대기업과 중소기업 모두에서 보안 침해 사고가 증가함에 따라 포괄적인 보안 플랫폼이 필수적입니다. 개인 식별 정보(PII)와 같은 귀중한 데이터를 보호하는 것이 매우 중요합니다. AWS 클라우드에 저장되는 데이터의 양이 지속적으로 증가함에 따라, 기업들은 데이터 및 권한에 대한 수동 분류, 감사 및 모니터링에 많은 시간과 비효율을 경험하게 됩니다. 자동화된 검색 및 보호 메커니즘은 필수적입니다.
Amazon Macie는 이러한 서비스 중 하나로, 클라우드 데이터의 분포와 민감도를 더욱 정확하게 파악하여 규정 준수 위험과 잠재적 데이터 침해를 줄이는 데 도움을 줍니다. 이 글에서는 Macie의 기능, 작동 방식, 그리고 잠재적 활용 사례를 설명하여 조직이 Macie가 민감한 데이터를 보호하는 데 어떻게 도움이 되는지 명확하게 이해할 수 있도록 돕습니다.
Amazon Macie란 무엇인가요?
Amazon Macie는 AWS에서 제공하는 보안 서비스입니다. 머신 러닝 및 패턴 매칭 기술을 기반으로 AWS 클라우드에서 민감한 데이터를 자동으로 검색, 분류 및 보호할 수 있습니다. 현재 Macie는 주로 다음을 지원합니다. 아마존 S3향후 더 많은 AWS 데이터 저장소로 확장할 계획입니다.
Macie를 사용하면 버킷 내에서 이름, 사회보장번호, 신용카드 정보 등의 개인식별정보(PII), 보호된 건강 정보(PHI), 그리고 GDPR 및 HIPAA와 같은 규정을 준수하는 기타 데이터를 쉽게 식별할 수 있습니다. Macie는 데이터 자체를 식별하는 것 외에도 S3 버킷의 구성 및 액세스 제어를 지속적으로 모니터링하여 잘못된 구성 또는 데이터 노출 위험을 완화합니다.
기본적으로 Macie는 기업이 다음과 같은 핵심 질문에 답하도록 돕습니다.
- S3 버킷에는 어떤 유형의 데이터가 저장됩니까?
- 이 데이터는 정확히 어디에 있나요?
- 데이터는 어떻게 공유되나요? 완전히 비공개인가요, 아니면 대중에게 노출될 위험이 있나요?
- 거의 실시간에 가까운 데이터 분류가 가능할까요?
- 어떤 데이터가 PII 또는 PHI에 해당할 수 있고 실수로 공개될 가능성이 있습니까?
- 위험이 발생하면 어떻게 신속하게 대응하고 개선 대책을 수립할 수 있나요?
메이시는 어떻게 작동하나요?
AWS 계정에서 Macie를 활성화하면 몇 분 안에 모든 S3 버킷의 인벤토리를 스캔하고 생성합니다. Macie는 버킷의 보안 상태를 평가하고 액세스 제어 정책을 모니터링합니다. 무단 액세스나 데이터 유출로 이어질 수 있는 구성과 같은 이상 징후가 감지되면 Macie는 보안팀이 해결할 수 있도록 자세한 결과를 생성합니다.
Macie의 기능 모듈은 주로 다음의 네 가지 측면을 포함합니다.
1. 요약 대시보드
대시보드는 데이터 저장 및 액세스 방식에 대한 전반적인 뷰를 제공합니다. 여기에는 버킷 수, 객체 수, 총 저장 용량이 포함되며, 버킷의 공개 여부, 암호화 여부 또는 조직 간 공유 여부에 따라 세부 정보가 제공됩니다. 이를 통해 보안 팀은 위험한 버킷을 신속하게 파악하고 조치를 취할 수 있습니다.
2. 메이시 잡스
사용자는 "작업"을 통해 민감한 데이터 검색 작업을 자동화할 수 있습니다. 작업은 빠른 스캐닝 및 분석을 위해 일회성으로 실행하거나, 지속적인 모니터링을 위해 매일, 매주 또는 매월 예약하여 실행할 수 있습니다. 이를 통해 반복적인 수동 조사의 부담을 줄일 수 있습니다.
3. 결과
결과는 잠재적인 정책 위반 또는 민감 데이터 노출에 대한 상세 보고서입니다. Macie는 정책 기반(예: 버킷이 암호화되지 않았거나 공개적으로 공유되지 않음) 및 민감 데이터 기반(예: 파일에 주민등록번호가 포함됨)의 두 가지 유형의 결과를 생성합니다. 모든 결과는 다음을 통해 확인할 수 있습니다. Amazon CloudWatch 이벤트 자동 알림 및 수정 워크플로를 트리거하기 위한 통합.
