Correção de exposições para buckets do Amazon S3 - AWS Security Hub
Características de configuração incorreta para buckets do Amazon S3Características de acessibilidade para buckets do Amazon S3Características de dados sensíveis para buckets do Amazon S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para buckets do Amazon S3

AWS O Security Hub pode gerar resultados de exposição para buckets do Amazon Simple Storage Service (S3).

No console do Security Hub, o bucket do Amazon S3 envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API CSPM do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Características de configuração incorreta para buckets do Amazon S3

Aqui estão as características de configuração incorreta para buckets do Amazon S3 e as etapas de correção sugeridas.

O bucket do Amazon S3 tem versionamento desabilitado

O versionamento do Amazon S3 o ajuda a manter diversas variantes de um objeto no mesmo bucket. Quando o versionamento está desabilitado, o Amazon S3 armazena somente a versão mais recente de cada objeto, o que significa que, se os objetos forem excluídos ou substituídos acidentalmente ou maliciosamente, eles não poderão ser recuperados. Os buckets com versionamento habilitado oferecem proteção contra exclusão acidental, falhas de aplicações e incidentes de segurança, como ataques de ransomware, em que podem ocorrer modificações ou exclusões não autorizadas de dados. Seguindo as práticas recomendadas de segurança, sugerimos habilitar o versionamento para buckets contendo dados importantes que seriam difíceis ou impossíveis de recriar em caso de perda.

  1. Habilitação do versionamento: para habilitar o versionamento do Amazon S3 em um bucket, consulte Habilitação do versionamento em buckets no Guia do usuário do Amazon Simple Storage Service. Ao habilitar o versionamento, considere a implementação de regras de ciclo de vida para gerenciar o armazenamento, pois o versionamento manterá várias cópias dos objetos.

O bucket do Amazon S3 tem o Bloqueio de Objetos desabilitado

O Amazon S3 Object Lock fornece um modelo write-once-read-many (WORM) para objetos do Amazon S3, impedindo que eles sejam excluídos ou substituídos por um período fixo ou indefinidamente. Quando o Bloqueio de Objetos está desabilitado, seus objetos podem ficar vulneráveis a exclusões, modificações ou criptografias acidentais ou maliciosas por ransomware. O Bloqueio de Objetos é especialmente importante para a conformidade com os requisitos regulatórios que exijam armazenamento de dados imutável e para proteção contra ameaças sofisticadas, como o ransomware, que podem tentar criptografar seus dados. Ao habilitar o Bloqueio de Objetos, será possível aplicar políticas de retenção como uma camada adicional de proteção de dados e criar uma estratégia de backup imutável para seus dados críticos. Seguindo as práticas recomendadas de segurança, sugerimos que você habilite o Bloqueio de Objetos para evitar modificações maliciosas de seus objetos.

  1. Observe que o Bloqueio de Objetos só pode ser habilitado ao criar um novo bucket, então você precisará criar um novo bucket com o Bloqueio de Objetos habilitado. Para grandes migrações, considere usar operações em lote para copiar objetos para o novo bucket. Antes de bloquear qualquer objeto, também é necessário habilitar as funcionalidades de Versionamento e Bloqueio de Objetos do S3 em um bucket. Como o Bloqueio de Objetos só pode ser habilitado em buckets novos, você precisará migrar os dados existentes para um novo bucket com o Bloqueio de Objetos habilitado. Configurar o Amazon S3 Object Lock — Para obter informações sobre como configurar o Object Lock em um bucket, consulte Configurando o Amazon S3 Object Lock no Guia do usuário do Amazon Simple Storage Service. Depois de configurar o Bloqueio de Objetos, escolha um modo de retenção apropriado de acordo com seu ambiente.

O bucket do Amazon S3 não é criptografado em repouso com chaves AWS KMS

O Amazon S3 aplica a criptografia do lado do servidor com chaves gerenciadas do Amazon S3 como o nível básico de criptografia para todos os novos buckets. Embora as chaves gerenciadas do Amazon S3 forneçam uma forte proteção de criptografia, elas não oferecem o mesmo nível de controle de acesso e recursos de auditoria que as AWS Key Management Service chaves. Ao usar chaves do KMS, o acesso aos objetos exigirá permissões tanto para o bucket do Amazon S3 quanto para a chave do KMS que criptografou o objeto. Isso é particularmente importante para dados sensíveis em que você precise de controle granular sobre quem pode acessar os objetos criptografados e de um registro de auditoria abrangente do uso da chave de criptografia. Seguindo as práticas recomendadas de segurança, sugerimos o uso de chaves do KMS para criptografar buckets contendo dados sensíveis ou para ambientes com requisitos rígidos de conformidade.

