Corregir las exposiciones de los buckets de Amazon S3

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

AWS Security Hub puede generar datos de exposición para los depósitos de Amazon Simple Storage Service (S3).

En la consola de Security Hub, el bucket de Amazon S3 implicado en la detección de una exposición y su información de identificación aparecen en la sección Recursos de los detalles de la búsqueda. De forma programática, puede recuperar los detalles de los recursos con el GetFindingsV2funcionamiento de la API Security Hub.

Tras identificar el recurso implicado en la detección de una exposición, puede eliminarlo si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus AWS costes. Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de característica.

Un único hallazgo de exposición contiene los problemas identificados en varios temas de remediación. Por el contrario, puede abordar un hallazgo de exposición y reducir su nivel de gravedad abordando solo un tema de remediación. Su enfoque de la remediación de riesgos depende de los requisitos y las cargas de trabajo de su organización.

nota

La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros recursos. AWS

Contenido

• Características de mala configuración de los buckets de Amazon S3

  • El bucket de Amazon S3 tiene el control de versiones deshabilitado

  • El bucket de Amazon S3 tiene el bloqueo de objetos desactivado

  • El bucket de Amazon S3 no está cifrado en reposo con AWS KMS claves

  • La eliminación de la autenticación multifactor (MFA) está deshabilitada en un bucket de Amazon S3 versionado

  • El bucket de Amazon S3 permite a los directores de otras AWS cuentas modificar los permisos del bucket.

• Características de accesibilidad de los buckets de Amazon S3

  • El bucket de Amazon S3 tiene acceso público

  • El bucket de Amazon S3 tiene acceso de lectura público

  • El bucket de Amazon S3 tiene acceso de escritura

  • El punto de acceso Amazon S3 tiene habilitada la configuración de acceso público

• Características de los datos confidenciales de los buckets de Amazon S3

  • Características de los datos confidenciales de los buckets de Amazon S3

Características de mala configuración de los buckets de Amazon S3

A continuación, se indican las características de los errores de configuración de los buckets de Amazon S3 y se sugieren los pasos para corregirlos.

El bucket de Amazon S3 tiene el control de versiones deshabilitado

El control de versiones de Amazon S3 le ayuda a mantener varias variantes de un objeto en el mismo depósito. Cuando el control de versiones está deshabilitado, Amazon S3 almacena solo la versión más reciente de cada objeto, lo que significa que si los objetos se eliminan o sobrescriben de forma accidental o malintencionada, no se pueden recuperar. Los depósitos habilitados para el control de versiones ofrecen protección contra la eliminación accidental, los fallos de las aplicaciones y los incidentes de seguridad, como los ataques de ransomware, en los que podrían producirse modificaciones o eliminaciones no autorizadas de los datos. Siguiendo las prácticas recomendadas de seguridad, recomendamos habilitar el control de versiones para los depósitos que contienen datos importantes que serían difíciles o imposibles de recrear si se perdieran.

1. Habilitar el control de versiones: para habilitar el control de versiones de Amazon S3 en un bucket, consulte Habilitar el versionado en buckets en la Guía del usuario de Amazon Simple Storage Service. Cuando habilite el control de versiones, considere la posibilidad de implementar reglas de ciclo de vida para administrar el almacenamiento, ya que el control de versiones mantendrá varias copias de los objetos.

El bucket de Amazon S3 tiene el bloqueo de objetos desactivado

Amazon S3 Object Lock proporciona un modelo write-once-read-many (WORM) para los objetos de Amazon S3, lo que impide que se eliminen o sobrescriban durante un período fijo o indefinidamente. Si el bloqueo de objetos está desactivado, sus objetos podrían ser eliminados, modificados o cifrados de forma accidental o malintencionada a causa de un ransomware. El bloqueo de objetos es especialmente importante para cumplir con los requisitos normativos que exigen el almacenamiento inmutable de los datos y para protegerse contra amenazas sofisticadas, como el ransomware, que pueden intentar cifrar los datos. Al habilitar Object Lock, puede aplicar políticas de retención como una capa adicional de protección de datos y crear una estrategia de respaldo inmutable para sus datos críticos. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que active Object Lock para evitar la modificación malintencionada de sus objetos.

