Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risoluzione dei problemi Risorse correlate Informazioni aggiuntive

Identifica i bucket S3 pubblici nelle AWS organizzazioni utilizzando Security Hub

Creato da Mourad Cherfaoui (), Arun Chandapillai (AWS) e Parag Nagwekar () AWS AWS

Ambiente: produzione	Tecnologie: sicurezza, identità, conformità; archiviazione e backup	Carico di lavoro: tutti gli altri carichi di lavoro
AWSservizi: Amazon EventBridge; AWS Security Hub; Amazon SNS

Riepilogo

Questo modello mostra come creare un meccanismo per identificare i bucket pubblici di Amazon Simple Storage Service (Amazon S3) nei AWS tuoi account Organizations. Il meccanismo funziona utilizzando i controlli dello standard AWS Foundational Security Best Practices (FSBP) in AWS Security Hub per monitorare i bucket S3. Puoi utilizzare Amazon EventBridge per elaborare i risultati di Security Hub e poi pubblicarli su un argomento di Amazon Simple Notification Service (AmazonSNS). Le parti interessate della tua organizzazione possono iscriversi all'argomento e ricevere notifiche e-mail immediate sui risultati.

Per impostazione predefinita, i nuovi bucket S3 e i relativi oggetti non consentono l'accesso pubblico. Puoi utilizzare questo modello in scenari in cui devi modificare le configurazioni predefinite di Amazon S3 in base ai requisiti della tua organizzazione. Ad esempio, questo potrebbe essere uno scenario in cui hai un bucket S3 che ospita un sito Web pubblico o file che tutti gli utenti di Internet devono essere in grado di leggere dal tuo bucket S3.

Security Hub viene spesso utilizzato come servizio centrale per consolidare tutti i risultati di sicurezza, compresi quelli relativi agli standard di sicurezza e ai requisiti di conformità. Esistono altri AWS servizi che è possibile utilizzare per rilevare i bucket S3 pubblici, ma questo modello utilizza una distribuzione di Security Hub esistente con una configurazione minima.

Prerequisiti e limitazioni

Prerequisiti

Una configurazione AWS multi-account con un account amministratore dedicato al Security Hub
Security Hub and AWS Config, abilitati nella AWS regione che si desidera monitorare (Nota: è necessario abilitare l'aggregazione tra regioni in Security Hub se si desidera monitorare più regioni da una singola regione di aggregazione).
Autorizzazioni utente per l'accesso e l'aggiornamento dell'account amministratore di Security Hub, l'accesso in lettura a tutti i bucket S3 dell'organizzazione e le autorizzazioni per disattivare l'accesso pubblico (se necessario)

Architettura

Stack tecnologico

AWS Security Hub
Amazon EventBridge
Servizio di notifica semplice Amazon (AmazonSNS)
Amazon Simple Storage Service (Amazon S3)

Architettura Target

Il diagramma seguente mostra un'architettura per l'utilizzo di Security Hub per identificare i bucket S3 pubblici.

Diagramma che mostra il flusso di lavoro di replica tra account

Il diagramma mostra il seguente flusso di lavoro:

Security Hub monitora la configurazione dei bucket S3 in tutti gli account AWS Organizations (incluso l'account amministratore) utilizzando i controlli S3.2 e S3.3 dello standard di FSBP sicurezza e rileva se un bucket è configurato come pubblico.
L'account amministratore di Security Hub accede ai risultati (inclusi quelli per S3.2 e S3.3) da tutti gli account dei membri.
Security Hub invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come Security Hub Findings - Imported events. Ciò include gli eventi relativi ai risultati provenienti sia dall'account amministratore che da quello dei membri.
Una EventBridge regola filtra i risultati di S3.2 e S3.3 con un ComplianceStatus ofFAILED, uno stato del workflow pari a e uno RecordState diNEW. ACTIVE
Le regole utilizzano i modelli di eventi per identificare gli eventi e inviarli a un SNS argomento una volta che vi è stata una corrispondenza.
Un SNS argomento invia gli eventi ai suoi abbonati (ad esempio tramite e-mail).
Gli analisti della sicurezza incaricati di ricevere le notifiche e-mail esaminano il bucket S3 in questione.
Se il bucket è approvato per l'accesso pubblico, l'analista della sicurezza imposta lo stato del flusso di lavoro del risultato corrispondente in Security Hub su. SUPPRESSED In caso contrario, l'analista imposta lo stato su. NOTIFIED Ciò elimina le notifiche future per il bucket S3 e riduce il rumore delle notifiche.
Se lo stato del flusso di lavoro è impostato suNOTIFIED, l'analista della sicurezza esamina il risultato con il proprietario del bucket per determinare se l'accesso pubblico è giustificato e conforme ai requisiti di privacy e protezione dei dati. L'indagine porta alla rimozione dell'accesso pubblico al bucket o all'approvazione dell'accesso pubblico. In quest'ultimo caso, l'analista della sicurezza imposta lo stato del flusso di lavoro su. SUPPRESSED

Nota: il diagramma dell'architettura si applica sia alle distribuzioni di aggregazione a regione singola che a livello interregionale. Negli account A, B e C del diagramma, Security Hub può appartenere alla stessa regione dell'account amministratore o appartenere a regioni diverse se l'aggregazione tra regioni è abilitata.

