Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon S3

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen des Amazon Simple Storage Service (Amazon S3).

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),, (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: s3-account-level-public-access-blocks-periodic

Art des Zeitplans: Periodisch

Parameter:

Diese Kontrolle prüft, ob die oben genannten Amazon S3 S3-Einstellungen für den öffentlichen Zugriff blockieren auf Kontoebene für einen S3-Allzweck-Bucket konfiguriert sind. Die Steuerung schlägt fehl, wenn eine oder mehrere der Einstellungen zum Blockieren des öffentlichen Zugriffs auf gesetzt sindfalse.

Die Steuerung schlägt fehlfalse, wenn eine der Einstellungen auf eingestellt ist oder wenn eine der Einstellungen nicht konfiguriert ist.

Amazon S3 Public Access Block wurde entwickelt, um Kontrollen auf der gesamten AWS-Konto oder auf der Ebene einzelner S3-Buckets bereitzustellen, um sicherzustellen, dass Objekte niemals öffentlich zugänglich sind. Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt.

Sofern Sie nicht beabsichtigen, Ihre S3-Buckets öffentlich zugänglich zu machen, sollten Sie die Amazon S3 Block Public Access-Funktion auf Kontoebene konfigurieren.

Weitere Informationen finden Sie unter Verwenden von Amazon S3 Block Public Access im Amazon Simple Storage Service-Benutzerhandbuch.

Abhilfe

Informationen zur Aktivierung von Amazon S3 Block Public Access für Sie AWS-Konto finden Sie unter Konfiguration der Einstellungen für den Block Public Access für Ihr Konto im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Kritisch

Ressourcentyp: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-public-read-prohibited

Art des Zeitplans: Periodisch und durch Änderung ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket öffentlichen Lesezugriff gewährt. Es bewertet die Einstellungen für den öffentlichen Blockzugriff, die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL). Die Kontrolle schlägt fehl, wenn der Bucket öffentlichen Lesezugriff zulässt.

In einigen Anwendungsfällen kann es erforderlich sein, dass jeder im Internet aus Ihrem S3-Bucket lesen kann. Solche Situationen sind jedoch selten. Um die Integrität und Sicherheit Ihrer Daten zu gewährleisten, sollte Ihr S3-Bucket nicht öffentlich lesbar sein.

Abhilfe

Informationen zum Blockieren des öffentlichen Lesezugriffs auf Ihre Amazon S3 S3-Buckets finden Sie unter Konfiguration der Einstellungen zum Sperren des öffentlichen Zugriffs für Ihre S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren

Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (21),, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schutz > Sichere Netzwerkkonfiguration

Schweregrad: Kritisch

Ressourcentyp: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-public-write-prohibited

Art des Zeitplans: Periodisch und durch Änderung ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket öffentlichen Schreibzugriff zulässt. Es bewertet die Einstellungen für den öffentlichen Blockzugriff, die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL). Die Kontrolle schlägt fehl, wenn der Bucket öffentlichen Schreibzugriff zulässt.

Einige Anwendungsfälle erfordern, dass jeder im Internet in den S3-Bucket schreiben kann. Solche Situationen sind jedoch selten. Um die Integrität und Sicherheit Ihrer Daten zu gewährleisten, sollte Ihr S3-Bucket nicht öffentlich beschreibbar sein.

Abhilfe

Informationen zum Blockieren des öffentlichen Schreibzugriffs auf Ihre Amazon S3 S3-Buckets finden Sie unter Konfiguration der Einstellungen zum Sperren des öffentlichen Zugriffs für Ihre S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3) NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4),, NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-ssl-requests-only

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket über eine Richtlinie verfügt, die die Verwendung von Anfragen erfordertSSL. Die Steuerung schlägt fehl, wenn die Bucket-Richtlinie keine Verwendung von Anfragen erfordertSSL.

S3-Buckets sollten Richtlinien haben, die vorschreiben, dass alle Anfragen (Action: S3:*) nur die Übertragung von Daten über HTTPS die S3-Ressourcenrichtlinie akzeptieren, die durch den Bedingungsschlüssel aws:SecureTransport gekennzeichnet ist.

