Controles do Amazon Simple Storage Service - AWS Security Hub
[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado[S3.10] Os buckets de uso geral do S3 com controle de versão ativado devem ter configurações de ciclo de vida[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas[S3.12] As ACLs não devem ser usadas para gerenciar o acesso do usuário aos buckets de uso geral do S3[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Amazon Simple Storage Service

Esses controles estão relacionados aos recursos do Amazon S3.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, AWS PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, Nist.800-53.r5 AC-3, Nist.800-53.r5 AC-3 (7), Nist.800-53.r5 AC-4, NiST.800-53.r5 AC-4 (21), Nist.800-53.r5 AC-6, NiST.800-53.r5 SC-7 (11), Nist.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NiST.800-53.R5 SC-7 (9 )

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : s3-account-level-public-access-blocks-periodic

Tipo de programação: Periódico

Parâmetros:

  • ignorePublicAcls: true (não personalizável)

  • blockPublicPolicy: true (não personalizável)

  • blockPublicAcls: true (não personalizável)

  • restrictPublicBuckets: true (não personalizável)

Esse controle verifica se as configurações anteriores de acesso público do bloco Amazon S3 estão definidas no nível da conta para um bucket de uso geral do S3. O controle falhará se uma ou mais das configurações de acesso público do bloco estiverem definidas comofalse.

O controle falhará se alguma das configurações estiver definida como false ou se alguma das configurações não estiver definida.

O bloco de acesso público do Amazon S3 foi projetado para fornecer controles em um nível de bucket do S3 inteiro Conta da AWS ou individual para garantir que os objetos nunca tenham acesso público. O acesso público aos buckets e objetos é concedido através de listas de controle de acesso (ACLs), políticas de bucket ou ambos.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Acesso público de bloco do Amazon S3 no nível da conta.

Para obter mais informações, consulte Usar o bloqueio de acesso público do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Correção

Para habilitar o Amazon S3 para bloquear o acesso público para você Conta da AWS, consulte Definir configurações de bloqueio de acesso público para sua conta no Guia do usuário do Amazon Simple Storage Service.

[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-public-read-prohibited

Tipo de programação: periódico e acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público de leitura. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público de leitura.

Alguns casos de uso exigem que todos na Internet possam ler a partir do bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser legível publicamente.

Correção

Para bloqueio de acesso público para seu bucket S3 do Amazon S3, consulte Configurar bloqueio do acesso público aos seus buckets S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-public-write-prohibited

Tipo de programação: periódico e acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público de gravação. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso (ACL) do bucket. O controle falhará se o bucket permitir acesso público de gravação.

Alguns casos de uso exigem que todos na Internet possam gravar no bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser gravável publicamente.

Correção

Para bloqueio de gravação pública para seu bucket S3 do Amazon S3, consulte Configurar bloqueio do acesso público aos seus buckets S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3) Nist.800-53.r5 SC-13, NIST.800-53.r5 SC-23, Nist.800-53.r5 SC-23 (3), Nist.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, Nist.800-53.R5 SC-8 (1), Nist.800-53.R5 SC-8 (2), NIST.800-53.5R SI-7 (6) AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-ssl-requests-only

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma política que exige que as solicitações usem SSL. O controle falhará se a política do bucket não exigir que as solicitações usem SSL.

Os buckets do S3 devem ter políticas que exijam que todas as solicitações (Action: S3:*) aceitem somente a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição aws:SecureTransport.

Correção

Para atualizar uma política de bucket do Amazon S3 para negar transporte não seguro, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Adicione uma declaração de política semelhante à da política a seguir. Substitua DOC-EXAMPLE-BUCKET pelo nome do bucket que você está modificando.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

Para obter mais informações, consulte Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-? bucket-ssl-requests-only no Centro de Conhecimento AWS Oficial.

