Condiciones de configuración incorrecta para buckets de Amazon S3 Condiciones de accesibilidad de los buckets de Amazon S3 Condiciones de información confidencial para buckets de Amazon S3

Remediación de las exposiciones de los buckets de Amazon S3

AWS Security Hub puede generar datos de exposición para los depósitos de Amazon Simple Storage Service (S3).

En la consola de Security Hub, el bucket de Amazon S3 involucrado en un resultado de exposición y su información de identificación aparecen en la sección Recursos de los detalles del resultado. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.

Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.

Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.

Contenido

Condiciones de configuración incorrecta para buckets de Amazon S3

Estas son condiciones de configuración incorrecta en buckets de Amazon S3 y los pasos de remediación sugeridos.

El bucket de Amazon S3 tiene el control de versiones desactivado

El control de versiones de Amazon S3 permite conservar múltiples variantes de un mismo objeto dentro del bucket. Cuando el control de versiones está desactivado, Amazon S3 almacena solo la versión más reciente de cada objeto; esto significa que, si los objetos se eliminan o sobrescriben accidental o maliciosamente, no se podrán recuperar. Los buckets con el control de versiones habilitado ofrecen protección frente a eliminaciones accidentales, fallas de aplicaciones e incidentes de seguridad, como ataques de ransomware, en los que podría producirse la modificación o eliminación no autorizada de datos. Según las prácticas recomendadas de seguridad, recomendamos habilitar el control de versiones en los buckets que contienen datos importantes cuyo reemplazo sería difícil o imposible si se pierden.

Habilitación del control de versiones: para habilitar el control de versiones de Amazon S3 en un bucket, consulte Habilitación del control de versiones en buckets en la Guía del usuario de Amazon Simple Storage Service. Cuando habilite el control de versiones, considere implementar reglas de ciclo de vida para administrar el almacenamiento, ya que el control de versiones conserva múltiples copias de los objetos.

El bucket de Amazon S3 tiene desactivado el bloqueo de objetos

Amazon S3 Object Lock proporciona un modelo write-once-read-many (WORM) para los objetos de Amazon S3 que impide que se eliminen o sobrescriban durante un período fijo o indefinidamente. Cuando el bloqueo de objetos está desactivado, los objetos pueden quedar expuestos a eliminaciones, modificaciones o cifrados accidentales o maliciosos, por ejemplo, durante un ataque de ransomware. El bloqueo de objetos resulta especialmente importante para cumplir requisitos normativos que exigen almacenamiento inmutable de datos y para protegerse contra amenazas sofisticadas, como ataques de ransomware que intentan cifrar la información. Al habilitar el bloqueo de objetos, puede aplicar políticas de retención como una capa adicional de protección y crear una estrategia de copias de seguridad inmutables para los datos críticos. Según las prácticas recomendadas de seguridad, recomendamos habilitar el bloqueo de objetos para evitar la modificación malintencionada de los objetos.

Tenga en cuenta que el bloqueo de objetos solo se puede habilitar al crear un bucket nuevo, por lo que será necesario crear un bucket con el bloqueo de objetos habilitado. Para migraciones de gran tamaño, considere usar Operaciones por lotes para copiar los objetos en el nuevo bucket. Antes de bloquear cualquier objeto, también debe habilitar el control de versiones de Amazon S3 y el bloqueo de objetos en el bucket. Dado que el bloqueo de objetos solo se puede habilitar en buckets nuevos, deberá migrar los datos existentes a un bucket nuevo con el bloqueo de objetos habilitado. Configurar el bloqueo de objetos de Amazon S3: para obtener información sobre cómo configurar el bloqueo de objetos en un bucket, consulte Configuración del bloqueo de objetos de Amazon S3 en la guía del usuario de Amazon Simple Storage Service. Tras configurar el bloqueo de objetos, elija un modo de retención adecuado en función del entorno.

El bucket de Amazon S3 no está cifrado en reposo con AWS KMS claves

Amazon S3 aplica cifrado del lado del servidor con claves administradas de Amazon S3 como nivel predeterminado de cifrado para todos los buckets nuevos. Si bien las claves administradas de Amazon S3 ofrecen una protección de cifrado sólida, no ofrecen el mismo nivel de control de acceso y capacidades de auditoría que AWS Key Management Service las claves. Cuando se utilizan claves de KMS, el acceso a los objetos requiere permisos tanto para el bucket de Amazon S3 como para la clave de KMS que cifró el objeto. Esto resulta especialmente importante para información confidencial para la cual se necesita un control detallado sobre quién puede acceder a los objetos cifrados y un registro de auditoría exhaustivo del uso de las claves de cifrado. Según las prácticas recomendadas de seguridad, recomendamos usar claves de KMS para cifrar buckets que almacenan información confidencial o para entornos con requisitos estrictos de cumplimiento normativo.

