Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Behebung eines potenziell gefährdeten S3-Buckets
Wenn es GuardDuty generiert wirdGuardDuty Suchtypen für den S3-Schutz, weist es darauf hin, dass Ihre Amazon S3 S3-Buckets kompromittiert wurden. Wenn das Verhalten, das den Befund verursacht hat, in Ihrer Umgebung erwartet wurde, sollten Sie eine Erstellung in Betracht ziehen. Unterdrückungsregeln Wenn dieses Verhalten nicht erwartet wurde, befolgen Sie die folgenden empfohlenen Schritte, um einen potenziell gefährdeten Amazon S3 S3-Bucket in Ihrer AWS Umgebung zu beheben:
-
Identifizieren Sie die potenziell gefährdete S3-Ressource.
Ein GuardDuty Ergebnis für S3 listet den zugehörigen S3-Bucket, seinen Amazon-Ressourcennamen (ARN) und seinen Besitzer in den Ergebnisdetails auf.
-
Identifizieren Sie die Quelle der verdächtigen Aktivität und den verwendeten API Anruf.
Der verwendete API Anruf wird wie
API
in den Befunddetails aufgeführt. Bei der Quelle handelt es sich um einen IAM Principal (entweder eine IAM Rolle, ein Benutzer oder ein Konto), und identifizierende Details werden in den Ergebnissen aufgeführt. Je nach Quelltyp sind Informationen zur Remote-IP-Adresse oder zur Quelldomain verfügbar, anhand derer Sie beurteilen können, ob die Quelle autorisiert wurde. Wenn es sich bei der Suche um Anmeldeinformationen von einer EC2 Amazon-Instance handelte, sind die Details für diese Ressource ebenfalls enthalten. -
Stellen Sie fest, ob die Anrufquelle autorisiert war, auf die identifizierte Ressource zuzugreifen.
Denken Sie zum Beispiel an Folgendes:
-
Wenn ein IAM Benutzer beteiligt war, ist es möglich, dass seine Anmeldeinformationen möglicherweise kompromittiert wurden? Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
-
Wenn ein von einem Prinzipal aufgerufen API wurde, der noch nie zuvor diesen Typ aufgerufen hatAPI, benötigt diese Quelle dann Zugriffsberechtigungen für diesen Vorgang? Können die Bucket-Berechtigungen weiter eingeschränkt werden?
-
Wenn der Zugriff anhand des Benutzernamens
ANONYMOUS_PRINCIPAL
mit dem BenutzertypAWSAccount
erkannt wurde, bedeutet dies, dass der Bucket öffentlich ist und darauf zugegriffen wurde. Sollte dieser Bucket öffentlich sein? Falls nicht, finden Sie in den folgenden Sicherheitsempfehlungen alternative Lösungen für die gemeinsame Nutzung von S3-Ressourcen. -
Wenn der Zugriff dennoch ein erfolgreicher
PreflightRequest
Aufruf war, zeigtAWSAccount
dies anhand des BenutzernamensANONYMOUS_PRINCIPAL
mit dem Benutzertyp „Ein“, dass für den Bucket eine ursprungsübergreifende Richtlinie für die gemeinsame Nutzung von Ressourcen (CORS) festgelegt wurde. Sollte dieser Bucket eine CORS Richtlinie haben? Falls nicht, stellen Sie sicher, dass der Bucket nicht versehentlich öffentlich ist, und finden Sie in den folgenden Sicherheitsempfehlungen alternative Lösungen für die gemeinsame Nutzung von S3-Ressourcen. Weitere Informationen CORS finden Sie unter Using Cross-Origin Resource Sharing (CORS) im S3-Benutzerhandbuch.
-
-
Stellen Sie fest, ob der S3-Bucket sensible Daten enthält.
