Controles de Security Hub para Amazon S3 - AWS Security Hub
[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA[S3.22] Los buckets de uso general de S3 deberían registrar los eventos de escritura a nivel de objeto[S3.23] Los depósitos de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto[S3.24] Los puntos de acceso multirregionales de S3 deben tener habilitada la configuración de bloqueo de acceso público

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon S3

Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Simple Storage Service (Amazon S3).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

importante

El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : s3-account-level-public-access-blocks-periodic

Tipo de programa: Periódico

Parámetros:

  • ignorePublicAcls: true (no personalizable)

  • blockPublicPolicy: true (no personalizable)

  • blockPublicAcls: true (no personalizable)

  • restrictPublicBuckets: true (no personalizable)

Este control comprueba si los ajustes anteriores de bloqueo de acceso público de Amazon S3 están configurados a nivel de cuenta para un bucket de uso general de S3. El control falla si una o más de las configuraciones de bloqueo de acceso público están configuradas enfalse.

El control falla si alguna de las configuraciones se ha establecido como false o si alguna de las configuraciones no está configurada.

El bloque de acceso público de Amazon S3 está diseñado para proporcionar controles a nivel de bucket S3 completo Cuenta de AWS o individual para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de cuenta.

Para obtener más información, consulte Uso de Bloqueo de acceso público de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Corrección

Para habilitar el acceso público por bloqueo de Amazon S3 para usted Cuenta de AWS, consulte Configuración de los ajustes de bloqueo de acceso público para su cuenta en la Guía del usuario de Amazon Simple Storage Service.

[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-public-read-prohibited

Tipo de programa: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de lectura público. Evalúa la configuración de acceso público a los bloques, la política del bucket y la lista de control de acceso al bucket (ACL). El control falla si el depósito permite el acceso de lectura público.

Algunos casos de uso probablemente requieran que todos en Internet puedan leer desde su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de lectura público.

Corrección

Para bloquear el acceso público de lectura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-public-write-prohibited

Tipo de programa: periódico y activado por cambios

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 permite el acceso de escritura público. Evalúa la configuración de acceso público a los bloques, la política del bucket y la lista de control de acceso al bucket (ACL). El control falla si el depósito permite el acceso de escritura público.

Algunos casos de uso requieren que todos en Internet puedan escribir en su bucket S3. Sin embargo, esas situaciones son poco habituales. Para garantizar la integridad y la seguridad de los datos, el bucket de S3 no debe tener acceso de escritura público.

Corrección

Para bloquear el acceso público de escritura en sus buckets de Amazon S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL

importante

El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-ssl-requests-only

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene una política que exija solicitudes de usoSSL. El control falla si la política de buckets no requiere solicitudes de usoSSL.

Los buckets de S3 deben tener políticas que exijan que todas las solicitudes (Action: S3:*) solo acepten la transmisión de datos a través HTTPS de la política de recursos de S3, indicada mediante la clave aws:SecureTransport de condición.

Corrección

Para actualizar una política de bucket de Amazon S3 para denegar el transporte no seguro, consulte Añadir una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Añada una declaración de política similar a la de la siguiente política. Sustituya amzn-s3-demo-bucket por el nombre del bucket que está modificando.

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }

Para obtener más información, consulte ¿Qué política de cubos de S3 debo usar para cumplir con la AWS Config regla s3-? bucket-ssl-requests-only en el Centro de Conocimiento AWS Oficial.

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Proteger > Gestión del acceso seguro > Operaciones confidenciales restringidas API

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de horario: provocado por un cambio

Parámetros:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl (no personalizable)

Este control comprueba si una política de bucket de uso general de Amazon S3 impide que los directores de otros Cuentas de AWS realicen acciones denegadas en los recursos del bucket de S3. El control falla si la política de bucket permite una o más de las acciones anteriores para un principal en otro Cuenta de AWS.

La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto de los errores o intentos malintencionados. Si una política de buckets S3 permite el acceso desde cuentas externas, podría provocar la exfiltración de datos por parte de una amenaza interna o de un atacante.

El parámetro blacklistedactionpatterns permite evaluar correctamente la regla para los buckets S3. El parámetro otorga acceso a cuentas externas para los patrones de acción que no están incluidos en la lista de blacklistedactionpatterns.

Corrección

Para actualizar una política de bucket de Amazon S3 para eliminar permisos, consulte. Agregar una política de bucket mediante la consola de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

En la página Editar política de bucket, en el cuadro de texto de edición de políticas, lleve a cabo una de las siguientes acciones:

  • Elimine las declaraciones que otorgan a otras Cuentas de AWS el acceso a las acciones denegadas.