1. Ten en cuenta que el bloqueo de objetos solo se puede activar al crear un depósito nuevo, por lo que tendrás que crear uno nuevo con el bloqueo de objetos activado. Para migraciones grandes, considere la posibilidad de utilizar Batch Operations para copiar los objetos al nuevo depósito. Antes de bloquear cualquier objeto, también debe habilitar el control de versiones y el bloqueo de objetos de Amazon S3 en un bucket. Como Object Lock solo se puede activar en depósitos nuevos, tendrá que migrar los datos existentes a un nuevo depósito con Object Lock activado. Configurar el bloqueo de objetos de Amazon S3: para obtener información sobre cómo configurar el bloqueo de objetos en un depósito, consulte ConfiguringAmazon S3Object Lock en la guía del usuario de Amazon Simple Storage Service. Tras configurar Object Lock, elija un modo de retención adecuado en función de su entorno.

El bucket de Amazon S3 no está cifrado en reposo con AWS KMS claves

Amazon S3 aplica el cifrado del lado del servidor con claves administradas de Amazon S3 como nivel de cifrado predeterminado para todos los buckets nuevos. Si bien las claves administradas de Amazon S3 ofrecen una protección de cifrado sólida, no ofrecen el mismo nivel de control de acceso y capacidades de auditoría que AWS Key Management Service las claves. Cuando se utilizan claves de KMS, el acceso a los objetos requiere permisos tanto para el bucket de Amazon S3 como para la clave de KMS que cifró el objeto. Esto es especialmente importante en el caso de los datos confidenciales, en los que se necesita un control pormenorizado sobre quién puede acceder a los objetos cifrados y un registro de auditoría exhaustivo del uso de las claves de cifrado. Siguiendo las prácticas recomendadas de seguridad, recomendamos utilizar claves KMS para cifrar los depósitos que contienen datos confidenciales o para entornos con requisitos de conformidad estrictos.

1. Configurar la clave de bucket de Amazon S3

   Para configurar un bucket para usar una clave de bucket de Amazon S3 para nuevos objetos, consulte Configurar su bucket para usar una clave de bucket de Amazon S3 con SSE-KMS para nuevos objetos en la Guía del usuario de Amazon Simple Storage Service. Para obtener información sobre cómo cifrar un objeto existente, consulte Cifrar objetos con Amazon S3 Batch Operations en el blog sobre AWS almacenamiento.

Al implementar el AWS KMS cifrado, tenga en cuenta lo siguiente:

• Administración de claves: decida si desea utilizar una clave AWS gestionada o una clave gestionada por el cliente (CMK). CMKs ofrezca a los clientes un control total sobre el ciclo de vida y el uso de sus claves. Para obtener más información sobre la diferencia entre estos dos tipos de claves, consulte las claves de AWS KMS en la Guía para AWS Key Management Service desarrolladores.

• Rotación de claves: para medidas de seguridad adicionales, habilite la rotación automática de claves para sus claves de KMS. Para obtener más información, consulte Habilitar la rotación automática de claves en la Guía para AWS Key Management Service desarrolladores.

La eliminación de la autenticación multifactor (MFA) está deshabilitada en un bucket de Amazon S3 versionado

La eliminación mediante autenticación multifactor (MFA) proporciona un nivel de seguridad adicional para su bucket de Amazon S3. Requiere una autenticación multifactorial para las operaciones destructivas de Amazon S3. Cuando la eliminación de MFA está deshabilitada, los usuarios con los permisos adecuados pueden eliminar permanentemente las versiones de los objetos o suspender el control de versiones en su bucket sin problemas de autenticación adicionales. La activación de la eliminación por MFA ayuda a proteger sus datos contra la eliminación no autorizada o accidental, lo que proporciona una protección mejorada contra los ataques de ransomware, las amenazas internas y los errores operativos. La eliminación con MFA es especialmente útil para los depósitos que contienen datos críticos o sensibles al cumplimiento y que deben protegerse contra la eliminación no autorizada. Siguiendo las prácticas recomendadas de seguridad, le recomendamos que habilite la MFA para sus buckets de Amazon S3.