  1. Configuração da chave de bucket do Amazon S3

    Para configurar um bucket para usar uma chave de bucket do Amazon S3 para novos objetos, consulte Configuração do seu bucket para usar uma chave de bucket do Amazon S3 com SSE-KMS para novos objetos no Guia do usuário do Amazon Simple Storage Service. Para obter informações sobre como criptografar um objeto existente, consulte Criptografar objetos com operações em lote do Amazon S3 no AWS blog de armazenamento.

Ao implementar a AWS KMS criptografia, considere o seguinte:

  • Gerenciamento de chaves — Decida se deseja usar uma chave AWS gerenciada ou uma chave gerenciada pelo cliente (CMK). CMKs oferecem aos clientes controle total sobre o ciclo de vida e o uso de suas chaves. Para obter mais informações sobre as diferenças desses dois tipos de chaves, consulte Chaves do AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

  • Rotação de chaves: para medidas de segurança adicionais, habilite a alternância automática de chaves para suas chaves do KMS. Para obter mais informações, consulte Habilitação da alternância automática de chaves no Guia do desenvolvedor do AWS Key Management Service .

A exclusão da autenticação multifator (MFA) está desabilitada em um bucket do Amazon S3 versionado

A exclusão da autenticação multifator (MFA) fornece uma camada adicional de segurança para seu bucket do Amazon S3. Ela requer autenticação multifator para operações destrutivas do Amazon S3. Quando a exclusão da MFA é desabilitada, os usuários com as permissões apropriadas podem excluir permanentemente as versões do objeto ou suspender o versionamento no seu bucket sem desafios adicionais de autenticação. A habilitação da MFA ajuda a proteger contra a exclusão não autorizada ou acidental de seus dados, fornecendo proteção aprimorada contra ataques de ransomware, ameaças internas e erros operacionais. A exclusão da MFA é particularmente valiosa para buckets que contenham dados sensíveis ou de conformidade que devam ser protegidos contra exclusões não autorizadas. Seguindo as práticas recomendadas de segurança, sugerimos habilitar a MFA para seus buckets do Amazon S3.

  1. Análise dos tipos de MFA

    AWS suporta os seguintes tipos de MFA. Embora a autenticação com um dispositivo físico normalmente forneça uma proteção de segurança mais rigorosa, usar qualquer tipo de MFA é mais seguro do que ter a MFA desabilitada.

  2. Aplicação da MFA no nível da política de recursos

    Use a chave de condição aws:MultiFactorAuthAge em uma política de bucket para exigir MFA para operações sensíveis. Para obter mais informações, consulte Exigência de MFA no Guia do usuário do Amazon Simple Storage Service.

  3. Ativar MFA

    Para habilitar a exclusão da MFA, primeiro, certifique-se de que o versionamento esteja habilitado em seu bucket do Amazon S3. Só há suporte para a exclusão da MFA em buckets que tenham o versionamento habilitado. Para obter informações sobre como habilitar o versionamento do Amazon S3, consulte Habilitação do versionamento em buckets no Guia do usuário do Amazon Simple Storage Service. A exclusão de MFA não pode ser habilitada por meio do console do Amazon S3. É necessário usar a API do Amazon S3 ou a AWS CLI. Para obter mais informações, acesse Configuração da exclusão da MFA no Guia do usuário do Amazon Simple Storage Service.

O bucket do Amazon S3 permite que diretores de outras AWS contas modifiquem as permissões do bucket

Controle de acesso a buckets e objetos das políticas de bucket do Amazon S3 Quando as políticas de bucket permitem que diretores de outras AWS contas modifiquem as permissões do bucket, usuários não autorizados podem reconfigurar seu bucket. Se as credenciais principais externas forem comprometidas, usuários não autorizados poderão obter controle sobre seu bucket, causando violações de dados ou interrupções no serviço. Seguindo os princípios de segurança padrão, AWS recomenda que você restrinja as ações de gerenciamento de permissões somente a diretores confiáveis.