Strumenti

AWSstrumenti

Amazon EventBridge è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. EventBridge offre un flusso di dati in tempo reale dalle tue applicazioni, applicazioni SaaS (Software as a Service) e AWS servizi. EventBridge indirizza i dati verso destinazioni come SNS argomenti e funzioni AWS Lambda se i dati corrispondono a regole definite dall'utente.
Amazon Simple Notification Service (AmazonSNS) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. I sottoscrittori ricevono tutti gli stessi messaggi pubblicati sugli argomenti ai quali sono hanno effettuato la sottoscrizione.
Amazon Simple Storage Service (Amazon S3) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
AWSSecurity Hub offre una visione completa dello stato di sicurezza inAWS. Security Hub ti aiuta anche a controllare il tuo AWS ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub raccoglie dati sulla sicurezza da tutti AWS gli account, i servizi e i prodotti partner di terze parti supportati, quindi aiuta ad analizzare le tendenze della sicurezza e identificare i problemi di sicurezza con la massima priorità.

Epiche

Attività	Descrizione	Competenze richieste
Abilita Security Hub negli account AWS Organizations.	Per abilitare Security Hub negli account dell'organizzazione in cui desideri monitorare i bucket S3, consulta le linee guida tratte dalla Designazione di un account amministratore di Security Hub (console) e dalla Gestione degli account dei membri che appartengono a un'organizzazione nella Guida per l'utente di AWS Security Hub.	AWSamministratore
(Facoltativo) Abilita l'aggregazione tra regioni.	Se desideri monitorare i bucket S3 in più regioni da una singola regione, configura l'aggregazione tra regioni.	AWSamministratore
Abilita i controlli S3.2 e S3.3 per lo standard di FSBP sicurezza.	È necessario abilitare i controlli S3.2 e S3.3 per lo standard di sicurezza. FSBP Per abilitare i controlli S3.2, segui le istruzioni fornite da [S3.2] I bucket S3 dovrebbero vietare l'accesso pubblico in lettura nella Security Hub AWS User Guide. Per abilitare i controlli S3.3, segui le istruzioni fornite da [3] I bucket S3 dovrebbero vietare l'accesso pubblico in scrittura nella Guida per l'utente del AWS Security Hub.	AWSamministratore

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Configura l'SNSargomento e l'abbonamento e-mail.	Accedi alla console di AWS gestione e apri la SNSconsole Amazon. Nel riquadro di navigazione scegliere Argomenti, quindi Crea nuovo argomento. Per Tipo, scegliere Standard. Per Nome, inserisci un nome per l'argomento (ad esempio, public-s3-buckets). Scegli Create topic (Crea argomento). Nella scheda Abbonamenti per il tuo argomento, scegli Crea abbonamento. Per Protocol (Protocollo), selezionare Email (E-mail). Per Endpoint, inserisci l'indirizzo email che riceverà le notifiche. È possibile utilizzare l'indirizzo e-mail di un AWS amministratore, di un professionista IT o di un professionista Infosec. Scegli Crea sottoscrizione. Per creare sottoscrizioni e-mail aggiuntive, ripeti i passaggi 6—8 secondo necessità.	AWSamministratore
Configura la EventBridge regola.	Apri la EventBridge console. Nella sezione Inizia, seleziona EventBridge Regola, quindi scegli Crea regola. Nella pagina di dettaglio Definisci regola, in Nome, inserisci un nome per la regola (ad esempio, public-s3-buckets). Scegli Next (Successivo). Nella sezione Schema di eventi, scegli Modifica modello. Copia il codice seguente, incollalo nell'editor del codice del modello di evento, quindi scegli Avanti. `{ "source": ["aws.securityhub"], "detail-type": ["Security Hub Findings - Imported"], "detail": { "findings": { "Compliance": { "Status": ["FAILED"] }, "RecordState": ["ACTIVE"], "Workflow": { "Status": ["NEW"] }, "ProductFields": { "ControlId": ["S3.2", "S3.3"] } } } }` Successivamente, esegui queste operazioni: Nella pagina Seleziona obiettivi, per Seleziona un obiettivo, seleziona l'SNSargomento come obiettivo, quindi seleziona l'argomento che hai creato in precedenza. Scegliete Avanti, scegliete di nuovo Avanti, quindi scegliete Crea regola.	AWSamministratore

Configura l'SNSargomento e l'abbonamento e-mail.