1. Revise los tipos de MFA

   AWS admite los siguientes tipos de MFA. Si bien la autenticación con un dispositivo físico suele ofrecer una protección de seguridad más estricta, utilizar cualquier tipo de MFA es más seguro que desactivarla.

2. Aplique la MFA a nivel de política de recursos

   Utilice la clave de aws:MultiFactorAuthAge condición de una política de bucket para exigir la MFA para las operaciones confidenciales. Para obtener más información, consulte Requerir MFA en la Guía del usuario de Amazon Simple Storage Service.

3. Habilitar MFA

   Para habilitar la eliminación de MFA, primero asegúrese de que el control de versiones esté habilitado en su bucket de Amazon S3. La eliminación de MFA solo se admite en depósitos que tienen habilitado el control de versiones. Para obtener información sobre cómo habilitar el control de versiones de Amazon S3, consulte Habilitar el control de versiones en buckets en la Guía del usuario de Amazon Simple Storage Service. La eliminación de MFA no se puede activar a través de la consola de Amazon S3. Debe utilizar la API de Amazon S3 o la AWS CLI. Para obtener más información, consulte Configuración de la eliminación de MFA en la Guía del usuario de Amazon Simple Storage Service.

El bucket de Amazon S3 permite a los directores de otras AWS cuentas modificar los permisos del bucket.

Las políticas de bucket de Amazon S3 controlan el acceso a los buckets y objetos. Cuando las políticas de bucket permiten a los directores de otras AWS cuentas modificar los permisos del bucket, los usuarios no autorizados pueden volver a configurar el bucket. Si las credenciales principales externas se ven comprometidas, los usuarios no autorizados pueden hacerse con el control del bucket y provocar filtraciones de datos o interrupciones en el servicio. Siguiendo los principios de seguridad estándar, se AWS recomienda restringir las acciones de administración de permisos únicamente a los directores de confianza.

1. Revise e identifique las políticas de bucket

   En la exposición, identifique el bucket de Amazon S3 en el campo ARN. En la consola de Amazon S3, seleccione el bucket y vaya a la pestaña Permissions para revisar la política del bucket. Revise la política de permisos adjunta al bucket. Busca declaraciones de políticas que otorguen acciones similares s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* o declaraciones de políticas que permitan el acceso a entidades ajenas a tu cuenta, tal y como se indica en la declaración principal.

2. Modifica la política de cupos

   Modifica la política de depósitos para eliminar o restringir las acciones concedidas a otras AWS cuentas:

   • Elimine las declaraciones de política que otorgan a las cuentas externas acciones de administración de permisos.

   • Si se requiere el acceso entre cuentas, sustituya los permisos (s3:*) generales por acciones específicas que no incluyan la administración de permisos de los buckets.

   Para obtener información sobre la modificación de una política de bucket, consulte Añadir una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon S3.

Características de accesibilidad de los buckets de Amazon S3

Estas son las características de accesibilidad de los buckets de Amazon S3 y las medidas de corrección sugeridas.

El bucket de Amazon S3 tiene acceso público

De forma predeterminada, los buckets y objetos de Amazon S3 son privados, pero se pueden hacer públicos mediante diversas configuraciones. Si modifica las políticas de bucket, las políticas de puntos de acceso o los permisos de los objetos para permitir el acceso público, corre el riesgo de exponer los datos confidenciales.

1. Evalúe el depósito

   Evalúe si su depósito se puede convertir en privado en función de la política organizativa, los requisitos de cumplimiento o la clasificación de los datos. Si no pretendía conceder acceso al bucket al público o a otras personas Cuentas de AWS, siga las instrucciones de corrección restantes.

