Sichern Sie Ihre sensiblen Daten auf AWS: Ein Leitfaden für Einsteiger in Amazon Macie

Mit dem Aufkommen der künstlichen Intelligenz (KI) hat sich die Landschaft der Datenverwaltung und -sicherheit revolutionär verändert. Das exponentielle Wachstum von Daten hat es Unternehmen ermöglicht, ihre Produkte und Dienstleistungen innovativer und personalisierter zu gestalten. In dem Maße, in dem Unternehmen Cloud-Technologien wie Amazon Web Services (AWS) einsetzen, um ihre Datenkapazitäten zu modernisieren und Innovationen voranzutreiben, sehen sie sich mit der Komplexität der Verwaltung umfangreicher Daten konfrontiert, die über mehrere AWS-Konten verteilt sind. Jedes Konto entspricht unterschiedlichen Geschäftsbereichen und Anwendungsfällen, was die Komplexität nicht nur im Hinblick auf das Volumen, sondern auch auf die Sensibilität und Vielfalt der Daten erhöht.

Dies reicht von Gesundheitsinformationen (PHI) und Daten der Zahlungskartenindustrie (PCI) bis hin zu persönlich identifizierbaren Informationen (PII) und geschütztem geistigen Eigentum des Unternehmens. Eine Datenpanne, die diese Informationen betrifft, kann erhebliche finanzielle und rufschädigende Verluste verursachen. Daher ist die Identifizierung und der Schutz dieser sensiblen Daten, die über verschiedene Konten verstreut sind, eine der größten Herausforderungen.

In AWS erweist sich Amazon Macie als eine entscheidende Lösung für diese Herausforderung. Macie spielt eine zentrale Rolle bei der Beantwortung folgender grundlegender Fragen, die für eine robuste Datensicherheit und Compliance unerlässlich sind

• Datenspeicherung verstehen: Welche Daten habe ich in meinen S3-Buckets, und wo befinden sie sich?
• Bewertung der Datenexposition: Wie werden meine Daten weitergegeben und gespeichert, und sind sie öffentlich oder privat zugänglich?
• Datenklassifizierung nahezu in Echtzeit: Wie kann ich meine Daten nahezu in Echtzeit klassifizieren, um ständige Wachsamkeit zu gewährleisten?
• Identifizierung sensibler Informationen: Welche PII oder PHI könnten öffentlich zugänglich gemacht werden, und wie kann ich dieses Risiko mindern?
• Automatisierung von Compliance und Sicherheit: Wie entwickle und implementiere ich Abhilfemaßnahmen in Form von Workflows, um meine spezifischen Sicherheits- und Compliance-Anforderungen zu erfüllen?

Was ist Amazon Macie?

Amazon Macie ist ein Datensicherheitsdienst, der maschinelles Lernen und Mustervergleiche nutzt, um sensible Daten in Amazon S3 zu identifizieren und Einblicke in Sicherheitsrisiken und automatischen Schutz zu bieten. Macie bewertet kontinuierlich S3-Buckets anhand integrierter und benutzerdefinierter Kriterien auf potenzielle Bedenken hinsichtlich der Datensicherheit oder des Datenschutzes und liefert Ergebnisse und detaillierte Statistiken für fundierte Entscheidungen. Macie lässt sich in Amazon EventBridge und AWS Security Hub integrieren und erweitert damit seine Möglichkeiten zur Überwachung und Behebung von Datensicherheitsproblemen.