Accedi alla console di AWS gestione e apri la SNSconsole Amazon.
Nel riquadro di navigazione scegliere Argomenti, quindi Crea nuovo argomento.
Per Tipo, scegliere Standard.
Per Nome, inserisci un nome per l'argomento (ad esempio, public-s3-buckets).
Scegli Create topic (Crea argomento).
Nella scheda Abbonamenti per il tuo argomento, scegli Crea abbonamento.
Per Protocol (Protocollo), selezionare Email (E-mail).
Per Endpoint, inserisci l'indirizzo email che riceverà le notifiche. È possibile utilizzare l'indirizzo e-mail di un AWS amministratore, di un professionista IT o di un professionista Infosec.
Scegli Crea sottoscrizione. Per creare sottoscrizioni e-mail aggiuntive, ripeti i passaggi 6—8 secondo necessità.

AWSamministratore

Configura la EventBridge regola.

Apri la EventBridge console.
Nella sezione Inizia, seleziona EventBridge Regola, quindi scegli Crea regola.
Nella pagina di dettaglio Definisci regola, in Nome, inserisci un nome per la regola (ad esempio, public-s3-buckets). Scegli Next (Successivo).
Nella sezione Schema di eventi, scegli Modifica modello.
Copia il codice seguente, incollalo nell'editor del codice del modello di evento, quindi scegli Avanti.


{
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "ControlId": ["S3.2", "S3.3"]
      }
    }
  }
}

Successivamente, esegui queste operazioni:

Nella pagina Seleziona obiettivi, per Seleziona un obiettivo, seleziona l'SNSargomento come obiettivo, quindi seleziona l'argomento che hai creato in precedenza.
Scegliete Avanti, scegliete di nuovo Avanti, quindi scegliete Crea regola.

AWSamministratore

Risoluzione dei problemi

Problema	Soluzione
Ho un bucket S3 con accesso pubblico abilitato, ma non ricevo notifiche e-mail in merito.	Ciò potrebbe essere dovuto al fatto che il bucket è stato creato in un'altra regione e l'aggregazione tra aree geografiche non è abilitata nell'account amministratore del Security Hub. Per risolvere questo problema, abilita l'aggregazione tra regioni o implementa la soluzione di questo pattern nella regione in cui risiede attualmente il bucket S3.

Risorse correlate

Cos'è AWS Security Hub? (documentazione Security Hub)
AWSStandard di base sulle migliori pratiche di sicurezza (FSBP) (documentazione Security Hub)
AWSScript di abilitazione per più account di Security Hub (AWSLabs)
Best practice di sicurezza per Amazon S3 (documentazione Amazon S3)

Informazioni aggiuntive

Flusso di lavoro per il monitoraggio dei bucket S3 pubblici

Il seguente flusso di lavoro illustra come monitorare i bucket S3 pubblici nella propria organizzazione. Il flusso di lavoro presuppone che siano stati completati i passaggi descritti nella storia Configurazione dell'SNSargomento e dell'abbonamento e-mail di questo modello.

Ricevi una notifica e-mail quando un bucket S3 è configurato con accesso pubblico.
- Se il bucket è approvato per l'accesso pubblico, imposta lo stato del flusso di lavoro del risultato corrispondente SUPPRESSED nell'account amministratore del Security Hub. Ciò impedisce a Security Hub di emettere ulteriori notifiche per questo bucket e può eliminare gli avvisi duplicati.
- Se il bucket non è approvato per l'accesso pubblico, imposta lo stato del flusso di lavoro del risultato corrispondente nell'account amministratore del Security Hub suNOTIFIED. Ciò impedisce a Security Hub di inviare ulteriori notifiche per questo bucket da Security Hub e può eliminare il rumore.
Se il bucket potrebbe contenere dati sensibili, disattiva immediatamente l'accesso pubblico fino al completamento della revisione. Se disattivi l'accesso pubblico, Security Hub modifica lo stato del flusso di lavoro inRESOLVED. Quindi, notifiche e-mail per il bucket stop.
Trova l'utente che ha configurato il bucket come pubblico (ad esempio, utilizzando AWS CloudTrail) e avvia una revisione. La revisione comporta la rimozione dell'accesso pubblico al bucket o l'approvazione dell'accesso pubblico. Se l'accesso pubblico è approvato, imposta lo stato del flusso di lavoro del risultato corrispondente su. SUPPRESSED

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aiuta a prevenire l'eliminazione pianificata KMS delle chiavi

Inserisci i log AWS di sicurezza in Microsoft Sentinel