목차


소개

Amazon Macie는 Amazon S4 버킷에서 데이터를 검색할 때 사용하는 기능이다. 이를 특정 문자나 정규표현식을 사용하여 찾는다. 설명에는 기계학습을 사용하여 개인정보(PII)나 민감한 데이터를 식별할 수 있다고 소개한다.

활용

이제 Macie를 이용해 검색하기 위해 패턴을 생성한다. 패턴은 우측 패널에 설정에서 사용자 지정 데이터 식별자를 선택한다.

민감 정보를 찾기 위한 패턴 설정 1

민감한 데이터인 폰 번호를 검색하는 정규표현식을 간단히 작성한다. 단순 문자열도 최대 50개까지 지정할 수 있고, 예외처리도 10개 까지 가능하다.

민감 정보를 찾기 위한 패턴 설정 2

이제 검색은 검색 대상이 되는 S3 버킷을 선택한다. 버킷 선택은 우측 패널의 S3 버킷에서 선택 가능하며 여러 버킷을 지정하여 한번에 검색도 가능하다.

Macie 스캐닝 대상이 되는 S3 버킷 설정

다음과 같이 간단한 S3 버킷의 정보를 보여주고, 우측에는 Macie의 요금 정보도 간략하게 보여준다.

Macie 스캐닝 하기 앞서 선택한 S3 버킷 정보

상세한 Macie의 요금은 요금 | Amazon Macie | Amazon Web Services(AWS)에서 확인 가능하다. Macie를 활성화 한 것만으로도 버킷 갯수당 0.10 달러가 소비된다. 그 이유는 검색 속도를 높이기 위해 인덱싱하는 것 때문으로 추측된다. 다음 버튼을 누르면 작업 방식을 선택할 수 있다. 지속적으로 반복작업을 할 것인가? 반복 작업을 한다면 기존 객체를 포함할 것인가? 이번 한번만 작업할 것인가? 등 설정할 수 있다. 기업의 경우 개인정보보호법에 의거해 데이터가 암호화되어 저장되어 있더라고 Pulic 버킷에 대해서는 지속적으로 Macie를 이용해 스캐닝하고, 최초로 진행할 땐 기존 객체를 포함을, 그렇지 않은 경우 기존 객체를 미포함으로 선택하여 비용을 줄일 수 있어 보인다. 반면 S3 버킷에서 탐지한 민감한 데이터를 조치를 하고 다시 스캔하여 결과를 확인할 수도 있다.

Macie를 이용한 민감한 정보 스캐닝 스케줄링 설정

다음으로 넘어가면 어떤 것을 검색할 것인지 미리 생성한 패턴을 선택한다.

Macie를 이용한 민감한 정보 스캐닝 탐지 패턴 설정

결과를 식별할 수 있게 Macie 작업 이름을 지정한다.

Macie를 이용한 민감한 정보 스캐닝 이름 설정

마지막을 설정한 작업을 검토하고 문제 없으면 제출을 클릭하여 스캐닝을 진행한다.

Macie를 이용한 민감한 정보 스캐닝 작업 최종 검토

스캐닝 결과는 우측 패널의 결과에서 확인할 수 있다. 결과는 모든 탐지 결과를 보여주며, 버킷별, 유형별, 작업별로 구분하여 볼 수 있다.

Macie를 이용한 민감한 정보 스캐닝 결과

각 결과를 선택하면 상세한 정보를 볼 수 있다. 중요한 것은 무엇이 탐지되었는가를 Macie에서 확인할 수 없다. 따라서 상세 결과의 개요에 리소스 부분의 링크를 선택하여 직접 S3 버킷에 방문하고, 탐지된 파일을 다운로드하여 분석할 수 있다.

Macie를 이용한 민감한 정보 스캐닝 상세 결과

간단하게 Macie를 구성하고 스캐닝도 해봤다. S3 버킷별로 암호화가 되어 있는 경우 처리하는 방법도 살펴볼 필요가 있고, 기업마다 개인정보의 유형이 다르기 때문에 패턴 생성에도 심혈을 기울여야 할 것 같다.

