Memulihkan eksposur untuk ember Amazon S3 - AWS Security Hub
Ciri salah konfigurasi untuk bucket Amazon S3Ciri-ciri jangkauan untuk bucket Amazon S3Ciri data sensitif untuk bucket Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulihkan eksposur untuk ember Amazon S3

catatan

Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.

AWS Security Hub dapat menghasilkan temuan eksposur untuk bucket Amazon Simple Storage Service (S3).

Di konsol Security Hub, bucket Amazon S3 yang terlibat dalam temuan eksposur dan informasi pengenalannya tercantum di bagian Sumber Daya pada detail temuan. Secara terprogram, Anda dapat mengambil detail sumber daya dengan GetFindingsV2pengoperasian Security Hub API.

Setelah mengidentifikasi sumber daya yang terlibat dalam temuan eksposur, Anda dapat menghapus sumber daya jika Anda tidak membutuhkannya. Menghapus sumber daya yang tidak penting dapat mengurangi profil dan AWS biaya eksposur Anda. Jika sumber daya sangat penting, ikuti langkah-langkah remediasi yang direkomendasikan ini untuk membantu mengurangi risiko. Topik remediasi dibagi berdasarkan jenis sifatnya.

Temuan eksposur tunggal berisi masalah yang diidentifikasi dalam beberapa topik remediasi. Sebaliknya, Anda dapat mengatasi temuan eksposur dan menurunkan tingkat keparahannya dengan hanya membahas satu topik remediasi. Pendekatan Anda terhadap remediasi risiko tergantung pada kebutuhan organisasi dan beban kerja Anda.

catatan

Panduan remediasi yang diberikan dalam topik ini mungkin memerlukan konsultasi tambahan dalam AWS sumber daya lain.

Ciri salah konfigurasi untuk bucket Amazon S3

Berikut adalah ciri kesalahan konfigurasi untuk bucket Amazon S3 dan langkah-langkah perbaikan yang disarankan.

Bucket Amazon S3 menonaktifkan versi

Amazon S3 Versioning membantu Anda menyimpan beberapa varian objek dalam bucket yang sama. Saat pembuatan versi dinonaktifkan, Amazon S3 hanya menyimpan versi terbaru dari setiap objek, yang berarti bahwa jika objek secara tidak sengaja atau jahat dihapus atau ditimpa, mereka tidak dapat dipulihkan. Bucket berkemampuan versi memberikan perlindungan terhadap penghapusan yang tidak disengaja, kegagalan aplikasi, dan insiden keamanan seperti serangan ransomware, di mana modifikasi atau penghapusan data yang tidak sah dapat terjadi. Mengikuti praktik terbaik keamanan, sebaiknya aktifkan pembuatan versi untuk bucket yang berisi data penting yang sulit atau tidak mungkin dibuat ulang jika hilang.

  1. Mengaktifkan pembuatan versi — Untuk mengaktifkan Pembuatan Versi Amazon S3 pada bucket, lihat Mengaktifkan pembuatan versi pada bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Saat mengaktifkan pembuatan versi, pertimbangkan untuk menerapkan aturan siklus hidup untuk mengelola penyimpanan, karena pembuatan versi akan mempertahankan banyak salinan objek.

Bucket Amazon S3 menonaktifkan Object Lock

Amazon S3 Object Lock menyediakan model write-once-read-many (WORM) untuk objek Amazon S3, mencegahnya dihapus atau ditimpa untuk jangka waktu tertentu atau tanpa batas waktu. Ketika Object Lock dinonaktifkan, objek Anda bisa rentan terhadap penghapusan, modifikasi, atau enkripsi yang tidak disengaja atau berbahaya oleh ransomware. Object Lock sangat penting untuk memenuhi persyaratan peraturan yang menuntut penyimpanan data yang tidak dapat diubah dan untuk perlindungan terhadap ancaman canggih seperti ransomware yang mungkin mencoba mengenkripsi data Anda. Dengan mengaktifkan Object Lock, Anda dapat menerapkan kebijakan retensi sebagai lapisan perlindungan data tambahan dan membuat strategi pencadangan yang tidak dapat diubah untuk data penting Anda. Mengikuti praktik terbaik keamanan, kami sarankan Anda mengaktifkan Object Lock untuk mencegah modifikasi berbahaya pada objek Anda.

