Recursos do Amazon Macie

What is Amazon Macie?

O Amazon Macie é um serviço de segurança de dados que descobre dados confidenciais por meio de machine learning e correspondência de padrões, proporciona visibilidade dos riscos à segurança dos dados e oferece proteção automatizada contra esses riscos. Para ajudar você a gerenciar a postura de segurança do seu ambiente do Amazon S3, o Macie avalia constantemente os buckets do S3 em relação à segurança e ao acesso, e gera as descobertas para notificá-lo sobre os problemas, como buckets não criptografados, com acesso público e compartilhados com contas da AWS de fora da sua organização. Depois disso, o Macie faz uma amostragem e analisa automaticamente os objetos nos buckets do S3, verificando se há dados confidenciais neles, como informações de identificação pessoal (PII), cria um mapa de dados interativo do local onde os dados confidenciais no S3 residem em todas as contas e apresenta uma pontuação de sensibilidade para cada bucket. O mapa de dados interativo pode orientar as suas decisões sobre a necessidade de fazer investigações mais minuciosas de determinados buckets do S3 executando trabalhos de descoberta de dados confidenciais direcionados com o Macie. A execução de trabalhos de descoberta de dados confidenciais direcionados pode ajudar no cumprimento de regulamentações, como a Health Insurance Portability and Accountability Act (HIPAA – Lei de Portabilidade e Responsabilidade de Seguros de Saúde) e o Regulamento Geral sobre a Proteção de Dados (RGPD). Todas as descobertas do Macie são enviadas ao Amazon EventBridge e também podem ser publicadas no AWS Security Hub para executar a correção automatizada, como bloqueio de acesso público ao seu armazenamento do S3. Para começar a usar o Macie, você pode aproveitar o teste gratuito de 30 dias, que inclui a descoberta automatizada de dados confidenciais e a avaliação de buckets do S3. O teste gratuito também pode ajudar você a saber os gastos estimados com o uso contínuo antes de se comprometer com o uso pago.

Principais recursos

Avaliação contínua da postura de segurança do Amazon S3

O Amazon Macie avalia continuamente o seu ambiente do Amazon S3 e apresenta um resumo da postura de segurança de dados de todas as suas contas. Você pode pesquisar, filtrar e classificar os buckets do S3 por variáveis de metadados, por exemplo, nomes de buckets, tags e controles de segurança, como status de criptografia ou acessibilidade pública. Para todos os buckets não criptografados, acessíveis ao público ou compartilhados com as contas da AWS fora daquelas que você definiu no AWS Organizations, você pode receber alertas para tomar medidas. Depois disso, o Macie faz uma amostragem e analisa automaticamente os objetos nos buckets do S3, verificando se há dados confidenciais neles, como informações de identificação pessoal (PII), cria um mapa de dados interativo do local onde os dados confidenciais no S3 residem em todas as contas e apresenta uma pontuação de sensibilidade para cada bucket. O mapa de dados interativo pode orientar as suas decisões sobre a necessidade de fazer investigações mais minuciosas de determinados buckets do S3 executando trabalhos de descoberta de dados confidenciais direcionados com o Macie.

Descoberta direcionada de dados confidenciais

O Amazon Macie permite executar trabalhos únicos, diários, semanais ou mensais de descoberta de dados confidenciais para todos ou para um subconjunto de objetos em um bucket do Amazon S3. Para trabalhos de descoberta de dados confidenciais direcionados, o Amazon Macie rastreia automaticamente as alterações no bucket e avalia apenas objetos novos ou modificados ao longo do tempo.

Tipos de dados confidenciais totalmente gerenciados

O Amazon Macie mantém uma lista crescente de tipos de dados confidenciais que incluem informações de identificação pessoal (PII) comuns e outros tipos de dados confidenciais, conforme definido pelos regulamentos de privacidade de dados, como GDPR, PCI-DSS e HIPAA. Esses tipos de dados usam várias técnicas de detecção de dados, incluindo machine learning, e são continuamente adicionados e aprimorados ao longo do tempo.

Descoberta de tipos de dados proprietários ou exclusivos

O Amazon Macie permite que você adicione tipos de dados personalizados usando expressões regulares para que o Macie possa descobrir dados confidenciais proprietários ou exclusivos dos seus negócios.

Resultados detalhados e práticos da descoberta de dados confidenciais e de segurança

O Macie reduz o volume de alerta e acelera a triagem, consolidando as descobertas por objeto ou bucket. Com base no nível de gravidade, as descobertas do Macie são priorizadas e cada descoberta inclui detalhes, como tipo de dados confidenciais, tags, acessibilidade pública e status de criptografia. As descobertas são mantidas por 30 dias e estão disponíveis no Console de Gerenciamento da AWS ou na API. Os detalhes completos da descoberta de dados confidenciais são gravados automaticamente em um bucket do S3 de propriedade do cliente para retenção a longo prazo.

Analise e valide com segurança os dados confidenciais encontrados em um objeto do Amazon S3

O Macie oferece recuperação temporária com apenas uma seleção de até 10 exemplos de dados confidenciais encontrados no S3. Essa capacidade ajuda você a visualizar e entender com mais facilidade os conteúdos de um objeto do S3 que foram identificados como confidenciais, para que você possa analisar, validar e agir rapidamente conforme necessário. Todos os exemplos de dados confidenciais capturados são criptografados usando chaves do AWS Key Management Service (KMS) gerenciadas pelo cliente e podem ser visualizados temporariamente no console do Macie após serem recuperados.

Crie e gerencie listas de permissões para especificar texto ou padrões de texto

O recurso de lista de permissões do Macie ajuda você a reduzir alertas de volume decorrentes de formatos ou texto de dados em seu ambiente que não requerem ação. Uma lista de permissões define um texto ou um padrão de texto específico que você deseja que o Macie ignore durante a inspeção de dados confidenciais nos objetos do S3. Se o texto corresponder a uma entrada ou a um padrão na lista de permissões, o Macie não o relatará nas descobertas de dados confidenciais nem nos resultados da descoberta de dados confidenciais, mesmo que o texto corresponda aos critérios de um identificador de dados gerenciados ou personalizados.

Suporte a várias contas e integração com o AWS Organizations

Na configuração de várias contas, uma única conta de administrador do Macie pode gerenciar todas as contas de membros, incluindo a criação e administração de trabalhos de descoberta de dados confidenciais nas contas. O Macie oferece suporte a várias contas por meio da integração do AWS Organizations. Os resultados da descoberta de dados confidenciais e de segurança são agregados na conta de administrador do Macie e enviados ao Amazon EventBridge. Usando uma conta, agora você pode integrar-se aos sistemas de gerenciamento de eventos, fluxo de trabalho e emissão de tickets ou usar as descobertas do Macie com o AWS Step Functions para automatizar as ações de correção.

Próximas etapas

Documentação

Saiba mais sobre os recursos e a implementação do Amazon Macie lendo a documentação

Leia a documentação

Console

Comece a criar com o Amazon Macie

Introdução ao Amazon Macie