2. Configura el depósito para que sea privado

   Elija una de las siguientes opciones para configurar el acceso privado a su bucket de Amazon S3:

   • Nivel de cuenta: para bloquear el acceso público a todos los depósitos de tu cuenta mediante los ajustes a nivel de cuenta, consulta Configurar los ajustes de bloqueo de acceso público para tu cuenta en la Guía del usuario de Amazon Simple Storage Service.

   • Nivel de depósito: para bloquear el acceso público a un depósito específico, consulte Configuración de los ajustes de bloqueo de acceso público para sus depósitos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

   • ACL o políticas del bucket: para modificar la lista de control de acceso (ACL) del bucket, la política del bucket, la política del punto de acceso multirregional (MRAP) o la política del punto de acceso para eliminar el acceso público al bucket, consulte Revisar y cambiar el acceso al bucket en la Guía del usuario de Amazon Simple Storage Service. Si bloquea el acceso público a nivel de cuenta o de depósito, esos bloqueos tienen prioridad sobre una política que permita el acceso público.

El bucket de Amazon S3 tiene acceso de lectura público

Los buckets de Amazon S3 con acceso público de lectura permiten que cualquier usuario de Internet vea el contenido de su bucket. Si bien esto puede ser necesario para los sitios web de acceso público o los recursos compartidos, puede generar riesgos de seguridad si el depósito contiene datos confidenciales. El acceso público de lectura puede provocar la visualización y descarga no autorizadas, lo que puede provocar violaciones de datos si se almacenan datos confidenciales en esos depósitos. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso a los buckets de Amazon S3 a los usuarios y sistemas necesarios.

1. Bloquee el acceso público a nivel de bucket

   Amazon S3 proporciona ajustes de bloqueo de acceso público que se pueden configurar tanto a nivel de bucket como de cuenta para impedir el acceso público independientemente de las políticas del bucket o ACLs. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service. Tras bloquear el acceso público, revise la configuración de control de acceso del bucket para asegurarse de que se ajusta a sus requisitos de acceso. A continuación, revise su política de bucket de Amazon S3 para definir de forma explícita quién puede acceder a su bucket. Para ver ejemplos de políticas de bucket, consulte Ejemplos de políticas de bucket de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

2. Métodos de acceso alternativos

   Si se requiere el acceso público de lectura, considere estas alternativas más seguras:

   • CloudFront— Úselo CloudFront con una identidad de acceso de origen (OAI) o un control de acceso de origen (OAC) para permitir el acceso de lectura desde un bucket privado de Amazon S3. Esta alternativa restringe el acceso directo a su bucket de Amazon S3 y, al mismo tiempo, permite que el contenido sea accesible públicamente a través CloudFront de él. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

   • Prefirmado URLs: utilice prefirmado URLs para acceder temporalmente a objetos específicos. Para obtener más información, consulte Compartir objetos con prefirmados URLs en la Guía del AWSAmazon usuario de S3.

El bucket de Amazon S3 tiene acceso de escritura

Los buckets de Amazon S3 con acceso de escritura público permiten que cualquier usuario de Internet cargue, modifique o elimine objetos de su bucket. Esto crea importantes riesgos de seguridad, incluida la posibilidad de que alguien suba archivos maliciosos, modifique los archivos existentes y elimine datos. El acceso de escritura pública crea vulnerabilidades de seguridad que pueden ser aprovechadas por los atacantes. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso de escritura a sus buckets de Amazon S3 solo a los usuarios y sistemas necesarios.