Abhilfe

Informationen zur Aktualisierung einer Amazon S3 S3-Bucket-Richtlinie, um unsicheren Transport zu verweigern, finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.

Fügen Sie eine Richtlinienerklärung hinzu, die der in der folgenden Richtlinie ähnelt. amzn-s3-demo-bucketErsetzen Sie es durch den Namen des Buckets, den Sie ändern.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

Weitere Informationen finden Sie unter Welche S3-Bucket-Richtlinie sollte ich verwenden, um die AWS Config Regel s3- einzuhaltenbucket-ssl-requests-only? im AWS offiziellen Knowledge Center.

[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Kategorie: Schützen > Sicheres Zugriffsmanagement > Eingeschränkte Aktionen bei vertraulichen Vorgängen API

Schweregrad: Hoch

Art der Ressource: AWS::S3::Bucket

AWS Config-Regel: s3-bucket-blacklisted-actions-prohibited

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Diese Kontrolle prüft, ob eine allgemeine Amazon S3 S3-Bucket-Richtlinie verhindert, dass Principals AWS-Konten von anderen Personen abgelehnte Aktionen für Ressourcen im S3-Bucket ausführen. Die Kontrolle schlägt fehl, wenn die Bucket-Richtlinie eine oder mehrere der vorherigen Aktionen für einen Prinzipal in einem anderen AWS-Konto zulässt.

Die Implementierung des Zugriffs mit den geringsten Rechten ist von grundlegender Bedeutung, um das Sicherheitsrisiko und die Auswirkungen von Fehlern oder böswilligen Absichten zu verringern. Wenn eine S3-Bucket-Richtlinie den Zugriff von externen Konten aus ermöglicht, kann dies zu einer Datenexfiltration durch eine Insider-Bedrohung oder einen Angreifer führen.

Der blacklistedactionpatterns Parameter ermöglicht eine erfolgreiche Auswertung der Regel für S3-Buckets. Der Parameter gewährt Zugriff auf externe Konten für Aktionsmuster, die nicht in der blacklistedactionpatterns Liste enthalten sind.

Abhilfe

Informationen zum Aktualisieren einer Amazon S3 S3-Bucket-Richtlinie zum Entfernen von Berechtigungen finden Sie unter. Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole im Amazon Simple Storage Service-Benutzerhandbuch.

Führen Sie auf der Seite Bucket-Richtlinie bearbeiten im Textfeld zur Richtlinienbearbeitung eine der folgenden Aktionen aus:

[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden

Verwandte Anforderungen: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), NIST .800-53.r5 SI-13 NIST.800-53.r5 SC-5 (5)

Kategorie: Schutz > Sichere Zugriffsverwaltung

Schweregrad: Niedrig

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: s3-bucket-cross-region-replication-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für einen Amazon S3 S3-Allzweck-Bucket die regionsübergreifende Replikation aktiviert ist. Die Steuerung schlägt fehl, wenn für den Bucket keine regionsübergreifende Replikation aktiviert ist.

Bei der Replikation handelt es sich um das automatische, asynchrone Kopieren von Objekten über Buckets hinweg, die sich im selben oder in unterschiedlichen Buckets befinden. AWS-Regionen Bei der Replikation werden neu erstellte Objekte und Objektaktualisierungen von einem Quell-Bucket in einen oder mehrere Ziel-Buckets kopiert. AWS In bewährten Verfahren wird die Replikation für Quell- und Ziel-Buckets empfohlen, die demselben Eigentümer gehören. AWS-Konto Zusätzlich zur Verfügbarkeit sollten Sie andere Einstellungen für die Systemstabilisierung berücksichtigen.

Dieses Steuerelement generiert einen FAILED Befund für einen Replizierungsziel-Bucket, wenn für diesen keine regionsübergreifende Replikation aktiviert ist. Wenn es einen legitimen Grund dafür gibt, dass für die Aktivierung des Ziel-Buckets keine regionsübergreifende Replikation erforderlich ist, können Sie die Ergebnisse für diesen Bucket unterdrücken.

