Correção de exposições para buckets do Amazon S3

nota

O Security Hub está em versão prévia e está sujeito a alterações.

AWS O Security Hub pode gerar resultados de exposição para buckets do Amazon Simple Storage Service (S3).

No console do Security Hub, o bucket Amazon S3 envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, você pode excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de remediação recomendadas para ajudar a reduzir o risco. Os tópicos de remediação são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de remediação. Por outro lado, você pode abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de remediação. Sua abordagem para remediação de riscos depende de seus requisitos organizacionais e cargas de trabalho.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Sumário

• Características de configuração incorreta para buckets do Amazon S3

  • O bucket do Amazon S3 tem o versionamento desativado

  • O bucket do Amazon S3 tem o Object Lock desativado

  • O bucket do Amazon S3 não é criptografado em repouso com chaves AWS KMS

  • A exclusão da autenticação multifator (MFA) está desativada em um bucket Amazon S3 versionado

  • O bucket do Amazon S3 permite que diretores de outras AWS contas modifiquem as permissões do bucket

• Características de acessibilidade para buckets Amazon S3

  • O bucket do Amazon S3 tem acesso público

  • O bucket do Amazon S3 tem acesso público de leitura

  • O bucket do Amazon S3 tem acesso de gravação

  • O ponto de acesso Amazon S3 tem configurações de acesso público habilitadas

• Características de dados confidenciais para buckets do Amazon S3

  • Características de dados confidenciais para buckets do Amazon S3

Características de configuração incorreta para buckets do Amazon S3

Aqui estão as características de configuração incorreta dos buckets do Amazon S3 e as etapas de correção sugeridas.

O bucket do Amazon S3 tem o versionamento desativado

O versionamento do Amazon S3 ajuda você a manter várias variantes de um objeto no mesmo bucket. Quando o controle de versão está desativado, o Amazon S3 armazena somente a versão mais recente de cada objeto, o que significa que, se os objetos forem excluídos ou substituídos acidentalmente ou maliciosamente, eles não poderão ser recuperados. Os buckets com controle de versão oferecem proteção contra exclusão acidental, falhas de aplicativos e incidentes de segurança, como ataques de ransomware, em que podem ocorrer modificações ou exclusões não autorizadas de dados. Seguindo as melhores práticas de segurança, recomendamos ativar o controle de versão para buckets contendo dados importantes que seriam difíceis ou impossíveis de recriar em caso de perda.

1. Habilitar versionamento — Para habilitar o versionamento do Amazon S3 em um bucket, consulte Habilitar o versionamento em buckets no Guia do usuário do Amazon Simple Storage Service. Ao ativar o controle de versão, considere a implementação de regras de ciclo de vida para gerenciar o armazenamento, pois o controle de versão manterá várias cópias dos objetos.

O bucket do Amazon S3 tem o Object Lock desativado

O Amazon S3 Object Lock fornece um modelo write-once-read-many (WORM) para objetos do Amazon S3, impedindo que eles sejam excluídos ou substituídos por um período fixo ou indefinidamente. Quando o Object Lock está desativado, seus objetos podem ficar vulneráveis à exclusão, modificação ou criptografia acidentais ou maliciosas por ransomware. O Object Lock é especialmente importante para a conformidade com os requisitos regulatórios que exigem armazenamento imutável de dados e para proteção contra ameaças sofisticadas, como ransomware, que podem tentar criptografar seus dados. Ao ativar o Object Lock, você pode aplicar políticas de retenção como uma camada adicional de proteção de dados e criar uma estratégia de backup imutável para seus dados críticos. Seguindo as melhores práticas de segurança, recomendamos que você ative o Object Lock para evitar modificações maliciosas de seus objetos.

1. Observe que o Object Lock só pode ser ativado ao criar um novo bucket, então você precisará criar um novo bucket com o Object Lock ativado. Para grandes migrações, considere usar Batch Operations para copiar objetos para o novo bucket. Antes de bloquear qualquer objeto, você também deve habilitar o versionamento e o bloqueio de objetos do Amazon S3 em um bucket. Como o Object Lock só pode ser ativado em novos buckets, você precisará migrar os dados existentes para um novo bucket com o Object Lock ativado. Configurar o Amazon S3 Object Lock — Para obter informações sobre como configurar o Object Lock em um bucket, consulte ConfiguringAmazon S3Object Lock no Guia do usuário do Amazon Simple Storage Service. Depois de configurar o Object Lock, escolha um modo de retenção apropriado de acordo com seu ambiente.

