Riparazione di un bucket S3 potenzialmente compromesso - Amazon GuardDuty
Consigli basati su esigenze specifiche di accesso ai bucket S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riparazione di un bucket S3 potenzialmente compromesso

Quando viene GuardDuty generatoGuardDuty S3 Tipi di risultati di protezione, indica che i bucket Amazon S3 sono stati compromessi. Se il comportamento che ha causato il risultato era previsto nel tuo ambiente, valuta la possibilità di crearlo. Regole di eliminazione Se questo comportamento non era previsto, segui questi passaggi consigliati per correggere un bucket Amazon S3 potenzialmente compromesso nel tuo ambiente: AWS

  1. Identifica la risorsa S3 potenzialmente compromessa.

    Un GuardDuty risultato per S3 elencherà il bucket S3 associato, il relativo Amazon Resource Name (ARN) e il suo proprietario nei dettagli del risultato.

  2. Identifica l'origine dell'attività sospetta e la chiamata utilizzata. API

    La API chiamata utilizzata verrà elencata come indicato API nei dettagli del ritrovamento. La fonte sarà un IAM principale (un IAM ruolo, un utente o un account) e i dettagli identificativi verranno elencati nel risultato. A seconda del tipo di origine, saranno disponibili informazioni sull'indirizzo IP remoto o sul dominio di origine che servono per valutare se l'origine era autorizzata o meno. Se il risultato riguardava credenziali di un'EC2istanza Amazon, verranno inclusi anche i dettagli per quella risorsa.

  3. Determina se l'origine della chiamata era autorizzata ad accedere alla risorsa identificata.

    Ad esempio, considera i quesiti seguenti:

    • Se è stato coinvolto un IAM utente, è possibile che le sue credenziali siano state potenzialmente compromesse? Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

    • Se un API è stato richiamato da un principale che non ha precedenti di invocazioni di questo tipoAPI, questa fonte necessita delle autorizzazioni di accesso per questa operazione? Le autorizzazioni del bucket possono essere ulteriormente limitate?

    • Se l'accesso è stato visualizzato dal nome utente ANONYMOUS_PRINCIPAL con tipo di utente di AWSAccount, significa che il bucket è pubblico e vi è stato effettuato l'accesso. Questo bucket dovrebbe essere pubblico? In caso negativo, consulta i consigli di sicurezza riportati di seguito per trovare soluzioni alternative alla condivisione delle risorse S3.

    • Se l'accesso è avvenuto tramite una PreflightRequest chiamata riuscita visualizzata dal nome utente ANONYMOUS_PRINCIPAL con tipo di utente, AWSAccount ciò indica che il bucket ha un set di criteri di condivisione delle risorse () tra origini diverse. CORS Questo bucket dovrebbe avere una politica? CORS In caso negativo, assicurati che il bucket non sia stato involontariamente reso pubblico e consulta i consigli di sicurezza riportati di seguito per trovare soluzioni alternative alla condivisione delle risorse S3. Per ulteriori informazioni, CORS consulta Using cross-origin resource sharing (CORS) nella guida per l'utente di S3.

  4. Determina se il bucket S3 contiene dati sensibili.

    Usa Amazon Macie per determinare se il bucket S3 contiene dati sensibili, come informazioni di identificazione personale (PII), dati finanziari o credenziali. Se il rilevamento automatico dei dati sensibili è abilitato per il tuo account Macie, esamina i dettagli del bucket S3 per comprendere meglio il contenuto del bucket S3. Se questa funzionalità è disabilitata per il tuo account Macie, ti consigliamo di attivarla per accelerare la valutazione. In alternativa, puoi creare ed eseguire un processo di rilevamento dei dati sensibili per ispezionare gli oggetti del bucket S3 alla ricerca di dati sensibili. Per ulteriori informazioni, consulta Rilevamento dei dati sensibili con Macie.

Se l'accesso era autorizzato, puoi ignorare l'esito. La https://console.aws.amazon.com/guardduty/console ti consente di configurare regole per eliminare completamente i singoli risultati in modo che non vengano più visualizzati. Per ulteriori informazioni, consulta Regole di soppressione in GuardDuty.

Se ritieni che i tuoi dati S3 siano stati esposti o consultati da soggetti non autorizzati, consulta i seguenti consigli sulla sicurezza di S3 per rafforzare le autorizzazioni e limitare l'accesso. Le soluzioni di correzione appropriate dipenderanno dalle esigenze dell'ambiente specifico.

Consigli basati su esigenze specifiche di accesso ai bucket S3

L'elenco seguente fornisce consigli basati su esigenze specifiche di accesso ai bucket Amazon S3:

  • Per limitare l'accesso pubblico all'uso dei dati S3 in modo centralizzato, S3 blocca l'accesso pubblico. Le impostazioni di blocco dell'accesso pubblico possono essere abilitate per punti di accesso, bucket e AWS account tramite quattro diverse impostazioni per controllare la granularità dell'accesso. Per ulteriori informazioni, consulta Blocca le impostazioni di accesso pubblico nella Guida per l'utente di Amazon S3.

  • AWS Le policy di accesso possono essere utilizzate per controllare in che modo IAM gli utenti possono accedere alle tue risorse o come accedere ai tuoi bucket. Per ulteriori informazioni, consulta Using bucket policies and user policies nella Amazon S3 User Guide.

    Inoltre, puoi utilizzare gli endpoint Virtual Private Cloud (VPC) con le policy dei bucket S3 per limitare l'accesso a endpoint specifici. VPC Per ulteriori informazioni, consulta Controllare l'accesso dagli VPC endpoint con le policy dei bucket nella Guida per l'utente di Amazon S3

  • Per consentire temporaneamente l'accesso ai tuoi oggetti S3 a entità attendibili esterne al tuo account, puoi creare un Presigned tramite S3. URL Questo accesso viene creato utilizzando le credenziali dell'account e, a seconda delle credenziali utilizzate, può durare da 6 ore a 7 giorni. Per ulteriori informazioni, consulta Using presigned URLs to download and upload objects nella Amazon S3 User Guide.

  • Per i casi d'uso che richiedono la condivisione di oggetti S3 tra diverse origini, puoi utilizzare i punti di accesso S3 per creare set di autorizzazioni che limitano l'accesso solo a quelli che si trovano all'interno della tua rete privata. Per ulteriori informazioni, consulta Gestire l'accesso ai set di dati condivisi con punti di accesso nella Amazon S3 User Guide.

  • Per concedere l'accesso sicuro alle tue risorse S3 ad altri AWS account puoi utilizzare una lista di controllo degli accessi (ACL), per ulteriori informazioni consulta la panoramica della lista di controllo degli accessi (ACL) nella Guida per l'utente di Amazon S3.

Per ulteriori informazioni sulle opzioni di sicurezza di S3, consulta le best practice di sicurezza per Amazon S3 nella Amazon S3 User Guide.