Identifique buckets públicos do Amazon S3 usando o Security Hub AWS Organizations CSPM - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosSolução de problemasRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identifique buckets públicos do Amazon S3 usando o Security Hub AWS Organizations CSPM

Mourad Cherfaoui, Arun Chandapillai e Parag Nagwekar, Amazon Web Services

Resumo

Esse padrão mostra como criar um mecanismo para identificar buckets públicos do Amazon Simple Storage Service (Amazon S3) em suas contas. AWS Organizations O mecanismo funciona usando controles do padrão AWS Foundational Security Best Practices (FSBP) AWS Security Hub CSPM para monitorar os buckets do Amazon S3. Você pode usar EventBridge a Amazon para processar as descobertas do CSPM do Security Hub e depois publicar essas descobertas em um tópico do Amazon Simple Notification Service (Amazon SNS). As partes interessadas em sua organização podem se inscrever no tópico e receber notificações imediatas por e-mail sobre as descobertas.

Por padrão, novos buckets do Amazon S3 e seus respectivos objetos não permitem acesso público. Você pode usar esse padrão em cenários em que você deve modificar as configurações padrão do Amazon S3 com base nos requisitos da sua organização. Por exemplo, este poderia ser um cenário em que você tem um bucket do Amazon S3 que hospeda um site voltado para o público ou arquivos que qualquer pessoa com acesso à internet consiga realizar a leitura do bucket do Amazon S3.

O Security Hub CSPM geralmente é implantado como um serviço central para consolidar todas as descobertas de segurança, incluindo aquelas relacionadas a padrões de segurança e requisitos de conformidade. Há outros Serviços da AWS que você pode usar para detectar buckets públicos do Amazon S3, mas esse padrão usa uma implantação CSPM existente do Security Hub com configuração mínima.

Pré-requisitos e limitações

Pré-requisitos

  • Uma configuração AWS de várias contas com uma conta de administrador CSPM dedicada do Security Hub

  • Security Hub CSPM e AWS Config, habilitado no Região da AWS que você deseja monitorar

    nota

    Você deve habilitar a agregação entre regiões no Security Hub CSPM se quiser monitorar várias regiões de uma única região de agregação.

  • Permissões de usuário para acessar e atualizar a conta de administrador CSPM do Security Hub, acesso de leitura a todos os buckets do Amazon S3 na organização e permissões para desativar o acesso público (se necessário)

Arquitetura

O diagrama a seguir mostra uma arquitetura para usar o Security Hub CSPM para identificar buckets públicos do Amazon S3.

Diagrama mostrando o fluxo de trabalho de replicação entre contas

O diagrama mostra o seguinte fluxo de trabalho:

  1. O Security Hub CSPM monitora a configuração dos buckets do Amazon S3 em AWS Organizations todas as contas (incluindo a conta do administrador) usando os controles S3.2 e S3.3 do padrão de segurança FSBP e detecta uma descoberta se um bucket está configurado como público.

  2. A conta de administrador do Security Hub CSPM acessa as descobertas (incluindo aquelas para S3.2 e S3.3) de todas as contas membros.

  3. O CSPM do Security Hub envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como eventos importados do CSPM do Security Hub. Isso inclui eventos para descobertas das contas do administrador e do membro.

  4. Uma EventBridge regra filtra as descobertas do S3.2 e do S3.3 que têm um ComplianceStatus deFAILED, um status de fluxo de trabalho de NEW e um RecordState de. ACTIVE

  5. As regras usam os padrões de evento para identificar eventos e enviá-los a um tópico do Amazon SNS quando houver correspondência.

  6. Um tópico do Amazon SNS envia eventos para seus assinantes (por e-mail, por exemplo).

  7. Os analistas de segurança responsáveis por receber notificações por e-mail analisam o bucket do Amazon S3 em questão.

  8. Se o bucket for aprovado para acesso público, o analista de segurança definirá o status do fluxo de trabalho da descoberta correspondente no CSPM do Security Hub como. SUPPRESSED Caso contrário, o analista define o status como NOTIFIED. Isso impede notificações futuras para o bucket do Amazon S3 e reduz o ruído de notificações.

  9. Se o status do fluxo de trabalho estiver definido como NOTIFIED, o analista de segurança analisará a descoberta com o proprietário do bucket para determinar se o acesso público é justificado e está em conformidade com os requisitos de privacidade e proteção de dados. A investigação resulta na remoção do acesso público ao bucket ou na aprovação do acesso público. No último caso, o analista de segurança define o status do fluxo de trabalho como SUPPRESSED.

nota

O diagrama da arquitetura se aplica tanto a implantações de agregação em uma única região quanto a implantações de agregação entre regiões. Nas contas A, B e C do diagrama, o CSPM do Security Hub pode pertencer à mesma região da conta do administrador ou pertencer a regiões diferentes se a agregação entre regiões estiver ativada.

Ferramentas

  • EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos de software como serviço (SaaS) e. Serviços da AWS EventBridge roteia esses dados para destinos, como tópicos e AWS Lambda funções do Amazon SNS, se os dados corresponderem às regras definidas pelo usuário.

  • O Amazon Simple Notification Service (Amazon SNS) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.

  • O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.

  • AWS Security Hub CSPMfornece uma visão abrangente do seu estado de segurança em AWS. O Security Hub CSPM também ajuda você a verificar seu AWS ambiente em relação aos padrões e às melhores práticas do setor de segurança. O Security Hub CSPM coleta dados de segurança de vários Contas da AWS serviços e produtos de parceiros terceirizados compatíveis e, em seguida, ajuda a analisar as tendências de segurança e identificar os problemas de segurança de maior prioridade.

