Amazon Macie- Identifizierung und Schutz privater Kundendaten
Identifizierung und Schutz privater Kundendaten
Persönliche oder finanzielle Informationen gehören zu den begehrtesten Gütern für Cyberkriminelle. Das Durchsickern solcher Informationen kann die Kunden eines Unternehmens anfällig für Identitätsdiebstahl und Betrug machen. Darüber hinaus schadet es auch dem Ruf des Unternehmens und dem Vertrauen seiner Kunden. Finden Sie heraus, wie Amazon Macie in diesem Zusammenhang helfen kann.
Ein DevOps-Ingenieur oder -Manager weiß möglicherweise nicht, welche Daten persönlich identifizierbare Informationen (PII) enthalten, und kennt möglicherweise keine öffentlich zugänglichen Daten. In AWS hilft der vollständig verwaltete Service Amazon Macie dabei, Daten zu identifizieren und zu schützen, die persönliche oder andere vertrauliche Informationen enthalten. Macie verwendet eine große Liste vertraulicher Datentypen, darunter Namen, Adressen und Kreditkartennummern. Macie generiert automatisch und kontinuierlich ein Inventar von S3-Buckets und kategorisiert die Buckets in unverschlüsselte Buckets, öffentlich zugängliche Buckets oder Buckets, die mit AWS-Konten außerhalb der von Ihnen in den AWS-Organisationen definierten geteilt werden.
Idealerweise wird Macie im Organisationsmodus eingerichtet, in dem ein zentrales Konto als Macie-Administratorkonto fungiert. Alle Mitgliedskonten innerhalb Ihrer Organisation werden in der Macie-Administratorkontoliste angezeigt. Dies ermöglicht ein einfaches Hinzufügen zu Macie mit einem Klick.
Macie ist ein regionaler Dienst. Daher muss er in jeder Region bereitgestellt und aktiviert werden, in der Sie S3-Buckets analysieren möchten.
Inventar
Wenn Macie aktiviert wird, erstellt es automatisch ein Inventar aller S3-Buckets. Die Bucket-Kategorisierung erfolgt nach Zugriff, Verschlüsselung und Freigabe. Diese Kategorien sind Richtlinienergebnisse, die über S3-Richtlinienprobleme informieren sollen. Das Scannen der Daten erfolgt nicht automatisch.
Datenanalyse
Während das Inventar automatisch generiert wird, müssen Sie spezielle Jobs für die eigentliche Analyse der in Ihren S3-Buckets enthaltenen Daten erstellen. Diese Jobs haben verschiedene Attribute, die Sie konfigurieren müssen:
Zeitplan: Einmal, täglich, wöchentlich oder monatlich ausführen
- Buckets: Sie können bestimmte Buckets zur Analyse auswählen oder Filterkriterien wie „alle öffentlich zugänglichen Buckets“ verwenden
- Zeitplan: Einmal, täglich, wöchentlich oder monatlich ausführen
- Analysieren Sie bereits gesehene Daten und neue Daten oder nur neue Daten
- Optional: Auf bestimmte Dateierweiterungen beschränken
- Verwaltete Datenkennungen: Möchten Sie alle, einige oder keine verwenden (dies sind die vordefinierten Regeln zum Erkennen von PII wie Kreditkartennummern oder Anmeldeinformationen)
- Optional: Benutzerdefinierte Datenkennung – Ihre eigenen Regeln zum Identifizieren von PII, die in erster Linie einen regulären Ausdruck zur Erkennung verwenden
Um Fehlalarme zu vermeiden und die Analyse zu beschleunigen, können Sie die verwalteten Datenkennungen auf diejenigen beschränken, die Sie wirklich interessieren.
Wenn Sie einen Job konfiguriert haben, erhalten Sie eine Kostenschätzung, bevor Sie ihn endgültig übermitteln.
Nach der Aktivierung von Macie in Ihrer Organisation wird eine neue Rolle erstellt, die es Macie ermöglicht, alle unverschlüsselten Daten oder Daten zu lesen, die mit von AWS verwalteten Schlüsseln (SSE-S3) verschlüsselt sind.
Daten, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind, erfordern kontenübergreifenden Zugriff für Macie, siehe https://docs.aws.amazon.com/macie/latest/user/discovery-supported-encryption-types.html#discovery-supported-encryption-cmk-configuration.
Security Hub-Integration
Macie kann seine Ergebnisse auf Security Hub veröffentlichen. Die Veröffentlichung der Richtlinienergebnisse aus dem S3-Inventar ist jedoch etwas redundant, da Standardkontrollen innerhalb von Security Hub diese Probleme bereits abdecken. Sie können wählen, ob Sie Richtlinien- und/oder vertrauliche Datenergebnisse auf Security Hub veröffentlichen möchten, und die Aktualisierungshäufigkeit festlegen.
