Correzione delle esposizioni per i bucket Amazon S3

Nota

Security Hub è in versione di anteprima ed è soggetto a modifiche.

AWS Security Hub può generare risultati di esposizione per i bucket Amazon Simple Storage Service (S3).

Sulla console Security Hub, il bucket Amazon S3 coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. A livello di codice, puoi recuperare i dettagli delle risorse con il GetFindingsV2funzionamento dell'API Security Hub.

Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.

Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.

Nota

Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS

Indice

• Caratteristiche di configurazione errate per i bucket Amazon S3

  • Il controllo delle versioni del bucket Amazon S3 è disabilitato

  • Il bucket Amazon S3 ha Object Lock disabilitato

  • Il bucket Amazon S3 non è crittografato quando è inattivo con chiavi AWS KMS

  • L'eliminazione dell'autenticazione a più fattori (MFA) è disattivata su un bucket Amazon S3 con versione

  • Il bucket Amazon S3 consente ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket

• Caratteristiche di raggiungibilità per i bucket Amazon S3

  • Il bucket Amazon S3 ha accesso pubblico

  • Il bucket Amazon S3 ha accesso pubblico in lettura

  • Il bucket Amazon S3 ha accesso in scrittura

  • Il punto di accesso Amazon S3 ha le impostazioni di accesso pubblico abilitate

• Caratteristiche dei dati sensibili per i bucket Amazon S3

  • Caratteristiche dei dati sensibili per i bucket Amazon S3

Caratteristiche di configurazione errate per i bucket Amazon S3

Di seguito sono riportate le caratteristiche di configurazione errate per i bucket Amazon S3 e le procedure di correzione suggerite.

Il controllo delle versioni del bucket Amazon S3 è disabilitato

Amazon S3 Versioning ti aiuta a mantenere più varianti di un oggetto nello stesso bucket. Quando il controllo delle versioni è disabilitato, Amazon S3 memorizza solo la versione più recente di ogni oggetto, il che significa che se gli oggetti vengono eliminati o sovrascritti accidentalmente o intenzionalmente, non possono essere recuperati. I bucket abilitati al controllo delle versioni forniscono protezione contro l'eliminazione accidentale, i guasti delle applicazioni e gli incidenti di sicurezza come gli attacchi ransomware, in cui potrebbero verificarsi modifiche o cancellazioni non autorizzate dei dati. Seguendo le migliori pratiche di sicurezza, consigliamo di abilitare il controllo delle versioni per i bucket contenenti dati importanti che sarebbero difficili o impossibili da ricreare in caso di perdita.

1. Abilita il controllo delle versioni: per abilitare il controllo delle versioni di Amazon S3 su un bucket, consulta Enabling versioning on bucket nella Amazon Simple Storage Service User Guide. Quando abiliti il controllo delle versioni, prendi in considerazione l'implementazione di regole del ciclo di vita per gestire lo storage, poiché il controllo delle versioni manterrà più copie degli oggetti.

Il bucket Amazon S3 ha Object Lock disabilitato

Amazon S3 Object Lock fornisce un modello write-once-read-many (WORM) per gli oggetti Amazon S3, impedendo che vengano eliminati o sovrascritti per un periodo fisso o indefinitamente. Quando Object Lock è disabilitato, i tuoi oggetti potrebbero essere vulnerabili all'eliminazione, alla modifica o alla crittografia accidentali o dolose da parte del ransomware. Object Lock è particolarmente importante per la conformità ai requisiti normativi che richiedono l'archiviazione immutabile dei dati e per la protezione da minacce sofisticate come il ransomware che potrebbe tentare di crittografare i dati. Abilitando Object Lock, è possibile applicare le politiche di conservazione come ulteriore livello di protezione dei dati e creare una strategia di backup immutabile per i dati critici. Seguendo le migliori pratiche di sicurezza, ti consigliamo di abilitare Object Lock per prevenire modifiche dannose degli oggetti.