Épicos

TarefaDescriptionHabilidades necessárias

Ative o CSPM do Security Hub nas contas AWS Organizations .

Para habilitar o CSPM do Security Hub nas contas da organização em que você deseja monitorar os buckets do Amazon S3, consulte as diretrizes em Designação de uma conta de administrador do CSPM do Security Hub (console) e Gerenciamento de contas de membros que pertencem a uma organização na documentação do CSPM do Security Hub.

Administrador da AWS

(Opcional) Habilitar a agregação entre regiões.

Se você deseja monitorar buckets do Amazon S3 em várias regiões usando uma única região, configure a agregação entre regiões.

Administrador da AWS

Ative os controles do S3.2 e S3.3 para o padrão de segurança FSBP.

Você deve habilitar os controles do S3.2 e S3.3 para o padrão de segurança FSBP.

  1. Para ativar os controles do S3.2, siga as instruções do [S3.2]. Os buckets do S3 devem proibir o acesso público de leitura na documentação do CSPM do Security Hub.

  2. Para habilitar os controles do S3.3, siga as instruções de [3] Os buckets do S3 devem proibir o acesso público de gravação na documentação do CSPM do Security Hub.

Administrador da AWS
TarefaDescriptionHabilidades necessárias

Configure o tópico do Amazon SNS e a assinatura de e-mail.

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS.

  2. No painel de navegação, selecione Topics (Tópicos) e Create topic (Criar tópico).

  3. Em Tipo, escolha Padrão.

  4. Em Nome, insira um nome para o seu tópico (por exemplo, public-s3-buckets).

  5. Escolha Criar tópico.

  6. Na guia Subscriptions (Assinaturas) para o seu tópico, escolha Create subscription (Criar assinatura).

  7. Em Protocol (Protocolo), selecione Email.

  8. Em Endpoint, insira o endereço de e-mail que receberá as notificações. Você pode usar o endereço de e-mail de um AWS administrador, profissional de TI ou profissional da Infosec.

  9. Selecione Criar assinatura. Para criar assinaturas de e-mail adicionais, repita as etapas 6 a 8 conforme necessário.

Administrador da AWS

Configure a EventBridge regra.

  1. Abra o console do EventBridge .

  2. Na seção Começar, selecione EventBridge Regra e, em seguida, escolha Criar regra.

  3. Na página Definir detalhes da regra, em Nome, insira um nome para sua regra (por exemplo, public-s3-buckets). Escolha Próximo.

  4. Na seção Event patter (Padrão de evento), selecione Edit pattern (Editar padrão).

  5. Copie o código a seguir, cole-o no editor de código do Padrão de eventos e escolha Avançar.

    {
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "ControlId": ["S3.2", "S3.3"]
      }
    }
  }
}

  6. Na página Selecionar destino(s), em Selecionar um destino, selecione Tópico do SNS como o destino e, em seguida, selecione o tópico que você criou anteriormente.

  7. Escolha Avançar, escolha Avançar novamente e, em seguida, escolha Criar regra.

Administrador da AWS

Solução de problemas

ProblemaSolução

Tenho um bucket do Amazon S3 com acesso público habilitado, mas não estou recebendo notificações por e-mail sobre ele.

Isso pode ocorrer porque o bucket foi criado em outra região e a agregação entre regiões não está habilitada na conta de administrador do CSPM do Security Hub. Para resolver esse problema, habilite a agregação entre regiões ou implemente a solução deste padrão na região em que o bucket do Amazon S3 está atualmente localizado.

Recursos relacionados

Mais informações

Fluxo de trabalho para monitoramento de buckets públicos do Amazon S3

O fluxo de trabalho apresentado a seguir ilustra como você pode monitorar os buckets públicos do Amazon S3 na sua organização. O fluxo de trabalho assume que você tenha concluído as etapas apresentadas na seção Configure o tópico do Amazon SNS e a assinatura de e-mail deste padrão.

  1. Você receberá uma notificação por e-mail quando um bucket do Amazon S3 for configurado com acesso público.

    • Se o bucket for aprovado para acesso público, defina o status do fluxo de trabalho da descoberta correspondente SUPPRESSED na conta de administrador do CSPM do Security Hub. Isso impede que o Security Hub CSPM emita mais notificações para esse bucket e pode eliminar alertas duplicados.

    • Se o bucket não for aprovado para acesso público, defina o status do fluxo de trabalho da descoberta correspondente na conta de administrador do CSPM do Security Hub como. NOTIFIED Isso impede que o CSPM do Security Hub emita mais notificações para esse bucket a partir do CSPM do Security Hub e pode eliminar ruídos.

  2. Caso o bucket possa conter dados confidenciais, desative o acesso público imediatamente até que a análise seja concluída. Se você desativar o acesso público, o Security Hub CSPM alterará o status do fluxo de trabalho para. RESOLVED Em seguida, envie notificações por e-mail sobre a interrupção do bucket.

  3. Encontre o usuário que configurou o bucket como público (por exemplo, usando AWS CloudTrail) e inicie uma análise. A análise resulta na remoção do acesso público ao bucket ou na aprovação do acesso público. Se o acesso público for aprovado, defina o status do fluxo de trabalho da descoberta correspondente como SUPPRESSED.