亚马逊AWS官方博客
Amazon Macie 的自动数据发现
今天,我们宣布针对 Amazon Macie 进行自动数据发现。这项新功能允许您查看敏感数据在 Amazon Simple Storage Service (Amazon S3) 上的位置,而成本只是对所有 S3 存储桶进行全面数据检查的成本的一小部分。
在 AWS,安全是我们的首要任务。基础架构本身的安全性,还有数据的安全性。我们允许您访问管理身份和访问权限、保护网络和应用程序、检测可疑活动、保护您的数据以及报告和监控您的合规状态的服务。
Amazon Macie 是一项数据安全服务,它使用机器学习和模式匹配来发现敏感数据,实现可见性和自动防范数据安全风险。您可以使用 Amazon Macie 来保护您在 S3 中的数据,方法是扫描姓名、地址和信用卡号等敏感数据的存在,并持续监控正确配置的预防性控制,例如加密和访问策略。Amazon Macie 在检测到可公开访问的存储桶、未加密的存储桶或与组织外的 AWS 账户共享的存储桶时会生成警报。您也可以将 Amazon Macie 配置为扫描您的 S3,以便在 S3 存储桶上运行完整的敏感数据发现扫描,以提供敏感数据所在位置的可见性。
但是大规模运营的客户告诉我们,很难知道从哪里开始。当员工和应用程序每天添加新的存储桶并生成数 PB 的数据时,应该先扫描什么?
自动数据发现可自动持续发现在 AWS Organizations 级别汇总的整套存储桶中的敏感数据和潜在的数据安全风险。
当您在控制台中启用自动发现时,Macie 会开始评估每个存储桶的敏感度级别,并突出显示所有数据安全风险。自动数据发现引入了智能且完全托管的数据采样,以提供优化的采样率,从而显著减少需要分析的数据量。与全面数据检查的成本相比,这降低了发现包含敏感数据的 S3 存储桶的成本。
您可以调整自动数据发现以仅识别与您的使用案例相关的敏感数据类型,方法是从 100 多种托管敏感数据类型中进行选择,例如个人身份信息(PII)和适用于多个国家/地区的特定格式的财务记录。例如,您可以启用对西班牙或瑞典驾驶执照号码的检测,并根据您的使用案例选择忽略美国的社会安全号码。如果您管理的特定数据类型不在我们的列表中,则可以创建您的企业可能独有的自定义数据类型,例如员工或患者识别号。
我们来看看实际操作
默认情况下,所有新的 Amazon Macie 客户都启用自动数据发现,现有的 Macie 客户只需在 Amazon Macie 管理员账户的 AWS 管理控制台中单击一下即可启用自动数据发现。有 30 天的免费试用期,管理员级别的用户可以随时选择退出。
我可以在左侧导航菜单的设置下的自动发现条目中启用或禁用该功能。状态部分显示当前状态。
在同一页面上,我可以配置托管数据标识符列表。我可以在一百多种托管数据标识符类型中打开或关闭单个类型的数据。我也可以配置新的类型。我在托管数据标识符部分选择编辑以包含或排除其他数据标识符。
如果我的一些存储桶含有大量对象,而另一些则有几个对象,那么 Macie 不会把所有的时间都花在检查一个非常大的存储桶上,而牺牲其他较小的存储桶。Macie 还会优先考虑其知之甚少的存储桶。例如,如果它查看小存储桶中的大多数对象,则与较大的存储桶相比,该存储桶会被取消优先级,后者看到的对象按比例减少。
自动数据发现可以在启用该功能后的几天内提供 S3 存储桶中敏感数据分布的交互式数据地图。此数据地图每天都会刷新,因为它可以智能地挑选和扫描存储桶中的 S3 对象,并将扫描工作分散到给定月份的整个 S3 资产。
这是 Amazon Macie 页面的摘要部分。看来我的整套存储桶已经安全了。我没有具有公共访问权限的存储桶,我的 31 个存储桶可能包含敏感数据。
在左侧导航菜单中选择 S3 存储桶部分时,我可以看到我的存储桶的数据地图。方块越红,存储桶中检测到的数据就越敏感。蓝色的方块表示到目前为止尚未检测到敏感数据的存储桶。之后,我可以在存储桶层面深入研究详细信息。
定价和可用性
如果您不熟悉 Amazon Macie,则默认情况下会启用自动数据发现。如果您已经在组织中使用 Amazon Macie,则只需在 Amazon Macie 管理员账户的管理控制台中单击一下即可启用自动数据发现。
当您在 AWS 账户上启用自动数据发现功能时,有 30 天的免费试用期。评估期过后,我们会根据您的账户中 S3 对象的总数以及扫描的敏感内容字节数收费。每天按比例收费。您可以随时禁用此功能。定价页面包含所有详细信息。
这项新功能现已在提供 Macie 的所有 21 个商用 AWS 区域中提供。
立即启用 Amazon Macie 自动数据发现吧!