Abhilfe

Informationen zur Aktivierung der regionsübergreifenden Replikation auf einem S3-Bucket finden Sie unter Konfiguration der Replikation für Quell- und Ziel-Buckets, die demselben Konto gehören, im Amazon Simple Storage Service-Benutzerhandbuch. Wählen Sie für Quell-Bucket die Option Auf alle Objekte im Bucket anwenden aus.

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6, (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Hoch

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-level-public-access-prohibited

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Diese Kontrolle prüft, ob ein Amazon S3 S3-Allzweck-Bucket den öffentlichen Zugriff auf Bucket-Ebene blockiert. Die Steuerung schlägt fehl, wenn eine der folgenden Einstellungen auf gesetzt istfalse:

Block Public Access auf S3-Bucket-Ebene bietet Kontrollen, mit denen sichergestellt wird, dass Objekte niemals öffentlich zugänglich sind. Öffentlicher Zugriff auf Buckets und Objekte wird über Zugriffskontrolllisten (ACLs), Bucket-Richtlinien oder beides gewährt.

Sofern Sie nicht beabsichtigen, Ihre S3-Buckets öffentlich zugänglich zu machen, sollten Sie die Amazon S3 Block Public Access-Funktion auf Bucket-Ebene konfigurieren.

Abhilfe

Informationen zum Entfernen des öffentlichen Zugriffs auf Bucket-Ebene finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon S3 S3-Benutzerhandbuch.

[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-logging-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung für einen Amazon S3 S3-Allzweck-Bucket aktiviert ist. Die Steuerung schlägt fehl, wenn die Serverzugriffsprotokollierung nicht aktiviert ist. Wenn die Protokollierung aktiviert ist, übermittelt Amazon S3 Zugriffsprotokolle für einen Quell-Bucket an einen ausgewählten Ziel-Bucket. Der Ziel-Bucket muss sich im selben AWS-Region wie der Quell-Bucket befinden und es darf kein standardmäßiger Aufbewahrungszeitraum konfiguriert sein. Für den Ziel-Logging-Bucket muss die Serverzugriffsprotokollierung nicht aktiviert sein, und Sie sollten die Ergebnisse für diesen Bucket unterdrücken.

Die Serverzugriffsprotokollierung bietet detaillierte Aufzeichnungen der Anfragen, die an einen Bucket gestellt wurden. Serverzugriffsprotokolle können bei Sicherheits- und Zugriffsprüfungen hilfreich sein. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon S3: Aktivieren Sie die Amazon S3 S3-Serverzugriffsprotokollierung.

Abhilfe

Informationen zur Aktivierung der Amazon S3 S3-Serverzugriffsprotokollierung finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung im Amazon S3 S3-Benutzerhandbuch.

[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5NIST)

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-version-lifecycle-policy-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein versionsbasierter Amazon S3 S3-Bucket für allgemeine Zwecke über eine Lifecycle-Konfiguration verfügt. Die Kontrolle schlägt fehl, wenn der Bucket keine Lifecycle-Konfiguration hat.

Wir empfehlen, eine Lifecycle-Konfiguration für Ihren S3-Bucket zu erstellen, um Ihnen bei der Definition von Aktionen zu helfen, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll.

Abhilfe

Weitere Informationen zur Konfiguration des Lebenszyklus in einem Amazon S3 S3-Bucket finden Sie unter Lebenszykluskonfiguration für einen Bucket einrichten und Ihren Speicherlebenszyklus verwalten.

[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (4) NIST NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-event-notifications-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Dieses Steuerelement prüft, ob S3-Ereignisbenachrichtigungen in einem Amazon S3 S3-Allzweck-Bucket aktiviert sind. Die Steuerung schlägt fehl, wenn S3-Ereignisbenachrichtigungen für den Bucket nicht aktiviert sind. Wenn Sie benutzerdefinierte Werte für den eventTypes Parameter angeben, wird die Steuerung nur erfolgreich ausgeführt, wenn Ereignisbenachrichtigungen für die angegebenen Ereignistypen aktiviert sind.