Anwendungsfälle von Amazon Macie

• Compliance-Überwachung und Berichterstattung: Unternehmen, die Vorschriften wie GDPR, HIPAA oder PCI-DSS unterliegen, können Macie nutzen, um sensible Daten automatisch zu erkennen und zu klassifizieren und so die Einhaltung der Vorschriften zu gewährleisten, indem sie ermitteln, wo sich diese Daten befinden und wie sie verwendet oder abgerufen werden.
• Schutz des geistigen Eigentums: Unternehmen können Macie nutzen, um in S3-Buckets gespeichertes geistiges Eigentum aufzuspüren und zu schützen. So wird sichergestellt, dass geschützte Informationen nicht versehentlich offengelegt oder von unbefugten Benutzern abgerufen werden.
• Bewertungen der Datensicherheit bei Fusionen und Übernahmen (M&A): Bei Fusionen und Übernahmen kann Macie eingesetzt werden, um die Datensicherheit von übernommenen oder fusionierten Unternehmen schnell zu bewerten, sensible Daten zu identifizieren und sicherzustellen, dass sie mit den Unternehmensrichtlinien und -vorschriften übereinstimmen.
• Bildungseinrichtungen zum Schutz von Studentendaten: Schulen und Universitäten können Macie zum Schutz von Studentendaten und sensiblen Informationen einsetzen und so die Einhaltung der bildungsbezogenen Datenschutzbestimmungen sicherstellen.
• Datenmanagement im Gesundheitswesen: Organisationen des Gesundheitswesens können Macie einsetzen, um Patientendaten zu sichern, indem sie Gesundheitsinformationen gemäß HIPAA und anderen Standards zum Schutz von Gesundheitsdaten klassifizieren und schützen.

Erste Schritte mit Amazon Macie

Die Aktivierung von Amazon Macie ist eine sehr einfache Aufgabe. Amazon Macie ist ein regionaler Service. Stellen Sie daher sicher, dass Sie in der AWS-Konsole in der oberen linken Ecke die entsprechende Region auswählen, die Sie benötigen.

• Um mit Amazon Macie zu beginnen, wählen Sie AWS Console Mavie Getting Started → Enable Macie.

In Umgebungen mit mehreren Konten können Sie die Nutzung von Macie in Ihrer gesamten Organisation in AWS Organizations über die Nutzungsseite des delegierten Administratorkontos überwachen. Für diesen Blog verwende ich ein einzelnes Konto.

Zu den Voraussetzungen gehört, dass wir einen S3-Bucket zum Speichern der Ergebnisse erstellen müssen. Für jedes analysierte Objekt protokolliert Macie Details in den "Ergebnissen der Erkennung sensibler Daten", einschließlich der Objekte, die aufgrund von Fehlern nicht analysiert werden konnten. Diese Ergebnisse werden 90 Tage lang gespeichert, aber für eine längere Aufbewahrung können Sie Macie so konfigurieren, dass diese Ergebnisse in einem S3-Bucket gespeichert werden.

• Um zu verstehen, wie Macie Befunde anzeigt, können Sie in Macie Beispielbefunde erstellen. Gehen Sie zu Macie Console → Einstellungen → Musterfindung generieren

Um die Suche anzuzeigen, können Sie die Seite Suche auf derselben Konsole aufrufen.

Wie Sie in den obigen Screenshots sehen können, generiert Macie Beispielfunde in Bezug auf finanzielle und persönliche Daten. Sie können die Suche weiter vertiefen, indem Sie einen bestimmten Bereich, die Gesamtzahl der sensiblen Daten und die Art der Informationen auswählen.

Lassen Sie uns jetzt Arbeitsplätze schaffen.

• Sie können einen benutzerdefinierten Auftrag erstellen, in dem Sie bestimmte Eimer und Kriterien definieren können. Gehen Sie zu Auftrag → Auftrag erstellen

• Wählen Sie den zu scannenden Bereich aus → Umfang verfeinern. Sie können die Häufigkeit des Auftrags und die Art der zu scannenden Dateien auswählen. Zu Demonstrationszwecken habe ich einen einmaligen Auftrag gewählt. Aber je nach Ihren Anforderungen können wir einen Auftrag täglich, wöchentlich oder monatlich planen.

