Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Amankan data sensitif di CloudWatch Log dengan menggunakan Amazon Macie *Anisha Salunkhe, Omar Franco, dan David Guardiola, Amazon Web Services* ## Ringkasan Pola ini menunjukkan cara menggunakan Amazon Macie untuk mendeteksi data sensitif secara otomatis dalam grup CloudWatch log Amazon Logs dengan menerapkan alur kerja pemantauan keamanan yang komprehensif. Solusinya menggunakan Amazon Data Firehose untuk mengalirkan entri CloudWatch Log ke Amazon Simple Storage Service (Amazon S3). Macie secara berkala memindai bucket ini untuk informasi identitas pribadi (PII), data keuangan, dan konten sensitif lainnya. Infrastruktur digunakan melalui AWS CloudFormation template yang menyediakan semua yang diperlukan Layanan AWS dan konfigurasi. CloudWatch Log sering berisi data aplikasi yang secara tidak sengaja dapat menyertakan informasi pengguna yang sensitif. Ini dapat menciptakan risiko kepatuhan dan keamanan. Pendekatan pemantauan log tradisional tidak memiliki kemampuan deteksi data sensitif otomatis. Hal ini dapat membuat sulit untuk mengidentifikasi dan menanggapi potensi eksposur data secara real-time. Pola ini membantu tim keamanan dan petugas kepatuhan menjaga kerahasiaan data dengan menyediakan deteksi dan peringatan otomatis untuk data sensitif dalam sistem logging. Solusi ini memungkinkan respons insiden proaktif melalui notifikasi Amazon Simple Notification Service (Amazon SNS), dan secara otomatis mengisolasi data sensitif ke bucket Amazon S3 yang aman. Anda dapat menyesuaikan pola deteksi dan mengintegrasikan alur kerja dengan proses operasi keamanan yang ada. ## Prasyarat dan batasan **Prasyarat** + Aktif Akun AWS + Izin untuk membuat tumpukan CloudFormation + Grup CloudWatch log Log yang ingin Anda pantau + Alamat email aktif untuk menerima pemberitahuan dari Amazon SNS + Akses ke [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) + (Opsional) Akses ke AWS Command Line Interface (AWS CLI), [diinstal](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [dikonfigurasi](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) **Batasan** + Macie tunduk pada kuota layanan. Untuk informasi lebih lanjut, lihat [Kuota untuk Macie di dokumentasi Macie](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html). ## Arsitektur **Arsitektur target** Diagram berikut menunjukkan alur kerja untuk menggunakan Macie untuk memeriksa entri CloudWatch log Log untuk data sensitif.   ![](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/c9979070-09ab-4331-b969-5eff26fb2baa/images/d02f34ce-a7d1-4f96-a430-22975224eb9d.png) Alur kerja menunjukkan langkah-langkah berikut: 1. Grup CloudWatch log log menghasilkan log, yang tunduk pada filter langganan. 1. Filter langganan meneruskan log ke Amazon Data Firehose. 1. Log dienkripsi dengan kunci AWS Key Management Service (AWS KMS) saat melewati aliran pengiriman Amazon Data Firehose. 1. Aliran pengiriman mengirimkan log ke bucket log yang diekspor di Amazon S3. 1. Pada pukul 4 pagi setiap hari, Amazon EventBridge memulai AWS Lambda fungsi yang memulai pemindaian Macie untuk data sensitif di bucket log yang diekspor. 1. Jika Macie mengidentifikasi data sensitif di bucket, fungsi Lambda akan menghapus log dari bucket log yang diekspor dan mengenkripsinya dengan file. AWS KMS key 1. Fungsi Lambda mengisolasi log yang berisi data sensitif dalam bucket isolasi data. 1. Identifikasi data sensitif memulai topik Amazon SNS. 1. Amazon SNS mengirimkan pemberitahuan email ke alamat email yang Anda konfigurasikan dengan informasi tentang log yang berisi data sensitif. **Sumber daya yang digunakan** CloudFormation Template menyebarkan sumber daya berikut di target Anda Akun AWS dan AWS Region: + [Dua ember Amazon S3:](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#BasicsBucket) + Bucket log yang diekspor untuk menyimpan data CloudWatch Log + Bucket isolasi data untuk menyimpan informasi sensitif + EventBridge [Aturan](https://docs.aws.amazon.com/macie/latest/user/findings-monitor-events-eventbridge.html) Amazon yang menanggapi temuan Macie + AWS Lambda [fungsi](https://docs.aws.amazon.com/lambda/latest/dg/concepts-basics.html#gettingstarted-concepts-function) yang memulai peristiwa dan mengekspor log ke bucket Amazon S3 + [Topik](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) [dan langganan Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) + [Aliran Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html#key-concepts) + [Sesi Macie](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-session) + Pengidentifikasi [data kustom](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-cdi) Macie + [Filter langganan CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html) + AWS KMS [kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) untuk mengenkripsi log yang disimpan dalam ember + [Peran dan [kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) yang diperlukan AWS Identity and Access Management (IAM) untuk solusi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ## Alat **Layanan AWS** + [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)membantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan. Region AWS + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, Layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman. + [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) membantu Anda mengirimkan data streaming real-time ke titik akhir HTTP kustom lainnya Layanan AWS, dan titik akhir HTTP yang dimiliki oleh penyedia layanan pihak ketiga yang didukung. + [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, sumber seperti AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS + [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda. + [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan. + [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) membantu Anda menemukan data sensitif, memberikan visibilitas terhadap risiko keamanan data, dan memungkinkan perlindungan otomatis terhadap risiko tersebut. + [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email. + [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data. **Repositori kode** Kode untuk pola ini tersedia di repositori GitHub [sample-macie-for-securing-cloudwatch-logs](https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs). ## Praktik terbaik Ikuti [praktik CloudFormation terbaik](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html) dalam CloudFormation dokumentasi. ## Epik ### Terapkan solusinya | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Kloning repositori kode. | Masukkan perintah berikut untuk mengkloning repositori ke workstation lokal Anda:
git clone https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs
| Pengembang aplikasi | | (Opsional) Edit CloudFormation template. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Pengembang aplikasi | | Opsi 1 — Menyebarkan menggunakan skrip dengan parameter baris perintah. | Masukkan perintah berikut untuk menerapkan solusi dengan menggunakan parameter baris perintah, di mana nilai untuk `enable-macie` `true` hanya jika Amazon Macie belum diaktifkan:
./scripts/test-macie-solution.sh --deploy-stack \
  --stack-name  \
  --email  \
  --enable-macie  \
  --region  \
  --resource-name  \
  --bucket-name
| AWS Umum | | Opsi 2 - Menyebarkan menggunakan skrip dengan variabel lingkungan. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | | Opsi 3 — Menyebarkan menggunakan. AWS CLI | Masukkan perintah berikut untuk menerapkan solusi dengan menggunakan AWS CLI, di mana nilai untuk `true` hanya `EnableMacie` jika Amazon Macie belum diaktifkan:
aws cloudformation create-stack \
  --region us-east-1 \
  --stack-name macie-for-securing-cloudwatch-logs \
  --template-body file://app/main.yml \
  --capabilities CAPABILITY_IAM \
  --parameters \
    ParameterKey=ResourceName,ParameterValue= \
    ParameterKey=BucketName,ParameterValue= \
    ParameterKey=LogGroupName,ParameterValue= \
    ParameterKey=SNSTopicEndpointEmail,ParameterValue= \
    ParameterKey=EnableMacie,ParameterValue=
| | | Opsi 4 — Menyebarkan melalui. Konsol Manajemen AWS | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | | Pantau status penerapan dan konfirmasikan penerapan. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | | Konfirmasikan langganan Amazon SNS. | Ikuti petunjuk di [Konfirmasikan langganan Amazon SNS Anda](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) di dokumentasi Amazon SNS untuk mengonfirmasi langganan Amazon SNS Anda. | Pengembang aplikasi | ### Pengujian solusi | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Opsi 1 - Uji dengan pelaporan otomatis. | Jika Anda menggunakan nama stack default, masukkan perintah berikut untuk menguji solusinya:
./scripts/test-macie-solution.sh \
   --full-test