  1. Perhatikan bahwa Object Lock hanya dapat diaktifkan saat membuat bucket baru, jadi Anda perlu membuat bucket baru dengan Object Lock diaktifkan. Untuk migrasi besar, pertimbangkan untuk menggunakan Operasi Batch untuk menyalin objek ke bucket baru. Sebelum Anda mengunci objek apa pun, Anda juga harus mengaktifkan Amazon S3 Versioning dan Object Lock pada bucket. Karena Object Lock hanya dapat diaktifkan pada bucket baru, Anda harus memigrasikan data yang ada ke bucket baru dengan Object Lock diaktifkan. Mengonfigurasi Kunci Objek Amazon S3 — Untuk informasi tentang cara mengonfigurasi Kunci Objek pada bucket, lihat Kunci ConfiguringAmazon S3Object di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Setelah mengatur Object Lock, pilih mode retensi yang sesuai sesuai dengan lingkungan Anda.

Bucket Amazon S3 tidak dienkripsi saat istirahat dengan kunci AWS KMS

Amazon S3 menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 sebagai tingkat enkripsi default untuk semua bucket baru. Meskipun kunci terkelola Amazon S3 memberikan perlindungan enkripsi yang kuat, kunci ini tidak menawarkan tingkat kontrol akses dan kemampuan audit yang sama dengan kunci. AWS Key Management Service Saat menggunakan kunci KMS, akses ke objek memerlukan izin ke bucket Amazon S3 dan kunci KMS yang mengenkripsi objek. Ini sangat penting untuk data sensitif di mana Anda memerlukan kontrol terperinci atas siapa yang dapat mengakses objek terenkripsi dan pencatatan audit komprehensif penggunaan kunci enkripsi. Mengikuti praktik terbaik keamanan, sebaiknya gunakan kunci KMS untuk mengenkripsi bucket yang berisi data sensitif atau untuk lingkungan dengan persyaratan kepatuhan yang ketat.

  1. Konfigurasikan kunci bucket Amazon S3

    Untuk mengonfigurasi bucket agar menggunakan kunci bucket Amazon S3 untuk objek baru, lihat Mengonfigurasi bucket untuk menggunakan Kunci Bucket Amazon S3 dengan SSE-KMS untuk objek baru di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk informasi tentang cara mengenkripsi objek yang ada, lihat Mengenkripsi objek dengan Operasi Batch Amazon S3 di Blog Penyimpanan. AWS

Saat menerapkan AWS KMS enkripsi, pertimbangkan hal berikut:

  • Manajemen kunci — Tentukan apakah akan menggunakan kunci AWS terkelola atau kunci yang dikelola pelanggan (CMK). CMKs menawarkan pelanggan kontrol penuh atas siklus hidup dan penggunaan kunci mereka. Untuk informasi selengkapnya tentang perbedaan antara kedua jenis kunci ini, lihat kunci AWS KMS di Panduan AWS Key Management Service Pengembang.

  • Rotasi kunci - Untuk langkah-langkah keamanan tambahan, aktifkan rotasi tombol otomatis untuk kunci KMS Anda. Untuk informasi selengkapnya, lihat Mengaktifkan rotasi kunci otomatis di Panduan AWS Key Management Service Pengembang.

Penghapusan otentikasi multi-faktor (MFA) dinonaktifkan pada bucket Amazon S3 berversi

Penghapusan autentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan untuk bucket Amazon S3 Anda. Ini membutuhkan otentikasi multi-faktor untuk operasi Amazon S3 yang merusak. Saat penghapusan MFA dinonaktifkan, pengguna dengan izin yang sesuai dapat menghapus versi objek secara permanen atau menangguhkan pembuatan versi di bucket Anda tanpa tantangan autentikasi tambahan. Mengaktifkan penghapusan MFA membantu melindungi dari penghapusan data Anda yang tidak sah atau tidak disengaja, memberikan perlindungan yang ditingkatkan terhadap serangan ransomware, ancaman orang dalam, dan kesalahan operasional. Penghapusan MFA sangat berharga untuk bucket yang berisi data kritis atau sensitif kepatuhan yang harus dilindungi dari penghapusan yang tidak sah. Mengikuti praktik terbaik keamanan, sebaiknya aktifkan MFA untuk bucket Amazon S3 Anda.