1. Tieni presente che Object Lock può essere abilitato solo quando crei un nuovo bucket, quindi dovrai creare un nuovo bucket con Object Lock abilitato. Per migrazioni di grandi dimensioni, prendi in considerazione l'utilizzo di Batch Operations per copiare gli oggetti nel nuovo bucket. Prima di bloccare qualsiasi oggetto, devi anche abilitare Amazon S3 Versioning e Object Lock su un bucket. Poiché Object Lock può essere abilitato solo su nuovi bucket, dovrai migrare i dati esistenti in un nuovo bucket con Object Lock abilitato. Configura Amazon S3 Object Lock: per informazioni su come configurare Object Lock su un bucket, consulta ConfiguringAmazon S3Object Lock nella Amazon Simple Storage Service User Guide. Dopo aver configurato Object Lock, scegli una modalità di conservazione appropriata in base al tuo ambiente.

Il bucket Amazon S3 non è crittografato quando è inattivo con chiavi AWS KMS

Amazon S3 applica la crittografia lato server con le chiavi gestite di Amazon S3 come livello di crittografia predefinito per tutti i nuovi bucket. Sebbene le chiavi gestite di Amazon S3 offrano una protezione crittografica avanzata, non offrono lo stesso livello di controllo degli accessi e funzionalità di audit delle chiavi. AWS Key Management Service Quando si utilizzano le chiavi KMS, l'accesso agli oggetti richiede le autorizzazioni sia per il bucket Amazon S3 che per la chiave KMS che ha crittografato l'oggetto. Ciò è particolarmente importante per i dati sensibili in cui è necessario un controllo granulare su chi può accedere agli oggetti crittografati e una registrazione di controllo completa dell'utilizzo delle chiavi di crittografia. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare le chiavi KMS per crittografare i bucket contenenti dati sensibili o per ambienti con requisiti di conformità rigorosi.

1. Configurazione della chiave bucket Amazon S3

   Per configurare un bucket per utilizzare una chiave bucket Amazon S3 per nuovi oggetti, consulta Configurazione del bucket per l'utilizzo di una chiave bucket Amazon S3 con SSE-KMS per nuovi oggetti nella Guida per l'utente di Amazon Simple Storage Service. Per informazioni su come crittografare un oggetto esistente, consulta Encrypting objects with Amazon S3 Batch Operations nel AWS blog di storage.

Quando implementi AWS KMS la crittografia, considera quanto segue:

• Gestione delle chiavi: decidi se utilizzare una chiave AWS gestita o una chiave gestita dal cliente (CMK). CMKs offri ai clienti il pieno controllo sul ciclo di vita e sull'utilizzo delle loro chiavi. Per ulteriori informazioni sulla differenza tra questi due tipi di chiavi, consulta le chiavi AWS KMS nella Guida per gli AWS Key Management Service sviluppatori.

• Rotazione delle chiavi: per ulteriori misure di sicurezza, abilita la rotazione automatica delle chiavi KMS. Per ulteriori informazioni, consulta Abilitare la rotazione automatica delle chiavi nella Guida per gli AWS Key Management Service sviluppatori.

L'eliminazione dell'autenticazione a più fattori (MFA) è disattivata su un bucket Amazon S3 con versione

L'eliminazione dell'autenticazione a più fattori (MFA) fornisce un ulteriore livello di sicurezza per il tuo bucket Amazon S3. Richiede l'autenticazione a più fattori per le operazioni distruttive di Amazon S3. Quando l'eliminazione MFA è disabilitata, gli utenti con le autorizzazioni appropriate possono eliminare definitivamente le versioni degli oggetti o sospendere il controllo delle versioni sul bucket senza ulteriori problemi di autenticazione. L'attivazione dell'eliminazione MFA aiuta a proteggere dall'eliminazione non autorizzata o accidentale dei dati, fornendo una protezione avanzata contro attacchi ransomware, minacce interne ed errori operativi. L'eliminazione tramite MFA è particolarmente utile per i bucket contenenti dati critici o sensibili alla conformità che devono essere protetti dall'eliminazione non autorizzata. Seguendo le best practice di sicurezza, consigliamo di abilitare l'MFA per i bucket Amazon S3.

