Identifizieren Sie öffentliche Amazon S3 S3-Buckets mithilfe AWS Organizations von Security Hub CSPM - AWS Prescriptive Guidance
ZusammenfassungVoraussetzungen und EinschränkungenArchitekturToolsEpenFehlerbehebungZugehörige RessourcenZusätzliche Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identifizieren Sie öffentliche Amazon S3 S3-Buckets mithilfe AWS Organizations von Security Hub CSPM

Mourad Cherfaoui, Arun Chandapillai und Parag Nagwekar, Amazon Web Services

Zusammenfassung

Dieses Muster zeigt Ihnen, wie Sie einen Mechanismus zur Identifizierung öffentlicher Amazon Simple Storage Service (Amazon S3) -Buckets in Ihren AWS Organizations Konten erstellen. Der Mechanismus verwendet Kontrollen aus dem Standard AWS Foundational Security Best Practices (FSBP) AWS Security Hub CSPM zur Überwachung von Amazon S3 S3-Buckets. Sie können Amazon verwenden EventBridge , um Security Hub CSPM-Ergebnisse zu verarbeiten und diese Ergebnisse dann in einem Amazon Simple Notification Service (Amazon SNS) -Thema zu veröffentlichen. Stakeholder in Ihrer Organisation können das Thema abonnieren und sofort per E-Mail über die Ergebnisse informiert werden.

Neue Amazon S3 S3-Buckets und ihre Objekte erlauben standardmäßig keinen öffentlichen Zugriff. Sie können dieses Muster in Szenarien verwenden, in denen Sie die Amazon S3 S3-Standardkonfigurationen an die Anforderungen Ihrer Organisation anpassen müssen. Dies könnte beispielsweise ein Szenario sein, in dem Sie einen Amazon S3 S3-Bucket haben, der eine öffentlich zugängliche Website hostet, oder Dateien, die jeder im Internet aus Ihrem Amazon S3 S3-Bucket lesen können muss.

Security Hub CSPM wird häufig als zentraler Dienst eingesetzt, um alle Sicherheitsfeststellungen zu konsolidieren, einschließlich solcher, die sich auf Sicherheitsstandards und Compliance-Anforderungen beziehen. Es gibt andere AWS-Services , die Sie verwenden können, um öffentliche Amazon S3 S3-Buckets zu erkennen, aber dieses Muster verwendet eine bestehende Security Hub CSPM-Bereitstellung mit minimaler Konfiguration.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Eine Einrichtung mit AWS mehreren Konten und einem dedizierten Security Hub CSPM-Administratorkonto

  • Security Hub CSPM und AWS Config, aktiviert in dem AWS-Region , den Sie überwachen möchten

    Anmerkung

    Sie müssen die regionsübergreifende Aggregation in Security Hub CSPM aktivieren, wenn Sie mehrere Regionen von einer einzigen Aggregationsregion aus überwachen möchten.

  • Benutzerberechtigungen für den Zugriff und die Aktualisierung des Security Hub CSPM-Administratorkontos, Lesezugriff auf alle Amazon S3 S3-Buckets in der Organisation und Berechtigungen zum Deaktivieren des öffentlichen Zugriffs (falls erforderlich)

Architektur

Das folgende Diagramm zeigt eine Architektur für die Verwendung von Security Hub CSPM zur Identifizierung öffentlicher Amazon S3 S3-Buckets.

Diagramm, das den Workflow für die kontenübergreifende Replikation zeigt

Das Diagramm zeigt den folgenden Arbeitsablauf:

  1. Security Hub CSPM überwacht die Konfiguration von Amazon S3 S3-Buckets in allen AWS Organizations Konten (einschließlich des Administratorkontos) mithilfe der S3.2- und S3.3-Steuerelemente des FSBP-Sicherheitsstandards und erkennt, ob ein Bucket als öffentlich konfiguriert ist.

  2. Das Security Hub CSPM-Administratorkonto greift von allen Mitgliedskonten aus auf die Ergebnisse (einschließlich der Ergebnisse für S3.2 und S3.3) zu.

  3. Security Hub CSPM sendet automatisch alle neuen Ergebnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als Security Hub CSPM Findings — Importierte Ereignisse. Dazu gehören Ereignisse für Ergebnisse sowohl aus dem Administrator- als auch aus dem Mitgliedskonto.

  4. Eine EventBridge Regel filtert nach Ergebnissen aus S3.2 und S3.3, die den Workflow-Status „Von“FAILED, den Workflow-Status „vonNEW“ und „Von“ haben. ComplianceStatus RecordState ACTIVE

  5. Regeln verwenden die Ereignismuster, um Ereignisse zu identifizieren und sie nach dem Abgleich an ein Amazon SNS SNS-Thema zu senden.

