릭 액세스, 암호화 및 공유 통계에 대해 알 수 없음입니다. 또한 Macie는 스토리지 및 객체 통계에 대한 데이터를 계산할 때 버킷을 제외합니다.
- GetBucketStatistics 작업을 사용하여 프로그래밍 방식으로 집계된 통계를 쿼리하는 경우 버킷은 많은 통계에 unknown 대해의 값을 가지며 Macie는 객체 수 및 스토리지 크기 값을 계산할 때 버킷을 제외합니다.
문제를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하세요. 예를 들어 버킷에 제한적인 버킷 정책이 있을 수 있습니다. 자세한 내용은 Macie가 S3 버킷 및 객체에 액세스할 수 있도록 허용 섹션을 참조하세요.
액세스 및 권한에 대한 데이터는 계정 및 버킷 수준 설정으로 제한됩니다. 버킷의 특정 객체에 대한 액세스를 결정하는 객체 수준 설정은 반영하지 않습니다. 예를 들어, 버킷의 특정 객체에 대해 공개 액세스가 활성화된 경우, Macie는 해당 버킷 또는 버킷의 객체에 공개적으로 액세스할 수 있다고 보고하지 않습니다.

객체 수준 작업을 모니터링하고 잠재적인 보안 위험을 식별하려면 Amazon GuardDuty의 Amazon S3 보호 기능을 사용하는 것이 좋습니다. 이 기능은 객체 수준의 Amazon S3 데이터 이벤트를 모니터링하고 악성 및 의심스러운 활동을 분석합니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 GuardDuty S3 Protection을 참조하세요.
특정 버킷의 객체 메타데이터를 수동으로 새로 고치는 경우:
- Macie는 객체에 적용되는 암호화 통계에 대해 알 수 없음을 일시적으로 보고합니다. 다음에 Macie가 매일 데이터를 새로 고칠 때(24시간 이내) Macie는 객체의 암호화 메타데이터를 재평가하고 통계를 위해 정량적 데이터를 다시 보고합니다.
- Macie는 불완전한 멀티파트 업로드로 인해 버킷에 포함된 객체 부분에 대한 데이터를 일시적으로 제외합니다. 다음에 Macie가 매일 데이터 새로 고침을 수행하면(24시간 이내) Macie는 버킷 객체의 개수 및 스토리지 크기 값을 다시 계산하고 해당 계산에 해당 부분에 대한 데이터를 포함합니다.
경우에 따라 Macie는 버킷이 공개적으로 액세스 가능한지 공유되는지 또는 새 객체의 서버 측 암호화가 필요한지 여부를 확인하지 못할 수 있습니다. 예를 들어 할당량 또는 일시적인 문제로 인해 Macie가 필요한 데이터를 검색하고 분석하지 못할 수 있습니다. 또는 Macie는 하나 이상의 정책 명령문이 외부 주체에 대한 액세스 권한을 부여하는지를 완전히 판단하지 못할 수도 있습니다. 이러한 경우 Macie는 버킷 인벤토리의 관련 통계 및 필드에 대해 알 수 없음을 보고합니다. 이러한 사례를 조사하려면 Amazon S3의 버킷 정책 및 권한 설정을 검토하세요.

또한 Macie는 계정에서 Macie를 활성화한 후 버킷의 보안 또는 개인 정보 보호가 저하되는 경우에만 정책 조사 결과를 생성한다는 점에 유의하세요. 예를 들어, Macie를 활성화한 후 버킷에 대해 공개 액세스 차단 설정을 비활성화한 경우 Macie는 해당 버킷에 대해 Policy:IAMUser/S3BlockPublicAccessDisabled 조사 결과를 생성합니다. 그러나 Macie를 활성화했을 때 버킷에 대한 공개 액세스 차단 설정이 비활성화되었는데도 계속 비활성화되어 있는 경우 Macie는 해당 버킷에 대해 Policy:IAMUser/S3BlockPublicAccessDisabled 조사 결과를 생성하지 않습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

데이터 보안 및 개인정보 보호 모니터링

Amazon S3 보안 태세 액세스