Corriger les risques liés aux compartiments Amazon S3

Note

Security Hub est en version préliminaire et peut faire l'objet de modifications.

AWS Security Hub peut générer des résultats d'exposition pour les compartiments Amazon Simple Storage Service (S3).

Sur la console Security Hub, le compartiment Amazon S3 impliqué dans la découverte d'une exposition et ses informations d'identification sont répertoriés dans la section Ressources des détails de la recherche. Par programmation, vous pouvez récupérer les détails des ressources grâce au GetFindingsV2fonctionnement de l'API Security Hub.

Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.

Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger une constatation d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de remédiation des risques dépend des exigences et des charges de travail de votre organisation.

Note

Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.

Table des matières

• Caractéristiques de mauvaise configuration pour les compartiments Amazon S3

  • La gestion des versions du compartiment Amazon S3 est désactivée

  • Object Lock est désactivé dans le compartiment Amazon S3

  • Le compartiment Amazon S3 n'est pas chiffré au repos avec des AWS KMS clés

  • La suppression par authentification multifactorielle (MFA) est désactivée sur un compartiment Amazon S3 versionné

  • Le compartiment Amazon S3 permet aux principaux d'autres AWS comptes de modifier les autorisations du compartiment

• Caractéristiques d'accessibilité pour les compartiments Amazon S3

  • Le compartiment Amazon S3 dispose d'un accès public

  • Le compartiment Amazon S3 dispose d'un accès public en lecture

  • Le compartiment Amazon S3 dispose d'un accès en écriture

  • Les paramètres d'accès public du point d'accès Amazon S3 sont activés

• Caractéristiques des données sensibles pour les compartiments Amazon S3

  • Caractéristiques des données sensibles pour les compartiments Amazon S3

Caractéristiques de mauvaise configuration pour les compartiments Amazon S3

Voici les caractéristiques de mauvaise configuration des compartiments Amazon S3 et les étapes suggérées pour y remédier.

La gestion des versions du compartiment Amazon S3 est désactivée

Amazon S3 Versioning vous permet de conserver plusieurs variantes d'un objet dans le même compartiment. Lorsque la gestion des versions est désactivée, Amazon S3 ne stocke que la version la plus récente de chaque objet, ce qui signifie que si des objets sont supprimés ou remplacés accidentellement ou de manière malveillante, ils ne peuvent pas être récupérés. Les compartiments compatibles avec la gestion des versions offrent une protection contre les suppressions accidentelles, les défaillances d'applications et les incidents de sécurité tels que les attaques par ransomware, susceptibles de provoquer des modifications ou des suppressions non autorisées de données. Conformément aux meilleures pratiques en matière de sécurité, nous recommandons d'activer la gestion des versions pour les compartiments contenant des données importantes qui seraient difficiles, voire impossibles, à recréer en cas de perte.

1. Activer le contrôle de version : pour activer le contrôle de version d'Amazon S3 sur un compartiment, consultez la section Activation du contrôle de version sur les compartiments dans le guide de l'utilisateur d'Amazon Simple Storage Service. Lorsque vous activez le versionnement, pensez à mettre en œuvre des règles de cycle de vie pour gérer le stockage, car le versionnement permet de conserver plusieurs copies des objets.

Object Lock est désactivé dans le compartiment Amazon S3

Amazon S3 Object Lock fournit un modèle write-once-read-many (WORM) pour les objets Amazon S3, empêchant leur suppression ou leur remplacement pendant une période déterminée ou indéfiniment. Lorsque le verrouillage des objets est désactivé, vos objets peuvent être vulnérables à la suppression, à la modification ou au chiffrement accidentels ou malveillants par un ransomware. Object Lock est particulièrement important pour se conformer aux exigences réglementaires qui exigent un stockage immuable des données et pour se protéger contre les menaces sophistiquées telles que les ransomwares qui peuvent tenter de chiffrer vos données. En activant Object Lock, vous pouvez appliquer des politiques de conservation en tant que couche supplémentaire de protection des données et créer une stratégie de sauvegarde immuable pour vos données critiques. Conformément aux meilleures pratiques de sécurité, nous vous recommandons d'activer le verrouillage des objets pour empêcher toute modification malveillante de vos objets.

