Macie 如何監控 Amazon S3 數據安全 - Amazon Macie

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Macie 如何監控 Amazon S3 數據安全

當您為您啟用 Amazon Macie 時 AWS 帳戶,Macie 會在當前帳戶中為您的帳戶創建一個 AWS Identity and Access Management (IAM)服務鏈接角色。 AWS 區域此角色的權限原則允許 Macie 代表您呼叫其他 AWS 資源 AWS 服務 並監視資源。透過使用此角色,Macie 會產生並維護該區域中 Amazon Simple Storage Service (Amazon S3) 一般用途儲存貯體的完整庫存。Macie 還監視和評估存儲桶的安全性和訪問控制。

如果您是組織的 Macie 管理員,則庫存會包含您帳戶和組織中成員帳戶之 S3 儲存貯體的統計資料和其他相關資料。有了這些資料,您可以使用 Macie 監控和評估組織在 Amazon S3 資料資產中的安全狀態。如需詳細資訊,請參閱管理多個 帳戶

關鍵元件

Amazon Macie 結合使用功能和技術來提供和維護 S3 一般用途儲存貯體的庫存資料,並監控和評估儲存貯體的安全性和存取控制。

收集中繼資料和計算統計

為了產生和維護儲存貯體庫存的中繼資料和統計資料,Macie 會直接從 Amazon S3 擷取儲存貯體和物件中繼資料。對於每個值區,中繼資料包括:

  • 值區的一般資訊,例如儲存貯體的名稱、Amazon 資源名稱 (ARN)、建立日期、加密設定、標籤,以及擁有 AWS 帳戶 該值區的帳戶 ID。

  • 套用至值區的帳戶層級權限設定,例如帳戶的封鎖公開存取設定。

  • 值區的值區層級權限設定,例如值區的封鎖公用存取設定,以及衍生自值區政策或存取控制清單的設定 ()。ACL

  • 值區的共用存取權和複寫設定,包括儲存貯體資料是否已複製到組織中,或與其共 AWS 帳戶 用非屬於您組織的儲存貯體資料。

  • 值區中物件的物件計數和設定,例如值區中的物件數目,以及依加密類型、檔案類型和儲存區類別劃分物件計數的劃分。

Macie 直接向您提供此信息。Macie 也會使用這些資訊來計算統計資料,並針對您的存貨中儲存貯體庫存的整體和個別值區的安全性和隱私性提供評估。例如,您可以找到詳細目錄中值區的總儲存大小和數量、這些值區中的總儲存大小和物件數量,以及 Macie 可分析以偵測值區中機密資料的總儲存大小和物件數量。

依預設,中繼資料和統計資料包括由於不完整的分段上傳而存在的任何物件零件的資料。如果您手動重新整理特定值區的物件中繼資料,Macie 會整體重新計算值區和值區詳細目錄的統計資料,並從重新計算的值中排除物件零件的資料。Macie 下次從 Amazon S3 擷取儲存貯體和物件中繼資料做為每日重新整理週期的一部分時,Macie 會更新您的庫存資料,並再次納入物件零件的資料。如需 Macie 何時擷取值區和物件中繼資料的詳細資訊,請參閱數據刷新

重要的是要注意,Macie 無法分析對象部分來檢測敏感數據。Amazon S3 必須先將零件組裝成一個或多個物件,以便 Macie 進行分析。如需有關分段上傳和物件零件的資訊,包括如何使用生命週期規則自動刪除零件,請參閱 Amazon Simple Storage Service 使用者指南中的使用多部分上傳來上傳和複製物件。若要識別包含物件組件的儲存貯體,您可以參考 Amazon S3 儲存鏡頭中不完整的分段上傳指標。如需詳細資訊,請參閱 Amazon 簡單儲存服務使用者指南中的評估儲存活動和使用情況

監控存儲桶安全性和隱私

為協助確保庫存中儲存貯體層級資料的準確性,Macie 會監控並分析 Amazon S3 資料可能發生的某些AWS CloudTrail事件。如果發生相關事件,Macie 會更新適當的庫存資料。

例如,如果您為值區啟用封鎖公開存取設定,Macie 會更新值區公開存取設定的所有相關資料。同樣地,如果您新增或更新值區的儲存貯體政策,Macie 會分析該政策並更新庫存中的相關資料。

Macie 會監控並分析下列 CloudTrail 事件的資料:

  • 帳戶層級事件 — 以及 DeletePublicAccessBlock PutPublicAccessBlock

  • 值區層級事件 —CreateBucket,, DeleteAccountPublicAccessBlock, DeleteBucket,,DeleteBucketEncryption, DeleteBucketPolicy, DeleteBucketPublicAccessBlock,DeleteBucketReplication,, DeleteBucketTagging, PutAccountPublicAccessBlock,PutBucketAcl, PutBucketEncryption,, PutBucketPolicyPutBucketPublicAccessBlock, PutBucketReplication 和 PutBucketTagging PutBucketVersioning