  • Elimine las acciones denegadas permitidas de las declaraciones.

[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST .800-53.r5 SI-13 NIST.800-53.r5 SC-5 (5)

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-cross-region-replication-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene habilitada la replicación entre regiones. El control falla si el bucket no tiene habilitada la replicación entre regiones.

La replicación consiste en la copia automática y asincrónica de objetos entre depósitos iguales o diferentes. Regiones de AWS La replicación copia los objetos recientemente creados y las actualizaciones de objetos de un bucket de origen a un bucket o buckets de destino. Las mejores prácticas de AWS recomiendan la replicación de los buckets de origen y destino que son propiedad de la misma Cuenta de AWS. Además de la disponibilidad, debe plantearse otras configuraciones de protección de sistemas.

Este control FAILED busca un depósito de destino de replicación si no tiene habilitada la replicación entre regiones. Si hay una razón legítima por la que el depósito de destino no necesita que se habilite la replicación entre regiones, puedes suprimir las búsquedas de este depósito.

Corrección

Para habilitar la replicación entre regiones en un bucket S3, consulte Configuración de la replicación para los buckets de origen y destino que pertenecen a la misma cuenta en la Guía del usuario de Amazon Simple Storage Service. En el Bucket de origen, seleccione Aplicar a todos los objetos del bucket.

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: alta

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-level-public-access-prohibited

Tipo de horario: provocado por un cambio

Parámetros:

  • excludedPublicBuckets (no personalizable): una lista separada por comas de nombres de buckets de S3 públicos permitidos conocidos

Este control comprueba si un bucket de uso general de Amazon S3 bloquea el acceso público a nivel de bucket. El control falla si alguna de las siguientes configuraciones está establecida enfalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

Block Public Access a nivel de bucket de S3 proporciona controles para garantizar que los objetos nunca tengan acceso público. El acceso público se concede a los depósitos y objetos mediante listas de control de acceso (ACLs), políticas de depósitos o ambas.

A menos que quiera que se pueda acceder públicamente a sus buckets de S3, debe configurar la característica de Bloqueo de acceso público de Amazon S3 de nivel de bucket.

Corrección

Para obtener información sobre cómo eliminar el acceso público a nivel de bucket, consulte Bloquear el acceso público a su almacenamiento de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor

importante

El 12 de marzo de 2024, el título de este control cambió por el título que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si el registro de acceso al servidor está habilitado para un bucket de uso general de Amazon S3. El control falla si el registro de acceso al servidor no está habilitado. Cuando activa el registro, Amazon S3 envía los registros de acceso de un bucket de origen a un bucket de destino que usted selecciona. El depósito de destino debe estar en el Región de AWS mismo lugar que el depósito de origen y no debe tener configurado un período de retención predeterminado. El bucket de registro de destino no necesita tener activado el registro de acceso al servidor, por lo que debe suprimir los resultados de este bucket.

El registro de acceso al servidor brinda registros detallados de las solicitudes realizadas a un bucket. Los registros de acceso al servidor pueden ayudar en auditorías de acceso y seguridad. Para obtener más información, consulte Prácticas recomendadas de seguridad para Amazon S3: Habilitar el registro de acceso al servidor de Amazon S3.

Corrección

Para habilitar el registro de acceso al servidor Amazon S3, consulte Habilitar el registro de acceso al servidor Amazon S3 en la Guía del usuario de Amazon S3.

[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Security Hub retiró este control en abril de 2024 del estándar AWS Foundational Security Best Practices v1.0.0, pero sigue incluido en el estándar NIST SP 800-53 Rev. 5. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5NIST)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-version-lifecycle-policy-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket versionado de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida.

Le recomendamos crear una configuración de ciclo de vida para su bucket de S3 que le ayude a definir las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto.

Corrección

Para obtener más información sobre la configuración del ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y Administrar el ciclo de vida de almacenamiento.

[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos

importante

El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Security Hub retiró este control en abril de 2024 del estándar AWS Foundational Security Best Practices v1.0.0, pero sigue incluido en el estándar NIST SP 800-53 Rev. 5:. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST .800-53.r5 SI-3 (8) NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (4) NIST NIST

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-event-notifications-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

eventTypes

Lista de tipos de eventos de S3 preferidos

EnumList (máximo de 28 artículos)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

Sin valor predeterminado

Este control comprueba si las notificaciones de eventos de S3 están habilitadas en un bucket de uso general de Amazon S3. El control falla si las notificaciones de eventos de S3 no están habilitadas en el bucket. Si proporciona valores personalizados para el eventTypes parámetro, el control solo se transfiere si las notificaciones de eventos están habilitadas para los tipos de eventos especificados.