1. Notez qu'Object Lock ne peut être activé que lors de la création d'un nouveau bucket. Vous devrez donc créer un nouveau bucket avec Object Lock activé. Pour les migrations de grande envergure, pensez à utiliser Batch Operations pour copier des objets dans le nouveau compartiment. Avant de verrouiller des objets, vous devez également activer le versionnage d'Amazon S3 et le verrouillage d'objets sur un compartiment. Comme Object Lock ne peut être activé que sur les nouveaux buckets, vous devrez migrer les données existantes vers un nouveau bucket avec Object Lock activé. Configurer Amazon S3 Object Lock : pour plus d'informations sur la configuration d'Object Lock sur un bucket, consultez ConfiguringAmazon S3Object Lock dans le guide de l'utilisateur d'Amazon Simple Storage Service. Après avoir configuré Object Lock, choisissez un mode de rétention adapté à votre environnement.

Le compartiment Amazon S3 n'est pas chiffré au repos avec des AWS KMS clés

Amazon S3 applique le chiffrement côté serveur avec des clés gérées par Amazon S3 comme niveau de chiffrement par défaut pour tous les nouveaux compartiments. Bien que les clés gérées par Amazon S3 fournissent une protection de chiffrement renforcée, elles n'offrent pas le même niveau de contrôle d'accès et de fonctionnalités d'audit que AWS Key Management Service les clés. Lorsque vous utilisez des clés KMS, l'accès aux objets nécessite des autorisations à la fois sur le compartiment Amazon S3 et sur la clé KMS qui a chiffré l'objet. Cela est particulièrement important pour les données sensibles pour lesquelles vous avez besoin d'un contrôle précis sur les personnes autorisées à accéder aux objets chiffrés et d'un enregistrement d'audit complet de l'utilisation des clés de chiffrement. Conformément aux meilleures pratiques en matière de sécurité, nous recommandons d'utiliser des clés KMS pour chiffrer des compartiments contenant des données sensibles ou pour des environnements soumis à des exigences de conformité strictes.

1. Configuration de la clé de compartiment Amazon S3

   Pour configurer un compartiment afin d'utiliser une clé de compartiment Amazon S3 pour les nouveaux objets, consultez la section Configuration de votre compartiment pour utiliser une clé de compartiment Amazon S3 avec SSE-KMS pour les nouveaux objets dans le guide de l'utilisateur d'Amazon Simple Storage Service. Pour plus d'informations sur le chiffrement d'un objet existant, consultez la section Chiffrement d'objets avec Amazon S3 Batch Operations sur le blog AWS de stockage.

Lorsque vous AWS KMS implémentez le chiffrement, tenez compte des points suivants :

• Gestion des clés — Décidez d'utiliser une clé AWS gérée ou une clé gérée par le client (CMK). CMKs offrez aux clients un contrôle total sur le cycle de vie et l'utilisation de leurs clés. Pour plus d'informations sur la différence entre ces deux types de clés, voir les clés AWS KMS dans le guide du AWS Key Management Service développeur.

• Rotation des clés — Pour des mesures de sécurité supplémentaires, activez la rotation automatique des clés pour vos clés KMS. Pour plus d'informations, voir Activer la rotation automatique des clés dans le Guide du AWS Key Management Service développeur.

La suppression par authentification multifactorielle (MFA) est désactivée sur un compartiment Amazon S3 versionné

La suppression par authentification multifactorielle (MFA) fournit un niveau de sécurité supplémentaire à votre compartiment Amazon S3. Elle nécessite une authentification multifactorielle pour les opérations destructrices d'Amazon S3. Lorsque la suppression MFA est désactivée, les utilisateurs disposant des autorisations appropriées peuvent supprimer définitivement les versions des objets ou suspendre le versionnement de votre compartiment sans problèmes d'authentification supplémentaires. L'activation de la suppression MFA permet de vous protéger contre la suppression non autorisée ou accidentelle de vos données, en fournissant une protection améliorée contre les attaques de ransomware, les menaces internes et les erreurs opérationnelles. La suppression MFA est particulièrement utile pour les compartiments contenant des données critiques ou sensibles en termes de conformité qui doivent être protégées contre toute suppression non autorisée. Conformément aux meilleures pratiques de sécurité, nous vous recommandons d'activer le MFA pour vos compartiments Amazon S3.