  6. Ein Amazon SNS SNS-Thema sendet die Ereignisse an seine Abonnenten (z. B. per E-Mail).

  7. Sicherheitsanalysten, die für den Empfang der E-Mail-Benachrichtigungen bestimmt sind, überprüfen den betreffenden Amazon S3 S3-Bucket.

  8. Wenn der Bucket für den öffentlichen Zugriff zugelassen ist, setzt der Sicherheitsanalyst den Workflow-Status des entsprechenden Ergebnisses in Security Hub CSPM auf. SUPPRESSED Andernfalls setzt der Analyst den Status auf. NOTIFIED Dadurch werden future Benachrichtigungen für den Amazon S3 S3-Bucket vermieden und das Benachrichtigungsrauschen reduziert.

  9. Wenn der Workflow-Status auf festgelegt istNOTIFIED, überprüft der Sicherheitsanalyst das Ergebnis zusammen mit dem Bucket-Besitzer, um festzustellen, ob der öffentliche Zugriff gerechtfertigt ist und den Datenschutz- und Datenschutzanforderungen entspricht. Die Untersuchung führt dazu, dass entweder der öffentliche Zugriff auf den Bucket aufgehoben oder der öffentliche Zugriff genehmigt wird. Im letzteren Fall setzt der Sicherheitsanalyst den Workflow-Status aufSUPPRESSED.

Anmerkung

Das Architekturdiagramm gilt sowohl für regionsübergreifende Aggregationsbereitstellungen als auch für regionsübergreifende Aggregationsbereitstellungen. In den Konten A, B und C im Diagramm kann Security Hub CSPM zu derselben Region gehören wie das Administratorkonto oder zu verschiedenen Regionen gehören, wenn die regionsübergreifende Aggregation aktiviert ist.

Tools

  • Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, SaaS-Anwendungen (Software as a Service) und AWS-Services. EventBridge leitet diese Daten an Ziele wie Amazon SNS SNS-Themen und AWS Lambda -Funktionen weiter, wenn die Daten benutzerdefinierten Regeln entsprechen.

  • Amazon Simple Notification Service (Amazon SNS) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.

  • Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

  • AWS Security Hub CSPMbietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Security Hub CSPM hilft Ihnen auch dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub CSPM sammelt Sicherheitsdaten von Across AWS-Konten, Services und unterstützten Produkten von Drittanbietern und hilft dann bei der Analyse von Sicherheitstrends und der Identifizierung der Sicherheitsprobleme mit der höchsten Priorität.

Epen

AufgabeDescriptionErforderliche Fähigkeiten

Aktivieren Sie Security Hub CSPM in AWS Organizations Konten.

Informationen zur Aktivierung von Security Hub CSPM in den Organisationskonten, in denen Sie Amazon S3 S3-Buckets überwachen möchten, finden Sie in den Richtlinien unter Benennen eines Security Hub-CSPM-Administratorkontos (Konsole) und Verwaltung von Mitgliedskonten, die zu einer Organisation gehören, in der Security Hub CSPM-Dokumentation.

AWS-Administrator

(Optional) Aktivieren Sie die regionsübergreifende Aggregation.

Wenn Sie Amazon S3 S3-Buckets in mehreren Regionen von einer einzigen Region aus überwachen möchten, richten Sie die regionsübergreifende Aggregation ein.

AWS-Administrator

Aktivieren Sie die S3.2- und S3.3-Steuerelemente für den FSBP-Sicherheitsstandard.

Sie müssen die S3.2- und S3.3-Steuerelemente für den FSBP-Sicherheitsstandard aktivieren.

  1. Um S3.2-Steuerelemente zu aktivieren, folgen Sie den Anweisungen unter [S3.2] S3-Buckets sollten öffentlichen Lesezugriff verbieten in der Security Hub CSPM-Dokumentation.

  2. Um S3.3-Steuerelemente zu aktivieren, folgen Sie den Anweisungen in [3] S3-Buckets sollten öffentlichen Schreibzugriff verbieten in der Security Hub CSPM-Dokumentation.

AWS-Administrator
AufgabeDescriptionErforderliche Fähigkeiten

Konfigurieren Sie das Amazon SNS SNS-Thema und das E-Mail-Abonnement.

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon SNS SNS-Konsole.

  2. Wählen Sie im Navigationsbereich Topics (Themen) und Create topic (Thema erstellen).

  3. Wählen Sie unter Type (Typ) die Option Standard aus.

  4. Geben Sie unter Name einen Namen für Ihr Thema ein (z. B. public-s3-buckets).

  5. Wählen Sie Thema erstellen aus.

  6. Wählen Sie auf der Registerkarte Abonnements für Ihr Thema die Option Abonnement erstellen aus.

  7. Wählen Sie unter Protocol die Option Email aus.

  8. Geben Sie für Endpoint die E-Mail-Adresse ein, an die die Benachrichtigungen gesendet werden sollen. Sie können die E-Mail-Adresse eines AWS Administrators, IT-Experten oder Infosec-Experten verwenden.