Terraform-Unterstützung für Amazon Macie
Ein beliebtes Infrastructure-as-Code-Tool (IaC) ist Terraform. Derzeit ist die Terraform-Unterstützung für Macie nur grundlegend. Im Wesentlichen können Sie Macie nur aktivieren und einige einfache Jobs bereitstellen.
Die Bereitstellung von Macie im Organisationskontext ist einfach. Sie müssen nur zwei Ressourcen auf Ihrem Organisationsverwaltungskonto bereitstellen und damit das Macie-Administratorkonto in Ihrem AWS-Zielkonto einrichten.
Das Zielkonto wird zum Verwaltungskonto für Macie. Alle Mitglieder Ihrer Organisation werden auf der Registerkarte „Mitglieder“ von Macie aufgelistet.
Alle Konten Ihrer Organisation werden zwar automatisch zu Macie hinzugefügt, aber nicht als aktive Mitglieder aktiviert. In Terraform ist keine Unterstützung verfügbar, daher müssen Sie sie in der Benutzeroberfläche manuell zu Macie hinzufügen.
Sie können Macie-Jobs in Terraform definieren, aber das möchten Sie wahrscheinlich nicht. Sie müssten eine Liste aller Konten und ihrer Buckets erstellen, die Sie scannen möchten, und diese in der Jobdefinition in Terraform verwenden. Filter wie „alle Buckets mit öffentlichem Zugriff“ werden nicht unterstützt. Das Deaktivieren oder Verwenden bestimmter verwalteter Datenkennungen wird ebenfalls nicht unterstützt.
Außerdem werden andere Konfigurationsoptionen nicht unterstützt, z. B. welche Art von Ergebnissen Sie auf Security Hub veröffentlichen möchten oder welcher S3-Bucket verwendet werden soll, um Ergebnisse länger als 30 Tage aufzubewahren. Insgesamt ist die Bereitstellung von Macie also so ziemlich die einzige Aktion, die Sie in Terraform durchführen können.
Preisinformationen
Eine tatsächliche Kostenschätzung ist nur möglich, wenn die Anzahl der Buckets und die Datenmenge bekannt sind.
Die automatische Bestandsaufnahme und Richtlinienbewertung von S3-Buckets kostet 0,10 USD pro Bucket.
Die Berechnung der Kosten für Jobs erfolgt für jede Ausführung. Wenn Sie keine wiederkehrenden Jobs konfigurieren, fallen auch keine wiederkehrenden Kosten für Jobs an. Die tatsächlichen Kosten werden auf Grundlage der Menge der analysierten Daten berechnet. Das erste 1 GB pro Monat ist kostenlos; bis zu 50.000 GB kosten 1,25 USD pro GB. Danach sinkt der Preis auf 0,63 USD pro GB, bis Sie 450.000 GB erreichen. Ein weiterer Rabatt wird gewährt, wenn Sie 500.000 GB erreichen. Die Preise variieren leicht zwischen verschiedenen Regionen. Eine detaillierte Übersicht mit Beispielen finden Sie hier: Macie-Preise
Die Kostenschätzung ist auch beim Einrichten von Jobs verfügbar, und auf der Registerkarte „Nutzung“ gibt es auch eine Gesamtkostenschätzung.
Fazit Nutzung von Amazon Macie
Macie ist einfach einzurichten, mit oder ohne ein IaC-Tool wie Terraform. Der Großteil der Konfiguration erfolgt jedoch manuell über die GUI.
Es gibt eine kostenlose Testphase von 30 Tagen. Dies ist sehr hilfreich, um einen Einblick in die geschätzten Kosten für den Betrieb von Macie ohne jegliche Investition zu erhalten.
Sie müssen sich mit den Managed Data Identifiers für die Datenanalyse vertraut machen und diejenigen auswählen, die für Ihren Anwendungsfall geeignet sind. Möglicherweise müssen Sie benutzerdefinierte Datenbezeichner definieren, wenn die verwalteten Bezeichner für Sie nicht geeignet sind.
In diesem Sinne können Sie bereits in der kostenlosen Testphase sinnvolle Aufgaben definieren und die folgenden Fragen zu Kosten und zusätzlichem Aufwand beantworten:
Wie hoch sind meine Basiskosten für die Bestandsaufnahme und die Richtlinienbewertung?
Wie hoch sind die geschätzten Kosten für die von mir geplanten Jobs und wie viele Daten werde ich auswerten?
Wie viele Schlüsselrichtlinien muss ich in anderen Organisationskonten ändern, weil kundenverwaltete Schlüssel für die S3-Verschlüsselung verwendet werden?
Wenn Sie an weiteren Details zur Nutzung von Amazon Macie interessiert sind, die auf die Bedürfnisse Ihres Unternehmens zugeschnitten sind, kontaktieren Sie uns unter Alice&Bob.Company oder buchen Sie einen kostenlosen Anruf bei uns!