Amazon Macie, 신규 버전 출시 및 80%이상 요금 인하 제공 (서울 리전 포함)

Amazon Macie는 기계 학습을 통해 자동으로 데이터를 발견하고 분류하여 민감한 데이터를 검색하고 보호할 수 있도록 해주는 완전관리형 서비스입니다.

오랜 시간에 걸쳐 Macie 고객들은 만족하는 기능과 그렇지 않은 기능들에 대해 알려주었습니다. 서비스 팀은 이러한 피드백에 대응하기 위해 많은 노력을 기울였으며 이제 향상된 버전의 새로운 Amazon Macie의 출시를 알려드리게 되어 기쁘게 생각합니다.

신규 버전에서는 요금제를 간소화했습니다. 이제 평가되는 Amazon Simple Storage Service(S3) 버킷 수와 민감한 데이터 검색 작업을 위해 처리되는 데이터의 양에 따라 요금이 부과됩니다. 새로운 계층형 요금제에서는 요금이 80% 인하되었습니다. 볼륨이 증가할수록 비용을 90% 이상 줄일 수 있습니다.

동시에 많은 새로운 기능이 도입되었습니다.

• 개인 식별이 가능한 정보(PII) 탐지를 위한 업데이트된 기계 학습 모델 및 정규식을 사용하여 고객이 정의한 민감한 데이터 유형을 비롯한 확장된 민감한 데이터 검색
• AWS Organizations를 통한 다중 계정 지원
• AWS SDK 및 AWS CLI(명령줄 인터페이스)를 통한 프로그래밍 방식의 서비스 사용을 지원하기 위한 전체 API 적용 범위
• 17개 리전으로 리전 가용성 확대
• 새롭고 간편한 프리 티어 및 무료 평가판을 통해 손쉽게 시작하고 비용 파악
• 완전히 재설계된 콘솔 및 사용자 환경

Macie는 이제 백엔드에서 S3와 긴밀하게 통합되어 다음과 같은 추가적인 이점을 제공합니다.

• AWS CloudTrail에서 S3 데이터 이벤트를 활성화하는 것이 더 이상 필요하지 않으므로 전체 비용을 더욱 절감할 수 있습니다.
• 이제 모든 버킷을 지속적으로 평가하여 퍼블릭 버킷, 암호화되지 않은 버킷 및 조직 외부의 AWS 계정과 공유된 (또는 AWS 계정에 복제된) 버킷에 대한 보안 조사 결과를 발표합니다.

이전에 Macie에서 사용 가능했던 S3 데이터 액세스 활동을 모니터링하는 이상 탐지 기능은 이제 Amazon GuardDuty에 포함되어 비공개 베타 버전으로 제공되며 S3에서 데이터를 보호하기 위해 더 강력한 기능을 포함하도록 향상되었습니다.

Amazon Macie 활성화
Macie 콘솔에서 Macie 활성화를 선택합니다. AWS Organizations를 사용하는 경우 조직을 위해 Macie를 관리하도록 AWS 계정을 위임할 수 있습니다.

Amazon Macie를 활성화하면 해당 리전의 S3 버킷에 대한 요약이 자동으로 제공되고, 해당 버킷이 지속적으로 평가되어 조직 외부의 AWS 계정과 공유된 버킷을 포함하여 암호화되지 않았거나 공개적으로 액세스 가능한 모든 데이터에 대해 실행 가능한 보안 조사 결과가 생성됩니다.

요약 아래에서 유형별 및 S3 버킷별로 주요 조사 결과를 확인할 수 있습니다. 전반적으로 이 페이지는 S3 버킷 상태에 대한 유용한 개요를 제공합니다.

조사 결과 섹션에서는 전체 조사 결과 목록이 제공되며 결과를 보관하거나 보관 취소하거나 내보내도록 선택할 수 있습니다. 또한 조사 결과 중 하나를 선택하여 Macie에서 수집된 전체 정보를 확인할 수도 있습니다.