  1. Análise e identificação de políticas de bucket

    Na exposição, identifique o bucket do Amazon S3 no campo ARN. No console do Amazon S3, selecione o bucket e navegue até a guia Permissões para analisar a política do bucket. Analise a política da permissão anexada ao bucket. Procure declarações de política que concedam ações como s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* ou declarações de política que permitam acesso a entidades principais de fora de sua conta, conforme indicado na declaração principal.

  2. Modificação da política de bucket

    Modifique a política do bucket para remover ou restringir ações concedidas a outras AWS contas:

    • Remova declarações de política que concedam ações de gerenciamento de permissões a contas externas.

    • Se for necessário um acesso entre contas, substitua as permissões amplas (s3:*) por ações específicas que não incluam o gerenciamento de permissões do bucket.

    Para obter informações sobre a modificação de uma política de bucket, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Características de acessibilidade para buckets do Amazon S3

Aqui estão as características de acessibilidade para buckets do Amazon S3 e as etapas de correção sugeridas.

O bucket do Amazon S3 tem acesso público

Por padrão, os buckets e os objetos do Amazon S3 são privados, mas podem ser tornados públicos por meio de várias configurações. Se você modificar as políticas de bucketas , políticas de ponto de acesso ou as permissões de objetos para permitir acesso público, corre o risco de expor dados sensíveis.

  1. Avaliação do bucket

    Avalie se seu bucket pode se tornar privado com base em sua política organizacional, requisitos de conformidade ou classificação de dados. Se você não pretendia conceder acesso ao bucket ao público ou a outros Contas da AWS, siga as instruções de remediação restantes.

  2. Configuração do bucket para ser privado

    Escolha uma das opções a seguir para configurar o acesso privado ao seu bucket do Amazon S3:

O bucket do Amazon S3 tem acesso público para leitura

Os buckets do Amazon S3 com acesso público para leitura permitem que qualquer pessoa na Internet visualize o conteúdo do seu bucket. Embora possa ser necessário para sites acessíveis ao público ou recursos compartilhados, isso pode criar riscos de segurança se o bucket contiver dados sensíveis. O acesso público de leitura pode levar à visualização e ao download não autorizados, o que pode levar a violações de dados caso dados sensíveis estejam armazenados nesses buckets. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso aos buckets do Amazon S3 aos usuários e sistemas necessários.

  1. Bloqueio do acesso público em nível de bucket

    O Amazon S3 fornece configurações de bloqueio de acesso público que podem ser definidas nos níveis do bucket e da conta para impedir o acesso público, independentemente das políticas do bucket ou. ACLs Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service. Depois de bloquear o acesso público, analise a configuração de controle de acesso do bucket para garantir que ela esteja alinhada aos seus requisitos de acesso. Em seguida, analise sua política de bucket do Amazon S3 para definir explicitamente quem pode acessar seu bucket. Para obter exemplos de políticas de bucket, consulte Exemplos de políticas de bucket do Amazon S3 no Guia do desenvolvedor do Amazon Simple Storage Service.

  2. Métodos de acesso alternativos

    Se for necessário acesso público para leitura, considere estas alternativas mais seguras:

    • CloudFront— Use CloudFront com uma Identidade de Acesso de Origem (OAI) ou Controle de Acesso de Origem (OAC) para permitir acesso de leitura a partir de um bucket privado do Amazon S3. Essa alternativa restringe o acesso direto ao seu bucket do Amazon S3 e permite que o conteúdo seja acessível publicamente por meio de. CloudFront Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon S3 no CloudFront Amazon Developer Guide.

    • Pré-assinado URLs — Use pré-assinado URLs para acesso temporário a objetos específicos. Para obter mais informações, consulte Compartilhamento de objetos com objetos pré-assinados URLs no Amazon CloudFront Developer Guide.

O bucket do Amazon S3 tem acesso para gravação

Os buckets do Amazon S3 com acesso público de gravação permitem que qualquer pessoa na Internet faça upload, modifique ou exclua objetos em seu bucket. Isso cria riscos de segurança significativos, incluindo a possibilidade de alguém carregar arquivos maliciosos, modificar arquivos existentes e excluir dados. O acesso público de gravação cria vulnerabilidades de segurança que podem ser exploradas por invasores. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso de gravação aos seus buckets do Amazon S3 somente aos usuários e sistemas necessários.

