Bewährte Methoden für die Sicherheit in Amazon S3 - Amazon Simple Storage Service
Bewährte Methoden für die Sicherheit in Amazon S3Bewährte Methoden zur Überwachung und Prüfung von Amazon S3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in Amazon S3

Amazon S3 enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden stellen allgemeine Richtlinien und keine vollständige Sicherheitslösung dar. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Empfehlungen und nicht als bindend ansehen.

Bewährte Methoden für die Sicherheit in Amazon S3

Die folgenden bewährten Methoden für Amazon S3 können dazu beitragen, Sicherheitsvorfälle zu verhindern.

Deaktivieren von Zugriffssteuerungslisten (ACLs)

S3 Object Ownership ist eine Amazon-S3-Einstellung auf Bucket-Ebene, mit der Sie die Eigentümerschaft von den Objekten steuern können, die in Ihre Buckets hochgeladen werden, und ACLs deaktivieren oder aktivieren können. Standardmäßig ist die Objekteigentümerschaft auf die Einstellung „Bucket-Eigentümer erzwungen“ festgelegt und alle ACLs sind deaktiviert. Wenn ACLs deaktiviert sind, besitzt der Bucket-Eigentümer alle Objekte im Bucket und verwaltet den Datenzugriff ausschließlich mithilfe von Zugriffsverwaltungsrichtlinien.

Die meisten modernen Anwendungsfälle in Amazon S3 erfordern keine Zugriffssteuerungslisten (ACLs) mehr. Wir empfehlen Ihnen, ACLs zu deaktivieren, außer unter ungewöhnlichen Umständen, in denen Sie den Zugriff für jedes Objekt einzeln steuern müssen. Sie können die Einstellung „Bucket owner enforced“ (Bucket-Eigentümer erzwungen) für S3 Object Ownership anwenden, um ACLs zu deaktivieren und und das Eigentum an jedem Objekt in Ihrem Bucket zu übernehmen. Wenn Sie ACLs deaktivieren, können Sie einfach einen Bucket mit Objekten verwalten, die von verschiedenen AWS-Konten hochgeladen wurden.

Wenn ACLs deaktiviert sind, basiert die Zugriffskontrolle für Ihre Daten auf Richtlinien, wie die folgenden:

  • AWS Identity and Access Management (IAM)-Benutzerrichtlinien

  • S3-Bucket-Richtlinien

  • Richtlinien für Virtual Private Cloud (VPC)-Endpunkte

  • AWS Organizations Service-Kontrollrichtlinien (SCPs)

Durch Deaktivieren von ACLs werden Berechtigungsverwaltung und Auditing vereinfacht. ACLs sind für neu erstellte Buckets standardmäßig deaktiviert. Sie können ACLs auch für vorhandene Buckets deaktivieren. Wenn Sie einen vorhandenen Bucket haben, der bereits Objekte enthält, sind die Objekt- und Bucket-ACLs nach dem Deaktivieren von ACLs nicht mehr Teil des Zugriffsbewertungsprozesses. Stattdessen wird der Zugriff auf der Grundlage von Richtlinien gewährt oder verweigert.

Bevor Sie ACLs deaktivieren, müssen Sie folgende Schritte ausführen:

  • Überprüfen Sie Ihre Bucket-Richtlinie, um sicherzustellen, dass sie alle Möglichkeiten abdeckt, wie Sie außerhalb Ihres Kontos Zugriff auf Ihren Bucket gewähren möchten.

  • Setzen Sie Ihre Bucket-ACL auf die Standardeinstellung zurück (volle Kontrolle für den Bucket-Eigentümer).

Nachdem Sie ACLs deaktiviert haben, gilt Folgendes:

  • Ihr Bucket akzeptiert nur PUT-Anforderungen, die keine ACL angeben, oder PUT-Anforderungen mit ACLs, bei denen der Bucket-Eigentümer die volle Kontrolle hat. Zu diesen ACLs gehören die vordefinierte ACL bucket-owner-full-control oder gleichwertige Formen dieser ACL, die in XML ausgedrückt sind.

  • Bestehende Anwendungen, die ACLs mit voller Kontrolle des Bucket-Eigentümers unterstützen, sehen keine Auswirkungen

  • PUT -Anforderungen, die andere ACLs enthalten (z. B. benutzerdefinierte Erteilungen für bestimmte AWS-Konten), schlagen fehl und geben einen HTTP-Statuscode 400 (Bad Request) mit dem Fehlercode zurückAccessControlListNotSupported.

