Amazon Macie
Descubre y protege datos sensibles almacenados en Amazon S3.
1¿Qué es Amazon Macie?
Amazon Macie es un servicio de seguridad de datos que usa machine learning y pattern matching para descubrir, clasificar y proteger datos sensibles en Amazon S3.
El problema que resuelve:
❓ ¿Tenemos datos personales (PII) en nuestros buckets?
❓ ¿Hay números de tarjetas de crédito almacenados?
❓ ¿Qué buckets contienen datos sensibles?
❓ ¿Están protegidos adecuadamente?
Macie responde estas preguntas automáticamente escaneando tus buckets S3.
2Qué Detecta Macie
Tipos de Datos Sensibles:
Información Personal Identificable (PII):
- Nombres
- Direcciones
- Números de teléfono
- Emails
- Números de pasaporte
- Números de identificación nacional
Información Financiera:
- Números de tarjetas de crédito
- Números de cuentas bancarias
- Datos de tarjetas de débito
Credenciales:
- AWS Access Keys
- SSH Private Keys
- API Keys
- Contraseñas en texto plano
Información de Salud:
- Registros médicos
- Datos de seguros de salud
Identificadores Personalizados:
Puedes crear patrones personalizados para detectar datos específicos de tu negocio:
- IDs de empleados
- Números de cliente
- Códigos internos
3Cómo Funciona
Habilitación:
- Habilitar Macie (un clic)
- Macie descubre automáticamente todos tus buckets S3
- Crea "jobs" de descubrimiento para escanear
Jobs de Descubrimiento:
Tipos de jobs:
| Tipo | Descripción |
|---|---|
| One-time | Escaneo único |
| Scheduled | Escaneo recurrente (diario, semanal, mensual) |
Configuración:
- Qué buckets escanear
- Qué tipos de archivos incluir/excluir
- Muestreo (% de objetos a escanear)
Proceso de Análisis:
1. Macie accede al bucket S3
2. Lee los objetos (descomprime si es necesario)
3. Aplica ML y pattern matching
4. Clasifica los datos encontrados
5. Genera findings con ubicación exacta
Formatos Soportados:
- Texto plano (CSV, JSON, TXT)
- Documentos (PDF, DOCX, XLSX)
- Comprimidos (ZIP, GZIP, TAR)
- Logs de AWS
- Y muchos más...
4Dashboard y Findings
Dashboard de Macie:
Resumen de buckets:
- Total de buckets
- Buckets públicos
- Buckets compartidos con otras cuentas
- Buckets sin cifrado
- Buckets con datos sensibles
Estadísticas de datos sensibles:
- Objetos con PII
- Objetos con información financiera
- Objetos con credenciales
Findings (Hallazgos):
Tipos de findings:
| Categoría | Ejemplos |
|---|---|
| Sensitive Data | "El bucket X contiene 500 objetos con números de tarjeta de crédito" |
| Policy | "El bucket Y es público" |
Información en cada finding:
- Severidad
- Bucket afectado
- Objetos afectados
- Tipo de dato sensible
- Cantidad de ocurrencias
- Ubicación exacta (línea, columna)
Ejemplo de Finding:
Finding: SensitiveData:S3Object/Personal
Bucket: company-backups
Objeto: exports/users.csv
Datos: 1,245 emails, 890 números de teléfono
Severidad: High
Acción: Revisar y cifrar/eliminar
5Seguridad de Buckets
Macie también evalúa la seguridad de buckets:
Políticas detectadas:
| Problema | Descripción |
|---|---|
| Público | Bucket accesible desde Internet |
| Compartido | Bucket accesible por otras cuentas |
| No cifrado | Objetos sin cifrado server-side |
| Sin versionado | Versionado no habilitado |
| Sin logging | Access logging no habilitado |
Correlación automática:
Macie correlaciona:
- Buckets con datos sensibles + públicos = 🚨 ALERTA CRÍTICA
- Buckets con credenciales + no cifrados = 🚨 ALERTA ALTA
Block Public Access:
Macie muestra el estado de S3 Block Public Access a nivel de cuenta y bucket.
6Integración y Automatización
EventBridge para automatización:
[Macie Finding] → [EventBridge] → [Lambda] → [Acción]
Ejemplos de automatización:
- Notificar a Slack cuando se detecte PII
- Crear ticket cuando bucket sea público
- Aplicar cifrado automáticamente
- Mover objetos sensibles a bucket seguro
Security Hub:
Findings de Macie se envían a Security Hub:
- Vista consolidada de seguridad
- Correlación con otros findings
- Compliance dashboards
Multi-cuenta con Organizations:
Administrador delegado:
- Una cuenta gestiona Macie para toda la organización
- Vista centralizada de todos los buckets
- Políticas uniformes
S3 para resultados:
Configura un bucket para almacenar:
- Resultados detallados de descubrimiento
- Análisis históricos
- Reportes de compliance
7Macie en el Examen CLF-C02
Puntos clave:
- Descubre datos sensibles en S3: PII, financieros, credenciales
- Usa ML y pattern matching: Detección inteligente
- Evalúa seguridad de buckets: Público, compartido, cifrado
- Findings detallados: Ubicación exacta de datos sensibles
- Integración: EventBridge, Security Hub
Diferencias con otros servicios:
| Servicio | Propósito |
|---|---|
| Macie | Descubre datos sensibles en S3 |
| Inspector | Escanea vulnerabilidades en EC2/Lambda |
| GuardDuty | Detecta amenazas activas |
Preguntas típicas:
"¿Qué servicio descubre si hay números de tarjetas de crédito en buckets S3?" → Amazon Macie
"¿Cómo identificar datos personales (PII) almacenados en S3?" → Amazon Macie
"¿Qué servicio usa ML para clasificar datos sensibles?" → Amazon Macie
"¿Cómo saber qué buckets S3 contienen información financiera?" → Amazon Macie con jobs de descubrimiento
"¿Qué servicio alerta si un bucket con datos sensibles es público?" → Amazon Macie
Puntos Clave para el Examen
- Macie: Descubre datos sensibles en S3 (PII, financieros, credenciales)
- Usa ML y pattern matching para clasificación
- Jobs de descubrimiento: one-time o scheduled
- Evalúa seguridad: buckets públicos, no cifrados, compartidos
- Findings detallados con ubicación exacta
- Integración con EventBridge y Security Hub
- Multi-cuenta con Organizations