• In diesem Auftrag überprüfe ich das Geburtsdatum. Ich wähle einen benutzerdefinierten verwalteten Bezeichner - "DATE_OF_BIRTH". Dieser Auftrag sollte also in der Lage sein, diese Schlüsselwörter in Dateien zu erkennen: bday,b-day, birth date, birthday, date of birth, dob

• Ich habe die Beispieldatei mit folgendem Inhalt erstellt und in den Bucket hochgeladen.

Date of Birth: 1961-04-21
Future Date: 2024-03-04
--------------------
date of birth: 1912-01-20
Future Date: 2024-03-06
--------------------
dob: 1956-05-25
Future Date: 2024-03-16

• Dieser einmalige Auftrag wird ausgeführt, sobald Sie mit der Erstellung fertig sind. Sie können diesen Auftrag jedoch auch jederzeit nach der Erstellung ausführen.

In wenigen Minuten zeigt Macie folgende Ergebnisse

Oben sehen Sie ein Beispiel für einen Custom Managed Identifier - Geburtsdatum. Diese Bezeichner werden von AWS definiert. Eine Liste finden Sie hier.

Wenn Sie jedoch ein Kundenkriterium definieren möchten, das nicht in der AWS-Liste enthalten ist, können Sie dies mit Hilfe der benutzerdefinierten Datenbezeichner tun . Mit benutzerdefinierten Datenbezeichnern können Sie Erkennungskriterien definieren, die die besonderen Szenarien, das geistige Eigentum oder die geschützten Daten Ihres Unternehmens widerspiegeln - zum Beispiel Mitarbeiter-IDs, Kundenkontonummern oder interne Datenklassifizierungen.

Macie Vorteile

• Sicherstellung der Einhaltung von Vorschriften: Mit seiner Fähigkeit, sensible Daten gemäß verschiedener gesetzlicher Standards zu erkennen und zu klassifizieren, unterstützt Macie Unternehmen bei der Einhaltung von Vorschriften wie GDPR, HIPAA und PCI-DSS und mindert damit das Risiko von Strafen im Zusammenhang mit der Einhaltung von Vorschriften.
• Automatisierte Überwachung und Aktionen: Amazon Macie lässt sich nahtlos in andere AWS-Services wie Amazon EventBridge, AWS Security Hub und AWS Lambda integrieren und erleichtert so die Erstellung automatisierter Workflows, die schnelle Reaktionen und Abhilfemaßnahmen ermöglichen.
• Globale Datentransparenz: Es bietet Unternehmen eine einheitliche Sicht auf ihre sensiblen Daten über mehrere AWS-Regionen und -Konten hinweg und verbessert so die Fähigkeit, die Datensicherheit auf globaler Ebene zu verwalten. Diese Transparenz ist entscheidend für multinationale Unternehmen, die mit Fragen der Datenresidenz und -souveränität konfrontiert sind.

Macie Preise

Amazon Macie verwendet ein nutzungsbasiertes Preismodell, bei dem die Kunden auf der Grundlage der verarbeiteten Datenmenge für die Erkennung sensibler Daten bezahlt werden. Es bietet eine 30-tägige kostenlose Testversion, wenn Sie es zum ersten Mal aktivieren. Während der kostenlosen Testphase gibt Amazon Macie einen Überblick darüber, wie hoch die monatlichen Kosten nach der Testphase sein werden. Da Amazon Macie auf der Grundlage der gescannten Daten abrechnet, können wir die Kosten kontrollieren, indem wir die Menge der gescannten Daten begrenzen, z.B. wenn es nicht notwendig ist, CloudTrail-Protokolle zu scannen, Dateien mit bestimmten Erweiterungen oder Tags zu suchen.

Fazit

In einer Welt, in der Datenschutzverletzungen zu erheblichen finanziellen und Reputationsverlusten führen können, ist die Rolle von Amazon Macie beim Schutz sensibler Daten von unschätzbarem Wert. Macie bietet Vorteile, die die Sicherheitslage eines Unternehmens verbessern. Ich hoffe, dieser Blog vermittelt Ihnen ein gutes Verständnis des AWS Datensicherheitsdienstes und seiner Bedeutung.