  1. Bloqueio do acesso público em nível de conta e bucket

    O Amazon S3 fornece configurações de bloqueio de acesso público que podem ser definidas nos níveis do bucket e da conta para impedir o acesso público, independentemente das políticas do bucket ou. ACLs Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

  2. Modificação das políticas de bucket

    Para obter uma abordagem mais granular para a remoção do acesso público de gravação, revise a política de bucket. É possível procurar por s3:PutObject, s3:DeleteObject, ou s3:*. Para obter mais informações sobre o gerenciamento de políticas de bucket, consulte Políticas de bucket para o Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

  3. Métodos de acesso alternativos

    Se for necessário acesso público para leitura, considere estas alternativas mais seguras:

    • CloudFront— Use CloudFront com uma Identidade de Acesso de Origem (OAI) ou Controle de Acesso de Origem (OAC) para permitir acesso de leitura a partir de um bucket privado do Amazon S3. Essa alternativa restringe o acesso direto ao seu bucket do Amazon S3 e permite que o conteúdo seja acessível publicamente por meio de. CloudFront Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon S3 no CloudFront Amazon Developer Guide.

    • Pré-assinado URLs — Use pré-assinado URLs para acesso temporário a objetos específicos. Para obter mais informações, consulte Compartilhamento de objetos com objetos pré-assinados URLs no Guia do usuário do Amazon Simple Storage Service.

O ponto de acesso Amazon S3 tem configurações de acesso público habilitadas.

Os pontos de acesso Amazon S3 fornecem acesso personalizado a conjuntos de dados compartilhados em buckets do Amazon S3. Quando você ativa o acesso público a um ponto de acesso, isso pode permitir que qualquer pessoa na Internet acesse seus dados. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso público aos pontos de acesso do Amazon S3.

  1. Crie um novo ponto de acesso com bloqueio de acesso público habilitado

    O Amazon S3 não oferece suporte à alteração das configurações de acesso público de um ponto de acesso após à criação de um ponto de acesso. Para obter informações sobre a criação de um ponto de acesso, consulte Gerenciamento do acesso público a pontos de acesso para buckets de uso geral no Guia do usuário do Amazon Simple Storage Service. Para obter mais informações sobre o gerenciamento do acesso público aos pontos de acesso, consulte Criação de pontos de acesso para buckets de uso geral no Guia do usuário do Amazon Simple Storage Service.

Características de dados sensíveis para buckets do Amazon S3

Aqui estão as características de dados sensíveis para buckets do Amazon S3 e as etapas de correção sugeridas.

Características de dados sensíveis para buckets do Amazon S3

Quando o Macie identifica dados sensíveis em seus buckets do Amazon S3, isso indica possíveis exposições de segurança e conformidade que exigem atenção imediata.

Os dados sensíveis podem incluir:

  • Credenciais

  • Informações de identificação pessoal

  • Informações financeiras

  • Conteúdo confidencial que requer proteção

Se dados sensíveis forem expostos por meio de configuração incorreta ou acesso não autorizado, isso poderá levar a violações de conformidade, violações de dados, roubo de identidade ou perdas financeiras. Seguindo as melhores práticas de segurança, AWS recomenda a classificação adequada dos dados e o monitoramento contínuo dos dados confidenciais em seus buckets do Amazon S3.

Implemente controles para dados sensíveis

Na descoberta de exposição, escolha Abrir recurso. Analise o tipo dos dados sensíveis detectados e sua localização no bucket. Para obter ajuda na interpretação das descobertas do Macie, consulte Tipos de descobertas do Macie no Guia do usuário do Amazon Macie.

Com base no tipo dos dados sensíveis descobertos, implemente os controles de segurança apropriados:

  • Restrinja o acesso ao bucket: analise as permissões do bucket para garantir que elas sigam o princípio do privilégio mínimo. Use políticas do IAM, políticas de bucket e ACLs para restringir o acesso. Para obter mais informações, consulte Gerenciamento de identidade e acesso para o Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

  • Habilite a criptografia do lado do servidor: habilite a criptografia do lado do servidor com chaves do KMS para proteção adicional. Para obter mais informações, consulte Uso da criptografia do lado do servidor com chaves KMS ( AWS SSE-KMS) no Guia do usuário do Amazon Simple Storage Service.

  • Uso AWS Glue DataBrew — Use Glue DataBrew para preparação e limpeza de dados. Para obter mais informações, consulte O que é o AWS Glue DataBrew? no Guia do desenvolvedor do AWS Glue DataBrew .