安全

数据隐私保护 - 通过 Amazon Macie 和 GuardDuty 实现敏感数据自动发现与威胁防御

解说结合 Amazon Macie 的 S3 敏感数据自动发现与 Amazon GuardDuty 的威胁情报实现数据隐私保护的实践方法。介绍从个人信息识别到实时威胁检测的全面安全对策。

約 2 分で読めます

数据隐私保护的重要性与 AWS 的方法

随着 GDPR 和个人信息保护法的实施,企业所持有数据的隐私保护已成为经营层面的最重要课题。在云环境中,大量数据分散存储在 S3 存储桶和各种数据存储中,因此准确掌握敏感数据的位置并维持适当的访问控制至关重要。Amazon Macie 利用机器学习和模式匹配自动检测和分类 S3 存储桶中的个人身份信息(PII)、信用卡号、API 密钥等敏感数据。另一方面,Amazon GuardDuty 持续分析 VPC 流日志、DNS 日志和 CloudTrail 事件,实时检测未授权访问和数据泄露的迹象。

Amazon Macie 的敏感数据自动发现与分类

Amazon Macie 自动评估 S3 存储桶的清单,可视化加密状态、公共访问设置以及与其他 AWS 账户的共享情况。执行敏感数据发现作业时,通过托管数据标识符自动识别 100 多种敏感数据类型(姓名、地址、社会保障号、护照号码、医疗记录等)。定义自定义数据标识符后,还可将公司内部特有的敏感信息模式(员工编号、客户代码等)添加到检测对象中。发现结果按严重程度分类,通过集成到 Security Hub 可集中管理整个组织的安全状况。以下是使用 AWS CLI 创建 Macie 敏感数据发现作业的示例。 ```bash aws macie2 create-classification-job \ --job-type ONE_TIME \ --name "sensitive-data-scan" \ --s3-job-definition '{"bucketDefinitions": [{"accountId": "123456789012", "buckets": ["my-data-bucket"]}]}' ```

Amazon GuardDuty 的威胁检测与事件响应

Amazon GuardDuty 是持续监控整个 AWS 环境威胁的智能威胁检测服务。结合机器学习异常检测、威胁情报源和基于签名的检测,可发现加密货币挖矿、与 C&C 服务器的通信、IAM 凭证的未授权使用、对 S3 存储桶的异常访问模式等。GuardDuty 的发现结果(Findings)与 EventBridge 联动,可触发 Lambda 函数的自动修复操作。例如,可自动化受损 EC2 实例的隔离、未授权 IAM 用户的禁用、向安全团队的即时通知等。GuardDuty Malware Protection 还提供 EBS 卷的恶意软件扫描,增强整个工作负载的安全性。无需安装代理,只需启用即可立即开始保护也是一大优势。 从基础到应用全面学习 AWS 安全对策,可参考相关书籍(Amazon)

Macie 与 GuardDuty 集成的隐私保护策略

通过将 Macie 和 GuardDuty 集成到 Security Hub,可构建关于数据隐私的全面安全态势。Macie 识别敏感数据的位置,GuardDuty 检测对该数据的未授权访问,这是一种纵深防御方法。通过与 AWS Organizations 的联动,可在多账户环境中应用一致的隐私保护策略。通过自动生成合规报告,大幅减少审计应对的工时。还可构建基于 Macie 发现结果自动修正 S3 存储桶策略、立即保护过度公开数据的工作流。以下是通过 EventBridge 规则将 Macie 发现结果联动到 Lambda 的设置示例。 ```json { "source": ["aws.macie"], "detail-type": ["Macie Finding"], "detail": { "severity": {"description": ["High"]} } } ```

数据隐私保护的费用

Macie 的存储桶评估每月约 0.10 美元/存储桶,敏感数据发现每 GB 约 1.00 美元。GuardDuty 的 CloudTrail 管理事件分析每 100 万事件约 4.00 美元,VPC 流日志每 GB 约 1.00 美元。两项服务均提供 30 天免费试用,可在确认实际成本后再进行正式部署。安全投资的成本效益应与数据泄露时的损失(罚款、信誉损失)进行比较判断。

总结 - 云原生的数据隐私保护

Amazon Macie 和 GuardDuty 的组合是云环境中数据隐私保护的最优解。通过 Macie 对 100 多种敏感数据类型的自动发现与分类,以及 GuardDuty 的实时威胁检测的集成,可一贯自动化从数据可视化到威胁应对的全过程。通过以 Security Hub 为中心的安全信息汇聚,可建立持续评估和改善整个组织安全态势的循环。按量计费模型还可实现根据保护对象数据量的成本优化。

相关服务

Amazon Macie利用机器学习自动检测和保护 S3 存储桶中敏感数据的服务Amazon GuardDuty利用机器学习的威胁检测服务AWS Security Hub集中管理 AWS 安全状态和合规性的服务

相关文章

安全调查与威胁分析 - 用 Amazon Detective 实现高效事件响应解析利用 Amazon Detective 进行安全事件调查和威胁分析的方法。介绍与 GuardDuty 联动的从检测到调查的工作流,以及基于图的分析定位根本原因的方法。身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。机密计算 - 使用 AWS Nitro Enclaves 隔离保护处理中的数据详解使用 AWS Nitro Enclaves 进行机密数据的隔离处理。介绍加密证明、KMS 集成以及 PII 处理和加密密钥管理的用例。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

Amazon Macie通过机器学习自动检测 S3 存储桶中的敏感数据 (个人信息、信用卡号等),可视化数据安全风险的服务使用 Amazon Macie 自动发现 S3 敏感数据 - PII 检测与数据安全态势管理解析 Macie 的 S3 存储桶敏感数据检测、自定义数据标识符、Security Hub 集成。Amazon Macie 自动发现敏感数据 - S3 存储桶的 PII 扫描与数据保护解析 Amazon Macie 自动发现 S3 存储桶中的敏感数据(PII、金融信息、凭证)及基于发现结果的数据保护策略。AWS 安全服务的整合力 - 从 GuardDuty 到 Detective 无需 SIEM 的原生威胁检测解析 GuardDuty、Security Hub、Detective、Macie 协同实现的原生威胁检测机制,并与 Azure Sentinel 的设计思想进行比较。