  1. Tinjau jenis MFA

    AWS mendukung jenis MFA berikut. Meskipun otentikasi dengan perangkat fisik biasanya memberikan perlindungan keamanan yang lebih ketat, menggunakan semua jenis MFA lebih aman daripada menonaktifkan MFA.

  2. Menegakkan MFA di tingkat kebijakan sumber daya

    Gunakan kunci aws:MultiFactorAuthAge kondisi dalam kebijakan bucket untuk meminta MFA untuk operasi sensitif. Untuk informasi selengkapnya, lihat Memerlukan MFA di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  3. Aktifkan MFA

    Untuk mengaktifkan penghapusan MFA, pertama-tama, pastikan pembuatan versi diaktifkan di bucket Amazon S3 Anda. Penghapusan MFA hanya didukung pada bucket yang mengaktifkan versi. Untuk informasi tentang cara mengaktifkan versi Amazon S3, lihat Mengaktifkan pembuatan versi pada bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Penghapusan MFA tidak dapat diaktifkan melalui konsol Amazon S3. Anda harus menggunakan Amazon S3 API atau. AWS CLI Untuk informasi selengkapnya, lihat Mengonfigurasi penghapusan MFA di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Bucket Amazon S3 memungkinkan prinsipal dari akun lain AWS untuk mengubah izin bucket

Kebijakan bucket Amazon S3 mengontrol akses ke bucket dan objek. Jika kebijakan bucket mengizinkan prinsipal dari AWS akun lain untuk mengubah izin bucket, pengguna yang tidak sah dapat mengonfigurasi ulang bucket Anda. Jika kredensil utama eksternal dikompromikan, pengguna yang tidak memiliki hak atas bucket Anda dapat memperoleh kendali atas bucket Anda, yang menyebabkan pelanggaran data atau gangguan layanan. Mengikuti prinsip keamanan standar, AWS merekomendasikan agar Anda membatasi tindakan manajemen izin hanya untuk prinsipal tepercaya.

  1. Meninjau dan mengidentifikasi kebijakan bucket

    Dalam eksposur, identifikasi bucket Amazon S3 di bidang ARN. Di konsol Amazon S3, pilih bucket, lalu arahkan ke tab Izin untuk meninjau kebijakan bucket. Tinjau kebijakan izin yang dilampirkan pada bucket. Cari pernyataan kebijakan yang memberikan tindakan seperti s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* atau pernyataan kebijakan yang memungkinkan akses ke prinsipal di luar akun Anda, sebagaimana dilambangkan dalam pernyataan utama.

  2. Ubah kebijakan bucket

    Ubah kebijakan bucket untuk menghapus atau membatasi tindakan yang diberikan ke AWS akun lain:

    • Hapus pernyataan kebijakan yang memberikan tindakan pengelolaan izin akun eksternal.

    • Jika akses lintas akun diperlukan, ganti izin luas (s3:*) dengan tindakan spesifik yang tidak menyertakan manajemen izin bucket.

    Untuk informasi tentang memodifikasi kebijakan bucket, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di Panduan Pengguna Amazon S3.

Ciri-ciri jangkauan untuk bucket Amazon S3

Berikut adalah ciri-ciri jangkauan untuk bucket Amazon S3 dan langkah-langkah remediasi yang disarankan.

Bucket Amazon S3 memiliki akses publik

Secara default, ember dan objek Amazon S3 bersifat pribadi, tetapi dapat dipublikasikan melalui berbagai konfigurasi. Jika Anda mengubah kebijakan bucket, kebijakan titik akses, atau izin objek untuk mengizinkan akses publik, Anda berisiko mengekspos data sensitif.