Wenn Sie S3-Ereignisbenachrichtigungen aktivieren, erhalten Sie Benachrichtigungen, wenn bestimmte Ereignisse eintreten, die sich auf Ihre S3-Buckets auswirken. Sie können beispielsweise über die Erstellung, Entfernung von Objekten und Wiederherstellung von Objekten informiert werden. Diese Benachrichtigungen können die zuständigen Teams vor versehentlichen oder vorsätzlichen Änderungen warnen, die zu unberechtigtem Datenzugriff führen können.

Abhilfe

Informationen zum Erkennen von Änderungen an S3-Buckets und Objekten finden Sie unter Amazon S3 S3-Ereignisbenachrichtigungen im Amazon S3 S3-Benutzerhandbuch.

[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden

Verwandte Anforderungen: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Kategorie: Schützen > Sicheres Zugriffsmanagement > Zugriffskontrolle

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-acl-prohibited

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein Amazon S3 S3-Allzweck-Bucket Benutzerberechtigungen mit einer Zugriffskontrollliste (ACL) bereitstellt. Die Steuerung schlägt fehl, wenn ACL ein für die Verwaltung des Benutzerzugriffs auf den Bucket konfiguriert ist.

ACLssind veraltete Zugriffskontrollmechanismen, die älter IAM sind. Stattdessen empfehlen wirACLs, S3-Bucket-Richtlinien oder AWS Identity and Access Management (IAM) -Richtlinien zu verwenden, um den Zugriff auf Ihre S3-Buckets zu verwalten.

Abhilfe

Um diese Kontrolle zu umgehen, sollten Sie sie ACLs für Ihre S3-Buckets deaktivieren. Anweisungen finden Sie unter Kontrolle des Besitzes von Objekten und Deaktivierung ACLs für Ihren Bucket im Amazon Simple Storage Service-Benutzerhandbuch.

Informationen zum Erstellen einer S3-Bucket-Richtlinie finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole. Informationen zum Erstellen einer IAM Benutzerrichtlinie für einen S3-Bucket finden Sie unter Steuern des Zugriffs auf einen Bucket mit Benutzerrichtlinien.

[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben

Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Kategorie: Schützen > Datenschutz

Schweregrad: Niedrig

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-lifecycle-policy-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Dieses Steuerelement prüft, ob ein Amazon S3 S3-Allzweck-Bucket über eine Lifecycle-Konfiguration verfügt. Die Steuerung schlägt fehl, wenn der Bucket keine Lifecycle-Konfiguration hat. Wenn Sie benutzerdefinierte Werte für einen oder mehrere der oben genannten Parameter angeben, ist die Kontrolle nur erfolgreich, wenn die Richtlinie die angegebene Speicherklasse, Löschzeit oder Übergangszeit beinhaltet.

Durch das Erstellen einer Lifecycle-Konfiguration für Ihren S3-Bucket werden Aktionen definiert, die Amazon S3 während der Lebensdauer eines Objekts ausführen soll. Sie können beispielsweise Objekte in eine andere Speicherklasse übertragen, archivieren oder nach einem bestimmten Zeitraum löschen.

Abhilfe

Informationen zur Konfiguration von Lebenszyklusrichtlinien für einen Amazon S3 S3-Bucket finden Sie unter Einstellung der Lebenszykluskonfiguration für einen Bucket und unter Verwaltung Ihres Speicherlebenszyklus im Amazon S3 S3-Benutzerhandbuch.

[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Verwandte Anforderungen: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Schweregrad: Niedrig

Art der Ressource: AWS::S3::Bucket

AWS Config -Regel: s3-bucket-versioning-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für einen Amazon S3 S3-Allzweck-Bucket die Versionierung aktiviert ist. Die Kontrolle schlägt fehl, wenn die Versionierung für den Bucket ausgesetzt ist.

Bei der Versionierung werden mehrere Varianten eines Objekts im selben S3-Bucket aufbewahrt. Sie können die Versionierung verwenden, um frühere Versionen eines in Ihrem S3-Bucket gespeicherten Objekts beizubehalten, abzurufen und wiederherzustellen. Die Versionierung hilft Ihnen bei der Wiederherstellung sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsausfällen.