1. Esamina i tipi di MFA

   AWS supporta i seguenti tipi di MFA. Sebbene l'autenticazione con un dispositivo fisico offra in genere una protezione di sicurezza più rigorosa, l'utilizzo di qualsiasi tipo di MFA è più sicuro rispetto alla disattivazione dell'MFA.

2. Applica la MFA a livello di politica delle risorse

   Utilizza la chiave di aws:MultiFactorAuthAge condizione in una policy bucket per richiedere l'autenticazione a più fattori per operazioni sensibili. Per ulteriori informazioni, consulta la sezione Richiedere l'autenticazione a più fattori nella Guida per l'utente di Amazon Simple Storage Service.

3. Abilita MFA

   Per abilitare l'eliminazione MFA, assicurati innanzitutto che il controllo delle versioni sia abilitato sul tuo bucket Amazon S3. L'eliminazione MFA è supportata solo sui bucket con il controllo delle versioni abilitato. Per informazioni su come abilitare il controllo delle versioni di Amazon S3, consulta Enabling versioning on bucket nella Amazon Simple Storage Service User Guide. L'eliminazione MFA non può essere abilitata tramite la console Amazon S3. È necessario utilizzare l'API Amazon S3 o il. AWS CLI Per ulteriori informazioni, consulta Configurazione dell'eliminazione MFA nella Guida per l'utente di Amazon Simple Storage Service.

Il bucket Amazon S3 consente ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket

Le policy dei bucket di Amazon S3 controllano l'accesso a bucket e oggetti. Quando le policy relative ai bucket consentono ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket, gli utenti non autorizzati possono riconfigurare il bucket. Se le credenziali principali esterne vengono compromesse, gli utenti non autorizzati possono ottenere il controllo del bucket, con conseguenti violazioni dei dati o interruzioni del servizio. Seguendo i principi di sicurezza standard, AWS consiglia di limitare le azioni di gestione delle autorizzazioni solo a responsabili affidabili.

1. Rivedi e identifica le politiche relative ai bucket

   Nell'esposizione, identifica il bucket Amazon S3 nel campo ARN. Nella console Amazon S3, seleziona il bucket e vai alla scheda Autorizzazioni per esaminare la politica del bucket. Rivedi la politica di autorizzazione allegata al bucket. Cerca le politiche che concedono azioni simili s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* o le dichiarazioni politiche che consentono l'accesso a soggetti esterni al tuo account, come indicato nella dichiarazione principale.

2. Modifica la policy del bucket

   Modifica la policy del bucket per rimuovere o limitare le azioni concesse ad altri AWS account:

   • Rimuovi le dichiarazioni politiche che concedono azioni di gestione delle autorizzazioni agli account esterni.

   • Se è richiesto l'accesso su più account, sostituisci le autorizzazioni generali (s3:*) con azioni specifiche che non includono la gestione delle autorizzazioni dei bucket.

   Per informazioni sulla modifica di una policy bucket, consulta Aggiungere una bucket policy utilizzando la console Amazon S3 nella Amazon S3 User Guide.

Caratteristiche di raggiungibilità per i bucket Amazon S3

Ecco le caratteristiche di raggiungibilità per i bucket Amazon S3 e le procedure di correzione suggerite.

Il bucket Amazon S3 ha accesso pubblico

Per impostazione predefinita, i bucket e gli oggetti Amazon S3 sono privati, ma possono essere resi pubblici tramite varie configurazioni. Se modifichi le policy dei bucket, le policy dei punti di accesso o le autorizzazioni degli oggetti per consentire l'accesso pubblico, rischi di esporre dati sensibili.

1. Valuta il bucket

   Valuta se il tuo bucket può essere reso privato in base alla politica organizzativa, ai requisiti di conformità o alla classificazione dei dati. Se non intendevi concedere l'accesso al bucket al pubblico o ad altri utenti Account AWS, segui le restanti istruzioni di riparazione.