  1. Nilai ember

    Menilai apakah bucket Anda dapat dibuat pribadi berdasarkan kebijakan organisasi Anda, persyaratan kepatuhan, atau klasifikasi data. Jika Anda tidak berniat memberikan akses bucket ke publik atau lainnya Akun AWS, ikuti instruksi remediasi yang tersisa.

  2. Konfigurasikan bucket menjadi pribadi

    Pilih salah satu opsi berikut untuk mengonfigurasi akses pribadi untuk bucket Amazon S3 Anda:

Bucket Amazon S3 memiliki akses baca publik

Bucket Amazon S3 dengan akses baca publik memungkinkan siapa pun di internet untuk melihat konten bucket Anda. Meskipun ini mungkin diperlukan untuk situs web yang dapat diakses publik atau sumber daya bersama, hal ini dapat menimbulkan risiko keamanan jika bucket berisi data sensitif. Akses baca publik dapat menyebabkan tampilan dan pengunduhan yang tidak sah, yang dapat menyebabkan pelanggaran data jika data sensitif disimpan dalam ember tersebut. Mengikuti prinsip keamanan standar, AWS merekomendasikan untuk membatasi akses ke bucket Amazon S3 untuk pengguna dan sistem yang diperlukan.

  1. Blokir akses publik di tingkat bucket

    Amazon S3 menyediakan pengaturan Blokir Akses Publik yang dapat dikonfigurasi di tingkat bucket dan akun untuk mencegah akses publik terlepas dari kebijakan bucket atau. ACLs Untuk informasi selengkapnya, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Setelah memblokir akses publik, tinjau konfigurasi kontrol akses bucket Anda untuk memastikannya selaras dengan persyaratan akses Anda. Kemudian tinjau kebijakan bucket Amazon S3 Anda untuk menentukan secara eksplisit siapa yang dapat mengakses bucket Anda. Untuk contoh kebijakan bucket, lihat Contoh kebijakan bucket Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Metode akses alternatif

    Jika akses baca publik diperlukan, pertimbangkan alternatif yang lebih aman ini:

    • CloudFront— Gunakan CloudFront dengan Origin Access Identity (OAI) atau Origin Access Control (OAC) untuk mengizinkan akses baca dari bucket Amazon S3 pribadi. Alternatif ini membatasi akses langsung ke bucket Amazon S3 Anda sambil memungkinkan konten dapat diakses publik melalui. CloudFront Untuk informasi selengkapnya, lihat Membatasi akses ke asal Amazon S3 Amazon di Panduan Pengembang CloudFront Amazon.

    • Presigned URLs — Gunakan presigned URLs untuk akses sementara ke objek tertentu. Untuk informasi selengkapnya, lihat Berbagi objek dengan presigned URLs di Panduan AWSAmazon S3User.

Bucket Amazon S3 memiliki akses tulis

Bucket Amazon S3 dengan akses tulis publik memungkinkan siapa pun di internet untuk mengunggah, memodifikasi, atau menghapus objek di bucket Anda. Ini menciptakan risiko keamanan yang signifikan, termasuk potensi seseorang untuk mengunggah file berbahaya, memodifikasi file yang ada, dan menghapus data. Akses tulis publik menciptakan kerentanan keamanan yang dapat dieksploitasi oleh penyerang. Mengikuti prinsip keamanan standar, AWS merekomendasikan untuk membatasi akses tulis ke bucket Amazon S3 Anda hanya untuk pengguna dan sistem yang diperlukan.

  1. Blokir akses publik di tingkat akun dan bucket

    Amazon S3 menyediakan setelan blokir akses publik yang dapat dikonfigurasi di tingkat bucket dan akun untuk mencegah akses publik terlepas dari kebijakan bucket atau. ACLs Untuk informasi selengkapnya, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Ubah kebijakan bucket

    Untuk pendekatan yang lebih terperinci untuk menghapus akses tulis publik, tinjau kebijakan bucket. Anda dapat mencaris3:PutObject,s3:DeleteObject, ataus3:*. Untuk informasi selengkapnya tentang mengelola kebijakan bucket, lihat Kebijakan Bucket untuk Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  3. Metode akses alternatif Jika akses baca publik diperlukan, pertimbangkan alternatif yang lebih aman ini:

    • CloudFront— Gunakan CloudFront dengan Origin Access Identity (OAI) atau Origin Access Control (OAC) untuk mengizinkan akses baca dari bucket Amazon S3 pribadi. Alternatif ini membatasi akses langsung ke bucket Amazon S3 Anda sambil memungkinkan konten dapat diakses publik melalui. CloudFront Untuk informasi selengkapnya, lihat Membatasi akses ke asal Amazon S3 di Panduan Pengembang CloudFront Amazon.

