Corregir un bucket de S3 potencialmente comprometido - Amazon GuardDuty
Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3

Corregir un bucket de S3 potencialmente comprometido

Cuando GuardDuty genera Tipos de resultados de S3 Protection de GuardDuty, indica que los buckets de Amazon S3 han sido comprometidos. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de crear Reglas de supresión. Si este comportamiento no era el previsto, siga estos pasos recomendados para remediar un bucket de Amazon S3 potencialmente comprometido en el entorno de AWS:

  1. Identifique el recurso de S3 potencialmente comprometido.

    Un resultado de GuardDuty para S3 enumerará el bucket de S3 asociado, su nombre de recurso de Amazon (ARN) y su propietario en los detalles del resultado.

  2. Identifique el origen de la actividad sospechosa y la llamada a la API que se utilizó.

    La llamada a la API utilizada se mostrará como API en los detalles de resultado. El origen será una entidad principal de IAM (ya sea un rol de IAM, un usuario o una cuenta) y los detalles de identificación figurarán en el resultado. Según el tipo de origen, estará disponible la dirección IP remota o la información del dominio de origen, lo que puede ayudarle a evaluar si el origen fue autorizado. Si el resultado implica credenciales de una instancia de Amazon EC2, también se incluirán los detalles de ese recurso.

  3. Determine si el origen de la llamada tenía autorización para acceder al recurso identificado.

    Por ejemplo, considere lo siguiente:

    • Si un usuario de IAM estuvo involucrado, ¿es posible que sus credenciales hayan sido potencialmente comprometidas? Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

    • Si se ha invocado una API desde una entidad principal que no tiene antecedentes de haber invocado este tipo de API, ¿este origen necesita permisos de acceso para esta operación? ¿Se pueden restringir aún más los permisos del bucket?

    • Si el acceso se vio desde nombre de usuario ANONYMOUS_PRINCIPAL con el tipo de usuario de la AWSAccount, esto indica que el bucket es público y se ha accedido a él. ¿Este bucket debería ser público? Si no es así, consulte las siguientes recomendaciones de seguridad para encontrar soluciones alternativas al uso compartido de los recursos de S3.

    • Si el acceso se hizo mediante una llamada a PreflightRequest correcta desde el nombre de usuario ANONYMOUS_PRINCIPAL y el tipo de usuario de la AWSAccount, esto indica que el bucket tiene una política de intercambio de recursos entre orígenes (CORS) establecida. ¿Este bucket debería tener una política CORS? Si no es así, asegúrese de que el bucket no sea inadvertidamente público y revise las recomendaciones de seguridad que aparecen a continuación en busca de soluciones alternativas al uso compartido de los recursos de S3. Para más información sobre CORS, consulte Uso compartido de recursos entre orígenes (CORS) en la Guía del usuario de S3.

  4. Determine si el bucket de S3 contiene datos confidenciales.

    Utilice Amazon Macie para determinar si el bucket de S3 contiene información confidencial, como información de identificación personal (PII), datos financieros o credenciales. Si la detección automática de datos confidenciales está habilitada para su cuenta de Macie, revise los detalles del bucket de S3 para comprender mejor su contenido. Si esta característica está deshabilitada en su cuenta de Macie, se recomienda que la active para agilizar la evaluación. Como alternativa, puede crear y ejecutar un trabajo de detección de datos confidenciales para inspeccionar los objetos del bucket de S3 en busca de datos confidenciales. Para más información, consulte Discovering sensitive data with Macie.

Si se autorizó el acceso, puede ignorar el resultado. La consola https://console.aws.amazon.com/guardduty/ le permite configurar reglas para suprimir por completo los resultados individuales y evitar que vuelvan a aparecer. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Si determina que los datos de S3 han sido expuestos o que un tercero no autorizado ha accedido a estos, revise las siguientes recomendaciones de seguridad de S3 para reforzar los permisos y restringir el acceso. Las soluciones de corrección adecuadas dependerán de las necesidades de su entorno específico.

Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3

La siguiente lista ofrece recomendaciones basadas en las necesidades específicas de acceso a los buckets de Amazon S:

  • Para disponer de una forma centralizada de limitar el acceso público a los datos de S3, utilice el bloqueo de acceso público de S3. La configuración de bloqueo de acceso público se puede habilitar para los puntos de acceso, los buckets y las cuentas de AWS mediante cuatro configuraciones diferentes para controlar la granularidad del acceso. Para obtener más información, consulte Configuración de Block Public Access en la Guía del usuario de Amazon S3.

  • Las políticas de acceso de AWS se pueden utilizar para controlar cómo los usuarios de IAM pueden acceder a sus recursos o a sus buckets. Para obtener más información, consulte Uso de políticas de bucket y de suario en la Guía del usuario de Amazon S3.

    Además, puede utilizar puntos de conexión de la nube privada virtual (VPC) con políticas de bucket de S3 para restringir el acceso a puntos de conexión de VPC específicos. Para obtener más información, consulte Control del acceso desde puntos de enlace de la VPC con políticas de bucket en la Guía del usuario de Amazon S3.

  • Para permitir temporalmente el acceso a sus objetos de S3 a entidades de confianza ajenas a su cuenta, puede crear una URL prefirmada a través de S3. Este acceso se crea con las credenciales de su cuenta y, según las credenciales utilizadas, puede durar de 6 horas a 7 días. Para obtener más información, consulte Uso de URL prefirmadas para descarga y carga de objetos en la Guía para usuarios de Amazon S3.

  • Para los casos de uso que requieren el uso compartido de objetos de S3 entre distintos orígenes, puede utilizar los puntos de acceso de S3 para crear conjuntos de permisos que restrinjan el acceso únicamente a los que están dentro de su red privada. Para obtener más información, consulte Administración del acceso a conjuntos de datos con puntos de acceso en la Guía del usuario de Amazon S3.

  • Para conceder acceso seguro a sus recursos de S3 a otras cuentas de AWS, puede utilizar una lista de control de acceso (ACL). Para obtener más información, consulte Descripción general de la lista de control de acceso (ACL) en la Guía del usuario de Amazon S3.

Para obtener más información sobre las opciones de seguridad de S3, consulte Prácticas recomendadas de seguridad para Amazon S3, en la Guía del usuario de Amazon S3.