1. Passez en revue les types de MFA

   AWS prend en charge les types de MFA suivants. Bien que l'authentification à l'aide d'un appareil physique fournisse généralement une protection de sécurité plus stricte, l'utilisation de n'importe quel type de MFA est plus sûre que la désactivation de la MFA.

2. Appliquer le MFA au niveau de la politique des ressources

   Utilisez la clé de aws:MultiFactorAuthAge condition dans une politique de compartiment pour exiger le MFA pour les opérations sensibles. Pour plus d'informations, consultez la section Exiger l'authentification MFA dans le guide de l'utilisateur d'Amazon Simple Storage Service.

3. Activer le MFA

   Pour activer la suppression MFA, assurez-vous d'abord que le versionnement est activé sur votre compartiment Amazon S3. La suppression MFA n'est prise en charge que sur les compartiments pour lesquels le contrôle de version est activé. Pour plus d'informations sur la façon d'activer le contrôle de version d'Amazon S3, consultez la section Activation du contrôle de version sur les buckets dans le guide de l'utilisateur d'Amazon Simple Storage Service. La suppression MFA ne peut pas être activée via la console Amazon S3. Vous devez utiliser l'API Amazon S3 ou le AWS CLI. Pour plus d'informations, consultez la section Configuration de la suppression MFA dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Le compartiment Amazon S3 permet aux principaux d'autres AWS comptes de modifier les autorisations du compartiment

Les politiques relatives aux compartiments Amazon S3 contrôlent l'accès aux compartiments et aux objets. Lorsque les politiques de compartiment autorisent les principaux d'autres AWS comptes à modifier les autorisations du compartiment, les utilisateurs non autorisés peuvent reconfigurer votre compartiment. Si les informations d'identification principales externes sont compromises, les utilisateurs non autorisés peuvent prendre le contrôle de votre compartiment, ce qui peut entraîner des violations de données ou des interruptions de service. Conformément aux principes de sécurité standard, il est AWS recommandé de limiter les actions de gestion des autorisations aux principaux fiables uniquement.

1. Passez en revue et identifiez les politiques relatives aux compartiments

   Dans l'exposition, identifiez le compartiment Amazon S3 dans le champ ARN. Dans la console Amazon S3, sélectionnez le compartiment, puis accédez à l'onglet Autorisations pour consulter la politique du compartiment. Passez en revue la politique d'autorisation attachée au compartiment. Recherchez les déclarations de politique qui autorisent des actions telles s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* que les déclarations de politique générale qui autorisent l'accès aux principaux extérieurs à votre compte, comme indiqué dans la déclaration principale.

2. Modifier la politique du bucket

   Modifiez la politique de compartiment pour supprimer ou restreindre les actions accordées à d'autres AWS comptes :

   • Supprimez les déclarations de politique qui accordent aux comptes externes des actions de gestion des autorisations.

   • Si un accès entre comptes est requis, remplacez les autorisations générales par (s3:*) des actions spécifiques qui n'incluent pas la gestion des autorisations des compartiments.

   Pour plus d'informations sur la modification d'une politique de compartiment, consultez la section Ajouter une politique de compartiment à l'aide de la console Amazon S3 dans le guide de l'utilisateur d'Amazon S3.

Caractéristiques d'accessibilité pour les compartiments Amazon S3

Voici les caractéristiques d'accessibilité des compartiments Amazon S3 et les étapes de correction suggérées.

Le compartiment Amazon S3 dispose d'un accès public

Par défaut, les compartiments et les objets Amazon S3 sont privés, mais ils peuvent être rendus publics par le biais de différentes configurations. Si vous modifiez les politiques relatives aux compartiments, les politiques relatives aux points d'accès ou les autorisations relatives aux objets pour autoriser l'accès public, vous risquez d'exposer des données sensibles.

1. Évaluer le seau

   Déterminez si votre compartiment peut être rendu privé en fonction de votre politique organisationnelle, de vos exigences de conformité ou de la classification des données. Si vous n'aviez pas l'intention d'accorder l'accès au bucket au public ou à d'autres Comptes AWS personnes, suivez les instructions de correction restantes.