참고

 

What is Amazon Macie? - Amazon Macie

What is Amazon Macie? Amazon Macie is a fully managed data security and data privacy service that uses machine learning and pattern matching to discover, monitor, and help you protect your sensitive data in Amazon Simple Storage Service (Amazon S3). Macie

docs.aws.amazon.com

 

'Information Technology > Cloud' 카테고리의 다른 글

Amazon Macie (2/2) - 활용편  (0) 2020.09.13
Amazon Macie (1/2) - 구축편  (0) 2020.09.13

목차


소개

Amazon Macie는 Amazon S4 버킷에서 데이터를 검색할 때 사용하는 기능이다. 이를 특정 문자나 정규표현식을 사용하여 찾는다. 설명에는 기계학습을 사용하여 개인정보(PII)나 민감한 데이터를 식별할 수 있다고 소개한다.

구축

처음 Macie에 들어가면 기능 활성화를 진행할 수 있다. 첫 활성화 땐 30일 무료 평가판으로 자동 등록되어 무료로 사용할 수 있다.

Macie 활성화 시작 화면

최초 활성화를 하면 목적에 맞게 현재의 권한으로 접근할 수 있는 S3 버킷의 상태를 살펴볼 수 있다.

Macie의 대시보드

제일 먼저 설정해야 할 부분은 검색 결과이다. 민감한 데이터를 검색하고 찾아낸 결과를 새로운 S3 버킷에 저장한다. 본 포스트에서는 테스트를 위해서 오레온 데이터 센터를선택했지만, 보안 분야에서 찾아낼 민감한 데이터란 개인정보가 주류를 이루기에 개인정보보호법상 서울로 데이터센터로 변경해 진행하는 것을 추천한다.

Macie 전용 S3 버킷 설정 시작 화면

말 그대로 민감한 데이터이기에 필수로 암호화 기능을 이용해야 한다. 새로운 S3에서 직접 만들때 기본 암호화에서 AWS-KMS 기능을 활성화하고 키와 연동하여 생성하고, Macie에서 해당 버킷과 암호키를 선택하여 구성할 수 있다. 아니면 간단하게 Macie를 생성할 때 새로운 S3 버킷과 암호키 지정하여 새로운 S3 버킷을 생성할 수 있다. 이 포스트에서는 새로운 버킷과 새로운 암호화키를 생성하는 방식으로 진행한다. 다음과 같이 버킷 생성을 선택하고 버킷 이름을 지정한다.

버킷 생성으로 설정 시 화면

자동으로 KMS 암호화가 활성화 되는데, 우측 상단의 새 KMS 키 생성을 선택하여 새로운 암호키를 생성한다. 키는 대칭키로,

Macie가 사용할 키 유형 설정

키 이름을 지정하고

Macie가 사용할 키 별칭 설정

IAM 롤 설정이 없고 1인 사용자이기에 키 관리자는 선택하지 않고 굳이 개인 사용자가 마스터 키를 가질 필요도 없으니 CMK(Customer Master Key)는 선택 없이 넘긴다. (참고로 키 관리를 AWS에 맡기면 비용이 발생한다.)

Macie가 사용할 S3 버킷의 키 관리 정의
Macie가 사용할 S3 버킷의 키 사용 권한 정의

마지막으로 키 정책 검토인데, 생성한 키를 Macie가 사용할 수 있도록 정책을 편집한다. 삽입할 정책은 다음과 같으며, Json 구조에 맞게 잘 삽입한다.

{ 
    "Sid": "Allow Macie to use the key", 
    "Effect": "Allow", 
    "Principal": { "Service": "macie.amazonaws.com" }, 
    "Action": [ "kms:GenerateDataKey", "kms:Encrypt" ], 
    "Resource": "*" 
}

Storing and retaining sensitive data discovery results with Amazon Macie에서 Macie의 정책을 키에 삽입하는 방법을 참고할 수 있다. 키를 생성했다면 다시 Macie로 돌아와서 KMS 키 별칭 끝의 Refresh 아이콘을 클릭하고 새로 생성한 키를 선택한다.

Macie 저장소 설정 완료 단계

설정이 잘 되었다면 저장을 눌렀을 때 다음과 같은 화면이 보여진다.

Amazon Macie 결과 저장소 생성 완료

삽질

Macie를 이용해 S3 버킷을 즉흥적으로 생성할 때 Macie가 암호키를 사용할 수 있도록 권한을 부여하지 않은채 생성 버튼을 누른다면, S3 버킷은 생성되고 암호키는 사용하지 못한채 "권한이 없다"는 에러메시지가 출력된다.

'Information Technology > Cloud' 카테고리의 다른 글

Amazon Macie (2/2) - 활용편  (0) 2020.09.13
Amazon Macie (1/2) - 구축편  (0) 2020.09.13

+ Recent posts