O bucket do Amazon S3 não é criptografado em repouso com chaves AWS KMS

O Amazon S3 aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 como o nível padrão de criptografia para todos os novos buckets. Embora as chaves gerenciadas do Amazon S3 forneçam uma forte proteção de criptografia, elas não oferecem o mesmo nível de controle de acesso e recursos de auditoria que as AWS Key Management Service chaves. Ao usar chaves KMS, o acesso aos objetos requer permissões tanto para o bucket do Amazon S3 quanto para a chave KMS que criptografou o objeto. Isso é particularmente importante para dados confidenciais em que você precisa de controle granular sobre quem pode acessar os objetos criptografados e de um registro de auditoria abrangente do uso da chave de criptografia. Seguindo as melhores práticas de segurança, recomendamos o uso de chaves KMS para criptografar buckets contendo dados confidenciais ou para ambientes com requisitos rígidos de conformidade.

1. Configurar a chave de bucket do Amazon S3

   Para configurar um bucket para usar uma chave de bucket do Amazon S3 para novos objetos, consulte Como configurar seu bucket para usar uma chave de bucket do Amazon S3 com SSE-KMS para novos objetos no Guia do usuário do Amazon Simple Storage Service. Para obter informações sobre como criptografar um objeto existente, consulte Criptografar objetos com operações em lote do Amazon S3 no AWS blog de armazenamento.

Ao implementar a AWS KMS criptografia, considere o seguinte:

• Gerenciamento de chaves — Decida se deseja usar uma chave AWS gerenciada ou uma chave gerenciada pelo cliente (CMK). CMKs oferecem aos clientes controle total sobre o ciclo de vida e o uso de suas chaves. Para obter mais informações sobre a diferença entre esses dois tipos de chaves, consulte Chaves AWS KMS no Guia do AWS Key Management Service desenvolvedor.

• Rotação de chaves — Para medidas de segurança adicionais, ative a rotação automática de chaves para suas chaves KMS. Para obter mais informações, consulte Habilitar a rotação automática de chaves no Guia do AWS Key Management Service desenvolvedor.

A exclusão da autenticação multifator (MFA) está desativada em um bucket Amazon S3 versionado

A exclusão por autenticação multifator (MFA) fornece uma camada adicional de segurança para seu bucket do Amazon S3. Ela exige autenticação multifatorial para operações destrutivas do Amazon S3. Quando a exclusão da MFA é desativada, os usuários com as permissões apropriadas podem excluir permanentemente as versões do objeto ou suspender o controle de versão no seu bucket sem desafios adicionais de autenticação. Habilitar a exclusão do MFA ajuda a proteger contra a exclusão não autorizada ou acidental de seus dados, fornecendo proteção aprimorada contra ataques de ransomware, ameaças internas e erros operacionais. A exclusão de MFA é particularmente valiosa para buckets que contêm dados críticos ou sensíveis à conformidade que devem ser protegidos contra exclusão não autorizada. Seguindo as melhores práticas de segurança, recomendamos habilitar o MFA para seus buckets do Amazon S3.

1. Analise os tipos de MFA

   AWS suporta os seguintes tipos de MFA. Embora a autenticação com um dispositivo físico normalmente forneça uma proteção de segurança mais rigorosa, usar qualquer tipo de MFA é mais seguro do que ter a MFA desativada.

2. Aplique o MFA no nível da política de recursos

   Use a chave de aws:MultiFactorAuthAge condição em uma política de bucket para exigir MFA para operações confidenciais. Para obter mais informações, consulte Exigindo MFA no Guia do usuário do Amazon Simple Storage Service.

3. Ativar MFA

   Para habilitar a exclusão da MFA, primeiro, certifique-se de que o versionamento esteja habilitado em seu bucket do Amazon S3. A exclusão de MFA só é suportada em buckets com versionamento ativado. Para obter informações sobre como habilitar o controle de versão do Amazon S3, consulte Como ativar o controle de versão em buckets no Guia do usuário do Amazon Simple Storage Service. A exclusão de MFA não pode ser habilitada por meio do console do Amazon S3. Você deve usar a API do Amazon S3 ou o. AWS CLI Para obter mais informações, consulte Configurando a exclusão de MFA no Guia do usuário do Amazon Simple Storage Service.

O bucket do Amazon S3 permite que diretores de outras AWS contas modifiquem as permissões do bucket

As políticas de bucket do Amazon S3 controlam o acesso a buckets e objetos. Quando as políticas de bucket permitem que diretores de outras AWS contas modifiquem as permissões do bucket, usuários não autorizados podem reconfigurar seu bucket. Se as credenciais principais externas forem comprometidas, usuários não autorizados poderão obter controle sobre seu bucket, causando violações de dados ou interrupções no serviço. Seguindo os princípios de segurança padrão, AWS recomenda que você restrinja as ações de gerenciamento de permissões somente a diretores confiáveis.