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoria: Proteger > Gerenciamento de acesso seguro > Ações de operações de API confidenciais restritas

Severidade: alta

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de programação: acionado por alterações

Parâmetros:

  • blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl (não personalizável)

Esse controle verifica se uma política de bucket de uso geral do Amazon S3 impede que diretores de outras Contas da AWS pessoas executem ações negadas em recursos no bucket S3. O controle falhará se a política de bucket permitir uma ou mais das ações anteriores para um principal em outro Conta da AWS.

A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se uma política de bucket do S3 permitir o acesso de contas externas, isso poderá resultar na exfiltração de dados por uma ameaça interna ou por um invasor.

O parâmetro blacklistedactionpatterns permite uma avaliação bem-sucedida da regra para buckets do S3. O parâmetro concede acesso a contas externas para padrões de ação que não estão incluídos na lista blacklistedactionpatterns.

Correção

Para atualizar uma política de bucket do Amazon S3 para remover permissões, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Na página Editar política do bucket, na caixa de texto de edição da política, execute uma das seguintes ações:

  • Remova as declarações que concedem a outras Contas da AWS acesso às ações negadas.

  • Remova as ações negadas permitidas das declarações.

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2), NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-cross-region-replication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem a replicação entre regiões ativada. O controle falhará se o bucket não tiver a replicação entre regiões ativada.

A replicação é a cópia automática e assíncrona de objetos entre buckets iguais ou diferentes. Regiões da AWS A replicação copia os objetos recém-criados e as atualizações de objeto de um bucket de origem para um bucket de destino. As melhores práticas da AWS recomendam a replicação para os buckets de origem e destino que são propriedade da mesma Conta da AWS. Além da disponibilidade, você deve considerar outras configurações de proteção de sistemas.

Correção

Para habilitar a replicação entre regiões em um bucket do S3, consulte Configurar a replicação para buckets de origem e destino pertencentes à mesma conta no Guia do usuário do Amazon Simple Storage Service. Em Source bucket, escolha Aplicar a todos os objetos no bucket.

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, AWS CIS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) Nist.800-53.R5 AC-6, Nist.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (3)), Nist.800-53.r5 SC-7 (4), Nist.800-53.r5 SC-7 (9)

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: alta

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-level-public-access-prohibited

Tipo de programação: acionado por alterações

Parâmetros:

  • excludedPublicBuckets (não personalizável): uma lista separada por vírgulas de nomes de buckets do S3 públicos permitidos conhecidos

Esse controle verifica se um bucket de uso geral do Amazon S3 bloqueia o acesso público no nível do bucket. O controle falhará se alguma das seguintes configurações for definida comofalse:

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

O bloqueio de acesso público no nível do bucket do S3 oferece controles para garantir que os objetos nunca tenham acesso público. O acesso público aos buckets e objetos é concedido através de listas de controle de acesso (ACLs), políticas de bucket ou ambos.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Bloqueio de acesso público do Amazon S3 no nível do bucket.

Correção

Para obter informações sobre como remover o acesso público em um nível de bucket, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3 no Guia do usuário do Amazon S3.

[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o registro de acesso ao servidor está habilitado para um bucket de uso geral do Amazon S3. O controle falhará se o registro de acesso ao servidor não estiver habilitado. Quando você habilita o registro em log, o Amazon S3 entrega logs de acesso a um bucket de origem ou de destino de sua escolha. O bucket de destino deve estar no Região da AWS mesmo bucket de origem e não deve ter um período de retenção padrão configurado. O bucket de registro em log de destino não precisa ter o registro em log de acesso ao servidor ativado, e você deve suprimir as descobertas desse bucket.

O registro em log de acesso ao servidor fornece registros detalhados sobre as solicitações que são feitas a um bucket. Os logs de acesso ao servidor podem auxiliar nas auditorias de segurança e acesso. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon S3: Habilitar o registro em log de acesso ao servidor do Amazon S3.

Correção

Para habilitar o registro em log de acesso ao servidor Amazon S3, consulte Habilitar registro em log de acesso ao servidor do Amazon S3 no Guia do usuário do Amazon S3.