Jika Anda menggunakan nama tumpukan khusus, masukkan perintah berikut untuk menguji solusinya:
./scripts/test-macie-solution.sh \
   --full-test \
   --stack-name

Jika Anda menggunakan nama tumpukan kustom dan parameter kustom, masukkan perintah berikut untuk menguji solusinya:
./scripts/test-macie-solution.sh --full-test \
  --stack-name  \
  --region  \
  --log-group
| AWS Umum | | Opsi 2 - Uji dengan validasi yang ditargetkan. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | ### Bersihkan | Tugas | Deskripsi | Keterampilan yang dibutuhkan | | --- | --- | --- | | Opsi 1 - Lakukan pembersihan otomatis. | Jika Anda menggunakan nama stack default, masukkan perintah berikut untuk menghapus tumpukan:
./scripts/cleanup-macie-solution.sh \
  --full-cleanup

Jika Anda menggunakan nama tumpukan khusus, masukkan perintah berikut untuk menghapus tumpukan:
./scripts/cleanup-macie-solution.sh \
  --full-cleanup \
  --stack-name

Jika Anda menggunakan nama tumpukan kustom dan parameter kustom, masukkan perintah berikut untuk menghapus tumpukan:
./scripts/cleanup-macie-solution.sh \
  --full-cleanup \
  --stack-name  \
  --region  \
  --disable-macie
| AWS Umum | | Opsi 2 — Lakukan step-by-step pembersihan. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | | Verifikasi membersihkan. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS Umum | ## Pemecahan masalah | Isu | Solusi | | --- | --- | | CloudFormation status tumpukan menunjukkan **CREATE\_FAILED**. | CloudFormation Template dikonfigurasi untuk mempublikasikan log ke CloudWatch Log. Anda dapat melihat log di Konsol Manajemen AWS sehingga Anda tidak perlu terhubung ke EC2 instans Amazon Anda. Untuk informasi selengkapnya, [lihat Melihat CloudFormation log di konsol](https://aws.amazon.com/blogs/devops/view-cloudformation-logs-in-the-console/) (posting AWS blog). | | CloudFormation `delete-stack`perintah gagal. | Beberapa sumber daya harus kosong sebelum dapat dihapus. Misalnya, Anda harus menghapus semua objek di bucket Amazon S3 atau menghapus semua instance di grup EC2 keamanan Amazon sebelum dapat menghapus bucket atau grup keamanan. Untuk informasi selengkapnya, lihat [Hapus tumpukan gagal](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails) dalam dokumentasi Amazon S3. | | Kesalahan saat mengurai parameter. | Saat Anda menggunakan AWS CLI atau CloudFormation konsol untuk memberikan nilai, tambahkan tanda kutip. | ## Sumber daya terkait + [Praktik terbaik arsitektur untuk penyimpanan](https://aws.amazon.com/architecture/storage/?docs3_bp1&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) (AWS situs web) + [Filter sintaks pola untuk filter metrik, filter langganan, peristiwa log filter, dan Live Tail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) (dokumentasi CloudWatch Log) + [Merancang dan menerapkan pencatatan dan pemantauan dengan Amazon CloudWatch (Panduan](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html)AWS Preskriptif) + [Pemecahan masalah CloudFormation(dokumentasi](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html))CloudFormation