1. Revise e identifique políticas de bucket

   Na exposição, identifique o bucket do Amazon S3 no campo ARN. No console do Amazon S3, selecione o bucket e navegue até a guia Permissions para revisar a política do bucket. Analise a política de permissões anexada ao bucket. Procure declarações de política que concedam ações como s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* declarações de política que permitam acesso a diretores fora de sua conta, conforme indicado na declaração principal.

2. Modifique a política do bucket

   Modifique a política do bucket para remover ou restringir ações concedidas a outras AWS contas:

   • Remova declarações de política que concedem ações de gerenciamento de permissões a contas externas.

   • Se o acesso entre contas for necessário, substitua as permissões (s3:*) amplas por ações específicas que não incluam o gerenciamento de permissões do bucket.

   Para obter informações sobre a modificação de uma política de bucket, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon S3.

Características de acessibilidade para buckets Amazon S3

Aqui estão as características de acessibilidade dos buckets do Amazon S3 e as etapas de remediação sugeridas.

O bucket do Amazon S3 tem acesso público

Por padrão, os buckets e objetos do Amazon S3 são privados, mas podem ser tornados públicos por meio de várias configurações. Se você modificar políticas de bucket, políticas de pontos de acesso ou permissões de objetos para permitir acesso público, corre o risco de expor dados confidenciais.

1. Avalie o bucket

   Avalie se seu bucket pode se tornar privado com base em sua política organizacional, requisitos de conformidade ou classificação de dados. Se você não pretendia conceder acesso ao bucket ao público ou a outros Contas da AWS, siga as instruções de remediação restantes.

2. Configure o bucket para ser privado

   Escolha uma das seguintes opções para configurar o acesso privado ao seu bucket do Amazon S3:

   • Nível da conta — Para bloquear o acesso público a todos os buckets em sua conta usando configurações em nível de conta, consulte Definir configurações de bloqueio de acesso público para sua conta no Guia do usuário do Amazon Simple Storage Service.

   • Nível do bucket — Para bloquear o acesso público a um bucket específico, consulte Definir configurações de bloqueio de acesso público para seus buckets do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

   • ACL ou políticas do bucket — Para modificar a lista de controle de acesso (ACL) do bucket, a política do bucket, a política do ponto de acesso multirregional (MRAP) ou a política do ponto de acesso para remover o acesso público ao bucket, consulte Revisão e alteração do acesso ao bucket no Guia do usuário do Amazon Simple Storage Service. Se você bloquear o acesso público no nível da conta ou do bucket, esses bloqueios têm precedência sobre uma política que permite o acesso público.

O bucket do Amazon S3 tem acesso público de leitura

Os buckets do Amazon S3 com acesso público de leitura permitem que qualquer pessoa na Internet visualize o conteúdo do seu bucket. Embora isso possa ser necessário para sites acessíveis ao público ou recursos compartilhados, isso pode criar riscos de segurança se o bucket contiver dados confidenciais. O acesso público de leitura pode levar à visualização e ao download não autorizados, o que pode levar a violações de dados se dados confidenciais forem armazenados nesses compartimentos. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso aos buckets do Amazon S3 aos usuários e sistemas necessários.

1. Bloqueie o acesso público no nível do bucket

   O Amazon S3 fornece configurações de bloqueio de acesso público que podem ser definidas nos níveis do bucket e da conta para impedir o acesso público, independentemente das políticas do bucket ou. ACLs Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service. Depois de bloquear o acesso público, revise a configuração do controle de acesso do bucket para garantir que ela esteja alinhada aos seus requisitos de acesso. Em seguida, revise sua política de bucket do Amazon S3 para definir explicitamente quem pode acessar seu bucket. Para obter exemplos de políticas de bucket, consulte Exemplos de políticas de bucket do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

2. Métodos alternativos de acesso

   Se for necessário acesso público de leitura, considere estas alternativas mais seguras:

   • CloudFront— Use CloudFront com uma Identidade de Acesso de Origem (OAI) ou Controle de Acesso de Origem (OAC) para permitir acesso de leitura a partir de um bucket privado do Amazon S3. Essa alternativa restringe o acesso direto ao seu bucket do Amazon S3 e, ao mesmo tempo, permite que o conteúdo seja acessível publicamente por meio de. CloudFront Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon Amazon S3 no CloudFront Amazon Developer Guide.

   • Pré-assinado URLs — Use pré-assinado URLs para acesso temporário a objetos específicos. Para obter mais informações, consulte Compartilhamento de objetos com presignados URLs no Guia do Usuário do AWSAmazon S3.

O bucket do Amazon S3 tem acesso de gravação

Os buckets do Amazon S3 com acesso público de gravação permitem que qualquer pessoa na Internet faça upload, modifique ou exclua objetos em seu bucket. Isso cria riscos de segurança significativos, incluindo a possibilidade de alguém carregar arquivos maliciosos, modificar arquivos existentes e excluir dados. O acesso público de gravação cria vulnerabilidades de segurança que podem ser exploradas por invasores. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso de gravação aos seus buckets do Amazon S3 somente aos usuários e sistemas necessários.