Weitere Informationen finden Sie unter Weitere Informationen finden Sie unter Steuern des Eigentums an Objekten und Deaktivieren von ACLs für Ihren Bucket..

Achten Sie darauf, dass für Ihre Amazon-S3-Buckets die korrekten Richtlinien gelten und dass sie nicht öffentlich zugänglich sind.

Sofern es nicht unbedingt notwendig ist, dass jemand Ihren S3-Bucket im Internet lesen oder darin schreiben kann, stellen Sie sicher, dass der S3-Bucket nicht öffentlich ist. Im Folgenden werden einige Maßnahmen zum Blockieren des öffentlichen Zugriffs aufgeführt:

  • Verwenden Sie S3 Block Public Access. Mit S3 Block Public Access können Sie problemlos zentrale Kontrollen zur Beschränkung des öffentlichen Zugriffs auf Ihre Amazon-S3-Ressourcen einrichten. Diese zentralen Kontrollen werden unabhängig davon durchgesetzt, wie die Ressourcen erstellt werden. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon-S3-Speicher.

  • Identifizieren Sie Amazon-S3-Bucket-Richtlinien, die eine Platzhalteridentität zulassen, z. B. "Principal": "*" (was praktisch „jeder“ bedeutet). Halten Sie auch nach Richtlinien Ausschau, die die Platzhalteraktion "*" zulassen (was einem Benutzer erlaubt, jede Aktion im Amazon-S3-Bucket durchzuführen).

  • Suchen Sie in ähnlicher Weise nach Amazon S3-Bucket-Zugriffssteuerungslisten (ACLs), die „Alle“ oder „Alle authentifizierten AWS Benutzer“ Lese-, Schreib- oder Vollzugriffsberechtigungen bieten.

  • Verwenden Sie die API-Operation ListBuckets, um alle Ihre Amazon-S3-Buckets zu scannen. Ermitteln Sie dann mit GetBucketAcl, GetBucketWebsite und GetBucketPolicy, ob der Bucket über richtlinienkonforme Zugriffskontrollen und Konfiguration verfügt.

  • Verwenden Sie AWS Trusted Advisor diese Option, um Ihre Amazon-S3-Implementierung zu überprüfen.

  • Erwägen Sie die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS-Config-Regelns3-bucket-public-read-prohibited und s3-bucket-public-write-prohibited.

Weitere Informationen finden Sie unter Identity and Access Management in Amazon S3.

Implementieren des Zugriffs mit geringsten Berechtigungen

Bei der Vergabe von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Amazon-S3-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:

Hilfreiche Informationen zur Entscheidung, welche der vorherigen Mechanismen Sie auswählen sollten, finden Sie unter Richtlinien für Zugriffsrichtlinien.

Verwenden von IAM-Rollen für Anwendungen und AWS-Services , die Amazon S3-Zugriff erfordern

Damit Anwendungen AWS-Services , die auf Amazon EC2 oder anderen ausgeführt werden, auf Amazon S3-Ressourcen zugreifen können, müssen sie in ihren AWS API-Anforderungen gültige AWS Anmeldeinformationen enthalten. Wir empfehlen, AWS Anmeldeinformationen nicht direkt in der Anwendung oder Amazon EC2Instance zu speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.

Verwalten Sie stattdessen mithilfe einer IAM-Rolle temporäre Anmeldeinformationen für Anwendungen und Services, die Zugriff auf Amazon S3 benötigen. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (wie Benutzername und Passwort oder Zugriffsschlüssel) an eine Amazon EC2 oder wie verteilen AWS-Service AWS Lambda. Die Rolle stellt temporäre Berechtigungen bereit, die Anwendungen verwenden können, wenn sie Aufrufe an andere - AWS Ressourcen tätigen.

Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:

Erwägen der Verschlüsselung von Data-at-Rest

Es gibt die folgenden Optionen, Daten im Ruhezustand in Amazon S3 zu schützen:

  • Serverseitige Verschlüsselung – Für alle Amazon S3-Buckets ist die Verschlüsselung standardmäßig konfiguriert, und alle neuen Objekte, die in einen S3-Bucket hochgeladen werden, werden im Ruhezustand automatisch verschlüsselt. Die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) ist die Standardverschlüsselungskonfiguration für jeden Bucket in Amazon S3. Um einen anderen Verschlüsselungstyp zu verwenden, können Sie entweder die Art der serverseitigen Verschlüsselung angeben, die in Ihren S3-PUT-Anfragen verwendet werden soll, oder Sie können die Standardverschlüsselungskonfiguration im Ziel-Bucket festlegen.