Al habilitar las notificaciones de eventos de S3, recibirá alertas cuando se produzcan eventos específicos que afecten a sus grupos de S3. Por ejemplo, puede recibir notificaciones sobre la creación, eliminación y restauración de objetos. Estas notificaciones pueden alertar a los equipos pertinentes sobre modificaciones accidentales o intencionales que puedan provocar el acceso no autorizado a los datos.

Corrección

Para obtener información sobre la detección de cambios en los buckets y objetos S3, consulte Notificaciones de eventos de Amazon S3 en la Guía del usuario de Amazon S3.

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro > Control de acceso

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-acl-prohibited

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 proporciona permisos de usuario con una lista de control de acceso (ACL). El control falla si ACL hay una configuración para administrar el acceso de los usuarios al bucket.

ACLsson mecanismos de control de acceso heredados que son anterioresIAM. En lugar de hacerloACLs, le recomendamos que utilice políticas de bucket de S3 o políticas AWS Identity and Access Management (IAM) para administrar el acceso a sus buckets de S3.

Corrección

Para superar este control, debes inhabilitarlo ACLs para tus buckets de S3. Para obtener instrucciones, consulta Cómo controlar la propiedad de los objetos y deshabilitar ACLs tu depósito en la Guía del usuario de Amazon Simple Storage Service.

Para crear una política de bucket S3, consulte Agregar una política de bucket mediante la consola de Amazon S3. Para crear una política IAM de usuario en un bucket de S3, consulte Controlar el acceso a un bucket con políticas de usuario.

[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida

importante

El 12 de marzo de 2024, el título de este control cambió por el que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoría: Proteger > Protección de datos

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-lifecycle-policy-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

targetTransitionDays

Número de días después de crear los objetos cuando estos se trasladan a una clase de almacenamiento específico

Entero

De 1 a 36500

Sin valor predeterminado

targetExpirationDays

Número de días después de crear los objetos cuando estos se eliminan

Entero

De 1 a 36500

Sin valor predeterminado

targetTransitionStorageClass

Tipo de clase de almacenamiento de S3 de destino

Enum

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

Sin valor predeterminado

Este control comprueba si un bucket de uso general de Amazon S3 tiene una configuración de ciclo de vida. El control falla si el bucket no tiene una configuración de ciclo de vida. Si proporciona valores personalizados para uno o varios de los parámetros anteriores, el control solo pasa si la política incluye la clase de almacenamiento, el tiempo de eliminación o el tiempo de transición especificados.

Al crear una configuración de ciclo de vida para su bucket de S3, se definen las acciones que desea que Amazon S3 lleve a cabo durante la vida útil de un objeto. Por ejemplo, puede realizar la transición de objetos a otra clase de almacenamiento, archivarlos o eliminarlos después de un periodo de tiempo especificado.

Corrección

Para obtener información sobre cómo configurar las políticas de ciclo de vida en un bucket de Amazon S3, consulte Establecer la configuración del ciclo de vida en un bucket y consulte Administrar el ciclo de vida de almacenamiento en la Guía del usuario de Amazon S3.

[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones

importante

El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Requisitos relacionados: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

Regla de AWS Config : s3-bucket-versioning-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 tiene activado el control de versiones. El control falla si se suspende el control de versiones del bucket.

El control de versiones conserva diversas variantes de un objeto en el mismo bucket de S3. Puede utilizar el control de versiones para conservar, recuperar y restaurar todas las versiones anteriores de los objetos almacenados en su bucket de S3. EL control de versiones de S3 le ayuda a recuperarse de acciones no deseadas del usuario y de errores de la aplicación.

sugerencia

A medida que aumenta el número de objetos en un depósito debido al control de versiones, puede configurar una configuración de ciclo de vida para archivar o eliminar automáticamente los objetos versionados según las reglas. Para obtener más información, consulte Administración del ciclo de vida de los objetos versionados de Amazon S3.

Corrección

Para usar el control de versiones en un bucket de S3, consulte Habilitar el control de versiones en buckets en la Guía del usuario de Amazon S3.

[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock

importante

El 12 de marzo de 2024, el título de este control cambió al que se muestra. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Requisitos relacionados: NIST .800-53.r5 CP-6 (2)

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-default-lock-enabled

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

mode

Modo de retención de Bloqueo de objetos de S3

Enum

GOVERNANCE, COMPLIANCE

Sin valor predeterminado

Este control comprueba si un bucket de uso general de Amazon S3 tiene activado Object Lock. El control falla si Object Lock no está habilitado para el depósito. Si proporciona un valor personalizado para el parámetro mode, el control solo pasa si el Bloqueo de objetos de S3 utiliza el modo de retención especificado.

