使用托管式 Amazon 安全服务监控数据安全
多项托管式 Amazon 安全服务可以帮助您识别、评测和监控 Amazon S3 数据的安全和合规风险。这些服务还可以帮助您保护数据免受这些风险的影响。这些服务包括自动检测、监控和保护功能,旨在从单个 Amazon Web Services 账户的 Amazon S3 资源扩展到跨数千个 Amazon Web Services 账户的多个组织的资源。
Amazon 检测和响应服务可以帮助您识别潜在的安全配置错误、威胁或意外行为,以便您可以快速响应环境中潜在未经授权或恶意的活动。Amazon 数据保护服务可以帮助您监控和保护您的数据、账户和工作负载,使其免受未经授权的访问。这些服务还有助于您发现 Amazon S3 数据资产中的敏感数据 [如个人身份信息(PII)]。
为帮助您识别和评估数据安全与合规性风险,托管式 Amazon 安全服务会生成调查发现,以告知您与 Amazon S3 数据有关的潜在安全事件或问题。调查发现提供相关详细信息,您可以使用这些信息,根据事件/响应工作流和策略对这些风险进行调查、评测并采取措施。您可以使用每项服务直接访问调查发现数据。还可以将数据发送到其他应用程序、服务和系统,例如安全事故和事件管理系统(SIEM)。
要监控 Amazon S3 数据的安全性,请考虑使用以下这些托管式 Amazon 安全服务。
- Amazon GuardDuty
-
Amazon GuardDuty 是一项威胁检测服务,可持续监控您的 Amazon Web Services 账户和工作负载中是否存在恶意活动,并提供详细的安全调查发现以供查看和补救。
使用 GuardDuty 中的 S3 保护特征,您可以配置 GuardDuty 来分析 Amazon S3 资源的 Amazon CloudTrail 管理和数据事件。然后,GuardDuty 会监控这些事件中是否存在恶意和可疑活动。为了为分析提供信息并识别潜在的安全风险,GuardDuty 使用威胁情报源和机器学习。
GuardDuty 可以监控 Amazon S3 资源的不同类型的活动。例如,Amazon S3 的 CloudTrail 管理事件包括存储桶级别的操作,例如
ListBuckets
、DeleteBucket
和PutBucketReplication
。Amazon S3 的 CloudTrail 数据事件包括对象级操作,例如GetObject
、ListObjects
和PutObject
。如果 GuardDuty 检测到异常或潜在恶意的活动,它会生成调查发现来通知您。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 Amazon GuardDuty 中的 Amazon S3 保护。
- Amazon Detective
-
Amazon Detective 简化了调查流程,并帮助您进行更快、更有效的安全调查。Detective 提供预构建的数据聚合、摘要和上下文,可以帮助您分析和评测可能的安全问题的性质和程度。
Detective 会自动提取基于时间的事件,例如来自 Amazon CloudTrail 的 API 调用和您的 Amazon 资源的 Amazon VPC 流日志。它还采集 Amazon GuardDuty 生成的调查发现。然后,Detective 使用机器学习、统计分析和图形理论生成可视化效果,以帮助您更快地进行有效的安全调查。
这些可视化效果提供了统一的交互式视图,可供您了解资源行为及此类行为随时间推移的相互作用。您可以浏览此行为图以检查潜在的恶意操作,例如登录尝试失败或可疑的 API 调用。您还可以查看这些操作如何影响资源(如 S3 存储桶和对象)。
有关更多信息,请参阅《Amazon Detective 管理指南》。
- IAM Access Analyzer
-
Amazon Identity and Access Management Access Analyzer(IAM Access Analyzer)可帮助您识别与外部实体共享的资源。还可以使用 IAM Access Analyzer 根据策略语法和最佳实践验证 IAM 策略,并根据 Amazon CloudTrail 日志中的访问活动生成 IAM 策略。
IAM Access Analyzer 使用基于逻辑的推理来分析 Amazon 环境中的资源策略,例如存储桶策略。借助适用于 S3 的 IAM Access Analyzer,当 S3 存储桶配置为允许互联网上的任何人或其他 Amazon Web Services 账户(包括组织外部的账户)访问时,将向您发出提醒。例如,适用于 S3 的 IAM Access Analyzer 可能会报告存储桶具有通过存储桶访问控制列表(ACL)、存储桶策略、多区域接入点策略或接入点策略提供的读取或写入访问权限。您会收到每个公共存储桶或共享存储桶的调查发现,其中指出了公共或共享访问的来源和级别。有了这些调查发现,您就可以立即采取精确的纠正措施,将存储桶访问权限恢复为您期望的设置。
有关更多信息,请参阅 使用适用于 S3 的 IAM Access Analyzer 查看存储桶访问权限。
- Amazon Macie
-
Amazon Macie 是一项数据安全服务,该服务使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并实现针对这些风险的自动防护。
借助 Macie,您可以自动发现和报告 S3 存储桶中的敏感数据,以更好地了解组织在 Amazon S3 中存储的数据。要检测敏感数据,您可以使用 Macie 提供的内置标准和技术、您定义的自定义标准或两者的组合。如果 Macie 在 S3 对象中检测到敏感数据,Macie 会生成调查发现来通知您。此调查发现提供有关受影响的存储桶和对象、Macie 发现的敏感数据的类型和出现次数的信息,以及其他有助于调查的详细信息。
Macie 还提供统计数据和其他数据,让您深入了解 Amazon S3 数据的安全状况,并且自动评估和监控您的 S3 存储桶以实现安全性和访问控制。如果 Macie 检测到潜在的数据安全性或隐私问题(例如存储桶变为可供公共访问),Macie 会生成调查发现,供您查看并在必要时进行补救。
有关更多信息,请参阅《Amazon Macie 用户指南》。
- Amazon Security Hub
-
Amazon Security Hub 是一项安全态势管理服务,该服务可执行安全最佳实践检查,将来自多个来源的警报和调查发现聚合为单一格式,并支持自动补救。
Security Hub 从集成的 Amazon Partner Network 安全解决方案和 Amazon Web Services(包括 Amazon Detective、Amazon GuardDuty、IAM Access Analyzer 和 Amazon Macie)收集并提供安全调查发现数据。Security Hub 还可以根据 Amazon 最佳实践和支持的行业标准运行持续的自动化安全检查,从而生成自己的调查发现。
然后,Security Hub 关联并整合各提供方的调查发现,以帮助确定调查发现的优先级并处理最重要的调查发现。它还为自定义操作提供支持,您可以使用自定义操作来为特定类别的调查发现调用响应或补救操作。
使用 Security Hub,您可以评测 Amazon S3 资源的安全性和合规性状态,也可以将其作为对组织在单个 Amazon Web Services 区域和跨多个区域的安全状况进行更广泛分析的一部分。这包括分析安全趋势和确定优先级最高的安全问题。您还可以聚合来自多个 Amazon Web Services 区域的调查发现,并监控和处理来自单个区域的聚合调查发现数据。
有关更多信息,请参阅《Amazon Security Hub 用户指南》中的 Amazon Simple Storage Service 控制。