2. Configura il bucket in modo che sia privato

   Scegli una delle seguenti opzioni per configurare l'accesso privato per il tuo bucket Amazon S3:

   • Livello di account: per bloccare l'accesso pubblico per tutti i bucket del tuo account utilizzando le impostazioni a livello di account, consulta Configurazione delle impostazioni di blocco dell'accesso pubblico per il tuo account nella Guida per l'utente di Amazon Simple Storage Service.

   • Livello di bucket: per bloccare l'accesso pubblico per un bucket specifico, consulta Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

   • Bucket ACL o policy: per modificare la bucket access control list (ACL), la bucket policy, la policy Multi-Region Access Point (MRAP) o la policy del punto di accesso per rimuovere l'accesso pubblico al bucket, consulta Review and change bucket access nella Amazon Simple Storage Service User Guide. Se blocchi l'accesso pubblico a livello di account o di bucket, tali blocchi hanno la precedenza su una politica che consente l'accesso pubblico.

Il bucket Amazon S3 ha accesso pubblico in lettura

I bucket Amazon S3 con accesso pubblico in lettura consentono a chiunque su Internet di visualizzare il contenuto del bucket. Sebbene ciò possa essere necessario per siti Web accessibili al pubblico o risorse condivise, può creare rischi per la sicurezza se il bucket contiene dati sensibili. L'accesso pubblico alla lettura può portare alla visualizzazione e al download non autorizzati, il che può portare a violazioni dei dati se i dati sensibili sono archiviati in tali bucket. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso ai bucket Amazon S3 agli utenti e ai sistemi necessari.

1. Blocca l'accesso pubblico a livello di bucket

   Amazon S3 fornisce impostazioni di accesso pubblico a blocchi che possono essere configurate sia a livello di bucket che di account per impedire l'accesso pubblico indipendentemente dalle policy del bucket o. ACLs Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. Dopo aver bloccato l'accesso pubblico, rivedi la configurazione del controllo degli accessi del bucket per assicurarti che sia in linea con i tuoi requisiti di accesso. Quindi rivedi la tua policy sui bucket Amazon S3 per definire in modo esplicito chi può accedere al tuo bucket. Per esempi di policy bucket, consulta Esempi di policy bucket Amazon S3 nella Amazon Simple Storage Service User Guide.

2. Metodi di accesso alternativi

   Se è richiesto l'accesso pubblico in lettura, prendi in considerazione queste alternative più sicure:

   • CloudFront— Utilizzalo CloudFront con Origin Access Identity (OAI) o Origin Access Control (OAC) per consentire l'accesso in lettura da un bucket Amazon S3 privato. Questa alternativa limita l'accesso diretto al tuo bucket Amazon S3, consentendo al contempo l'accesso pubblico ai contenuti tramite. CloudFront Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso a un'origine Amazon Amazon S3 nella CloudFront Amazon Developer Guide.

   • Presigned URLs: usa presigned URLs per l'accesso temporaneo a oggetti specifici. Per ulteriori informazioni, consulta Sharing objects with presigned URLs nella S3User Guide. AWSAmazon

Il bucket Amazon S3 ha accesso in scrittura

I bucket Amazon S3 con accesso pubblico in scrittura consentono a chiunque su Internet di caricare, modificare o eliminare oggetti nel tuo bucket. Ciò crea rischi significativi per la sicurezza, tra cui la possibilità che qualcuno carichi file dannosi, modifichi file esistenti ed elimini dati. L'accesso pubblico in scrittura crea vulnerabilità di sicurezza che possono essere sfruttate dagli aggressori. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso in scrittura ai bucket Amazon S3 solo agli utenti e ai sistemi necessari.

1. Blocca l'accesso pubblico a livello di account e bucket

   Amazon S3 fornisce impostazioni di accesso pubblico a blocchi che possono essere configurate sia a livello di bucket che di account per impedire l'accesso pubblico indipendentemente dalle policy del bucket o. ACLs Per ulteriori informazioni, consulta Bloccare l'accesso pubblico allo storage Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

2. Modifica le politiche dei bucket

   Per un approccio più granulare alla rimozione dell'accesso pubblico alla scrittura, consulta la bucket policy. Puoi cercare s3:PutObjects3:DeleteObject, o. s3:* Per ulteriori informazioni sulla gestione delle policy dei bucket, consulta le politiche dei bucket per Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.