Puede usar S3 Object Lock para almacenar objetos mediante un modelo write-once-read-many (WORM). S3 Bloqueo de objetos puede ayudar a evitar que se eliminen o se sobrescriban objetos durante un periodo de tiempo determinado o de manera indefinida. Puede usar S3 Object Lock para cumplir con los requisitos normativos que requieren WORM almacenamiento o añadir un nivel adicional de protección contra los cambios y la eliminación de objetos.

Corrección

Para configurar Bloqueo de objetos para buckets de S3 nuevos y existentes, consulte Configuración del Bloqueo de objetos de S3 en la Guía del usuario de Amazon S3.

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

importante

El 12 de marzo de 2024, el título de este control cambió por el título mostrado. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Requisitos relacionados: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), NIST.800-53.r5 SC-2 (10), NIST.800-53.r5 SC-7 (1), NIST .800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), .800-53.r5 AU-9 NIST

Gravedad: media

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-default-encryption-kms

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un bucket de uso general de Amazon S3 está cifrado con un AWS KMS key (SSE- KMS o DSSE -KMS). El control falla si el depósito está cifrado con el cifrado predeterminado (SSE-S3).

El cifrado del lado del servidor (SSE) es el cifrado de los datos en su destino por parte de la aplicación o el servicio que los recibe. A menos que especifique lo contrario, los buckets de S3 utilizan las claves gestionadas de Amazon S3 (SSE-S3) de forma predeterminada para el cifrado del lado del servidor. Sin embargo, para un mayor control, puede optar por configurar los buckets para que utilicen el cifrado del lado del servidor con AWS KMS keys (- o -) en su lugar. SSE KMS DSSE KMS Amazon S3 cifra los datos a nivel de objeto a medida que los escribe en los discos de los centros de AWS datos y los descifra automáticamente cuando accede a ellos.

Corrección

Para cifrar un bucket de S3 mediante SSE -KMS, consulte Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3. Para cifrar un bucket de S3 mediante DSSE -KMS, consulte Especificar el cifrado de doble capa del lado del servidor con AWS KMS keys (DSSE-KMS) en la Guía del usuario de Amazon S3.

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Categoría: Proteger > Gestión del acceso seguro > Recurso no accesible públicamente

Gravedad: crítica

Tipo de recurso: AWS::S3::AccessPoint

AWS Config regla: s3-access-point-public-access-blocks

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un punto de acceso de Amazon S3 tiene habilitada la configuración de Bloqueo de acceso público. Se produce un error en el control si la configuración de Bloqueo de acceso público no está habilitada para el punto de acceso.

La característica Bloqueo de acceso público de Amazon S3 ayuda a administrar el acceso a sus recursos de S3 en tres niveles: cuenta, bucket y punto de acceso. La configuración de cada nivel se puede configurar de forma independiente, lo que permite tener diferentes niveles de restricciones de acceso público para los datos. La configuración del punto de acceso no puede anular individualmente la configuración más restrictiva en los niveles superiores (nivel de cuenta o bucket asignado al punto de acceso). Por el contrario, la configuración a nivel del punto de acceso es acumulativa, lo que significa que complementa la configuración de los demás niveles y funciona junto con esta. A menos que pretenda que un punto de acceso de S3 sea de acceso público, debe habilitar la configuración de Bloqueo de acceso público.

Corrección

Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso. Todas las configuraciones de Bloqueo de acceso público están habilitadas de forma predeterminada al crear un punto de acceso nuevo. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Para más información, consulte Administración de acceso público a puntos de acceso en la Guía del usuario de Amazon Simple Storage Service.

[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: s3-bucket-mfa-delete-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si la eliminación de la autenticación multifactorial (MFA) está habilitada en un bucket versionado de uso general de Amazon S3. El control falla si la MFA eliminación no está habilitada en el bucket. El control no produce resultados para los depósitos que tienen una configuración de ciclo de vida.