    Amazon S3 bietet auch die folgenden serverseitigen Verschlüsselungsoptionen:

    • Serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS)

    • Serverseitige Dual-Layer-Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (DSSE-KMS)

    • Serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)

    Weitere Informationen finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung.

  • Clientseitige Verschlüsselung – Sie können Daten clientseitig verschlüsseln und die verschlüsselten Daten auf Amazon S3 hochladen. In diesem Fall verwalten Sie den Verschlüsselungsprozess, die Verschlüsselungsschlüssel und die zugehörigen Tools. Genau wie die serverseitige Verschlüsselung kann die client-seitige Verschlüsselung das Risiko reduzieren, indem die Daten mit einem Schlüssel verschlüsselt werden, der durch einen anderen Mechanismus gespeichert wird als der, der die Daten selbst speichert

    Amazon S3 bietet mehrere clientseitige Verschlüsselungsoptionen. Weitere Informationen finden Sie unter Schützen von Daten mithilfe der clientseitigen Verschlüsselung.

Erzwingen der Verschlüsselung von Daten während der Übertragung

Sie können HTTPS (TLS) verwenden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr abhören oder manipulieren, indem Sie person-in-the-middle - oder ähnliche Angriffe verwenden. Es wird empfohlen, nur verschlüsselte Verbindungen über HTTPS (TLS) unter Verwendung der Bedingung aws:SecureTransport in Ihren Amazon-S3-Bucket-Richtlinien zu erlauben.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config -Regel s3-bucket-ssl-requests-only.

Erwägen der S3-Objektsperre

Mit der S3-Objektsperre können Sie Objekte anhand des Modells „Write Once Read Many“ (WORM) speichern. Die S3-Objektsperre kann unbeabsichtigtes oder unsachgemäßes Löschen von Daten verhindern. Sie können beispielsweise die S3-Objektsperre verwenden, um Ihre AWS CloudTrail Protokolle zu schützen.

Weitere Informationen finden Sie unter Verwenden der S3-Objektsperre.

Aktivieren der S3-Versionsverwaltung

Die S3-Versionsverwaltung ermöglicht Ihnen, mehrere Versionen eines Objekts im selben Bucket aufzubewahren. Sie können Versioning verwenden, um sämtliche Versionen aller Objekte in Ihrem Bucket zu speichern, abzurufen oder wiederherzustellen. Daten lassen sich dank Versioning nach unbeabsichtigten Benutzeraktionen und Anwendungsfehlern leicht wiederherstellen.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config -Regel s3-bucket-versioning-enabled.

Weitere Informationen finden Sie unter Verwenden der Versioning in S3-Buckets.

Erwägen einer regionsübergreifenden S3-Replikation

Auch wenn Amazon S3 Ihre Daten standardmäßig in mehreren entfernten Availability Zones speichert, machen es die Compliance-Anforderungen möglicherweise erforderlich, Daten in noch größeren Entfernungen zu speichern. Mit der regionsübergreifenden Replikation (CRR) von S3 können Sie Daten zwischen entfernten replizieren AWS-Regionen , um diese Anforderungen zu erfüllen. CRR ermöglicht automatisches, asynchrones Kopieren von Objekten über Buckets hinweg in verschiedenen AWS-Regionen. Weitere Informationen finden Sie unter Replizieren von Objekten.

Anmerkung

CRR erfordert, dass die Versionsverwaltung in Quell- und Ziel-S3-Buckets aktiviert ist.

Erwägen Sie außerdem die Implementierung fortlaufender Erkennungskontrollen mithilfe der verwalteten AWS Config -Regel s3-bucket-replication-enabled.

Erwägen von VPC-Endpunkten für den Amazon-S3-Zugriff

Ein Virtual Private Cloud (VPC)-Endpunkt für Amazon S3 ist eine logische Einheit innerhalb einer VPC, die nur Konnektivität mit Amazon S3 ermöglicht. VPC-Endpunkte können dazu beitragen, zu verhindern, dass Datenverkehr durch das offene Internet gelangt.