1. Bloqueie o acesso público no nível da conta e do bucket

   O Amazon S3 fornece configurações de bloqueio de acesso público que podem ser definidas nos níveis do bucket e da conta para impedir o acesso público, independentemente das políticas do bucket ou. ACLs Para obter mais informações, consulte Bloquear o acesso público ao armazenamento do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

2. Modificar políticas de bucket

   Para uma abordagem mais granular para remover o acesso público de gravação, revise a política do bucket. Você pode procurars3:PutObject,s3:DeleteObject, ous3:*. Para obter mais informações sobre o gerenciamento de políticas de bucket, consulte Políticas de bucket para o Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

3. Métodos de acesso alternativos Se o acesso público de leitura for necessário, considere estas alternativas mais seguras:

   • CloudFront— Use CloudFront com uma Identidade de Acesso de Origem (OAI) ou Controle de Acesso de Origem (OAC) para permitir acesso de leitura a partir de um bucket privado do Amazon S3. Essa alternativa restringe o acesso direto ao seu bucket do Amazon S3 e, ao mesmo tempo, permite que o conteúdo seja acessível publicamente por meio de. CloudFront Para obter mais informações, consulte Restringir o acesso a uma origem do Amazon S3 no CloudFront Amazon Developer Guide.

   • Pré-assinado URLs — Use pré-assinado URLs para acesso temporário a objetos específicos. Para obter mais informações, consulte Compartilhamento de objetos com objetos pré-assinados URLs no Guia do usuário do Amazon Simple Storage Service.

O ponto de acesso Amazon S3 tem configurações de acesso público habilitadas

Os pontos de acesso do Amazon S3 fornecem acesso personalizado a conjuntos de dados compartilhados em buckets do Amazon S3. Quando você ativa o acesso público a um ponto de acesso, qualquer pessoa na Internet pode acessar seus dados. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso público aos pontos de acesso do Amazon S3.

1. Crie um novo ponto de acesso com o bloqueio de acesso público ativado

   O Amazon S3 não suporta a alteração das configurações de acesso público de um ponto de acesso após a criação de um ponto de acesso. Para obter informações sobre a criação de um ponto de acesso, consulte Gerenciamento do acesso público aos pontos de acesso para buckets de uso geral no Guia do usuário do Amazon S3. Para obter mais informações sobre o gerenciamento do acesso público aos pontos de acesso, consulte Criação de pontos de acesso para buckets de uso geral no Guia do usuário do Amazon S3.

Características de dados confidenciais para buckets do Amazon S3

Aqui estão as características de dados confidenciais dos buckets do Amazon S3 e as etapas de remediação sugeridas.

Características de dados confidenciais para buckets do Amazon S3

Quando o Macie identifica dados confidenciais em seus buckets do Amazon S3, isso indica possíveis exposições de segurança e conformidade que exigem atenção imediata.

Os dados confidenciais podem incluir:

• Credenciais

• Informações de identificação pessoal

• Informações financeiras

• Conteúdo confidencial que requer proteção

Se dados confidenciais forem expostos por meio de configuração incorreta ou acesso não autorizado, isso poderá levar a violações de conformidade, violações de dados, roubo de identidade ou perda financeira. Seguindo as melhores práticas de segurança, AWS recomenda a classificação adequada dos dados e o monitoramento contínuo dos dados confidenciais em seus buckets do Amazon S3.

Implemente controles para dados confidenciais

Na descoberta de exposição, escolha o recurso Abrir. Analise o tipo de dados confidenciais detectados e sua localização no bucket. Para obter ajuda na interpretação das descobertas do Macie, consulte Tipos de descobertas do Macie no Guia do usuário do Amazon Macie.

Com base no tipo de dados confidenciais descobertos, implemente os controles de segurança apropriados:

• Restrinja o acesso ao bucket — revise as permissões do bucket para garantir que elas sigam o princípio do menor privilégio. Use políticas do IAM, políticas de bucket e ACLs para restringir o acesso. Para obter mais informações, consulte Identity and Access Management for Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

• Ativar criptografia do lado do servidor — Ative a criptografia do lado do servidor com chaves KMS para proteção adicional. Para obter mais informações, consulte Uso da criptografia do lado do servidor com chaves KMS ( AWS SSE-KMS) no Guia do usuário do Amazon Simple Storage Service.

• Uso AWS Glue DataBrew — Use Glue DataBrew para preparação e limpeza de dados. Para obter mais informações, consulte O que está AWS Glue DataBrew no Guia do AWS Glue DataBrew desenvolvedor.