Abhilfe

Informationen zur Verwendung der Versionierung in einem S3-Bucket finden Sie unter Aktivieren der Versionierung für Buckets im Amazon S3 S3-Benutzerhandbuch.

[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Verwandte Anforderungen: NIST .800-53.r5 CP-6 (2)

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: s3-bucket-default-lock-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Dieses Steuerelement prüft, ob in einem Amazon S3 S3-Allzweck-Bucket Object Lock aktiviert ist. Die Steuerung schlägt fehl, wenn Object Lock für den Bucket nicht aktiviert ist. Wenn Sie einen benutzerdefinierten Wert für den mode Parameter angeben, wird die Steuerung nur erfolgreich ausgeführt, wenn S3 Object Lock den angegebenen Aufbewahrungsmodus verwendet.

Sie können S3 Object Lock verwenden, um Objekte mithilfe eines write-once-read-many (WORM) -Modells zu speichern. Object Lock kann verhindern, dass Objekte in S3-Buckets für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Sie können S3 Object Lock verwenden, um gesetzliche Anforderungen zu erfüllen, die WORM Speicherplatz erfordern, oder eine zusätzliche Schutzebene gegen Objektänderungen und das Löschen von Objekten hinzufügen.

Abhilfe

Informationen zur Konfiguration von Object Lock für neue und bestehende S3-Buckets finden Sie unter Konfiguration von S3 Object Lock im Amazon S3 S3-Benutzerhandbuch.

[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Verwandte Anforderungen: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, 8 (1), (10), (1), NIST.800-53.r5 SC-7 NIST .800-53.r5 NIST.800-53.r5 SC-2 SI-7 NIST.800-53.r5 CA-9 (6), .800-53.r5 AU-9 NIST

Schweregrad: Mittel

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: s3-default-encryption-kms

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein Amazon S3 S3-Allzweck-Bucket mit einem AWS KMS key (SSE- KMS oder DSSE -KMS) verschlüsselt ist. Die Kontrolle schlägt fehl, wenn der Bucket mit der Standardverschlüsselung (SSE-S3) verschlüsselt ist.

Serverseitige Verschlüsselung (SSE) ist die Verschlüsselung von Daten am Zielort durch die Anwendung oder den Dienst, der sie empfängt. Sofern Sie nichts anderes angeben, verwenden S3-Buckets standardmäßig von Amazon S3 verwaltete Schlüssel (SSE-S3) für die serverseitige Verschlüsselung. Für zusätzliche Kontrolle können Sie Buckets jedoch so konfigurieren, dass sie stattdessen serverseitige Verschlüsselung mit AWS KMS keys (SSE- oder -KMS) verwenden. DSSE KMS Amazon S3 verschlüsselt Ihre Daten auf Objektebene, wenn es sie auf Festplatten in AWS Rechenzentren schreibt, und entschlüsselt sie für Sie, wenn Sie darauf zugreifen.

Abhilfe

Informationen zum Verschlüsseln eines S3-Buckets mit SSE - KMS finden Sie unter Serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) angeben im Amazon S3 S3-Benutzerhandbuch. Informationen zum Verschlüsseln eines S3-Buckets mit DSSE - KMS finden Sie unter Spezifizieren der serverseitigen Dual-Layer-Verschlüsselung mit AWS KMS keys (DSSE-KMS) im Amazon S3 S3-Benutzerhandbuch.

[S3.19] Bei S3-Zugriffspunkten sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)

Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

Schweregrad: Kritisch

Art der Ressource: AWS::S3::AccessPoint

AWS Config Regel: s3-access-point-public-access-blocks

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Kontrolle prüft, ob für einen Amazon S3 S3-Zugriffspunkt die Einstellungen für den öffentlichen Zugriff blockiert aktiviert sind. Die Kontrolle schlägt fehl, wenn die Einstellungen zum Blockieren des öffentlichen Zugriffs für den Access Point nicht aktiviert sind.