[S3.10] Os buckets de uso geral do S3 com controle de versão ativado devem ter configurações de ciclo de vida

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. O Security Hub retirou esse controle em abril de 2024 do padrão AWS Foundational Security Best Practices, mas ele ainda está incluído no padrão NIST SP 800-53 Rev. 5. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-version-lifecycle-policy-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida.

Recomendamos criar uma configuração de ciclo de vida para seu bucket do S3 para ajudá-lo a definir as ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto.

Correção

Para obter mais informações sobre como configurar o ciclo de vida em um bucket do Amazon S3, consulte Definir a configuração do ciclo de vida em um bucket e Gerenciar seu ciclo de vida de armazenamento.

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. O Security Hub retirou esse controle em abril de 2024 do padrão AWS Foundational Security Best Practices, mas ele ainda está incluído no padrão NIST SP 800-53 Rev. 5:. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(4)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-event-notifications-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

eventTypes

Lista de tipos de eventos do S3 preferidos

EnumList (máximo de 28 itens)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

Nenhum valor padrão

Esse controle verifica se as notificações de eventos do S3 estão habilitadas em um bucket de uso geral do Amazon S3. O controle falhará se as notificações de eventos do S3 não estiverem habilitadas no bucket. Se você fornecer valores personalizados para o eventTypes parâmetro, o controle será aprovado somente se as notificações de eventos estiverem habilitadas para os tipos de eventos especificados.

Ao ativar as notificações de eventos do S3, você recebe alertas quando ocorrem eventos específicos que afetam seus buckets do S3. Por exemplo, você pode ser notificado sobre a criação, remoção e restauração de objetos. Essas notificações podem alertar as equipes relevantes sobre modificações acidentais ou intencionais que podem levar ao acesso não autorizado aos dados.

Correção

Para obter informações sobre a detecção de alterações em buckets e objetos do S3, consulte Notificações de eventos do Amazon S3 no Guia do usuário do Amazon S3.

[S3.12] As ACLs não devem ser usadas para gerenciar o acesso do usuário aos buckets de uso geral do S3

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-acl-prohibited

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 fornece permissões de usuário com uma lista de controle de acesso (ACL). O controle falhará se uma ACL estiver configurada para gerenciar o acesso do usuário no bucket.

As ACLs são mecanismos de controle de acesso que antecedem o IAM. Em vez de ACLs, recomendamos usar políticas de bucket do S3 ou políticas AWS Identity and Access Management (IAM) para gerenciar o acesso aos seus buckets do S3.

Correção

Para passar esse controle, você deve desativar as ACLs para seus buckets do S3. Para instruções, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket no Guia do Usuário do Amazon Simple Storage Service.

Para criar uma política de bucket do S3, consulte Adicionar uma política de bucket usando o console do Amazon S3. Para criar uma política de usuário do IAM em um bucket do S3, consulte Controle do acesso a um bucket com políticas de usuário.

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

Categoria: Proteger > Proteção de dados

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-lifecycle-policy-check

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

targetTransitionDays

Número de dias após a criação do objeto em que os objetos farão a transição para a classe de armazenamento especificada.

Inteiro

1 para 36500

Nenhum valor padrão

targetExpirationDays

Número de dias após a criação do objeto quando os objetos são excluídos.

Inteiro

1 para 36500

Nenhum valor padrão

targetTransitionStorageClass

Tipo de classe de armazenamento do S3 de destino

Enum

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

Nenhum valor padrão

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida. Se você fornecer valores personalizados para um ou mais dos parâmetros anteriores, o controle será aprovado somente se a política incluir a classe de armazenamento, o tempo de exclusão ou o tempo de transição especificados.

A criação de uma configuração de ciclo de vida para seu bucket do S3 define as ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto. Por exemplo, é possível fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado.

Correção

Para obter mais informações sobre como configurar políticas de ciclo de vida em um bucket do Amazon S3, consulte Definir a configuração do ciclo de vida em um bucket e Gerenciar seu ciclo de vida de armazenamento no Guia do usuário do Amazon S3.