Configuración de una clave de bucket de Amazon S3

Para configurar un bucket para usar una clave de bucket de Amazon S3 para objetos nuevos, consulte Configuración del bucket para usar una clave de bucket de Amazon S3 con SSE-KMS para objetos nuevos, en la Guía del usuario de Amazon Simple Storage Service. Para obtener información sobre cómo cifrar un objeto existente, consulte Cifrar objetos con Amazon S3 Batch Operations en el blog sobre AWS almacenamiento.

Al implementar el AWS KMS cifrado, tenga en cuenta lo siguiente:

Administración de claves: decida si desea utilizar una clave AWS gestionada o una clave gestionada por el cliente (CMK). CMKs ofrezca a los clientes un control total sobre el ciclo de vida y el uso de sus claves. Para obtener más información sobre la diferencia entre estos dos tipos de claves, consulte Comparación de claves de AWS KMS en la Guía del desarrollador de AWS Key Management Service .
Rotación de claves: para aplicar medidas de seguridad adicionales, habilite la rotación automática de claves para las claves de KMS. Para obtener más información, consulte Habilitación de la rotación automática de claves en la Guía del desarrollador de AWS Key Management Service .

La eliminación con autenticación multifactor (MFA) está desactivada en un bucket de Amazon S3 con control de versiones

La eliminación con autenticación multifactor (MFA) proporciona una capa adicional de seguridad para el bucket de Amazon S3. Requiere autenticación multifactor para operaciones destructivas de Amazon S3. Cuando la eliminación mediante MFA está desactivada, los usuarios con permisos adecuados pueden eliminar permanentemente versiones de objetos o suspender el control de versiones en el bucket sin tener que superar desafíos de autenticación adicionales. La habilitación de la eliminación mediante MFA ayuda a proteger los datos contra eliminaciones no autorizadas o accidentales y brinda mayor protección frente a ataques de ransomware, amenazas internas y errores operativos. La eliminación mediante MFA es especialmente valiosa para buckets que contienen datos críticos o sujetos a requisitos de cumplimiento en materia de información confidencial que se deben proteger contra eliminaciones no autorizadas. Según las prácticas recomendadas de seguridad, recomendamos habilitar MFA para los buckets de Amazon S3.

Revisión de tipos de MFA

AWS admite los siguientes tipos de MFA. Aunque la autenticación con un dispositivo físico normalmente proporciona una protección de seguridad más estricta, usar cualquier tipo de MFA es más seguro que tener MFA desactivado.
Habilitación de MFA en el nivel de la política de recursos

Uso de la clave de condición de aws:MultiFactorAuthAge en una política de bucket para exigir MFA en operaciones sensibles. Para obtener más información, consulte Requisiro de MFA en la Guía del usuario de Amazon Simple Storage Service.
Habilitar MFA

Para habilitar la eliminación de MFA, primero asegúrese de que el control de versiones esté habilitado en el bucket de Amazon S3. La eliminación de MFA solo se admite en los buckets que tienen habilitado el control de versiones. Para obtener información sobre cómo habilitar el control de versiones de Amazon S3, consulte Habilitación del control de versiones en buckets en la Guía del usuario de Amazon Simple Storage Service. La eliminación de MFA no se puede habilitar a través de la consola de Amazon S3. Debe usar la API de Amazon S3 o la AWS CLI. Para obtener más información, consulte Configuración de eliminación de MFA en la Guía del usuario de Amazon Simple Storage Service.

El bucket de Amazon S3 permite a los directores de otras AWS cuentas modificar los permisos del bucket.

Las políticas de bucket de Amazon S3 controlan el acceso a los buckets y objetos. Cuando las políticas del bucket permiten a los directores de otras AWS cuentas modificar los permisos del bucket, los usuarios no autorizados pueden volver a configurar el bucket. Si las credenciales principales externas se ven comprometidas, los usuarios no autorizados pueden hacerse con el control del bucket y provocar filtraciones de datos o interrupciones en el servicio. Siguiendo los principios de seguridad estándar, se AWS recomienda restringir las acciones de administración de permisos únicamente a los directores de confianza.