您無法啟用監視其他 CloudTrail 事件,或停用任何先前事件的監視。如需有關上述事件之對應操作的詳細資訊,請參閱 Amazon 簡單儲存服務API參考

提示

若要監控物件層級事件,建議您使用 Amazon 的 Amazon S3 保護功能。 GuardDuty此功能可監控物件層級 Amazon S3 資料事件,並分析這些事件是否有惡意和可疑活動。有關更多信息,請參閱 Amazon GuardDuty 用戶指南 GuardDuty中的 Amazon S3 保護

評估值區安全性和存取控制

為了評估值區層級的安全性和存取控制,Macie 會使用自動化的邏輯型推理來分析套用至值區的資源型政策。Macie 也會分析套用至值區的帳戶和值區層級權限設定。此分析會考量帳戶和值區的值區政策ACLs、儲存貯體層級以及區塊公開存取設定。

對於資源為基礎的政策,馬西使用櫸樹。Zelkova 是一種自動推理引擎,可將 AWS Identity and Access Management (IAM) 策略轉換為邏輯語句,並針對決策問題運行一套通用和專門的邏輯求解器(可滿足性模塊理論)。Macie 將 Zelkova 重複套用至具有日益特定查詢的策略,以表徵該策略允許的行為類別。要了解有關 Zelkova 使用求解器的性質的更多信息,請參閱滿足性模塊理論。

重要

若要針對儲存貯體執行上述工作,儲存貯體必須是 S3 一般用途儲存貯體。Macie 不會監控或分析 S3 目錄儲存貯體。

此外,必須允許 Macie 訪問存儲桶。如果值區的權限設定阻止 Macie 擷取值區或值區物件的中繼資料,Macie 只能提供值區的一部分資訊,例如值區的名稱和建立日期。Macie 無法為存儲桶執行任何其他任務。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件

數據刷新

當您為您啟用 Amazon Macie 時 AWS 帳戶,Macie 會直接從 Amazon S3 擷取 S3 一般用途儲存貯體和物件的中繼資料。之後,Macie 會每天自動從 Amazon S3 擷取儲存貯體和物件中繼資料,作為每日重新整理週期的一部分。

當發生以下任何情況時,Macie 也會直接從 Amazon S3 擷取儲存貯體中繼資料:

  • 您可以在 Amazon Macie 主控台上選擇重新整理庫存資料 ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. )。您可以每五分鐘重新整理資料的頻率。

  • 您API以程式設計方式向 Amazon Macie 提交DescribeBuckets請求,而且在前五分鐘內尚未提交DescribeBuckets請求。

  • 馬西檢測到相關 AWS CloudTrail 事件。

如果您選擇手動重新整理特定值區的最新物件中繼資料,Macie 也可以擷取該值區的最新物件中繼資料。如果您最近建立了值區,或在過去 24 小時內對值區的物件進行了重大變更,這會很有幫助。若要手動重新整理儲存貯體的物件中繼資料,請在主控台 S3 儲存貯體頁面上的「儲存貯體詳細資料」面板的「物件統計資料」區段中選擇 refresh ( The refresh button, which is a button that displays an empty, dark gray circle with an arrow. )。此功能適用於儲存 30,000 個或更少物件的值區。

每次 Macie 擷取值區或物件中繼資料時,Macie 都會自動更新您詳細目錄中的所有相關資料。如果 Macie 偵測到會影響儲存貯體安全性或隱私權的差異,Macie 會立即開始評估和分析變更。分析完成後,Macie 會更新庫存中的相關資料。如果任何差異會降低儲存貯體的安全性或隱私權,Macie 也會建立適當的政策調查結果,供您視需要檢閱和修正。

若要判斷 Macie 最近擷取帳戶的值區或物件中繼資料的時間,您可以參考主控台上的 [上次更新] 欄位。此欄位會出現在摘要儀表板、S3 儲存貯體頁面上,以及 S3 儲存貯體頁面上的儲存貯體詳細資料面板中。(如果您使用 Amazon Macie API 查詢庫存資料,則lastUpdated欄位會提供此資訊。) 如果您是組織的 Macie 管理員,「上次更新」欄位會指出 Macie 擷取組織中帳戶資料的最早日期和時間。

在特定情況下,在極少數情況下,延遲和其他問題可能會導致 Macie 無法擷取值區和物件中繼資料。它們也可能會延遲 Macie 收到有關儲存貯體清單變更的通知,或是個別值區的權限設定和政策。例如, CloudTrail 事件的傳遞問題可能會導致延遲。如果發生這種情況,Macie 會在下次執行 24 小時內的每日重新整理時分析新資料和更新的資料。

