Identifiez les compartiments S3 publics dans AWS Organizations à l'aide de Security Hub

Créée par Mourad Cherfaoui (AWS), Arun Chandapillai (AWS) et Parag Nagwekar (AWS)

Récapitulatif

Ce modèle vous montre comment créer un mécanisme permettant d'identifier les compartiments publics Amazon Simple Storage Service (Amazon S3) dans vos comptes AWS Organizations. Le mécanisme fonctionne en utilisant les contrôles issus de la norme AWS Foundational Security Best Practices (FSBP) d'AWS Security Hub pour surveiller les compartiments S3. Vous pouvez utiliser Amazon EventBridge pour traiter les résultats du Security Hub, puis les publier sur une rubrique Amazon Simple Notification Service (Amazon SNS). Les parties prenantes de votre organisation peuvent s'abonner au sujet et recevoir des notifications immédiates par e-mail concernant les résultats.

Les nouveaux compartiments S3 et leurs objets n'autorisent pas l'accès public par défaut. Vous pouvez utiliser ce modèle dans les scénarios où vous devez modifier les configurations par défaut d'Amazon S3 en fonction des exigences de votre organisation. Par exemple, il peut s'agir d'un scénario dans lequel vous disposez d'un compartiment S3 hébergeant un site Web destiné au public ou de fichiers que tout le monde sur Internet doit être en mesure de lire à partir de votre compartiment S3.

Security Hub est souvent déployé en tant que service central pour consolider tous les résultats de sécurité, y compris ceux liés aux normes de sécurité et aux exigences de conformité. Il existe d'autres services AWS que vous pouvez utiliser pour détecter les compartiments S3 publics, mais ce modèle utilise un déploiement de Security Hub existant avec une configuration minimale.

Conditions préalables et limitations

Prérequis

• Configuration multi-comptes AWS avec un compte administrateur Security Hub dédié

• Note

  Security Hub et AWS Config, activés dans la région AWS que vous souhaitez surveiller (: vous devez activer l'agrégation entre régions dans Security Hub si vous souhaitez surveiller plusieurs régions à partir d'une seule région d'agrégation.)

• Autorisations utilisateur pour accéder au compte administrateur Security Hub et le mettre à jour, accès en lecture à tous les compartiments S3 de l'organisation et autorisations pour désactiver l'accès public (si nécessaire)

Architecture

Pile technologique

• AWS Security Hub

• Amazon EventBridge

• Amazon Simple Notification Service (Amazon SNS)

• Amazon Simple Storage Service (Amazon S3)

Architecture cible

Le schéma suivant montre une architecture permettant d'utiliser Security Hub pour identifier les compartiments S3 publics.

Le diagramme montre le flux de travail suivant :

1. Security Hub surveille la configuration des compartiments S3 dans tous les comptes AWS Organizations (y compris le compte administrateur) à l'aide des contrôles S3.2 et S3.3 de la norme de sécurité FSBP, et détecte si un compartiment est configuré comme public.

2. Le compte administrateur du Security Hub accède aux résultats (y compris ceux des versions 3.2 et 3.3) à partir de tous les comptes membres.

3. Security Hub envoie automatiquement tous les nouveaux résultats et toutes les mises à jour des résultats existants EventBridge sous la forme d'événements Security Hub Findings - Imported. Cela inclut les événements relatifs aux résultats des comptes administrateur et membre.

4. Une EventBridge règle filtre les résultats des S3.2 et S3.3 qui ont un statut de type « of »FAILED, un statut ComplianceStatus de flux de travail « de » et un RecordState « of NEW ». ACTIVE

5. Les règles utilisent les modèles d'événements pour identifier les événements et les envoyer à une rubrique SNS une fois qu'ils correspondent.

6. Une rubrique SNS envoie les événements à ses abonnés (par e-mail, par exemple).

7. Les analystes de sécurité désignés pour recevoir les notifications par e-mail examinent le compartiment S3 en question.

8. Si l'accès public au bucket est approuvé, l'analyste de sécurité définit le statut du flux de travail de la découverte correspondante dans Security Hub surSUPPRESSED. Dans le cas contraire, l'analyste définit le statut surNOTIFIED. Cela élimine les futures notifications pour le compartiment S3 et réduit le bruit des notifications.

9. Si le statut du flux de travail est défini surNOTIFIED, l'analyste de sécurité examine le résultat avec le propriétaire du bucket afin de déterminer si l'accès public est justifié et conforme aux exigences de confidentialité et de protection des données. L'enquête aboutit soit à la suppression de l'accès public au compartiment, soit à l'approbation de l'accès public. Dans ce dernier cas, l'analyste de sécurité définit le statut du flux de travail surSUPPRESSED.

Note

Le schéma d'architecture s'applique à la fois aux déploiements d'agrégation entre régions et régions uniques. Dans les comptes A, B et C du diagramme, Security Hub peut appartenir à la même région que le compte administrateur ou appartenir à des régions différentes si l'agrégation entre régions est activée.

Outils

Outils AWS

• Amazon EventBridge est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, d'applications SaaS (Software as a Service) et de services AWS. EventBridge achemine ces données vers des cibles telles que les rubriques SNS et les fonctions AWS Lambda si les données correspondent aux règles définies par l'utilisateur.

• Amazon Simple Notification Service (Amazon SNS) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.

• Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.

• AWS Security Hub fournit une vue complète de votre état de sécurité dans AWS. Security Hub vous permet également de vérifier que votre environnement AWS est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Security Hub collecte des données de sécurité provenant de comptes, de services et de produits partenaires tiers pris en charge par AWS, puis aide à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.