[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Requisitos relacionados: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-versioning-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o versionamento ativado. O controle falhará se o controle de versão do bucket for suspenso.

O versionamento mantém diversas variantes de um objeto no mesmo bucket do S3. Você pode usar o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do S3. O versionamento ajuda você a se recuperar de ações não intencionais de usuários e de falhas da aplicação.

dica

À medida que o número de objetos aumenta em um bucket devido ao controle de versão, você pode definir uma configuração de ciclo de vida para arquivar ou excluir automaticamente objetos versionados com base em regras. Para obter mais informações, consulte o Gerenciamento do ciclo de vida de objetos versionados no Amazon S3.

Correção

Para usar o controle de versão em um bucket do S3, consulte Habilitar o versionamento em buckets no Guia do usuário do Amazon S3.

[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Requisitos relacionados: NIST.800-53.r5 CP-6(2)

Severidade: média

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-default-lock-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

mode

Modo de retenção do Bloqueio de objetos do S3

Enum

GOVERNANCE, COMPLIANCE

Nenhum valor padrão

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o Object Lock ativado. O controle falhará se o Object Lock não estiver habilitado para o bucket. Se você fornecer um valor personalizado para o parâmetro mode, o controle passará somente se o Bloqueio de objetos do S3 usar o modo de retenção especificado.

Você pode usar o S3 Object Lock para armazenar objetos usando um modelo write-once-read-many (WORM). O bloqueio de objetos pode ajudar a evitar que os objetos em buckets S3 sejam excluídos ou substituídos por um período de tempo fixo ou indefinidamente. É possível usar o bloqueio de objetos do S3 para atender a requisitos regulamentares que exigem armazenamento WORM ou adicionar uma camada extra de proteção contra alterações e exclusões de objetos.

Correção

Para configurar o Bloqueio de objetos para buckets do S3 novos e existentes, consulte Configuração do Bloqueio de objetos do S3 no Guia do usuário do Amazon S3.

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

Importante

Em 12 de março de 2024, o título desse controle foi alterado para o título mostrado. Para ter mais informações, consulte Log de alterações dos controles do Security Hub.

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Requisitos relacionados: NIST.800-53.r5 SC-12(2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 SI-7(6), NIST.800-53.r5 AU-9

Severidade: média

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-default-encryption-kms

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 está criptografado com um AWS KMS key (SSE-KMS ou DSSE-KMS). O controle falhará se o bucket for criptografado com criptografia padrão (SSE-S3).

A criptografia do lado do servidor é a criptografia de dados em seu destino pela aplicação ou serviço que os recebe. A menos que você especifique o contrário, os buckets do S3 usam as chaves gerenciadas pelo Amazon S3 (SSE-S3) por padrão para a criptografia do lado do servidor. No entanto, para maior controle, você pode optar por configurar buckets para usar criptografia do lado do servidor (SSE-KMS ou DSSE-KMS AWS KMS keys ) em vez disso. O Amazon S3 criptografa seus dados no nível do objeto à medida que os grava em discos em AWS datacenters e os descriptografa para você quando você os acessa.

Correção

Para criptografar um bucket do S3 usando o SSE-KMS, consulte Especificação da criptografia do lado do servidor com (SSE-KMS) no Guia do usuário do Amazon AWS KMS S3. Para criptografar um bucket do S3 usando o DSSE-KMS, consulte Especificação da criptografia de duas camadas no lado do servidor com ( AWS KMS keys DSSE-KMS) no Guia do usuário do Amazon S3.

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Severidade: crítica

Tipo de recurso: AWS::S3::AccessPoint

AWS Config regra: s3-access-point-public-access-blocks

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um ponto de acesso Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará se as configurações de bloqueio de acesso público não estiverem habilitadas para o ponto de acesso.

