Behebung eines potenziell gefährdeten S3-Buckets - Amazon GuardDuty
Empfehlungen, die auf spezifischen Zugriffsanforderungen für S3-Buckets basieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung eines potenziell gefährdeten S3-Buckets

Folgen Sie diesen empfohlenen Schritten, um einen potenziell gefährdeten Amazon S3 S3-Bucket in Ihrer AWS Umgebung zu beheben:

  1. Identifizieren Sie die potenziell gefährdete S3-Ressource.

    Ein GuardDuty Ergebnis für S3 listet den zugehörigen S3-Bucket, seinen Amazon-Ressourcennamen (ARN) und seinen Besitzer in den Ergebnisdetails auf.

  2. Identifizieren Sie die Quelle der verdächtigen Aktivität und den verwendeten API Anruf.

    Der verwendete API Anruf wird wie API in den Befunddetails aufgeführt. Bei der Quelle handelt es sich um einen IAM Principal (entweder eine IAM Rolle, ein Benutzer oder ein Konto), und identifizierende Details werden in den Ergebnissen aufgeführt. Je nach Quelltyp sind Informationen zur Remote-IP-Adresse oder zur Quelldomain verfügbar, anhand derer Sie beurteilen können, ob die Quelle autorisiert wurde. Wenn es sich bei der Suche um Anmeldeinformationen von einer EC2 Amazon-Instance handelte, sind die Details für diese Ressource ebenfalls enthalten.

  3. Stellen Sie fest, ob die Anrufquelle autorisiert war, auf die identifizierte Ressource zuzugreifen.

    Denken Sie zum Beispiel an Folgendes:

    • Wenn ein IAM Benutzer beteiligt war, ist es möglich, dass seine Anmeldeinformationen möglicherweise kompromittiert wurden? Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

    • Wenn ein von einem Prinzipal aufgerufen API wurde, der noch nie zuvor diesen Typ aufgerufen hatAPI, benötigt diese Quelle dann Zugriffsberechtigungen für diesen Vorgang? Können die Bucket-Berechtigungen weiter eingeschränkt werden?

    • Wenn der Zugriff anhand des Benutzernamens ANONYMOUS_PRINCIPAL mit dem Benutzertyp AWSAccount erkannt wurde, bedeutet dies, dass der Bucket öffentlich ist und darauf zugegriffen wurde. Sollte dieser Bucket öffentlich sein? Falls nicht, finden Sie in den folgenden Sicherheitsempfehlungen alternative Lösungen für die gemeinsame Nutzung von S3-Ressourcen.

    • Wenn der Zugriff ein erfolgreicher PreflightRequest Aufruf war, lässt sich anhand des Benutzernamens ANONYMOUS_PRINCIPAL mit dem BenutzertypAWSAccountDies“ erkennen, dass für den Bucket eine ursprungsübergreifende Richtlinie für die gemeinsame Nutzung von Ressourcen (CORS) festgelegt wurde. Sollte dieser Bucket eine CORS Richtlinie haben? Falls nicht, stellen Sie sicher, dass der Bucket nicht versehentlich öffentlich ist, und finden Sie in den folgenden Sicherheitsempfehlungen alternative Lösungen für die gemeinsame Nutzung von S3-Ressourcen. Weitere Informationen zu Using Cross-Origin Resource Sharing (CORS) im S3-Benutzerhandbuch CORS finden Sie unter Using Cross-Origin Resource Sharing ().

  4. Stellen Sie fest, ob der S3-Bucket sensible Daten enthält.

    Verwenden Sie Amazon Macie, um zu ermitteln, ob der S3-Bucket vertrauliche Daten wie personenbezogene Daten (PII), Finanzdaten oder Anmeldeinformationen enthält. Wenn die automatische Erkennung sensibler Daten für Ihr Macie-Konto aktiviert ist, überprüfen Sie die Details des S3-Buckets, um den Inhalt Ihres S3-Buckets besser zu verstehen. Wenn dieses Feature für Ihr Macie-Konto deaktiviert ist, empfehlen wir, es zu aktivieren, um Ihre Bewertung zu beschleunigen. Alternativ können Sie einen Discovery-Job für sensible Daten erstellen und ausführen, um die Objekte des S3-Buckets auf sensible Daten zu untersuchen. Weitere Informationen finden Sie unter Aufspüren sensibler Daten mit Macie.

Wenn der Zugriff autorisiert wurde, können Sie die Erkenntnis ignorieren. In der https://console.aws.amazon.com/guardduty/Konsole können Sie Regeln einrichten, um einzelne Ergebnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn Sie feststellen, dass Ihre S3-Daten offengelegt wurden oder von Unbefugten darauf zugegriffen wurde, lesen Sie sich die folgenden S3-Sicherheitsempfehlungen durch, um die Zugriffsrechte zu verschärfen und den Zugriff einzuschränken. Welche Lösungen für die Behebung geeignet sind, hängt von den Anforderungen Ihrer spezifischen Umgebung ab.

Empfehlungen, die auf spezifischen Zugriffsanforderungen für S3-Buckets basieren

Die folgende Liste enthält Empfehlungen, die auf spezifischen Zugriffsanforderungen für Amazon S3 S3-Buckets basieren:

  • Um den öffentlichen Zugriff auf Ihre S3-Datennutzung zentral einzuschränken, blockiert S3 den öffentlichen Zugriff. Die Einstellungen zum Blockieren des öffentlichen Zugriffs können für Access Points, Buckets und AWS Konten über vier verschiedene Einstellungen aktiviert werden, um die Granularität des Zugriffs zu steuern. Weitere Informationen finden Sie unter Einstellungen von S3 Block Public Access.

  • AWS Mithilfe von Zugriffsrichtlinien können Sie steuern, wie IAM Benutzer auf Ihre Ressourcen oder auf Ihre Buckets zugreifen können. Weitere Informationen dazu finden Sie unter Verwendung von Bucket-Richtlinien und Benutzerrichtlinien.

    Darüber hinaus können Sie Virtual Private Cloud (VPC) -Endpunkte mit S3-Bucket-Richtlinien verwenden, um den Zugriff auf bestimmte VPC Endpunkte zu beschränken. Weitere Informationen finden Sie unter Beispiel für Bucket-Richtlinien für VPC Endgeräte für Amazon S3.

  • Um vertrauenswürdigen Entitäten außerhalb Ihres Kontos vorübergehend den Zugriff auf Ihre S3-Objekte zu gewähren, können Sie eine URL über S3 vorsignierte Version erstellen. Dieser Zugriff wird mit Ihren Konto-Anmeldeinformationen erstellt und kann je nach den verwendeten Anmeldeinformationen 6 Stunden bis 7 Tage dauern. Weitere Informationen finden Sie unter URLsMit S3 vorsignierte Generierung.

  • Für Anwendungsfälle, die die gemeinsame Nutzung von S3-Objekten zwischen verschiedenen Quellen erfordern, können Sie S3-Zugangspunkte verwenden, um Berechtigungssätze zu erstellen, die den Zugriff nur auf diejenigen innerhalb Ihres privaten Netzwerks beschränken. Weitere Informationen finden Sie unter Verwalten des Datenzugriffs mit Amazon S3 Access Points.

  • Um anderen AWS Konten sicheren Zugriff auf Ihre S3-Ressourcen zu gewähren, können Sie eine Zugriffskontrollliste (ACL) verwenden. Weitere Informationen finden Sie unter S3-Zugriff verwalten mit ACLs.

Weitere Informationen zu den S3-Sicherheitsoptionen finden Sie unter Bewährte Methoden für S3-Sicherheit.