Identifique los buckets públicos de Amazon S3 AWS Organizations mediante Security Hub (CSPM) - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaTools (Herramientas)EpicsResolución de problemasRecursos relacionadosInformación adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identifique los buckets públicos de Amazon S3 AWS Organizations mediante Security Hub (CSPM)

Mourad Cherfaoui, Arun Chandapillai y Parag Nagwekar, Amazon Web Services

Resumen

Este patrón le muestra cómo crear un mecanismo para identificar los depósitos públicos de Amazon Simple Storage Service (Amazon S3) en sus cuentas. AWS Organizations El mecanismo funciona mediante el uso de controles del estándar AWS Foundational Security Best Practices (FSBP) AWS Security Hub CSPM para monitorear los buckets de Amazon S3. Puedes usar Amazon EventBridge para procesar las conclusiones del CSPM de Security Hub y, después, publicarlas en un tema del Servicio de Notificación Simple de Amazon (Amazon SNS). Las partes interesadas de su organización pueden suscribirse al tema y recibir notificaciones inmediatas por correo electrónico sobre los hallazgos.

Los nuevos buckets de Amazon S3 y sus objetos no permiten el acceso público de forma predeterminada. Puede utilizar este patrón en situaciones en las que deba modificar las configuraciones predeterminadas de Amazon S3 en función de los requisitos de su organización. Por ejemplo, este podría ser un escenario en el que tenga un bucket de Amazon S3 que aloje un sitio web de acceso público o archivos que todos los usuarios de Internet puedan leer desde su bucket de Amazon S3.

El Security Hub CSPM se suele implementar como un servicio central para consolidar todos los hallazgos de seguridad, incluidos los relacionados con los estándares de seguridad y los requisitos de cumplimiento. Hay otros Servicios de AWS que puede utilizar para detectar buckets públicos de Amazon S3, pero este patrón utiliza una implementación CSPM de Security Hub existente con una configuración mínima.

Requisitos previos y limitaciones

Requisitos previos 

  • Una configuración AWS de varias cuentas con una cuenta de administrador CSPM de Security Hub dedicada

  • Security Hub (CSPM) y AWS Config, habilitado en el Región de AWS que desee monitorizar

    nota

    Debe habilitar la agregación entre regiones en Security Hub CSPM si quiere monitorear varias regiones desde una sola región de agregación.

  • Permisos de usuario para acceder y actualizar la cuenta de administrador CSPM de Security Hub, acceso de lectura a todos los buckets de Amazon S3 de la organización y permisos para desactivar el acceso público (si es necesario)

Arquitectura

El siguiente diagrama muestra una arquitectura para usar Security Hub CSPM para identificar los buckets públicos de Amazon S3.

Diagrama que muestra el flujo de trabajo de replicación entre cuentas

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. Security Hub CSPM supervisa la configuración de los buckets de Amazon S3 en todas AWS Organizations las cuentas (incluida la cuenta de administrador) mediante los controles S3.2 y S3.3 del estándar de seguridad FSBP y detecta si un bucket está configurado como público.

  2. La cuenta de administrador de CSPM de Security Hub accede a los resultados (incluidos los de S3.2 y S3.3) desde todas las cuentas de los miembros.

  3. Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes EventBridge como Security Hub CSPM Findings: Imported events. Esto incluye eventos para conocer los resultados de las cuentas del administrador y de los miembros.

  4. Una EventBridge regla filtra los resultados de las versiones S3.2 y S3.3 que tienen un ComplianceStatus deFAILED, un estado de flujo de trabajo de y un de. NEW RecordState ACTIVE

  5. Las reglas utilizan los patrones de eventos para identificar los eventos y enviarlos a un tema de Amazon SNS una vez que coinciden.

  6. Un tema de Amazon SNS envía los eventos a sus suscriptores (por ejemplo, por correo electrónico).

  7. Los analistas de seguridad designados para recibir las notificaciones por correo electrónico revisan el bucket de Amazon S3 en cuestión.

  8. Si el depósito está aprobado para el acceso público, el analista de seguridad establece el estado del flujo de trabajo del hallazgo correspondiente en Security Hub CSPM en. SUPPRESSED De lo contrario, el analista establece el estado como NOTIFIED. Esto elimina las notificaciones futuras para el bucket de Amazon S3 y reduce el ruido de las notificaciones.

  9. Si el estado del flujo de trabajo está establecido como NOTIFIED, el analista de seguridad analiza los resultados con el propietario del bucket para determinar si el acceso público está justificado y si cumple con los requisitos de privacidad y protección de datos. Como resultado de la investigación, se elimina el acceso público al bucket o se aprueba el acceso público. En este último caso, el analista de seguridad establece el estado del flujo de trabajo como SUPPRESSED.

nota

El diagrama de arquitectura se aplica a las implementaciones de agregación de una sola región y entre regiones. En las cuentas A, B y C del diagrama, el CSPM de Security Hub puede pertenecer a la misma región que la cuenta de administrador o pertenecer a regiones diferentes si está habilitada la agregación entre regiones.

Tools (Herramientas)

  • Amazon EventBridge es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones de software como servicio (SaaS) y. Servicios de AWS EventBridge enruta esos datos a destinos como los temas y AWS Lambda funciones de Amazon SNS si los datos coinciden con las reglas definidas por el usuario.

  • Amazon Simple Notification Service (Amazon SNS) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico. Los suscriptores reciben todos los mensajes publicados en los temas a los que están suscritos y todos los suscriptores de un tema reciben los mismos mensajes.

  • Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

  • AWS Security Hub CSPMproporciona una visión completa del estado de su seguridad en. AWS Security Hub CSPM también le ayuda a comprobar su AWS entorno según los estándares y las mejores prácticas del sector de la seguridad. Security Hub CSPM recopila datos de seguridad de todos Cuentas de AWS los servicios y productos de socios externos compatibles y, a continuación, ayuda a analizar las tendencias de seguridad e identificar los problemas de seguridad de mayor prioridad.

Epics

TareaDescripciónHabilidades requeridas

Habilite Security Hub CSPM en AWS Organizations las cuentas.

Para habilitar el CSPM de Security Hub en las cuentas de la organización en las que desee supervisar los buckets de Amazon S3, consulte las directrices de Designación de una cuenta de administrador de CSPM de Security Hub (consola) y Administración de cuentas de miembros que pertenecen a una organización en la documentación de Security Hub CSPM.

Administrador de AWS

(Opcional) Habilite la agregación entre regiones.

Si desea supervisar los buckets de Amazon S3 en varias regiones desde una sola región, configure la agregación entre regiones.

Administrador de AWS

Active los controles S3.2 y S3.3 para el estándar de seguridad FSBP.

Debe habilitar los controles S3.2 y S3.3 para el estándar de seguridad FSBP.

  1. Para habilitar los controles S3.2, siga las instrucciones de [S3.2] Los buckets S3 deberían prohibir el acceso de lectura público en la documentación del CSPM de Security Hub.

  2. Para habilitar los controles S3.3, siga las instrucciones de [3] Los buckets S3 deberían prohibir el acceso de escritura público en la documentación de CSPM de Security Hub.

Administrador de AWS
TareaDescripciónHabilidades requeridas

Configure el tema de Amazon SNS y la suscripción por correo electrónico.

  1. Inicie sesión en la consola de Amazon SNS Consola de administración de AWS y ábrala.

  2. En el panel de navegación, elige Temas y, a continuación, seleccione Crear tema.

  3. En Tipo, seleccione Estándar.

  4. En Nombre, especifique un nombre para el tema (por ejemplo, public-s3-buckets).

  5. Seleccione Create new topic (Crear nuevo tema).

  6. En la pestaña Suscripciones, seleccione Crear suscripción.

  7. En Protocol, seleccione Email.

  8. En Endpoint (Punto de conexión), ingrese una dirección de correo electrónico para recibir las notificaciones. Puede utilizar la dirección de correo electrónico de un AWS administrador, un profesional de TI o un profesional de Infosec.

  9. Seleccione Crear subscripción. Para crear suscripciones de correo electrónico adicionales, repita los pasos 6 a 8 según sea necesario.

Administrador de AWS

Configure la EventBridge regla.

  1. Abra la consola de EventBridge .

  2. En la sección Comenzar, selecciona EventBridge Regla y, a continuación, selecciona Crear regla.

  3. En la página Definir detalles de la regla, en Nombre, especifique un nombre para la regla (por ejemplo, public-s3-buckets). Seleccione Next (Siguiente).

  4. En la sección Event pattern (Patrón de eventos), seleccione Event pattern form (Formulario de patrón de eventos).

  5. Copie el siguiente código, péguelo en el editor de códigos de Patrones de eventos y, a continuación, selecciona Siguiente.

    {
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "ControlId": ["S3.2", "S3.3"]
      }
    }
  }
}

  6. En la página Seleccionar destinos, en Seleccione un destino, seleccione Tema de SNS como destino y, a continuación, seleccione el tema que creó anteriormente.

  7. Elija Siguiente, vuelva a elegir Siguiente y, a continuación, elija Crear regla.

Administrador de AWS

Resolución de problemas

ProblemaSolución

Tengo un bucket de Amazon S3 con acceso público activado, pero no recibo notificaciones por correo electrónico al respecto.

Esto podría deberse a que el depósito se creó en otra región y la agregación entre regiones no está habilitada en la cuenta de administrador CSPM de Security Hub. Para resolver este problema, habilite la agregación entre regiones o implemente la solución de este patrón en la región en la que reside actualmente su bucket de Amazon S3.

Recursos relacionados

Información adicional

Flujo de trabajo para supervisar buckets públicos de Amazon S3

El siguiente flujo de trabajo ilustra cómo puede supervisar los buckets de Amazon S3 públicos de su organización. El flujo de trabajo supone que ha completado los pasos descritos en la historia Configuración del tema de Amazon SNS y la suscripción de correo electrónico de este patrón.

  1. Recibirá una notificación por correo electrónico cuando un bucket de Amazon S3 esté configurado con acceso público.

    • Si el depósito está aprobado para el acceso público, defina el estado del flujo de trabajo del hallazgo correspondiente SUPPRESSED en la cuenta de administrador de CSPM de Security Hub. Esto evita que Security Hub CSPM emita más notificaciones para este depósito y puede eliminar las alertas duplicadas.

    • Si el depósito no está aprobado para el acceso público, defina el estado del flujo de trabajo del hallazgo correspondiente en la cuenta de administrador de CSPM de Security Hub en. NOTIFIED Esto impide que el Security Hub CSPM emita más notificaciones para este bucket desde el Security Hub CSPM y puede eliminar el ruido.

  2. Si el bucket puede contener datos confidenciales, desactive el acceso público inmediatamente hasta que se complete la revisión. Si desactiva el acceso público, Security Hub CSPM cambiará el estado del flujo de trabajo a. RESOLVED A continuación, se detienen las notificaciones por correo electrónico del bucket.

  3. Busque al usuario que configuró el depósito como público (por ejemplo, mediante el uso AWS CloudTrail) e inicie una revisión. Como resultado de la revisión, se elimina el acceso público al bucket o se aprueba el acceso público. Si se aprueba el acceso público, defina el estado del flujo de trabajo del resultado correspondiente a SUPPRESSED.