Verwenden Sie Amazon Macie, um zu ermitteln, ob der S3-Bucket sensible Daten wie personenbezogene Daten (PII), Finanzdaten oder Anmeldeinformationen enthält. Wenn die automatische Erkennung sensibler Daten für Ihr Macie-Konto aktiviert ist, überprüfen Sie die Details des S3-Buckets, um den Inhalt Ihres S3-Buckets besser zu verstehen. Wenn dieses Feature für Ihr Macie-Konto deaktiviert ist, empfehlen wir, es zu aktivieren, um Ihre Bewertung zu beschleunigen. Alternativ können Sie einen Discovery-Job für sensible Daten erstellen und ausführen, um die Objekte des S3-Buckets auf sensible Daten zu untersuchen. Weitere Informationen finden Sie unter Aufspüren sensibler Daten mit Macie.
Wenn der Zugriff autorisiert wurde, können Sie die Erkenntnis ignorieren. In der https://console.aws.amazon.com/guardduty/
Wenn Sie feststellen, dass Ihre S3-Daten offengelegt wurden oder von Unbefugten darauf zugegriffen wurde, lesen Sie sich die folgenden S3-Sicherheitsempfehlungen durch, um die Zugriffsrechte zu verschärfen und den Zugriff einzuschränken. Welche Lösungen für die Behebung geeignet sind, hängt von den Anforderungen Ihrer spezifischen Umgebung ab.
Empfehlungen, die auf spezifischen Zugriffsanforderungen für S3-Buckets basieren
Die folgende Liste enthält Empfehlungen, die auf spezifischen Zugriffsanforderungen für Amazon S3 S3-Buckets basieren:
-
Um den öffentlichen Zugriff auf Ihre S3-Datennutzung zentral einzuschränken, blockiert S3 den öffentlichen Zugriff. Die Einstellungen zum Blockieren des öffentlichen Zugriffs können für Access Points, Buckets und AWS Konten über vier verschiedene Einstellungen aktiviert werden, um die Granularität des Zugriffs zu steuern. Weitere Informationen finden Sie unter Einstellungen von S3 Block Public Access.
-
AWS Mithilfe von Zugriffsrichtlinien können Sie steuern, wie IAM Benutzer auf Ihre Ressourcen oder auf Ihre Buckets zugreifen können. Weitere Informationen dazu finden Sie unter Verwendung von Bucket-Richtlinien und Benutzerrichtlinien.
Darüber hinaus können Sie Virtual Private Cloud (VPC) -Endpunkte mit S3-Bucket-Richtlinien verwenden, um den Zugriff auf bestimmte VPC Endpunkte zu beschränken. Weitere Informationen finden Sie unter Beispiel für Bucket-Richtlinien für VPC Endgeräte für Amazon S3.
-
Um vertrauenswürdigen Entitäten außerhalb Ihres Kontos vorübergehend den Zugriff auf Ihre S3-Objekte zu gewähren, können Sie eine URL über S3 vorsignierte Version erstellen. Dieser Zugriff wird mit Ihren Konto-Anmeldeinformationen erstellt und kann je nach den verwendeten Anmeldeinformationen 6 Stunden bis 7 Tage dauern. Weitere Informationen finden Sie unter URLsMit S3 vorsignierte Generierung.
-
Für Anwendungsfälle, die die gemeinsame Nutzung von S3-Objekten zwischen verschiedenen Quellen erfordern, können Sie S3-Zugangspunkte verwenden, um Berechtigungssätze zu erstellen, die den Zugriff nur auf diejenigen innerhalb Ihres privaten Netzwerks beschränken. Weitere Informationen finden Sie unter Verwalten des Datenzugriffs mit Amazon S3 Access Points.
-
Um anderen AWS Konten sicheren Zugriff auf Ihre S3-Ressourcen zu gewähren, können Sie eine Zugriffskontrollliste (ACL) verwenden. Weitere Informationen finden Sie unter S3-Zugriff verwalten mit ACLs.
Weitere Informationen zu den S3-Sicherheitsoptionen finden Sie unter Bewährte Methoden für S3-Sicherheit.