3. Metodi di accesso alternativi Se è richiesto l'accesso pubblico in lettura, prendi in considerazione queste alternative più sicure:

   • CloudFront— Utilizzalo CloudFront con Origin Access Identity (OAI) o Origin Access Control (OAC) per consentire l'accesso in lettura da un bucket Amazon S3 privato. Questa alternativa limita l'accesso diretto al tuo bucket Amazon S3, consentendo al contempo l'accesso pubblico ai contenuti tramite. CloudFront Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.

   • Presigned URLs: usa presigned URLs per l'accesso temporaneo a oggetti specifici. Per ulteriori informazioni, consulta Sharing objects with presigned URLs nella Amazon Simple Storage Service User Guide.

Il punto di accesso Amazon S3 ha le impostazioni di accesso pubblico abilitate

I punti di accesso Amazon S3 forniscono un accesso personalizzato ai set di dati condivisi nei bucket Amazon S3. Quando abiliti l'accesso pubblico a un punto di accesso, chiunque su Internet può accedere ai tuoi dati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso pubblico ai punti di accesso Amazon S3.

1. Crea un nuovo punto di accesso con l'accesso pubblico a blocchi abilitato

   Amazon S3 non supporta la modifica delle impostazioni di accesso pubblico di un punto di accesso dopo la creazione di un punto di accesso. Per informazioni sulla creazione di un punto di accesso, consulta Managing public access point for general purpose bucket nella Amazon S3 User Guide. Per ulteriori informazioni sulla gestione dell'accesso pubblico ai punti di accesso, consulta Creazione di punti di accesso per bucket generici nella Guida per l'utente di Amazon S3.

Caratteristiche dei dati sensibili per i bucket Amazon S3

Ecco le caratteristiche dei dati sensibili per i bucket Amazon S3 e le procedure di correzione suggerite.

Caratteristiche dei dati sensibili per i bucket Amazon S3

Quando Macie identifica dati sensibili nei bucket Amazon S3, indica potenziali rischi di sicurezza e conformità che richiedono un'attenzione immediata.

I dati sensibili possono includere:

• Credenziali

• Informazioni di identificazione personale

• Informazioni finanziarie

• Contenuti riservati che richiedono protezione

Se i dati sensibili vengono esposti a causa di una configurazione errata o di un accesso non autorizzato, ciò potrebbe portare a violazioni della conformità, violazioni dei dati, furto di identità o perdite finanziarie. Seguendo le best practice di sicurezza, AWS consiglia una corretta classificazione dei dati e il monitoraggio continuo dei dati sensibili nei bucket Amazon S3.

Implementa i controlli per i dati sensibili

Nella ricerca sull'esposizione, scegli la risorsa Open. Controlla il tipo di dati sensibili rilevati e la loro posizione nel bucket. Per informazioni sull'interpretazione dei risultati di Macie, consulta Tipi di risultati Macie nella Guida per l'utente di Amazon Macie.

In base al tipo di dati sensibili scoperti, implementa i controlli di sicurezza appropriati:

• Limita l'accesso al bucket: controlla le autorizzazioni del bucket per assicurarti che seguano il principio del privilegio minimo. Utilizza le policy IAM, le bucket policy e per limitare l'accesso. ACLs Per ulteriori informazioni, consulta Identity and Access Management for Amazon S3 nella Amazon Simple Storage Service User Guide.

• Abilita la crittografia lato server: abilita la crittografia lato server con chiavi e chiavi KMS per una protezione aggiuntiva. Per ulteriori informazioni, consulta Using server-side encryption with AWS KMS keys (SSE-KMS) nella Amazon Simple Storage Service User Guide.

• Uso AWS Glue DataBrew: da utilizzare per la preparazione e la pulizia dei Glue DataBrew dati. Per ulteriori informazioni, consulta Cosa contiene AWS Glue DataBrew la Guida per AWS Glue DataBrew gli sviluppatori.