Al trabajar con el control de versiones de S3 en los buckets de Amazon S3, si lo desea, puede añadir otra capa de seguridad configurando un depósito para permitir MFA la eliminación. Si lo hace, el propietario del bucket debe incluir dos formas de autenticación en cualquier solicitud para eliminar una versión o cambiar el estado de control de versiones del bucket. MFAdelete proporciona seguridad adicional si sus credenciales de seguridad se ven comprometidas. MFAeliminar también puede ayudar a evitar que se eliminen bloques accidentalmente, ya que requiere que el usuario que inicia la acción de eliminación demuestre la posesión física de un MFA dispositivo con un MFA código y añade un nivel adicional de fricción y seguridad a la acción de eliminación.

nota

La función de MFA eliminación requiere el control de versiones en cubos como una dependencia. El control de versiones de buckets es un método para conservar diversas variantes de un objeto de S3 en el mismo bucket. Además, solo el propietario del bucket que haya iniciado sesión como usuario root puede habilitar la MFA eliminación y realizar acciones de eliminación en los buckets de S3.

Corrección

Para habilitar el control de versiones de S3 y configurar la MFA eliminación en un bucket, consulte Configuración de la MFA eliminación en la Guía del usuario de Amazon Simple Storage Service.

[S3.22] Los buckets de uso general de S3 deberían registrar los eventos de escritura a nivel de objeto

Requisitos relacionados: Foundations Benchmark v3.0.0/3.8 CIS AWS

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::::Account

AWS Config regla: cloudtrail-all-write-s3-data-event-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de escritura de datos de los buckets de Amazon S3. El control falla si la cuenta no tiene un registro multirregional que registre los eventos de escritura de datos para los buckets de S3.

Las operaciones de S3 a nivel de objeto, comoGetObject, y DeleteObjectPutObject, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de escritura de datos, puede registrar el acceso a cada objeto (archivo) individual dentro de un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarlo a cumplir con los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, monitorear patrones específicos de comportamiento de los usuarios en su Cuenta de AWS entorno y tomar medidas en relación con la API actividad a nivel de objeto dentro de sus buckets de S3 mediante Amazon Events. CloudWatch Este control produce un PASSED resultado si configura un registro multirregional que registre eventos de datos de solo escritura o de todo tipo para todos los buckets de S3.

Corrección

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.23] Los depósitos de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto

Requisitos relacionados: Foundations Benchmark v3.0.0/3.9 CIS AWS

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::::Account

AWS Config regla: cloudtrail-all-read-s3-data-event-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si an Cuenta de AWS tiene al menos un rastro AWS CloudTrail multirregional que registre todos los eventos de datos de lectura de los buckets de Amazon S3. El control falla si la cuenta no tiene un registro multirregional que registre los eventos de lectura de datos de los buckets de S3.

Las operaciones de S3 a nivel de objeto, comoGetObject, y DeleteObjectPutObject, se denominan eventos de datos. De forma predeterminada, CloudTrail no registra los eventos de datos, pero puede configurar rutas para registrar los eventos de datos de los buckets de S3. Al habilitar el registro a nivel de objeto para los eventos de lectura de datos, puede registrar el acceso a cada objeto (archivo) individual dentro de un bucket de S3. Habilitar el registro a nivel de objeto puede ayudarlo a cumplir con los requisitos de conformidad de datos, realizar análisis de seguridad exhaustivos, monitorear patrones específicos de comportamiento de los usuarios en su Cuenta de AWS entorno y tomar medidas en relación con la API actividad a nivel de objeto dentro de sus buckets de S3 mediante Amazon Events. CloudWatch Este control produce un PASSED resultado si configura un registro multirregional que registre eventos de datos de solo lectura o de todo tipo para todos los buckets de S3.

Corrección

Para habilitar el registro a nivel de objeto para los buckets de S3, consulte Habilitar el registro de CloudTrail eventos para los buckets y objetos de S3 en la Guía del usuario de Amazon Simple Storage Service.

[S3.24] Los puntos de acceso multirregionales de S3 deben tener habilitada la configuración de bloqueo de acceso público

Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente

Gravedad: alta

Tipo de recurso: AWS::S3::MultiRegionAccessPoint

Regla de AWS Config : s3-mrap-public-access-blocked (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un punto de acceso multirregional de Amazon S3 tiene habilitada la configuración de bloqueo de acceso público. El control falla cuando el punto de acceso multirregional no tiene habilitada la configuración de bloqueo de acceso público.

Los recursos de acceso público pueden provocar accesos no autorizados, filtraciones de datos o explotación de vulnerabilidades. Restringir el acceso mediante medidas de autenticación y autorización ayuda a proteger la información confidencial y a mantener la integridad de sus recursos.

Corrección

De forma predeterminada, todos los ajustes de bloqueo de acceso público están habilitados para un punto de acceso multirregional S3. Para obtener más información, consulte Bloquear el acceso público con puntos de acceso multirregionales de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service. No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones.