Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon S3
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Simple Storage Service (Amazon S3).
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público
importante
El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::::Account
Regla de AWS Config : s3-account-level-public-access-blocks-periodic
Tipo de programa: Periódico
Parámetros:
-
ignorePublicAcls
:true
(no personalizable) -
blockPublicPolicy
:true
(no personalizable) -
blockPublicAcls
:true
(no personalizable) -
restrictPublicBuckets
:true
(no personalizable)
Este control comprueba si los ajustes anteriores de bloqueo de acceso público de Amazon S3 están configurados a nivel de cuenta para un bucket de uso general de S3. El control falla si una o más de las configuraciones de bloqueo de acceso público están configuradas enfalse
.
El control falla si alguna de las configuraciones se ha establecido como false
o si alguna de las configuraciones no está configurada.
El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket S3 completo Cuenta de AWS o individual para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.
A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de cuenta.
Para obtener más información, consulte Uso de Bloqueo de acceso público de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Corrección
Para habilitar el acceso público por bloqueo de Amazon S3 para usted Cuenta de AWS, consulte Configuración de los ajustes de bloqueo de acceso público para su cuenta en la Guía del usuario de Amazon Simple Storage Service.
[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-public-read-prohibited
Tipo de programa: periódico y activado por cambios
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de lectura público. Evalúa la configuración de acceso público a los bloques, la política del bucket y la lista de control de acceso al bucket (ACL). El control falla si el depósito permite el acceso de lectura público.
Algunos casos de uso probablemente requieran que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.
Corrección
Para bloquear el acceso público de lectura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Configuración de red segura
Gravedad: crítica
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-public-write-prohibited
Tipo de programa: periódico y activado por cambios
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de escritura público. Evalúa la configuración de acceso público a los bloques, la política del bucket y la lista de control de acceso al bucket (ACL). El control falla si el depósito permite el acceso de escritura público.
Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.
Corrección
Para bloquear el acceso público de escritura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL
importante
El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-ssl-requests-only
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 tiene una política que exija solicitudes de usoSSL. El control falla si la política de buckets no requiere solicitudes de usoSSL.
Los buckets de S3 deben tener políticas que exijan que todas las solicitudes (Action: S3:*
) solo acepten la transmisión de datos a través HTTPS de la política de recursos de S3, indicada mediante la clave aws:SecureTransport
de condición.
Corrección
Para actualizar una política de bucket de Amazon S3 para denegar el transporte no seguro, consulte Añadir una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
Añada una declaración de política similar a la de la siguiente política. Sustituya amzn-s3-demo-bucket
por el nombre del bucket que está modificando.
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
Para obtener más información, consulte ¿Qué política de cubos de S3 debo usar para cumplir con la AWS Config regla s3-? bucket-ssl-requests-only
[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger > Gestión del acceso seguro > Operaciones confidenciales restringidas API
Gravedad: alta
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config: s3-bucket-blacklisted-actions-prohibited
Tipo de horario: provocado por un cambio
Parámetros:
-
blacklistedactionpatterns
:s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl
(no personalizable)
Este control comprueba si una política de bucket de uso general de Amazon S3 impide que los directores de otros Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control falla si la política de bucket permite una o más de las acciones anteriores para un principal en otro Cuenta de AWS.
La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si una política de buckets S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.
El parámetro blacklistedactionpatterns
permite evaluar correctamente la regla para los buckets S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en la lista de blacklistedactionpatterns
.
Corrección
Para actualizar una política de bucket de Amazon S3 para eliminar permisos, consulte. Agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
En la página Editar política de bucket, en el cuadro de texto de edición de políticas, lleve a cabo una de las siguientes acciones:
-
Elimine las declaraciones que otorgan a otras Cuentas de AWS el acceso a las acciones denegadas.
-
Elimine las acciones denegadas permitidas de las declaraciones.
[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST .800-53.r5 SI-13 NIST.800-53.r5 SC-5 (5)
Categoría: Proteger - Administración de acceso seguro
Gravedad: baja
Tipo de recurso: AWS::S3::Bucket
AWS Config regla: s3-bucket-cross-region-replication-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones.
La replicación consiste en la copia automática y asincrónica de objetos entre depósitos iguales o diferentes. Regiones de AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Las mejores prácticas de AWS recomiendan la replicación de los buckets de origen y destino que son propiedad de la misma Cuenta de AWS. Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.
Este control FAILED
busca un depósito de destino de replicación si no tiene habilitada la replicación entre regiones. Si hay una razón legítima por la que el depósito de destino no necesita que se habilite la replicación entre regiones, puedes suprimir las búsquedas de este depósito.
Corrección
Para habilitar la replicación entre regiones en un bucket S3, consulte Configuración de la replicación para los buckets de origen y destino que pertenecen a la misma cuenta en la Guía del usuario de Amazon Simple Storage Service. En el Bucket de origen, seleccione Aplicar a todos los objetos del bucket.