考量事項

當您使用 Amazon Macie 監控和評估 Amazon S3 資料的安全狀態時,請牢記以下事項:

  • 庫存資料僅適用於目前中的 S3 一般用途儲存貯體 AWS 區域。若要存取其他區域的資料,請在每個額外的區域中啟用並使用 Macie。

  • 如果您是組織的 Macie 管理員,只有在目前區域中為該帳戶啟用 Macie 時,才能存取該成員帳戶的庫存資料。

  • 如果值區的權限設定阻止 Macie 擷取值區或值區物件的相關資訊,Macie 就無法評估和監控值區資料的安全性和隱私權,也無法提供值區的詳細資訊。

    為了幫助您識別出這種情況的存儲桶,Macie 執行以下操作:

    • 在值區清單中,Macie 會顯示值區的警告圖示 ( The warning icon, which is a red triangle that has an exclamation point in it. )。對於值區的詳細資訊,Macie 僅顯示欄位和資料的子集:擁有 AWS 帳戶 該值區的帳戶 ID、值區名稱、Amazon 資源名稱 (ARN)、建立日期和區域;以及 Macie 最近擷取值區的值區和物件中繼資料作為每日重新整理週期的一部分的日期和時間。如果您使用 Amazon Macie API 查詢庫存資料,Macie 會提供值區的錯誤代碼和訊息,且儲存貯體大部分屬性的值為空值。

    • 在「摘要」儀表板上,值區的值為「公開存取」、「加密」和「共用」統計資料的值為「未知」。(如果您使用 Amazon Macie API 查詢統計信息,則存儲桶的值unknown為這些統計信息。) 此外,Macie 會在計算「儲存體」和「物件」統計資料的資料時排除值區。

    若要調查問題,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。例如,值區可能具有限制性的值區政策。如需詳細資訊,請參閱允許 Macie 存取 S3 儲存貯體和物件

  • 有關存取和權限的資料僅限於帳戶和儲存貯體層級的設定。它不會反映決定存取值區中特定物件的物件層級設定。例如,如果值區中的特定物件啟用了公開存取權,Macie 就不會報告該值區或值區的物件是可公開存取的。

    若要監控物件層級操作並識別潛在的安全風險,建議您使用 Amazon 的 Amazon S3 保護功能。 GuardDuty此功能可監控物件層級 Amazon S3 資料事件,並分析這些事件是否有惡意和可疑活動。有關更多信息,請參閱 Amazon GuardDuty 用戶指南 GuardDuty中的 Amazon S3 保護

  • 如果您手動重新整理特定值區的物件中繼資料,Macie 會暫時回報未知的加密統計資料套用至物件。下次 Macie 執行每日資料重新整理時 (24 小時內),Macie 會重新評估物件的加密中繼資料,並再次回報統計資料的量化資料。

  • 如果您手動重新整理特定值區的物件中繼資料,Macie 會暫時排除值區所包含之任何物件零件的資料,因為分段上傳不完整。下次 Macie 執行每日資料重新整理時 (24 小時內),Macie 會重新計算值區物件的計數和儲存大小值,並在這些計算中包含零件的資料。

  • 在極少數情況下,Macie 可能無法判斷值區是否可公開存取或共用,或需要伺服器端加密新物件。例如,暫時性問題可能會導致 Macie 無法擷取和分析必要的資料。或者,Macie 可能無法完全判斷一或多個原則陳述式是否授與外部實體的存取權。在這些情況下,Macie 會針對庫存中的相關統計資料和欄位報告「未知」。若要調查這些案例,請檢閱 Amazon S3 中儲存貯體的政策和許可設定。

另請注意,只有在您為帳戶啟用 Macie 之後,儲存貯體的安全性或隱私權降低時,Macie 才會產生政策發現項目。例如,如果您在啟用 Macie 之後停用儲存貯體的封鎖公開存取設定,Macie 會產生儲存貯體的政策:IAMUser/S3 BlockPublicAccessDisabled 尋找項目。不過,如果在您啟用 Macie 時停用儲存貯體的區塊公開存取設定,而且繼續停用這些設定,Macie 就不會產生儲存貯體的政策:IAMUser/S3 BlockPublicAccessDisabled 尋找項目。

此外,當 Macie 評估值區的安全性和隱私權時,它不會檢查存取記錄,也不會分析帳戶的使用者、角色和其他相關設定。相反,Macie 會分析並報告指出潛在安全風險的關鍵設定的資料。例如,如果政策發現指出存儲桶可以公開訪問,則不一定表示外部實體訪問該值區。同樣地,如果發現原則指出儲存貯體已與組織 AWS 帳戶 外部人員共用,Macie 就不會嘗試判斷此存取權是否有意且安全。相反地,這些發現指出外部實體可能存取值區的資料,這可能是意外的安全性風險。