VPC-Endpunkte für Amazon S3 bieten mehrere Möglichkeiten, den Zugriff auf Ihre Amazon-S3-Daten zu steuern:

  • Mithilfe von S3-Bucket-Richtlinien können Sie steuern, welche Anfragen, Benutzer oder Gruppen durch einen spezifischen VPC-Endpunkt erlaubt sind.

  • Mit S3 Bucket-Richtlinien können Sie steuern, welche VPCs oder VPC-Endpunkte Zugriff auf Ihre S3-Buckets haben.

  • Sie können eine Daten-Exfiltration verhindern, indem Sie eine VPC verwenden, die kein Internet-Gateway hat.

Weitere Informationen finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien.

Verwenden von verwalteten AWS Sicherheitsservices zur Überwachung der Datensicherheit

Mehrere verwaltete AWS Sicherheitsservices können Ihnen helfen, Sicherheits- und Compliance-Risiken für Ihre Amazon S3-Daten zu identifizieren, zu bewerten und zu überwachen. Diese Services können Ihnen auch dabei helfen, Ihre Daten vor diesen Risiken zu schützen. Zu diesen Services gehören automatisierte Erkennungs-, Überwachungs- und Schutzfunktionen, die darauf ausgelegt sind, von Amazon S3-Ressourcen für einen einzelnen AWS-Konto auf Ressourcen für Organisationen mit Tausenden von Konten zu skalieren.

Weitere Informationen finden Sie unter Überwachung der Datensicherheit mit verwalteten - AWS Sicherheitsservices.

Bewährte Methoden zur Überwachung und Prüfung von Amazon S3

Die folgenden bewährten Methoden für Amazon S3 können dabei helfen, potenzielle Sicherheitsschwächen und Vorfälle zu erkennen.

Identifizieren und Prüfen aller Ihrer Amazon-S3-Buckets

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Es ist erforderlich, dass Sie alle Ihre Amazon-S3-Ressourcen überblicken, um ihren Sicherheitsstatus beurteilen und Maßnahmen gegen potenzielle Schwachstellen ergreifen zu können. Zum Prüfen Ihrer Ressourcen empfehlen wir Folgendes:

  • Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren und zu markieren. Nutzen Sie dann diese Markierungen für die Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Suchen nach zu markierenden Ressourcen im Benutzerhandbuch zum Markieren von AWS Ressourcen.

  • Verwenden Sie S3 Inventory für die Prüfung und Meldung des Replikations- und Verschlüsselungsstatus Ihrer Objekte für Unternehmens-, Compliance- und regulatorische Anforderungen. Weitere Informationen finden Sie unter Amazon S3 Inventory.

  • Erstellen Sie Ressourcengruppen für Ihre Amazon-S3-Ressourcen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen? im AWS Resource Groups -Benutzerhandbuch.

Implementieren der Überwachung mithilfe von AWS Überwachungstools

Die Überwachung ist wichtig, um die Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Amazon S3 und Ihren - AWS Lösungen aufrechtzuerhalten. AWS bietet mehrere Tools und Services, die Sie bei der Überwachung von Amazon S3 und Ihren anderen unterstützen AWS-Services. Sie können beispielsweise Amazon- CloudWatch Metriken für Amazon S3 überwachen, insbesondere die DeleteRequests Metriken PutRequests, 4xxErrors, und GetRequests. Weitere Informationen finden Sie unter Überwachen von Metriken mit Amazon CloudWatch und Überwachen von Amazon S3.

Ein zweites Beispiel finden Sie unter Beispiel: Amazon-S3-Bucket-Aktivität. In diesem Beispiel wird beschrieben, wie Sie einen CloudWatch Alarm erstellen, der ausgelöst wird, wenn ein Amazon S3-API-Aufruf an PUT oder DELETE eine Bucket-Richtlinie, einen Bucket-Lebenszyklus oder eine Bucket-Replikationskonfiguration oder an PUT eine Bucket-ACL erfolgt.

Aktivieren Sie die Amazon-S3-Server-Zugriffsprotokollierung

Die Server-Zugriffsprotokollierung bietet detaillierte Aufzeichnungen über die Anfragen, die an einen Bucket gestellt wurden. Server-Zugriffsprotokolle können Sie bei Sicherheits- und Zugriffsprüfungen unterstützen; sie geben Informationen über Ihren Kundenstamm und helfen beim Verständnis der Amazon-S3-Rechnung. Weitere Informationen zur Aktivierung der Server-Zugriffsprotokollierung finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Erwägen Sie auch die Implementierung kontinuierlicher detektivischer Kontrollen mithilfe der -s3-bucket-logging-enabled AWS Config verwalteten Regel.