1. Bloquee el acceso público a nivel de cuenta y de depósito

   Amazon S3 proporciona ajustes de acceso público en bloque que se pueden configurar tanto a nivel de bucket como de cuenta para impedir el acceso público independientemente de las políticas del bucket o ACLs. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

2. Modifique las políticas de bucket

   Si desea utilizar un enfoque más detallado para eliminar el acceso público de escritura, revise la política de buckets. Puede buscars3:PutObject,s3:DeleteObject, os3:*. Para obtener más información sobre la administración de las políticas de bucket, consulte Políticas de bucket para Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

3. Métodos de acceso alternativos Si se requiere un acceso de lectura público, considere estas alternativas más seguras:

   • CloudFront— Úselo CloudFront con una identidad de acceso de origen (OAI) o un control de acceso de origen (OAC) para permitir el acceso de lectura desde un bucket privado de Amazon S3. Esta alternativa restringe el acceso directo a su bucket de Amazon S3 y, al mismo tiempo, permite que el contenido sea accesible públicamente a través CloudFront de él. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

   • Prefirmado URLs: utilice prefirmado URLs para acceder temporalmente a objetos específicos. Para obtener más información, consulte Compartir objetos prefirmados URLs en la Guía del usuario de Amazon Simple Storage Service.

El punto de acceso Amazon S3 tiene habilitada la configuración de acceso público

Los puntos de acceso de Amazon S3 proporcionan un acceso personalizado a los conjuntos de datos compartidos en los buckets de Amazon S3. Al habilitar el acceso público a un punto de acceso, cualquier usuario de Internet podrá acceder a sus datos. Siguiendo los principios de seguridad estándar, AWS recomienda restringir el acceso público a los puntos de acceso de Amazon S3.

1. Cree un nuevo punto de acceso con el bloqueo de acceso público activado

   Amazon S3 no admite cambiar la configuración de acceso público de un punto de acceso una vez creado un punto de acceso. Para obtener información sobre la creación de un punto de acceso, consulte Administrar el acceso público a los puntos de acceso para buckets de uso general en la Guía del usuario de Amazon S3. Para obtener más información sobre la administración del acceso público a los puntos de acceso, consulte Creación de puntos de acceso para buckets de uso general en la Guía del usuario de Amazon S3.

Características de los datos confidenciales de los buckets de Amazon S3

Estas son las características de los datos confidenciales de los buckets de Amazon S3 y las medidas de corrección sugeridas.

Características de los datos confidenciales de los buckets de Amazon S3

Cuando Macie identifica datos confidenciales en sus depósitos de Amazon S3, indica posibles riesgos de seguridad y conformidad que requieren atención inmediata.

Los datos confidenciales pueden incluir:

• Credenciales

• Información de identificación personal

• Información financiera

• Contenido confidencial que requiere protección

Si los datos confidenciales quedan expuestos debido a una mala configuración o a un acceso no autorizado, podrían producirse infracciones de conformidad, filtraciones de datos, robo de identidad o pérdidas económicas. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda una clasificación adecuada de los datos y un monitoreo continuo de los datos confidenciales en sus buckets de Amazon S3.

Implemente controles para los datos confidenciales

En la búsqueda de exposición, elija el recurso Abierto. Revise el tipo de datos confidenciales detectados y su ubicación en el depósito. Para obtener ayuda para interpretar los hallazgos de Macie, consulte Tipos de hallazgos de Macie en la Guía del usuario de Amazon Macie.

En función del tipo de datos confidenciales descubiertos, implemente los controles de seguridad adecuados:

• Restrinja el acceso al depósito: revise los permisos del depósito para asegurarse de que siguen el principio del mínimo privilegio. Utilice las políticas de IAM y las políticas de bucket y restrinja el ACLs acceso. Para obtener más información, consulte Identity and Access Management for Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

• Habilite el cifrado del lado del servidor: habilite el cifrado del lado del servidor con claves y claves de KMS para una protección adicional. Para obtener más información, consulte Uso del cifrado del lado del servidor con claves de AWS KMS (SSE-KMS) en la Guía del usuario de Amazon Simple Storage Service.

• Uso AWS Glue DataBrew: utilícelo Glue DataBrew para la preparación y limpieza de datos. Para obtener más información, consulte Contenido de AWS Glue DataBrew la Guía para AWS Glue DataBrew desarrolladores.