Revisión e identificación de las políticas del bucket

En la exposición, identifique el bucket de Amazon S3 en el campo ARN. En la consola de Amazon S3, seleccione el bucket y vaya a la pestaña Permisos para revisar la política de bucket. Revise la política de permisos asociada al bucket. Busque declaraciones de política que otorguen acciones como s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* , o declaraciones de política que permitan acceso a entidades principales externas a la cuenta, según lo indicado en la declaración de entidad principal.
Modificación de la política de bucket

Modifique la política de bucket para eliminar o restringir las acciones concedidas a otras AWS cuentas:
- Elimine las declaraciones de política que otorguen a cuentas externas acciones de administración de permisos.
- Si se requiere acceso entre cuentas, reemplace los permisos amplios (s3:*) por acciones específicas que no incluyan la administración de permisos del bucket.
Para obtener información sobre cómo modificar una política de bucket, consulte Añadir una política de bucket mediante la consola Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Condiciones de accesibilidad de los buckets de Amazon S3

A continuación se presentan las condiciones de accesibilidad de los buckets de Amazon S3 y los pasos sugeridos para su remediación.

El bucket de Amazon S3 tiene acceso público

De forma predeterminada, los buckets y objetos de Amazon S3 son privados, pero se pueden hacer públicos mediante diversas configuraciones. Si modifica las políticas de bucket, las políticas de puntos de acceso o los permisos de objetos para permitir acceso público, corre el riesgo de exponer información confidencial.

Evaluación del bucket

Evalúe si el bucket se puede configurar como privado según la política de la organización, los requisitos de cumplimiento o la clasificación de los datos. Si no pretendía conceder acceso al bucket al público o a otras personas Cuentas de AWS, siga las instrucciones de corrección restantes.
Configuración del bucket como privado

Elija una de las siguientes opciones para configurar el acceso privado al bucket de Amazon S3:
- A nivel de cuenta: para bloquear el acceso público de todos los buckets de la cuenta mediante la configuración a nivel de cuenta, consulte Configuración de las opciones de bloqueo de acceso público para la cuenta en la Guía del usuario de Amazon Simple Storage Service.
- Nivel de depósito: para bloquear el acceso público a un depósito específico, consulte Configuración de los ajustes de bloqueo de acceso público para sus depósitos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
- ACL o políticas del bucket: para modificar la lista de control de acceso (ACL) del bucket, la política del bucket, la política del punto de acceso multirregional (MRAP) o la política del punto de acceso para eliminar el acceso público al bucket, consulte Revisar y cambiar el acceso al bucket en la Guía del usuario de Amazon Simple Storage Service. Si bloquea el acceso público a nivel de cuenta o a nivel de bucket, estos bloqueos tienen prioridad sobre cualquier política que permita acceso público.

El bucket de Amazon S3 tiene acceso público de lectura

Los buckets de Amazon S3 con acceso público de lectura permiten que cualquier persona en Internet vea el contenido del bucket. Si bien esto puede ser necesario para sitios web públicos o recursos compartidos, puede generar riesgos de seguridad si el bucket contiene información confidencial. El acceso público de lectura puede provocar visualización y descarga no autorizada, lo que puede derivar en filtraciones de datos si se almacena información confidencial en esos buckets. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso a los buckets de Amazon S3 a los usuarios y sistemas necesarios.

Bloqueo del acceso público a nivel de bucket

Amazon S3 proporciona ajustes de bloqueo de acceso público que se pueden configurar tanto a nivel de bucket como de cuenta para impedir el acceso público independientemente de las políticas del bucket o ACLs. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service. Después de bloquear el acceso público, revise la configuración de control de acceso del bucket para asegurarse de que se ajuste a los requisitos de acceso. Luego revise la política de bucket de Amazon S3 para definir explícitamente quién puede acceder al bucket. Para ver ejemplos de políticas de bucket, consulte Ejemplos de políticas de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Métodos de acceso alternativos

Si se requiere acceso público de lectura, considere estas alternativas más seguras:
- CloudFront— Úselo CloudFront con una identidad de acceso de origen (OAI) o un control de acceso de origen (OAC) para permitir el acceso de lectura desde un bucket privado de Amazon S3. Esta alternativa restringe el acceso directo a su bucket de Amazon S3 y, al mismo tiempo, permite que el contenido sea accesible públicamente a través CloudFront de él. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.
- Prefirmado URLs: utilice prefirmado URLs para acceder temporalmente a objetos específicos. Para obtener más información, consulta Compartir objetos con prefirmados URLs en la Guía para CloudFront desarrolladores de Amazon.

El bucket de Amazon S3 tiene acceso de escritura

Los buckets de Amazon S3 con acceso público de escritura permiten que cualquier persona en Internet cargue, modifique o elimine objetos en el bucket. Esto genera riesgos de seguridad significativos, incluido el potencial de que alguien cargue archivos maliciosos, modifique archivos existentes o elimine datos. El acceso público de escritura crea vulnerabilidades de seguridad que pueden ser aprovechadas por atacantes. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso de escritura a sus buckets de Amazon S3 solo a los usuarios y sistemas necesarios.