Verwenden Sie AWS CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem AWS-Service in Amazon S3 durchgeführten Aktionen. Sie können die von gesammelten Informationen verwenden CloudTrail , um Folgendes zu bestimmen:

  • Die Anforderung, die an Amazon S3 gestellt wurde

  • Die IP-Adresse, von der die Anforderung erfolgt ist

  • Wer die Anforderung gestellt hat

  • Wann die Anforderung gestellt wurde

  • Zusätzliche Details zur Anforderung

Sie können beispielsweise CloudTrail Einträge für PUT Aktionen identifizieren, die sich auf den Datenzugriff auswirken, insbesondere PutBucketAcl, PutObjectAclPutBucketPolicy, und PutBucketWebsite.

Wenn Sie Ihr einrichten AWS-Konto, CloudTrail ist standardmäßig aktiviert. Sie können aktuelle Ereignisse in der - CloudTrail Konsole anzeigen. Um eine fortlaufende Aufzeichnung der Aktivitäten und Ereignisse für Ihre Amazon S3-Buckets zu erstellen, können Sie einen Trail in der - CloudTrail Konsole erstellen. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen im Benutzerhandbuch für AWS CloudTrail .

Wenn Sie einen Trail erstellen, können Sie so konfigurieren, CloudTrail dass Datenereignisse protokolliert werden. Datenereignisse sind Datensätze von Ressourcen-Vorgänge, die auf oder innerhalb einer Ressource ausgeführt werden. In Amazon S3 zeichnen Datenereignisse API-Aktivitäten auf Objektebene für einzelne Buckets auf. CloudTrail unterstützt eine Teilmenge von Amazon S3-API-Operationen auf Objektebene, z. B. GetObjectDeleteObject, und PutObject. Weitere Informationen zur CloudTrail Funktionsweise von mit Amazon S3 finden Sie unter Protokollieren von Amazon S3-API-Aufrufen mit AWS CloudTrail. In der Amazon-S3-Konsole können Sie Ihre S3-Buckets auch dafür konfigurieren, Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte.

AWS Config stellt eine verwaltete Regel (cloudtrail-s3-dataevents-enabled) bereit, mit der Sie bestätigen können, dass mindestens ein CloudTrail Trail Datenereignisse für Ihre S3-Buckets protokolliert. Weitere Informationen finden Sie unter cloudtrail-s3-dataevents-enabled im AWS Config -Entwicklerhandbuch.

Aktivieren AWS Config

Einige der in diesem Thema aufgeführten bewährten Methoden schlagen vor, rules AWS Config . AWS Config helft Ihnen, die Konfigurationen Ihrer Ressourcenkonfigurationen AWS resources. AWS Config monitors zu bewerten, zu prüfen und zu bewerten, sodass Sie die aufgezeichneten Konfigurationen anhand der gewünschten sicheren Konfigurationen bewerten können. Mit können AWS Config Sie Folgendes tun:

  • Prüfen von Änderungen der Konfigurationen und Beziehungen zwischen AWS -Ressourcen

  • Untersuchen detaillierter Ressourcenkonfigurationsverläufe

  • Bestimmen der allgemeinen Compliance im Hinblick auf die Konfigurationen, die in Ihren internen Leitlinien angegeben sind

Die Verwendung von AWS Config kann Ihnen helfen, die Compliance-Prüfung, Sicherheitsanalyse, Änderungsmanagement und betriebliche Fehlerbehebung zu vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config Entwicklerhandbuch für . Wenn Sie die aufzuzeichnenden Ressourcentypen angeben, stellen Sie sicher, dass Sie Amazon-S3-Ressourcen mit einbeziehen.

Wichtig

AWS Config -verwaltete Regeln unterstützen bei der Auswertung von Amazon S3-Ressourcen nur Allzweck-Buckets. AWS Config zeichnet keine Konfigurationsänderungen für Verzeichnis-Buckets auf. Weitere Informationen finden Sie unter AWS Config Verwaltete -Regeln und Liste der AWS Config verwalteten -Regeln im AWS Config -Entwicklerhandbuch.