Épopées

Configuration des comptes Security Hub

Tâche	Description	Compétences requises
Activez Security Hub dans les comptes AWS Organizations.	Pour activer Security Hub dans les comptes d'organisation dans lesquels vous souhaitez surveiller les compartiments S3, consultez les directives relatives à la désignation d'un compte administrateur Security Hub (console) et à la gestion des comptes de membres appartenant à une organisation dans le guide de l'utilisateur d'AWS Security Hub.	Administrateur AWS
(Facultatif) Activez l'agrégation entre régions.	Si vous souhaitez surveiller les compartiments S3 dans plusieurs régions à partir d'une seule région, configurez l'agrégation entre régions.	Administrateur AWS
Activez les contrôles S3.2 et S3.3 pour la norme de sécurité FSBP.	Vous devez activer les contrôles S3.2 et S3.3 pour la norme de sécurité FSBP. Pour activer les contrôles S3.2, suivez les instructions de [S3.2] Les compartiments S3 devraient interdire l'accès public en lecture dans le guide de l'utilisateur d'AWS Security Hub. Pour activer les contrôles S3.3, suivez les instructions de [3] Les compartiments S3 devraient interdire l'accès public en écriture dans le guide de l'utilisateur d'AWS Security Hub.	Administrateur AWS

Configuration de l'environnement

Tâche	Description	Compétences requises
Configurez la rubrique SNS et l'abonnement par e-mail.	Connectez-vous à AWS Management Console et ouvrez la console Amazon SNS. Dans le panneau de navigation, choisissez Rubriques, puis Créer une rubrique. Pour Type, choisissez Standard. Dans Nom, entrez le nom de votre sujet (par exemple, public-s3-buckets). Choisissez Créer une rubrique. Dans l'onglet Abonnements de votre sujet, choisissez Créer un abonnement. Pour Protocol, sélectionnez Email. Pour Endpoint, entrez l'adresse e-mail qui recevra les notifications. Vous pouvez utiliser l'adresse e-mail d'un administrateur AWS, d'un professionnel de l'informatique ou d'un professionnel Infosec. Choisissez Create subscription (Créer un abonnement). Pour créer des abonnements par e-mail supplémentaires, répétez les étapes 6 à 8 selon les besoins.	Administrateur AWS
Configurez la EventBridge règle.	Ouvrez la EventBridge console. Dans la section Commencer, sélectionnez EventBridge Règle, puis choisissez Créer une règle. Sur la page de détail de la règle, dans Nom, entrez le nom de votre règle (par exemple, public-s3-buckets). Choisissez Suivant. Dans la section Modèle d'événement, choisissez Modifier le modèle. Copiez le code suivant, collez-le dans l'éditeur de code de modèle d'événement, puis choisissez Next. { "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "Compliance": { "Status": ["FAILED"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW"] }, "ProductFields": { "ControlId": ["S3.2", "S3.3"] } } } } Ensuite, procédez comme suit : Sur la page Sélectionner une ou plusieurs cibles, pour Sélectionner une cible, sélectionnez le sujet SNS comme cible, puis sélectionnez le sujet que vous avez créé précédemment. Choisissez Suivant, sélectionnez à nouveau Suivant, puis choisissez Créer une règle.	Administrateur AWS

Résolution des problèmes

Problème	Solution
J'ai un compartiment S3 dont l'accès public est activé, mais je ne reçois pas de notifications par e-mail à ce sujet.	Cela peut être dû au fait que le bucket a été créé dans une autre région et que l'agrégation entre régions n'est pas activée dans le compte administrateur du Security Hub. Pour résoudre ce problème, activez l'agrégation entre régions ou implémentez la solution de ce modèle dans la région où réside actuellement votre compartiment S3.

Ressources connexes

• Qu'est-ce qu'AWS Security Hub ? (documentation du Security Hub)

• Norme AWS Foundational Security Best Practices (FSBP) (documentation Security Hub)

• Scripts d'activation multi-comptes AWS Security Hub (AWS Labs)

• Bonnes pratiques de sécurité pour Amazon S3 (documentation Amazon S3)

Informations supplémentaires

Flux de travail pour surveiller les compartiments S3 publics

Le flux de travail suivant illustre la manière dont vous pouvez surveiller les compartiments S3 publics de votre organisation. Le flux de travail suppose que vous avez suivi les étapes décrites dans la rubrique Configurer le SNS et dans l'article sur l'abonnement par e-mail de ce modèle.

1. Vous recevez une notification par e-mail lorsqu'un compartiment S3 est configuré avec un accès public.

   • Si l'accès public au bucket est approuvé, définissez le statut du flux de travail de la découverte correspondante sur le compte administrateur du Security Hub. SUPPRESSED Cela empêche Security Hub d'émettre d'autres notifications pour ce compartiment et peut éliminer les alertes dupliquées.

   • Si l'accès public au bucket n'est pas approuvé, définissez le statut du flux de travail de la recherche correspondante dans le compte administrateur du Security Hub surNOTIFIED. Cela empêche Security Hub d'émettre d'autres notifications pour ce compartiment depuis Security Hub et peut éliminer le bruit.

2. Si le compartiment peut contenir des données sensibles, désactivez immédiatement l'accès public jusqu'à ce que la révision soit terminée. Si vous désactivez l'accès public, Security Hub change le statut du flux de travail enRESOLVED. Ensuite, des notifications par e-mail pour le bucket stop.

3. Recherchez l'utilisateur qui a configuré le compartiment comme public (par exemple, à l'aide d'AWS CloudTrail) et lancez une révision. L'examen aboutit soit à la suppression de l'accès public au compartiment, soit à l'approbation de l'accès public. Si l'accès public est approuvé, définissez le statut du flux de travail du résultat correspondant surSUPPRESSED.