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoría: Proteger - Administración de acceso seguro > Control de acceso
Gravedad: alta
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-level-public-access-prohibited
Tipo de horario: provocado por un cambio
Parámetros:
-
excludedPublicBuckets
(no personalizable): una lista separada por comas de nombres de buckets de S3 públicos permitidos conocidos
Este control comprueba si un bucket de uso general de Amazon S3 bloquea el acceso público a nivel de bucket. El control falla si alguna de las siguientes configuraciones está establecida enfalse
:
-
ignorePublicAcls
-
blockPublicPolicy
-
blockPublicAcls
-
restrictPublicBuckets
Block Public Access a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.
A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de bucket.
Corrección
Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon S3.
[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor
importante
El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el registro de acceso al servidor está habilitado para un bucket de uso general de Amazon S3. El control falla si el registro de acceso al servidor no está habilitado. Cuando activa el registro, Amazon S3 envía los registros de acceso de un bucket de origen a un bucket de destino que usted selecciona. El depósito de destino debe estar en el Región de AWS mismo lugar que el depósito de origen y no debe tener configurado un período de retención predeterminado. El bucket de registro de destino no necesita tener activado el registro de acceso al servidor, por lo que debe suprimir los resultados de este bucket.
El registro de acceso al servidor brinda registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon S3: Habilitar el registro de acceso al servidor de Amazon S3.
Corrección
Para habilitar el registro de acceso al servidor Amazon S3, consulte Habilitar el registro de acceso al servidor Amazon S3 en la Guía del usuario de Amazon S3.
[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Security Hub retiró este control en abril de 2024 del estándar AWS Foundational Security Best Practices v1.0.0, pero sigue incluido en el estándar NIST SP 800-53 Rev. 5. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5NIST)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-version-lifecycle-policy-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket versionado de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida.
Le recomendamos crear una configuración de ciclo de vida para su bucket de S3 que le ayude a definir las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto.
Corrección
Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y Administrar el ciclo de vida de almacenamiento.
[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos
importante
El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Security Hub retiró este control en abril de 2024 del estándar AWS Foundational Security Best Practices v1.0.0, pero sigue incluido en el estándar NIST SP 800-53 Rev. 5:. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST .800-53.r5 SI-3 (8) NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (4) NIST NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-event-notifications-enabled
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
Lista de tipos de eventos de S3 preferidos |
EnumList (máximo de 28 artículos) |
|
Sin valor predeterminado |
Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de uso general de Amazon S3. El control falla si las notificaciones de eventos de S3 no están habilitadas en el bucket. Si proporciona valores personalizados para el eventTypes
parámetro, el control solo se transfiere si las notificaciones de eventos están habilitadas para los tipos de eventos especificados.
Al habilitar las notificaciones de eventos de S3, recibirá alertas cuando se produzcan eventos específicos que afecten a sus grupos de S3. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que puedan provocar el acceso no autorizado a los datos.
Corrección
Para obtener información sobre la detección de cambios en los buckets y objetos S3, consulte Notificaciones de eventos de Amazon S3 en la Guía del usuario de Amazon S3.
[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoría: Proteger - Administración de acceso seguro > Control de acceso
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-acl-prohibited
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 proporciona permisos de usuario con una lista de control de acceso (ACL). El control falla si ACL hay una configuración para administrar el acceso de los usuarios al bucket.
ACLsson mecanismos de control de acceso heredados que son anterioresIAM. En lugar de hacerloACLs, le recomendamos que utilice políticas de bucket de S3 o políticas AWS Identity and Access Management (IAM) para administrar el acceso a sus buckets de S3.
Corrección
Para superar este control, debes inhabilitarlo ACLs para tus buckets de S3. Para obtener instrucciones, consulta Cómo controlar la propiedad de los objetos y deshabilitar ACLs tu depósito en la Guía del usuario de Amazon Simple Storage Service.
Para crear una política de bucket S3, consulte Agregar una política de bucket mediante la consola de Amazon S3. Para crear una política IAM de usuario en un bucket de S3, consulte Controlar el acceso a un bucket con políticas de usuario.
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
importante
El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoría: Proteger > Protección de datos
Gravedad: baja
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-lifecycle-policy-check
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
Número de días después de crear los objetos cuando estos se trasladan a una clase de almacenamiento específico |
Entero |
De |
Sin valor predeterminado |
|
Número de días después de crear los objetos cuando estos se eliminan |
Entero |
De |
Sin valor predeterminado |
|
Tipo de clase de almacenamiento de S3 de destino |
Enum |
|
Sin valor predeterminado |
Este control comprueba si un bucket de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida. Si proporciona valores personalizados para uno o varios de los parámetros anteriores, el control solo pasa si la política incluye la clase de almacenamiento, el tiempo de eliminación o el tiempo de transición especificados.
Al crear una configuración de ciclo de vida para su bucket de S3, se definen las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto. Por ejemplo, puede realizar la transición de objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.
Corrección
Para obtener información sobre cómo configurar las políticas de ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y consulte Administrar el ciclo de vida de almacenamiento en la Guía del usuario de Amazon S3.
[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones
importante
El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Requisitos relacionados: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Gravedad: baja
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config : s3-bucket-versioning-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 tiene activado el control de versiones. El control falla si se suspende el control de versiones del bucket.
El control de versiones conserva diversas variantes de un objeto en el mismo bucket de S3. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones anteriores de los objetos almacenados en su bucket de S3. EL control de versiones de S3 le ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación.
sugerencia
A medida que aumenta el número de objetos en un depósito debido al control de versiones, puede configurar una configuración de ciclo de vida para archivar o eliminar automáticamente los objetos versionados según las reglas. Para obtener más información, consulte Administración del ciclo de vida de los objetos versionados de Amazon S3
Corrección
Para usar el control de versiones en un bucket de S3, consulte Habilitar el control de versiones en buckets en la Guía del usuario de Amazon S3.
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
importante
El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Requisitos relacionados: NIST .800-53.r5 CP-6 (2)
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
AWS Config regla: s3-bucket-default-lock-enabled
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
|
Modo de retención de Bloqueo de objetos de S3 |
Enum |
|
Sin valor predeterminado |
Este control comprueba si un bucket de uso general de Amazon S3 tiene activado Object Lock. El control falla si Object Lock no está habilitado para el depósito. Si proporciona un valor personalizado para el parámetro mode
, el control solo pasa si el Bloqueo de objetos de S3 utiliza el modo de retención especificado.
Puede usar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). S3 Bloqueo de objetos puede ayudar a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede usar S3 Object Lock para cumplir con los requisitos normativos que requieren WORM almacenamiento o añadir un nivel adicional de protección contra los cambios y la eliminación de objetos.
Corrección
Para configurar Bloqueo de objetos para buckets de S3 nuevos y existentes, consulte Configuración del Bloqueo de objetos de S3 en la Guía del usuario de Amazon S3.
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
importante
El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Categoría: Proteger > Protección de datos > Cifrado de data-at-rest
Requisitos relacionados: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-2 (10), NIST.800-53.r5 SC-7 (1), NIST .800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), .800-53.r5 AU-9 NIST
Gravedad: media
Tipo de recurso: AWS::S3::Bucket
AWS Config regla: s3-default-encryption-kms
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un bucket de uso general de Amazon S3 está cifrado con un AWS KMS key (SSE- KMS o DSSE -KMS). El control falla si el depósito está cifrado con el cifrado predeterminado (SSE-S3).
El cifrado del lado del servidor (SSE) es el cifrado de los datos en su destino por parte de la aplicación o el servicio que los recibe. A menos que especifique lo contrario, los buckets de S3 utilizan las claves gestionadas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del lado del servidor. Sin embargo, para un mayor control, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con AWS KMS keys (- o -) en su lugar. SSE KMS DSSE KMS Amazon S3 cifra los datos a nivel de objeto a medida que los escribe en los discos de los centros de AWS datos y los descifra automáticamente cuando accede a ellos.
Corrección
Para cifrar un bucket de S3 mediante SSE -KMS, consulte Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3. Para cifrar un bucket de S3 mediante DSSE -KMS, consulte Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS) en la Guía del usuario de Amazon S3.
[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
Gravedad: crítica
Tipo de recurso: AWS::S3::AccessPoint
AWS Config regla: s3-access-point-public-access-blocks
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un punto de acceso de Amazon S3 tiene habilitada la configuración de Bloqueo de acceso público. Se produce un error en el control si la configuración de Bloqueo de acceso público no está habilitada para el punto de acceso.
La característica Bloqueo de acceso público de Amazon S3 ayuda a administrar el acceso a sus recursos de S3 en tres niveles: cuenta, bucket y punto de acceso. La configuración de cada nivel se puede configurar de forma independiente, lo que permite tener diferentes niveles de restricciones de acceso público para los datos. La configuración del punto de acceso no puede anular individualmente la configuración más restrictiva en los niveles superiores (nivel de cuenta o bucket asignado al punto de acceso). Por el contrario, la configuración a nivel del punto de acceso es acumulativa, lo que significa que complementa la configuración de los demás niveles y funciona junto con esta. A menos que pretenda que un punto de acceso de S3 sea de acceso público, debe habilitar la configuración de Bloqueo de acceso público.
Corrección
Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso. Todas las configuraciones de Bloqueo de acceso público están habilitadas de forma predeterminada al crear un punto de acceso nuevo. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Para más información, consulte Administración de acceso público a puntos de acceso en la Guía del usuario de Amazon Simple Storage Service.