Ein Beispiel für die Verwendung von finden Sie unter Verwendung von zur Überwachung von und Reaktion auf Amazon-S3-Buckets AWS Config, die öffentlichen Zugriff zulassen im AWS -Sicherheitsblog. AWS Config Amazon S3

Entdecken von sensiblen Daten mithilfe von Amazon Macie

Amazon Macie ist ein Sicherheitsservice, der sensible Daten mithilfe von Machine Learning und Musterabgleich erkennt. Macie bietet Einblick in Datensicherheitsrisiken und ermöglicht automatischen Schutz vor diesen Risiken. Mit Macie können Sie die Erkennung und Meldung sensibler Daten in Ihrem Amazon-S3-Datenbestand automatisieren, um die Daten besser zu verstehen, die Ihre Organisation in S3 speichert.

Um sensible Daten mit Macie zu erkennen, können Sie integrierte Kriterien und Techniken verwenden, die darauf ausgelegt sind, eine lange und wachsende Liste vertraulicher Datentypen für viele Länder und Regionen zu erkennen. Diese sensiblen Datentypen umfassen mehrere Arten von persönlich identifizierbaren Informationen (PII), Finanzdaten und Anmeldeinformationen. Sie können auch benutzerdefinierte Kriterien verwenden, die Sie definieren – reguläre Ausdrücke, die Textmuster zum Abgleichen definieren, und optional Zeichenfolgen und Näherungsregeln, um die Ergebnisse zu verfeinern.

Wenn Macie sensible Daten in einem S3-Objekt entdeckt, generiert es eine Sicherheitserkenntnis, um Sie zu benachrichtigen. Diese Erkenntnis enthält Informationen über das betroffene Objekt, die Art und Häufigkeit der Vorkommen der sensiblen Daten, die Macie gefunden hat, sowie zusätzliche Details, die Ihnen bei der Untersuchung des betroffenen S3-Buckets und -Objekts helfen. Weitere Informationen finden Sie im Benutzerhandbuch für Amazon Macie.

Verwenden von S3 Storage Lens

S3 Storage Lens ist eine Cloud-Speicheranalysefunktion, mit der Sie unternehmensweite Einblicke in die Nutzung und Aktivität von Objektspeichern erhalten können. S3 Storage Lens analysiert Metriken, um kontextbezogene Empfehlungen zur Optimierung der Speicherkosten und zur Anwendung bewährter Datenschutzmethoden zu geben.

Mit S3 Storage Lens können Sie Metriken verwenden, um zusammenfassende Erkenntnisse zu gewinnen und z. B. herauszufinden, wie viel Speicher Sie in Ihrer gesamten Organisation haben oder welche Buckets und Präfixe am schnellsten wachsen. Außerdem können Sie anhand der Metriken von S3 Storage Lens umfassende Möglichkeiten zur Kostenoptimierung aufdecken, bewährte Methoden für den Datenschutz und die Zugriffsverwaltung implementieren und die Leistung von Anwendungs-Workloads verbessern.

Sie können beispielsweise Buckets identifizieren, für die keine S3-Lebenszyklusregeln gelten, damit unvollständige mehrteilige Uploads, die älter als 7 Tage sind, abgebrochen werden. Sie können auch Buckets identifizieren, die nicht den bewährten Datenschutzmethoden entsprechen, z. B. die Verwendung von S3 Replication oder S3 Versionierung. Weitere Informationen finden Sie unter Grundlegendes zu Amazon S3 Storage Lens.

Überwachen von AWS -Sicherheitsempfehlungen

Wir raten Ihnen, die in Trusted Advisor für Ihr AWS-Konto geposteten Sicherheitsempfehlungen regelmäßig zu überprüfen. Achten Sie dabei besonders auf Warnungen zu Amazon-S3-Buckets mit „offenen Zugriffsberechtigungen“. Sie können diesen Schritt programmgesteuert durchführen, indem Sie describe-trusted-advisor-checks verwenden.

Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die bei jedem Ihrer registriert ist AWS-Konten. AWS verwendet diese E-Mail-Adresse, um Sie bei auftretenden Sicherheitsproblemen zu kontaktieren, die Sie betreffen könnten.

AWS Operative Probleme mit großen Auswirkungen werden im AWS Health Dashboard -Servicezustand gepostet. Operative Probleme werden über AWS Health Dashboard auch in den einzelnen Konten veröffentlicht. Weitere Informationen finden Sie in der AWS Health -Dokumentation.