Bloqueao del acceso público a nivel de cuenta y de bucket

Amazon S3 proporciona ajustes de acceso público en bloque que se pueden configurar tanto a nivel de bucket como de cuenta para impedir el acceso público independientemente de las políticas del bucket o ACLs. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Modificación de las políticas de bucket

Para un enfoque más detallado al eliminar el acceso público de escritura, revise la política de bucket. Puede buscar s3:PutObject, s3:DeleteObject o s3:*. Para obtener más información sobre cómo administrar políticas de bucket, consulte Políticas de bucket para Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Métodos de acceso alternativos

Si se requiere acceso público de lectura, considere estas alternativas más seguras:
- CloudFront— Úselo CloudFront con una identidad de acceso de origen (OAI) o un control de acceso de origen (OAC) para permitir el acceso de lectura desde un bucket privado de Amazon S3. Esta alternativa restringe el acceso directo a su bucket de Amazon S3 y, al mismo tiempo, permite que el contenido sea accesible públicamente a través CloudFront de él. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.
- Prefirmado URLs: utilice prefirmado URLs para acceder temporalmente a objetos específicos. Para obtener más información, consulte Compartir objetos prefirmados URLs en la Guía del usuario de Amazon Simple Storage Service.

El punto de acceso de Amazon S3 tiene habilitada la configuración de acceso público

Los puntos de acceso de Amazon S3 proporcionan acceso personalizado a conjuntos de datos compartidos en buckets de Amazon S3. Al habilitar el acceso público a un punto de acceso, es posible que cualquier persona en Internet pueda acceder a sus datos. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso público a los puntos de acceso de Amazon S3.

Creación de un nuevo punto de acceso con bloqueo de acceso público habilitado

Amazon S3 no admite cambiar la configuración de acceso público de un punto de acceso después de que haya sido creado. Para obtener información sobre la creación de un punto de acceso, consulte Administrar el acceso público a los puntos de acceso para depósitos de uso general en la Guía del usuario de Amazon Simple Storage Service. Para obtener más información sobre la administración del acceso público a los puntos de acceso, consulte Creación de puntos de acceso para depósitos de uso general en la Guía del usuario de Amazon Simple Storage Service.

Condiciones de información confidencial para buckets de Amazon S3

A continuación se presentan las condiciones de información confidencial para los buckets de Amazon S3 y los pasos de remediación sugeridos.

Condiciones de información confidencial para buckets de Amazon S3

Cuando Macie identifica información confidencial en los buckets de Amazon S3, esto indica posibles exposiciones de seguridad y cumplimiento que requieren atención inmediata.

La información confidencial puede incluir:

Credenciales
Información de identificación personal
Información financiera
Contenido confidencial que requiere protección

Si la información confidencial se expone por una configuración incorrecta o por acceso no autorizado, esto puede generar infracciones de cumplimiento, filtraciones de datos, robo de identidad o pérdidas financieras. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda una clasificación adecuada de los datos y un monitoreo continuo de los datos confidenciales en sus buckets de Amazon S3.

Implementación de controles para la información confidencial

En el resultado de exposición, seleccione Abrir recurso. Revise el tipo de información confidencial detectada y su ubicación dentro del bucket. Para obtener ayuda para interpretar los resultados de Macie, consulte Tipos de resultados de Macie en la Guía del usuario de Amazon Macie.

Según el tipo de información confidencial identificada, implemente los controles de seguridad apropiados:

Restricción del acceso al bucket: revise los permisos del bucket para asegurarse de que sigan el principio de privilegio mínimo. Utilice las políticas de IAM y las políticas de bucket y restrinja ACLs el acceso. Para obtener más información, consulte Administración de identidad y acceso para Amazon S3 den la Guía del usuario de Amazon Simple Storage Service.
Habilitación del cifrado del lado del servidor: habilite el cifrado del lado del servidor con claves de KMS para obtener una protección adicional. Para obtener más información, consulte Uso del cifrado del lado del servidor con claves de AWS KMS (SSE-KMS) en la Guía del usuario de Amazon Simple Storage Service.
Uso AWS Glue DataBrew: utilícelo Glue DataBrew para la preparación y limpieza de datos. Para obtener más información, consulte ¿Qué es AWS Glue DataBrew? en la Guía del desarrollador de AWS Glue DataBrew .

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Corregir las exposiciones de las instancias y los clústeres de Amazon RDS

Automatizaciones