[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA
Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: baja
Tipo de recurso: AWS::S3::Bucket
AWS Config regla: s3-bucket-mfa-delete-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si la eliminación de la autenticación multifactorial (MFA) está habilitada en un bucket versionado de uso general de Amazon S3. El control falla si la MFA eliminación no está habilitada en el bucket. El control no produce resultados para los depósitos que tienen una configuración de ciclo de vida.
Al trabajar con el control de versiones de S3 en los buckets de Amazon S3, si lo desea, puede añadir otra capa de seguridad configurando un depósito para permitir MFA la eliminación. Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket. MFAdelete proporciona seguridad adicional si sus credenciales de seguridad se ven comprometidas. MFAeliminar también puede ayudar a evitar que se eliminen bloques accidentalmente, ya que requiere que el usuario que inicia la acción de eliminación demuestre la posesión física de un MFA dispositivo con un MFA código y añade un nivel adicional de fricción y seguridad a la acción de eliminación.
nota
La función de MFA eliminación requiere el control de versiones en cubos como una dependencia. El control de versiones de buckets es un método para conservar diversas variantes de un objeto de S3 en el mismo bucket. Además, solo el propietario del bucket que haya iniciado sesión como usuario root puede habilitar la MFA eliminación y realizar acciones de eliminación en los buckets de S3.
Corrección
Para habilitar el control de versiones de S3 y configurar la MFA eliminación en un bucket, consulte Configuración de la MFA eliminación en la Guía del usuario de Amazon Simple Storage Service.
[S3.22] Los buckets de uso general de S3 deberían registrar los eventos de escritura a nivel de objeto
Requisitos relacionados: Foundations Benchmark v3.0.0/3.8 CIS AWS
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::::Account
AWS Config regla: cloudtrail-all-write-s3-data-event-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de escritura de datos de los buckets de Amazon S3. El control falla si la cuenta no tiene un registro multirregional que registre los eventos de escritura de datos para los buckets de S3.
Las operaciones de S3 a nivel de objeto, comoGetObject
, y DeleteObject
PutObject
, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de escritura de datos, puede registrar el acceso a cada objeto (archivo) individual dentro de un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarlo a cumplir con los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, monitorear patrones específicos de comportamiento de los usuarios en su Cuenta de AWS entorno y tomar medidas en relación con la API actividad a nivel de objeto dentro de sus buckets de S3 mediante Amazon Events. CloudWatch Este control produce un PASSED
resultado si configura un registro multirregional que registre eventos de datos de solo escritura o de todo tipo para todos los buckets de S3.
Corrección
Para habilitar el registro a nivel de objeto para los buckets de S3, consulte Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario de Amazon Simple Storage Service.
[S3.23] Los depósitos de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto
Requisitos relacionados: Foundations Benchmark v3.0.0/3.9 CIS AWS
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::::Account
AWS Config regla: cloudtrail-all-read-s3-data-event-check
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de datos de lectura de los buckets de Amazon S3. El control falla si la cuenta no tiene un registro multirregional que registre los eventos de lectura de datos de los buckets de S3.
Las operaciones de S3 a nivel de objeto, comoGetObject
, y DeleteObject
PutObject
, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de lectura de datos, puede registrar el acceso a cada objeto (archivo) individual dentro de un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarlo a cumplir con los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, monitorear patrones específicos de comportamiento de los usuarios en su Cuenta de AWS entorno y tomar medidas en relación con la API actividad a nivel de objeto dentro de sus buckets de S3 mediante Amazon Events. CloudWatch Este control produce un PASSED
resultado si configura un registro multirregional que registre eventos de datos de solo lectura o de todo tipo para todos los buckets de S3.
Corrección
Para habilitar el registro a nivel de objeto para los buckets de S3, consulte Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario de Amazon Simple Storage Service.
[S3.24] Los puntos de acceso multirregionales de S3 deben tener habilitada la configuración de bloqueo de acceso público
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: alta
Tipo de recurso: AWS::S3::MultiRegionAccessPoint
Regla de AWS Config : s3-mrap-public-access-blocked
(regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un punto de acceso multirregional de Amazon S3 tiene habilitada la configuración de bloqueo de acceso público. El control falla cuando el punto de acceso multirregional no tiene habilitada la configuración de bloqueo de acceso público.
Los recursos de acceso público pueden provocar accesos no autorizados, filtraciones de datos o explotación de vulnerabilidades. Restringir el acceso mediante medidas de autenticación y autorización ayuda a proteger la información confidencial y a mantener la integridad de sus recursos.
Corrección
De forma predeterminada, todos los ajustes de bloqueo de acceso público están habilitados para un punto de acceso multirregional S3. Para obtener más información, consulte Bloquear el acceso público con puntos de acceso multirregionales de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service. No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones.