Corregir un bucket de S3 potencialmente comprometido - Amazon GuardDuty
Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir un bucket de S3 potencialmente comprometido

Cuando se GuardDuty generaGuardDuty Tipos de búsqueda de protección S3, indica que sus buckets de Amazon S3 se han visto comprometidos. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de crear Reglas de supresión. Si no se esperaba este comportamiento, siga estos pasos recomendados para corregir un bucket de Amazon S3 potencialmente comprometido en su AWS entorno:

  1. Identifique el recurso de S3 potencialmente comprometido.

    Si se GuardDuty busca S3, se mostrará el bucket de S3 asociado, su nombre de recurso de Amazon (ARN) y su propietario en los detalles de búsqueda.

  2. Identifique el origen de la actividad sospechosa y la llamada a la API que se utilizó.

    La llamada a la API utilizada se mostrará como API en los detalles de resultado. El origen será una entidad principal de IAM (ya sea un rol de IAM, un usuario o una cuenta) y los detalles de identificación figurarán en el resultado. Según el tipo de origen, estará disponible la dirección IP remota o la información del dominio de origen, lo que puede ayudarle a evaluar si el origen fue autorizado. Si el hallazgo involucró credenciales de una EC2 instancia de Amazon, también se incluirán los detalles de ese recurso.

  3. Determine si el origen de la llamada tenía autorización para acceder al recurso identificado.

    Por ejemplo, considere lo siguiente:

    • Si un usuario de IAM estuvo involucrado, ¿es posible que sus credenciales hayan sido potencialmente comprometidas? Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

    • Si se ha invocado una API desde una entidad principal que no tiene antecedentes de haber invocado este tipo de API, ¿este origen necesita permisos de acceso para esta operación? ¿Se pueden restringir aún más los permisos del bucket?

    • Si el acceso se vio desde nombre de usuario ANONYMOUS_PRINCIPAL con el tipo de usuario de la AWSAccount, esto indica que el bucket es público y se ha accedido a él. ¿Este bucket debería ser público? Si no es así, consulte las siguientes recomendaciones de seguridad para encontrar soluciones alternativas al uso compartido de los recursos de S3.

    • Si el acceso se hizo mediante una llamada a PreflightRequest correcta desde el nombre de usuario ANONYMOUS_PRINCIPAL y el tipo de usuario de la AWSAccount, esto indica que el bucket tiene una política de intercambio de recursos entre orígenes (CORS) establecida. ¿Este bucket debería tener una política CORS? Si no es así, asegúrese de que el bucket no sea inadvertidamente público y revise las recomendaciones de seguridad que aparecen a continuación en busca de soluciones alternativas al uso compartido de los recursos de S3. Para más información sobre CORS, consulte Uso compartido de recursos entre orígenes (CORS) en la Guía del usuario de S3.

  4. Determine si el bucket de S3 contiene datos confidenciales.

    Utilice Amazon Macie para determinar si el bucket de S3 contiene información confidencial, como información de identificación personal (PII), datos financieros o credenciales. Si la detección automática de datos confidenciales está habilitada para su cuenta de Macie, revise los detalles del bucket de S3 para comprender mejor su contenido. Si esta característica está deshabilitada en su cuenta de Macie, se recomienda que la active para agilizar la evaluación. Como alternativa, puede crear y ejecutar un trabajo de detección de datos confidenciales para inspeccionar los objetos del bucket de S3 en busca de datos confidenciales. Para más información, consulte Discovering sensitive data with Macie.

Si se autorizó el acceso, puede ignorar el resultado. La https://console.aws.amazon.com/guardduty/consola te permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Si determina que los datos de S3 han sido expuestos o que un tercero no autorizado ha accedido a estos, revise las siguientes recomendaciones de seguridad de S3 para reforzar los permisos y restringir el acceso. Las soluciones de corrección adecuadas dependerán de las necesidades de su entorno específico.

Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3

La siguiente lista ofrece recomendaciones basadas en las necesidades específicas de acceso a los buckets de Amazon S3:

  • Para disponer de una forma centralizada de limitar el acceso público a los datos de S3, utilice el bloqueo de acceso público de S3. La configuración de bloqueo del acceso público se puede habilitar para los puntos de acceso, los depósitos y AWS las cuentas mediante cuatro configuraciones diferentes para controlar la granularidad del acceso. Para obtener más información, consulte Bloquear la configuración de acceso público en la Guía del usuario de Amazon S3.

  • AWS Las políticas de acceso se pueden utilizar para controlar cómo los usuarios de IAM pueden acceder a sus recursos o cómo pueden acceder a sus depósitos. Para obtener más información, consulte Uso de políticas de bucket y políticas de usuario en la Guía del usuario de Amazon S3.

    Además, puede utilizar puntos de conexión de la nube privada virtual (VPC) con políticas de bucket de S3 para restringir el acceso a puntos de conexión de VPC específicos. Para obtener más información, consulte Control del acceso desde puntos de enlace de VPC con políticas de bucket en la Guía del usuario de Amazon S3.

  • Para permitir temporalmente el acceso a sus objetos de S3 a entidades de confianza ajenas a su cuenta, puede crear una URL prefirmada a través de S3. Este acceso se crea con las credenciales de su cuenta y, según las credenciales utilizadas, puede durar de 6 horas a 7 días. Para obtener más información, consulte Uso de presigned URLs para descargar y cargar objetos en la Guía del usuario de Amazon S3.

  • Para los casos de uso que requieren el uso compartido de objetos de S3 entre distintos orígenes, puede utilizar los puntos de acceso de S3 para crear conjuntos de permisos que restrinjan el acceso únicamente a los que están dentro de su red privada. Para obtener más información, consulte Administrar el acceso a conjuntos de datos compartidos con puntos de acceso en la Guía del usuario de Amazon S3.

  • Para conceder acceso seguro a sus recursos de S3 a otras AWS cuentas, puede utilizar una lista de control de acceso (ACL). Para obtener más información, consulte la descripción general de la lista de control de acceso (ACL) en la Guía del usuario de Amazon S3.

Para obtener más información sobre las opciones de seguridad de S3, consulte Prácticas recomendadas de seguridad para Amazon S3 en la Guía del usuario de Amazon S3.