Die Amazon S3 S3-Funktion Block Public Access hilft Ihnen, den Zugriff auf Ihre S3-Ressourcen auf drei Ebenen zu verwalten: Konto-, Bucket- und Access Point-Ebene. Die Einstellungen auf jeder Ebene können unabhängig voneinander konfiguriert werden, sodass Sie unterschiedliche Stufen der öffentlichen Zugriffsbeschränkungen für Ihre Daten festlegen können. Die Einstellungen des Access Points können die restriktiveren Einstellungen auf höheren Ebenen (Kontoebene oder dem Access Point zugewiesener Bucket) nicht einzeln außer Kraft setzen. Stattdessen sind die Einstellungen auf der Zugriffspunktebene additiv, was bedeutet, dass sie die Einstellungen auf den anderen Ebenen ergänzen und mit ihnen zusammenarbeiten. Sofern Sie nicht beabsichtigen, dass ein S3-Zugriffspunkt öffentlich zugänglich ist, sollten Sie die Einstellungen zum Blockieren des öffentlichen Zugriffs aktivieren.

Abhilfe

Amazon S3 unterstützt derzeit nicht das Ändern der Public Block Access-Einstellungen eines Zugriffspunkts, nachdem der Zugriffspunkt erstellt wurde. Alle Einstellungen zum Blockieren des öffentlichen Zugriffs sind standardmäßig aktiviert, wenn Sie einen neuen Access Point erstellen. Wir empfehlen, alle Einstellungen aktiviert zu lassen, es sei denn, Sie wissen, dass Sie eine bestimmte Einstellung deaktivieren müssen. Weitere Informationen finden Sie unter Verwaltung des öffentlichen Zugriffs auf Access Points im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

Verwandte Anforderungen: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung

Schweregrad: Niedrig

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: s3-bucket-mfa-delete-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob das Löschen mit Multi-Faktor-Authentifizierung (MFA) in einem Amazon S3 S3-Bucket mit allgemeiner Version aktiviert ist. Die Steuerung schlägt fehl, wenn MFA Delete für den Bucket nicht aktiviert ist. Das Steuerelement liefert keine Ergebnisse für Buckets mit einer Lifecycle-Konfiguration.

Wenn Sie mit der S3-Versionierung in Amazon S3 S3-Buckets arbeiten, können Sie optional eine weitere Sicherheitsebene hinzufügen, indem Sie einen Bucket so konfigurieren, dass er das Löschen ermöglichtMFA. In diesem Fall muss der Bucket-Eigentümer zwei Authentifizierungsformen in jede Anforderung aufnehmen, um eine Version zu löschen oder den Versioning-Status des Buckets zu ändern. MFAdelete bietet zusätzliche Sicherheit, falls Ihre Sicherheitsanmeldedaten gefährdet sind. MFAdelete kann auch dazu beitragen, das versehentliche Löschen von Buckets zu verhindern, indem der Benutzer, der die Löschaktion initiiert, den physischen Besitz eines MFA Geräts anhand eines MFA Codes nachweisen muss. Dadurch wird die Löschaktion noch reibungsloser und sicherer.

Abhilfe

Informationen zum Aktivieren der S3-Versionierung und zum Konfigurieren des MFA Löschvorgangs für einen Bucket finden Sie unter MFALöschen konfigurieren im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

Verwandte Anforderungen: Foundations Benchmark v3.0.0/3.8 CIS AWS

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config Regel: cloudtrail-all-write-s3-data-event-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS-Konto über mindestens einen AWS CloudTrail Multiregions-Trail verfügt, der alle Schreibdatenereignisse für Amazon S3 S3-Buckets protokolliert. Die Kontrolle schlägt fehl, wenn das Konto nicht über einen Multi-Regions-Trail verfügt, der Schreibdatenereignisse für S3-Buckets protokolliert.

