Corregir un bucket de S3 potencialmente comprometido

Siga estos pasos recomendados para corregir un bucket de Amazon S3 potencialmente comprometido en su AWS entorno:

1. Identifique el recurso de S3 potencialmente comprometido.

   Si se GuardDuty busca S3, se mostrará el bucket de S3 asociado, su nombre de recurso de Amazon (ARN) y su propietario en los detalles de búsqueda.

2. Identifique el origen de la actividad sospechosa y la API llamada utilizada.

   La API llamada utilizada aparecerá API en la lista de detalles del hallazgo. La fuente será un IAM director (ya sea un IAM rol, un usuario o una cuenta) y los detalles de identificación figurarán en el hallazgo. Según el tipo de origen, estará disponible la dirección IP remota o la información del dominio de origen, lo que puede ayudarle a evaluar si el origen fue autorizado. Si el hallazgo involucró credenciales de una EC2 instancia de Amazon, también se incluirán los detalles de ese recurso.

3. Determine si el origen de la llamada tenía autorización para acceder al recurso identificado.

   Por ejemplo, considere lo siguiente:

   • Si un IAM usuario estuvo implicado, ¿es posible que sus credenciales se hayan visto comprometidas? Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

   • Si una ha API sido invocada desde un director que no tiene un historial previo de invocación de este tipoAPI, ¿necesita esta fuente permisos de acceso para esta operación? ¿Se pueden restringir aún más los permisos del bucket?

   • Si el acceso se vio desde nombre de usuario ANONYMOUS_PRINCIPAL con el tipo de usuario de la AWSAccount, esto indica que el bucket es público y se ha accedido a él. ¿Este bucket debería ser público? Si no es así, consulte las siguientes recomendaciones de seguridad para encontrar soluciones alternativas al uso compartido de los recursos de S3.

   • Si el acceso se realizó mediante una PreflightRequest llamada correcta desde el nombre de usuario ANONYMOUS_PRINCIPAL con el tipo de usuario, AWSAccount esto indica que el depósito tiene establecida una política de intercambio de recursos (CORS) entre orígenes. ¿Debería tener una CORS política este depósito? Si no es así, asegúrese de que el bucket no sea inadvertidamente público y revise las recomendaciones de seguridad que aparecen a continuación en busca de soluciones alternativas al uso compartido de los recursos de S3. Para obtener más información sobre CORS cómo utilizar el intercambio de recursos entre orígenes (CORS) en la guía del usuario de S3.

4. Determine si el bucket de S3 contiene datos confidenciales.

   Utilice Amazon Macie para determinar si el bucket de S3 contiene datos confidenciales, como información de identificación personal (PII), datos financieros o credenciales. Si la detección automática de datos confidenciales está habilitada para su cuenta de Macie, revise los detalles del bucket de S3 para comprender mejor su contenido. Si esta característica está deshabilitada en su cuenta de Macie, se recomienda que la active para agilizar la evaluación. Como alternativa, puede crear y ejecutar un trabajo de detección de datos confidenciales para inspeccionar los objetos del bucket de S3 en busca de datos confidenciales. Para más información, consulte Discovering sensitive data with Macie.

Si se autorizó el acceso, puede ignorar el resultado. La https://console.aws.amazon.com/guardduty/consola le permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte Reglas de supresión.

Si determina que una persona no autorizada ha expuesto sus datos de S3 o ha accedido a ellos, revise las siguientes recomendaciones de seguridad de S3 para reforzar los permisos y restringir el acceso. Las soluciones de corrección adecuadas dependerán de las necesidades de su entorno específico.

Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3

La siguiente lista proporciona recomendaciones basadas en las necesidades específicas de acceso a los buckets de Amazon S3:

• Para limitar el acceso público al uso de datos de S3 de forma centralizada, S3 bloquea el acceso público. La configuración de bloqueo de acceso público se puede habilitar para los puntos de acceso, los depósitos y AWS las cuentas mediante cuatro configuraciones diferentes para controlar la granularidad del acceso. Para obtener más información, consulte Configuración del Bloqueo de acceso público de S3.

• AWS Las políticas de acceso se pueden usar para controlar cómo IAM los usuarios pueden acceder a sus recursos o cómo pueden acceder a sus depósitos. Para obtener más información, consulte Uso de políticas de bucket y de usuario.

  Además, puedes usar los puntos de conexión de Virtual Private Cloud (VPC) con políticas de bucket de S3 para restringir el acceso a puntos de enlace específicosVPC. Para obtener más información, consulte Ejemplos de políticas de bucket para VPC puntos de conexión para Amazon S3.

• Para permitir temporalmente el acceso a sus objetos de S3 a entidades de confianza ajenas a su cuenta, puede crear un prefirmado URL a través de S3. Este acceso se crea con las credenciales de su cuenta y, según las credenciales utilizadas, puede durar de 6 horas a 7 días. Para obtener más información, consulte Generar prefirmados URLs con S3.

• Para los casos de uso que requieren el uso compartido de objetos de S3 entre distintos orígenes, puede utilizar los puntos de acceso de S3 para crear conjuntos de permisos que restrinjan el acceso únicamente a los que están dentro de su red privada. Para obtener más información, consulte Administración del acceso a datos con puntos de acceso de Amazon S3.

• Para conceder acceso seguro a sus recursos de S3 a otras AWS cuentas, puede utilizar una lista de control de acceso (ACL). Para obtener más información, consulte Administrar el acceso a S3 con ACLs.

Para obtener más información sobre las opciones de seguridad de S3, consulte las prácticas recomendadas de seguridad de S3.