    • Presigned URLs — Gunakan presigned URLs untuk akses sementara ke objek tertentu. Untuk informasi selengkapnya, lihat Berbagi objek dengan presigned URLs di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Jalur akses Amazon S3 memiliki pengaturan akses publik yang diaktifkan

Jalur akses Amazon S3 menyediakan akses khusus ke kumpulan data bersama di bucket Amazon S3. Ketika Anda mengaktifkan akses publik untuk titik akses, siapa pun di internet untuk mengakses data Anda. Mengikuti prinsip keamanan standar, AWS merekomendasikan untuk membatasi akses publik ke jalur akses Amazon S3.

  1. Buat titik akses baru dengan mengaktifkan akses publik blok

    Amazon S3 tidak mendukung perubahan pengaturan akses publik titik akses setelah titik akses dibuat. Untuk informasi tentang membuat jalur akses, lihat Mengelola akses publik ke titik akses untuk bucket tujuan umum di Panduan Pengguna Amazon S3. Untuk informasi selengkapnya tentang mengelola akses publik ke titik akses, lihat Membuat titik akses untuk bucket tujuan umum di Panduan Pengguna Amazon S3.

Ciri data sensitif untuk bucket Amazon S3

Berikut adalah ciri data sensitif untuk bucket Amazon S3 dan langkah-langkah perbaikan yang disarankan.

Ciri data sensitif untuk bucket Amazon S3

Saat Macie mengidentifikasi data sensitif di bucket Amazon S3 Anda, ini menunjukkan potensi eksposur keamanan dan kepatuhan yang memerlukan perhatian segera.

Data sensitif dapat mencakup:

  • Kredensial

  • Informasi pengenal pribadi

  • Informasi keuangan

  • Konten rahasia yang membutuhkan perlindungan

Jika data sensitif diekspos melalui kesalahan konfigurasi atau akses yang tidak sah, hal itu dapat menyebabkan pelanggaran kepatuhan, pelanggaran data, pencurian identitas, atau kerugian finansial. Mengikuti praktik terbaik keamanan, AWS rekomendasikan klasifikasi data yang tepat dan pemantauan terus menerus terhadap data sensitif di bucket Amazon S3 Anda.

Menerapkan kontrol untuk data sensitif

Dalam temuan eksposur, pilih sumber daya Terbuka. Tinjau jenis data sensitif yang terdeteksi dan lokasinya di bucket. Untuk bantuan menafsirkan temuan Macie, lihat Jenis temuan Macie di Panduan Pengguna Amazon Macie.

Berdasarkan jenis data sensitif yang ditemukan, terapkan kontrol keamanan yang sesuai:

  • Batasi akses ke bucket — Tinjau izin bucket untuk memastikan izin tersebut mengikuti prinsip hak istimewa paling sedikit. Gunakan kebijakan IAM, kebijakan bucket, dan ACLs untuk membatasi akses. Untuk informasi selengkapnya, lihat Identity and Access Management untuk Amazon S3 di Panduan Pengguna Amazon Simple Storage Service.

  • Aktifkan enkripsi sisi server - Aktifkan enkripsi sisi server dengan kunci kunci KMS untuk perlindungan tambahan. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci KMS ( AWS SSE-KMS) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  • Gunakan AWS Glue DataBrew — Gunakan Glue DataBrew untuk persiapan dan pembersihan data. Untuk informasi selengkapnya, lihat Apa yang ada AWS Glue DataBrew di Panduan AWS Glue DataBrew Pengembang.