2. Configurer le compartiment pour qu'il soit privé

   Choisissez l'une des options suivantes pour configurer l'accès privé à votre compartiment Amazon S3 :

   • Niveau du compte : pour bloquer l'accès public à tous les compartiments de votre compte à l'aide des paramètres définis au niveau du compte, consultez la section Configuration des paramètres de blocage de l'accès public pour votre compte dans le guide de l'utilisateur d'Amazon Simple Storage Service.

   • Niveau du compartiment : pour bloquer l'accès public à un compartiment spécifique, consultez la section Configuration des paramètres de blocage de l'accès public pour vos compartiments Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

   • ACL ou politiques du bucket : pour modifier la liste de contrôle d'accès au bucket (ACL), la politique du bucket, la politique du point d'accès multirégional (MRAP) ou la politique du point d'accès afin de supprimer l'accès public au bucket, consultez la section Révision et modification de l'accès au bucket dans le guide de l'utilisateur d'Amazon Simple Storage Service. Si vous bloquez l'accès public au niveau du compte ou du bucket, ces blocages ont priorité sur une politique autorisant l'accès public.

Le compartiment Amazon S3 dispose d'un accès public en lecture

Les compartiments Amazon S3 dotés d'un accès public en lecture permettent à n'importe qui sur Internet de consulter le contenu de votre compartiment. Bien que cela puisse être nécessaire pour les sites Web accessibles au public ou les ressources partagées, cela peut créer des risques de sécurité si le compartiment contient des données sensibles. L'accès public en lecture peut entraîner une consultation et un téléchargement non autorisés, ce qui peut entraîner des violations de données si des données sensibles sont stockées dans ces compartiments. Conformément aux principes de sécurité standard, AWS recommande de restreindre l'accès aux compartiments Amazon S3 aux utilisateurs et aux systèmes nécessaires.

1. Bloquer l'accès public au niveau du bucket

   Amazon S3 fournit des paramètres de blocage de l'accès public qui peuvent être configurés à la fois au niveau du bucket et du compte afin d'empêcher l'accès public, quelles que soient les politiques du bucket ou ACLs. Pour plus d'informations, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service. Après avoir bloqué l'accès public, passez en revue la configuration du contrôle d'accès aux compartiments pour vous assurer qu'elle correspond à vos exigences en matière d'accès. Passez ensuite en revue votre politique de compartiment Amazon S3 pour définir explicitement qui peut accéder à votre compartiment. Pour des exemples de politiques relatives aux compartiments, consultez la section Exemples de politiques relatives aux compartiments Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

2. Autres méthodes d'accès

   Si un accès public en lecture est requis, envisagez ces alternatives plus sécurisées :

   • CloudFront— À utiliser CloudFront avec une identité d'accès d'origine (OAI) ou un contrôle d'accès d'origine (OAC) pour autoriser l'accès en lecture depuis un compartiment Amazon S3 privé. Cette alternative restreint l'accès direct à votre compartiment Amazon S3 tout en permettant au contenu d'être accessible au public via CloudFront. Pour plus d'informations, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.

   • Présigné URLs — Utilisez le présigné URLs pour un accès temporaire à des objets spécifiques. Pour plus d'informations, consultez la section Partage d'objets présignés URLs dans le Guide de l'AWSAmazon utilisateur S3.

Le compartiment Amazon S3 dispose d'un accès en écriture

Les compartiments Amazon S3 dotés d'un accès public en écriture permettent à toute personne sur Internet de télécharger, de modifier ou de supprimer des objets dans votre compartiment. Cela crée des risques de sécurité importants, notamment le risque que quelqu'un télécharge des fichiers malveillants, modifie des fichiers existants et supprime des données. L'accès public en écriture crée des failles de sécurité qui peuvent être exploitées par des attaquants. Conformément aux principes de sécurité standard, il est AWS recommandé de restreindre l'accès en écriture à vos compartiments Amazon S3 aux seuls utilisateurs et systèmes nécessaires.