  9. Wählen Sie Create subscription (Abonnement erstellen) aus. Um zusätzliche E-Mail-Abonnements zu erstellen, wiederholen Sie bei Bedarf die Schritte 6—8.

AWS-Administrator

Konfigurieren Sie die EventBridge Regel.

  1. Öffnen Sie die EventBridge -Konsole.

  2. Wählen Sie im Abschnitt Erste Schritte die Option EventBridge Regel und dann Regel erstellen aus.

  3. Geben Sie auf der Detailseite Regel definieren unter Name einen Namen für Ihre Regel ein (z. B. public-s3-buckets). Wählen Sie Weiter aus.

  4. Wählen Sie im Abschnitt Ereignismuster die Option Muster bearbeiten aus.

  5. Kopieren Sie den folgenden Code, fügen Sie ihn in den Event-Pattern-Code-Editor ein und wählen Sie dann Weiter.

    {
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "ControlId": ["S3.2", "S3.3"]
      }
    }
  }
}

  6. Wählen Sie auf der Seite Ziel (e) auswählen unter Ziel auswählen die Option SNS-Thema als Ziel aus und wählen Sie dann das Thema aus, das Sie zuvor erstellt haben.

  7. Wählen Sie Weiter, erneut Weiter und anschließend Regel erstellen aus.

AWS-Administrator

Fehlerbehebung

ProblemLösung

Ich habe einen Amazon S3 S3-Bucket mit aktiviertem öffentlichen Zugriff, erhalte dafür aber keine E-Mail-Benachrichtigungen.

Dies könnte daran liegen, dass der Bucket in einer anderen Region erstellt wurde und die regionsübergreifende Aggregation im Security Hub CSPM-Administratorkonto nicht aktiviert ist. Um dieses Problem zu beheben, aktivieren Sie die regionsübergreifende Aggregation oder implementieren Sie die Lösung dieses Musters in der Region, in der sich Ihr Amazon S3 S3-Bucket derzeit befindet.

Zugehörige Ressourcen

Zusätzliche Informationen

Workflow für die Überwachung öffentlicher Amazon S3 S3-Buckets

Der folgende Workflow veranschaulicht, wie Sie die öffentlichen Amazon S3 S3-Buckets in Ihrer Organisation überwachen können. Der Workflow geht davon aus, dass Sie die Schritte im Thema Amazon SNS konfigurieren und in der E-Mail-Abonnementstory zu diesem Muster ausgeführt haben.

  1. Sie erhalten eine E-Mail-Benachrichtigung, wenn ein Amazon S3 S3-Bucket mit öffentlichem Zugriff konfiguriert ist.

    • Wenn der Bucket für den öffentlichen Zugriff zugelassen ist, setzen Sie den Workflow-Status des entsprechenden Ergebnisses SUPPRESSED im Security Hub CSPM-Administratorkonto auf. Dadurch wird verhindert, dass Security Hub CSPM weitere Benachrichtigungen für diesen Bucket ausgibt, und doppelte Warnmeldungen können vermieden werden.

    • Wenn der Bucket nicht für den öffentlichen Zugriff zugelassen ist, setzen Sie den Workflow-Status des entsprechenden Ergebnisses im Security Hub CSPM-Administratorkonto auf. NOTIFIED Dadurch wird verhindert, dass Security Hub CSPM weitere Benachrichtigungen für diesen Bucket von Security Hub CSPM ausgibt, und Rauschen kann vermieden werden.

  2. Wenn der Bucket möglicherweise vertrauliche Daten enthält, schalten Sie den öffentlichen Zugriff sofort aus, bis die Überprüfung abgeschlossen ist. Wenn Sie den öffentlichen Zugriff deaktivieren, ändert Security Hub CSPM den Workflow-Status auf. RESOLVED Dann werden die E-Mail-Benachrichtigungen für den Bucket beendet.

  3. Suchen Sie den Benutzer, der den Bucket als öffentlich konfiguriert hat (z. B. mithilfe von AWS CloudTrail), und starten Sie eine Überprüfung. Die Überprüfung führt dazu, dass entweder der öffentliche Zugriff auf den Bucket aufgehoben oder der öffentliche Zugriff genehmigt wird. Wenn der öffentliche Zugriff genehmigt wurde, setzen Sie den Workflow-Status des entsprechenden Ergebnisses aufSUPPRESSED.