4. 자동 데이터 검색
2022년 AWS는 Macie의 "자동화된 데이터 검색" 기능을 출시했습니다. 이 기능은 S3 버킷을 지속적으로 분석하고, 버킷의 민감도를 자동으로 평가하며, 결과를 집계하여 사용자가 수동으로 스캔을 예약할 필요가 없도록 합니다. 전체 데이터 스캔과 비교했을 때, 이 방식은 비용을 절감하는 동시에 잠재적 위험을 효과적으로 식별합니다. 기업은 스캔에서 버킷을 제외함으로써 비용을 더욱 절감할 수 있습니다.
메이시의 장점
- 설치가 쉽습니다
- Macie를 활성화하는 것은 콘솔에서 몇 번만 클릭하면 됩니다. AWS 조직 관리자는 Macie의 지원을 받아 조직 전체의 모든 계정에서 중앙에서 Macie를 활성화하여 운영 부담을 크게 줄일 수 있습니다.
- 지속적인 모니터링 및 경고
- Macie는 S3 버킷의 보안을 지속적으로 평가합니다. 암호화되지 않은 버킷을 감지할 뿐만 아니라 조직 간에 공유되거나 공개적으로 접근 가능한 위험한 버킷도 식별합니다. Macie는 반복적인 작업과 결합하여 조직이 데이터 자산의 보안을 지속적으로 유지할 수 있도록 지원합니다.
- 규정 준수 지원
- GDPR, PCI-DSS 또는 HIPAA와 같은 데이터 개인정보 보호 규정이든, Macie는 민감한 데이터 식별을 자동화하고 수동 검증의 비용과 위험을 줄여 회사가 규정 준수 감사 요구 사항을 신속하게 충족할 수 있도록 도울 수 있습니다.
- 사용자 정의 민감한 데이터 유형
- 일반적인 민감 데이터에 대한 기본 제공 탐지 기능 외에도, 사용자는 정규 표현식을 통해 내부 계약 번호나 고객 코드와 같은 기업별 데이터 유형을 정의할 수 있습니다. 이를 통해 Macie는 비즈니스 특성에 맞는 민감 정보를 더욱 정확하게 식별할 수 있습니다.
Macie의 일반적인 사용 사례
- 데이터 개인 정보 보호 및 보안이 간소화되었습니다: 기업은 S3에서 민감한 데이터를 일관되게 관리하고 잠재적 위험을 신속하게 찾을 수 있습니다.
- 규정 준수 감사를 충족합니다: 외부 규제 기관이나 내부 감사의 요구 사항을 충족하기 위해 정기적으로 데이터 스캐닝 작업과 보고서를 생성합니다.
- 대규모 데이터 발견: 수백 개의 버킷과 수백만 개의 객체가 있는 복잡한 환경에서도 Macie는 민감한 정보를 빠르게 식별할 수 있습니다.
가격 모델
메이시 30일 무료 체험이 기간 동안 모든 S3 버킷은 무료로 평가되며, 1GB의 민감 데이터 검색도 무료로 제공됩니다. 이후 요금은 크게 두 부분으로 나뉩니다.
- 버킷 평가: 30일 무료 기간이 끝나면 버킷당 월 0.10달러가 부과됩니다.
- 데이터 검색 처리 볼륨: 청구는 스캔한 데이터 양에 따라 결정되며, 가격은 지역마다 약간씩 다릅니다.
이러한 유연한 청구 모델을 통해 기업은 규모와 요구 사항에 따라 보안 비용을 합리적으로 통제할 수 있습니다.
다른 보안 서비스와의 비교
- 아마존 가드듀티: 비정상적인 API 호출이나 잠재적인 무단 배포를 식별하는 것과 같은 위협 탐지에 중점을 둡니다. 반면 Macie는 다음에 더 중점을 둡니다. 민감한 데이터 분류 및 보호.
- AWS 보안 허브: Macie의 조사 결과는 다른 보안 서비스의 알림과 함께 표시되어 기업에서 보안 사고를 균일하게 관리하고 우선순위를 설정하는 데 도움이 됩니다.
두 가지를 결합하면 "데이터 보안 + 위협 탐지"를 포괄하는 완벽한 보안 폐쇄 루프를 형성할 수 있습니다.
요약하다
데이터 보안이 점점 더 중요해짐에 따라 Amazon Macie는 기업에 S3에 저장된 민감한 데이터를 검색하고 보호하는 효율적이고 자동화된 도구를 제공합니다. 이를 통해 수동 검토 비용을 절감하고 기업이 규정 준수 요건을 충족하는 데 도움이 됩니다. 스타트업이든 대기업이든 Macie는 클라우드에서 데이터 보안을 더욱 쉽게 관리할 수 있도록 지원합니다.