1. Bloquer l'accès public au niveau du compte et du bucket

   Amazon S3 fournit des paramètres de blocage de l'accès public qui peuvent être configurés à la fois au niveau du bucket et du compte afin d'empêcher l'accès public, quelles que soient les politiques du bucket ou ACLs. Pour plus d'informations, consultez la section Blocage de l'accès public à votre espace de stockage Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

2. Modifier les politiques relatives aux compartiments

   Pour une approche plus précise de la suppression de l'accès public en écriture, consultez la politique relative aux compartiments. Vous pouvez rechercher s3:PutObjects3:DeleteObject, ous3:*. Pour plus d'informations sur la gestion des politiques de compartiment, consultez la section Politiques de compartiment pour Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

3. Méthodes d'accès alternatives Si un accès public en lecture est requis, envisagez ces alternatives plus sûres :

   • CloudFront— À utiliser CloudFront avec une identité d'accès d'origine (OAI) ou un contrôle d'accès d'origine (OAC) pour autoriser l'accès en lecture depuis un compartiment Amazon S3 privé. Cette alternative restreint l'accès direct à votre compartiment Amazon S3 tout en permettant au contenu d'être accessible au public via CloudFront. Pour plus d'informations, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.

   • Présigné URLs — Utilisez le présigné URLs pour un accès temporaire à des objets spécifiques. Pour plus d'informations, consultez la section Partage d'objets avec presigned URLs dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Les paramètres d'accès public du point d'accès Amazon S3 sont activés

Les points d'accès Amazon S3 fournissent un accès personnalisé aux ensembles de données partagés dans les compartiments Amazon S3. Lorsque vous activez l'accès public à un point d'accès, toute personne connectée à Internet peut accéder à vos données. Conformément aux principes de sécurité standard, AWS recommande de restreindre l'accès public aux points d'accès Amazon S3.

1. Créez un nouveau point d'accès avec le blocage de l'accès public activé

   Amazon S3 ne prend pas en charge la modification des paramètres d'accès public d'un point d'accès une fois celui-ci créé. Pour plus d'informations sur la création d'un point d'accès, consultez la section Gestion de l'accès public aux points d'accès pour les compartiments à usage général dans le guide de l'utilisateur Amazon S3. Pour plus d'informations sur la gestion de l'accès public aux points d'accès, consultez la section Création de points d'accès pour des compartiments à usage général dans le guide de l'utilisateur Amazon S3.

Caractéristiques des données sensibles pour les compartiments Amazon S3

Voici les caractéristiques des données sensibles pour les compartiments Amazon S3 et les étapes de correction suggérées.

Caractéristiques des données sensibles pour les compartiments Amazon S3

Lorsque Macie identifie des données sensibles dans vos compartiments Amazon S3, cela indique les risques potentiels en matière de sécurité et de conformité qui nécessitent une attention immédiate.

Les données sensibles peuvent inclure :

• Informations d’identification

• Informations personnelles identifiables

• Informations financières

• Contenus confidentiels nécessitant une protection

Si des données sensibles sont exposées suite à une mauvaise configuration ou à un accès non autorisé, cela peut entraîner des violations de conformité, des violations de données, un vol d'identité ou des pertes financières. Conformément aux meilleures pratiques de sécurité, AWS recommande une classification appropriée des données et une surveillance continue des données sensibles dans vos compartiments Amazon S3.

Mettre en œuvre des contrôles pour les données sensibles

Dans le résultat de l'exposition, choisissez la ressource ouverte. Vérifiez le type de données sensibles détectées et leur emplacement dans le compartiment. Pour obtenir de l'aide sur l'interprétation des résultats de Macie, consultez la section Types de résultats de Macie dans le guide de l'utilisateur d'Amazon Macie.

En fonction du type de données sensibles découvertes, mettez en œuvre les contrôles de sécurité appropriés :

• Restreindre l'accès au compartiment : vérifiez les autorisations du compartiment pour vous assurer qu'elles respectent le principe du moindre privilège. Utilisez des politiques IAM, des politiques de compartiment et ACLs pour restreindre l'accès. Pour plus d'informations, consultez Identity and Access Management for Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

• Activer le chiffrement côté serveur : activez le chiffrement côté serveur avec des clés KMS pour une protection supplémentaire. Pour plus d'informations, consultez la section Utilisation du chiffrement côté serveur avec des clés AWS KMS (SSE-KMS) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

• Utilisation AWS Glue DataBrew — À utiliser Glue DataBrew pour la préparation et le nettoyage des données. Pour plus d'informations, consultez le contenu AWS Glue DataBrew du guide du AWS Glue DataBrew développeur.