S3-Operationen auf Objektebene, wie, und GetObject DeleteObjectPutObject, werden als Datenereignisse bezeichnet. Standardmäßig protokolliert CloudTrail es keine Datenereignisse, aber Sie können Trails konfigurieren, um Datenereignisse für S3-Buckets zu protokollieren. Wenn Sie die Protokollierung auf Objektebene für Schreibdatenereignisse aktivieren, können Sie jeden einzelnen Objekt- (Datei-) Zugriff innerhalb eines S3-Buckets protokollieren. Durch die Aktivierung der Protokollierung auf Objektebene können Sie mithilfe von Amazon Events Datenkonformitätsanforderungen erfüllen, umfassende Sicherheitsanalysen durchführen AWS-Konto, bestimmte Muster des Benutzerverhaltens in Ihrem System überwachen und Maßnahmen gegen API Aktivitäten auf Objektebene innerhalb Ihrer S3-Buckets ergreifen. CloudWatch Diese Steuerung führt PASSED zu einem Ergebnis, wenn Sie einen Trail mit mehreren Regionen konfigurieren, der nur Schreibvorgänge oder alle Arten von Datenereignissen für alle S3-Buckets protokolliert.

Abhilfe

Informationen zum Aktivieren der Protokollierung auf Objektebene für S3-Buckets finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und Objekte im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

Verwandte Anforderungen: Foundations Benchmark v3.0.0/3.9 CIS AWS

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config Regel: cloudtrail-all-read-s3-data-event-check

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob ein AWS-Konto über mindestens einen AWS CloudTrail Multiregions-Trail verfügt, der alle Lesedatenereignisse für Amazon S3 S3-Buckets protokolliert. Die Kontrolle schlägt fehl, wenn das Konto nicht über einen Multi-Regions-Trail verfügt, der Lesedatenereignisse für S3-Buckets protokolliert.

S3-Operationen auf Objektebene, wie, und GetObject DeleteObjectPutObject, werden als Datenereignisse bezeichnet. Standardmäßig protokolliert CloudTrail es keine Datenereignisse, aber Sie können Trails konfigurieren, um Datenereignisse für S3-Buckets zu protokollieren. Wenn Sie die Protokollierung auf Objektebene für Lesedatenereignisse aktivieren, können Sie jeden einzelnen Objekt- (Datei-) Zugriff innerhalb eines S3-Buckets protokollieren. Durch die Aktivierung der Protokollierung auf Objektebene können Sie mithilfe von Amazon Events Datenkonformitätsanforderungen erfüllen, umfassende Sicherheitsanalysen durchführen AWS-Konto, bestimmte Muster des Benutzerverhaltens in Ihrem System überwachen und Maßnahmen gegen API Aktivitäten auf Objektebene innerhalb Ihrer S3-Buckets ergreifen. CloudWatch Diese Steuerung führt PASSED zu einem Ergebnis, wenn Sie einen Trail mit mehreren Regionen konfigurieren, der schreibgeschützte oder alle Arten von Datenereignissen für alle S3-Buckets protokolliert.

Abhilfe

Informationen zum Aktivieren der Protokollierung auf Objektebene für S3-Buckets finden Sie unter Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und Objekte im Amazon Simple Storage Service-Benutzerhandbuch.

[S3.24] Für S3-Access Points mit mehreren Regionen sollten die Einstellungen für die Blockierung des öffentlichen Zugriffs aktiviert sein

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Hoch

Art der Ressource: AWS::S3::MultiRegionAccessPoint

AWS Config Regel: s3-mrap-public-access-blocked (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob für einen Amazon S3 Multiregion Access Point die Einstellungen für den öffentlichen Zugriff blockiert aktiviert sind. Die Kontrolle schlägt fehl, wenn für den Multi-Region Access Point die Einstellungen zum Sperren des öffentlichen Zugriffs nicht aktiviert sind.

Öffentlich zugängliche Ressourcen können zu unberechtigtem Zugriff, Datenschutzverletzungen oder der Ausnutzung von Sicherheitslücken führen. Die Einschränkung des Zugriffs durch Authentifizierungs- und Autorisierungsmaßnahmen trägt dazu bei, vertrauliche Informationen zu schützen und die Integrität Ihrer Ressourcen zu wahren.

Abhilfe

Standardmäßig sind alle Einstellungen für den Block Public Access für einen S3-Access Point mit mehreren Regionen aktiviert. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3 Multi-Region Access Points im Amazon Simple Storage Service-Benutzerhandbuch. Nach dem Erstellen eines Multi-Region Access Point können Sie die Block-Public-Access-Einstellungen für den Access Point nicht mehr ändern.