O recurso Bloqueio de acesso público do Amazon S3 ajuda você a gerenciar o acesso aos recursos do S3 em três níveis: conta, bucket e ponto de acesso. As configurações em cada nível podem ser definidas de forma independente, permitindo que você tenha diferentes níveis de restrições de acesso público aos seus dados. As configurações do ponto de acesso não podem substituir individualmente as configurações mais restritivas em níveis mais altos (nível da conta ou bucket atribuído ao ponto de acesso). Em vez disso, as configurações no nível do ponto de acesso são aditivas, o que significa que elas complementam e funcionam junto com as configurações nos outros níveis. A menos que você pretenda que um ponto de acesso do S3 seja publicamente acessível, você deverá habilitar as configurações de bloqueio de acesso público.

Correção

Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público após à criação de um ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão quando você cria um novo pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas. Para obter mais informações, consulte Gerenciamento do acesso público a pontos de acesso no Guia do usuário do Amazon Simple Storage Service.

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS Foundations Benchmark v1.4.0/2.1.3, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AWS CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-mfa-delete-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a exclusão da autenticação multifator (MFA) está habilitada em um bucket versionado de uso geral do Amazon S3. O controle falhará se a exclusão de MFA não estiver habilitada no bucket. O controle não produz descobertas para buckets que têm uma configuração de ciclo de vida.

Ao trabalhar com o versionamento do S3 em buckets do Amazon S3, é possível, opcionalmente, adicionar outra camada de segurança configurando um bucket para habilitar a exclusão de MFA. Quando você faz isso, o proprietário do bucket precisa incluir dois formulários de autenticação em qualquer solicitação para excluir uma versão ou modificar o estado de versionamento do bucket. A exclusão de MFA fornece segurança adicional caso suas credenciais de segurança sejam comprometidas. A exclusão de MFA também pode ajudar a evitar exclusões acidentais de buckets exigindo que o usuário que inicia a ação de exclusão para provar a posse física de um dispositivo de MFA com um código de MFA e adicionando uma camada extra de atrito e segurança à ação de exclusão.

nota

O recurso de exclusão de MFA exige versionamento do bucket como uma dependência. O versionamento de buckets é um meio de manter diversas variantes de um objeto do S3 no mesmo bucket. Além disso, somente o proprietário do bucket que está conectado como usuário raiz pode habilitar a exclusão do MFA e realizar ações de exclusão nos buckets do S3.

Correção

Para habilitar o versionamento do S3 e configurar a exclusão de MFA em um bucket, consulte Configuração da exclusão de MFA no Guia do usuário do Amazon Simple Storage Service.

[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/3.8

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::::Account

AWS Config regra: cloudtrail-all-write-s3-data-event-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados de gravação para buckets do Amazon S3. O controle falhará se a conta não tiver uma trilha multirregional que registre eventos de dados de gravação para buckets do S3.

As operações em nível de objeto do S3, comoGetObject, e DeleteObjectPutObject, são chamadas de eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Ao ativar o registro em nível de objeto para eventos de gravação de dados, você pode registrar o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produz uma PASSED descoberta se você configurar uma trilha multirregional que registra somente gravação ou todos os tipos de eventos de dados para todos os buckets do S3.

Correção

Para habilitar o registro em nível de objeto para buckets do S3, consulte Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/3.9

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::::Account

AWS Config regra: cloudtrail-all-read-s3-data-event-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados lidos dos buckets do Amazon S3. O controle falhará se a conta não tiver uma trilha multirregional que registre eventos de dados de leitura para buckets do S3.

As operações em nível de objeto do S3, comoGetObject, e DeleteObjectPutObject, são chamadas de eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Ao habilitar o registro em nível de objeto para eventos de leitura de dados, você pode registrar o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a atividade de API em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produz uma PASSED descoberta se você configurar uma trilha multirregional que registra somente leitura ou todos os tipos de eventos de dados para todos os buckets do S3.

Correção

Para habilitar o registro em nível de objeto para buckets do S3, consulte Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no Guia do usuário do Amazon Simple Storage Service.