결과는 웹 콘솔에서 볼 수 있으며 Amazon CloudWatch Events로 전송하여 기존 워크플로 또는 이벤트 관리 시스템과 쉽게 통합할 수 있습니다. 또는 AWS Step Functions와 함께 사용하여 자동화된 문제 해결 작업을 수행할 수 있습니다. 이를 통해 Payment Card Industry Data Security Standard(PCI-DSS), Health Insurance Portability and Accountability Act(HIPAA), General Data Privacy Regulation(GDPR) 및 California Consumer Protection Act(CCPA) 같은 규정을 준수할 수 있습니다.

S3 버킷 섹션에서 원하는 버킷을 검색하고 필터링하여 하나 이상의 버킷에 대해 민감한 데이터 검색 작업을 생성함으로써 객체의 민감한 데이터를 검색하고 객체 수준에서 암호화 상태 및 공개 액세스 가능성을 확인할 수 있습니다. 작업은 한 번 실행할 수도 있고, 매일, 매주 또는 매월 실행되도록 예약할 수도 있습니다.

작업의 경우 Amazon Macie는 자동으로 버킷의 변경 사항을 추적하고 시간 경과에 따라 새 객체 또는 수정된 객체만 평가합니다. 추가 설정에서 태그, 크기, 파일 확장자 또는 마지막 수정 날짜를 기준으로 객체를 포함하거나 제외할 수 있습니다.

비용 및 무료 평가판 사용을 모니터링하려면 콘솔의 사용량 섹션을 살펴봅니다.

사용자 정의 데이터 식별자 생성
Amazon Macie는 개인 식별이 가능한 정보(PII) 및 자격 증명 데이터를 포함하여 가장 일반적인 민감한 데이터 유형을 기본적으로 지원합니다. 사용자 정의 데이터 식별자로 이 목록을 확장하여 해당 비즈니스에 고유하거나 독점적인 민감한 데이터를 검색할 수 있습니다.

예를 들어 많은 회사에서 직원 ID에 특정 구문을 사용합니다. 가능한 구문은 풀타임 또는 파트타임 직원을 정의하는 대문자와 그 뒤에 대시 및 8자리 숫자를 포함하는 것입니다. 이 경우 가능한 값은 F-12345678 또는 P-87654321입니다.

이 사용자 정의 데이터 식별자를 생성하려면 다음과 일치하도록 패턴을 설명하는 정규식(regex)을 입력합니다.

[A-Z]-\d{8}

오탐을 피하기 위해 employee 키워드를 식별자(기본적으로 50자 미만) 가까이에 추가합니다. 평가 상자를 사용하여 이 구성이 샘플 텍스트와 작동하는지 테스트한 후 제출을 선택합니다.

정식 출시
Amazon Macie는 서울 리전을 포함해서 기존 Macie를 사용하는 리전에서 사용 가능합니다. 리전 가용성은 AWS 리전 표를 참조하십시오. 새롭게 향상된 Macie를 사용하는 방법에 대한 자세한 내용은 설명서에서 확인할 수 있습니다.

이 Amazon Macie 릴리스는 S3에 최적화되어 있습니다. 그러나 Macie에서 지원하는 객체 형식으로 영구적 또는 일시적으로 S3에 넣을 수 있는 모든 항목을 검색하여 민감한 데이터를 파악할 수 있습니다. 따라서 사용자 정의 애플리케이션, 데이터베이스 및 타사 서비스에서 데이터를 가져와서 임시로 S3에 넣고 Amazon Macie를 사용하여 민감한 데이터를 식별함으로써 S3 외부에 있는 데이터로 적용 범위를 확장할 수 있습니다.

예를 들어 이제 Macie가 지원하는 Apache Parquet 형식으로 RDS 및 Aurora의 스냅샷을 S3에 내보낼 수 있으므로 이 과정이 훨씬 더 간편해졌습니다. 마찬가지로 DynamoDB에서도 AWS Glue를 사용하여 테이블을 S3로 내보내고 Macie에서 검색할 수 있습니다. 새로운 API 및 SDK 적용 범위와 함께, 데이터를 S3로 내보내는 자동화된 프로세스에서 새롭게 향상된 Amazon Macie를 구성 요소로 사용하여 여러 소스에서 민감한 데이터를 검색하고 보호할 수 있습니다.

— Danilo