Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulihkan bucket S3 yang berpotensi dikompromikan
Saat GuardDuty menghasilkanGuardDuty Jenis temuan Perlindungan S3, ini menunjukkan bahwa ember Amazon S3 Anda telah disusupi. Jika perilaku yang menyebabkan temuan itu diharapkan di lingkungan Anda, maka pertimbangkan untuk membuatAturan penekanan. Jika perilaku ini tidak diharapkan, ikuti langkah-langkah yang disarankan ini untuk memulihkan bucket Amazon S3 yang berpotensi dikompromikan di lingkungan Anda: AWS
-
Identifikasi sumber daya S3 yang berpotensi dikompromikan.
GuardDuty Temuan untuk S3 akan mencantumkan bucket S3 terkait, Nama Sumber Daya Amazon (ARN), dan pemiliknya dalam detail temuan.
-
Identifikasi sumber aktivitas mencurigakan dan panggilan API yang digunakan.
Panggilan API yang digunakan akan terdaftar sebagai
APIdalam detail temuan. Sumber akan menjadi prinsipal IAM (baik peran IAM, pengguna, atau akun) dan rincian identifikasi akan tercantum dalam temuan. Bergantung pada jenis sumbernya, alamat IP jarak jauh atau info domain sumber akan tersedia dan dapat membantu Anda mengevaluasi apakah sumber tersebut diotorisasi. Jika temuan melibatkan kredensil dari EC2 instance Amazon, detail untuk sumber daya itu juga akan disertakan. -
Tentukan apakah sumber panggilan diizinkan untuk mengakses sumber daya yang diidentifikasi.
Misalnya, pertimbangkan hal berikut:
-
Jika pengguna IAM terlibat, mungkinkah kredensialnya berpotensi dikompromikan? Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
-
Jika API dipanggil dari prinipal yang sebelumnya tidak memiliki riwayat memanggil tipe API ini, apakah sumber ini memerlukan izin akses untuk operasi ini? Dapatkah izin bucket dibatasi secara lebih lanjut?
-
Jika akses terlihat dari nama pengguna
ANONYMOUS_PRINCIPALdengan tipe pengguna dariAWSAccount, ini menunjukkan bahwa bucket bersifat publik dan telah diakses. Haruskah bucket ini dibuat publik? Jika tidak, tinjau rekomendasi keamanan di bawah ini untuk solusi alternatif untuk berbagi sumber daya S3. -
Jika akses adalah
PreflightRequestpanggilan yang berhasil dilihat dari nama penggunaANONYMOUS_PRINCIPALdengan tipe pengguna,AWSAccountini menunjukkan bucket memiliki kumpulan kebijakan berbagi sumber daya lintas asal (CORS). Haruskah ember ini memiliki kebijakan CORS? Jika tidak, pastikan bucket tidak secara tidak sengaja dipublikasikan dan tinjau rekomendasi keamanan di bawah ini untuk solusi alternatif untuk berbagi sumber daya S3. Untuk informasi selengkapnya tentang CORS, lihat Menggunakan berbagi sumber daya lintas asal (CORS) di panduan pengguna S3.
-
-
Tentukan apakah bucket S3 berisi data sensitif.
Gunakan Amazon Macie untuk menentukan apakah bucket S3 berisi data sensitif, seperti informasi identitas pribadi (PII), data keuangan, atau kredensional. Jika penemuan data sensitif otomatis diaktifkan untuk akun Macie Anda, tinjau detail bucket S3 untuk mendapatkan pemahaman yang lebih baik tentang konten bucket S3 Anda. Jika fitur ini dinonaktifkan untuk akun Macie Anda, kami sarankan untuk menyalakannya untuk mempercepat penilaian Anda. Atau, Anda dapat membuat dan menjalankan tugas penemuan data sensitif untuk memeriksa objek bucket S3 untuk data sensitif. Untuk informasi selengkapnya, lihat Menemukan data sensitif dengan Macie.
Jika akses diotorisasi, Anda dapat mengabaikan temuan tersebut. https://console.aws.amazon.com/guardduty/
Jika Anda menentukan bahwa data S3 Anda telah diekspos atau diakses oleh pihak yang tidak berwenang, tinjau rekomendasi keamanan S3 berikut untuk memperketat izin dan membatasi akses. Solusi perbaikan yang tepat akan bergantung pada kebutuhan lingkungan spesifik Anda.
Rekomendasi berdasarkan kebutuhan akses bucket S3 tertentu
Daftar berikut memberikan rekomendasi berdasarkan kebutuhan akses bucket Amazon S3 tertentu:
-
Untuk cara terpusat untuk membatasi akses publik ke penggunaan data S3 Anda, S3 memblokir akses publik. Blokir pengaturan akses publik dapat diaktifkan untuk titik akses, bucket, dan AWS Akun melalui empat pengaturan berbeda untuk mengontrol perincian akses. Untuk informasi selengkapnya, lihat Memblokir setelan akses publik di Panduan Pengguna Amazon S3.
-
AWS Kebijakan akses dapat digunakan untuk mengontrol bagaimana pengguna IAM dapat mengakses sumber daya Anda atau bagaimana bucket Anda dapat diakses. Untuk informasi selengkapnya, lihat Menggunakan kebijakan bucket dan kebijakan pengguna di Panduan Pengguna Amazon S3.
Selain itu, Anda dapat menggunakan Titik Akhir Virtual Private Cloud (VPC) dengan kebijakan bucket S3 untuk membatasi akses ke titik akhir VPC tertentu. Untuk informasi selengkapnya, lihat Mengontrol akses dari titik akhir VPC dengan kebijakan bucket di Panduan Pengguna Amazon S3
-
Untuk mengizinkan akses sementara ke objek S3 Anda ke entitas tepercaya di luar akun Anda, Anda dapat membuat URL yang ditandatangani sebelumnya melalui S3. Akses ini dibuat menggunakan kredensial akun Anda dan bergantung pada kredensial yang digunakan dapat bertahan 6 jam hingga 7 hari. Untuk informasi selengkapnya, lihat Menggunakan presigned URLs untuk mengunduh dan mengunggah objek di Panduan Pengguna Amazon S3.
-
Untuk kasus penggunaan yang mengharuskan berbagi objek S3 antara sumber yang berbeda, Anda dapat menggunakan S3 Access Points untuk membuat set izin yang membatasi akses hanya untuk mereka yang berada dalam jaringan pribadi Anda. Untuk informasi selengkapnya, lihat Mengelola akses ke kumpulan data bersama dengan titik akses di Panduan Pengguna Amazon S3.
-
Untuk memberikan akses ke sumber daya S3 ke AWS Akun lain dengan aman, Anda dapat menggunakan daftar kontrol akses (ACL), untuk informasi selengkapnya lihat Ringkasan daftar kontrol akses (ACL) di Panduan Pengguna Amazon S3.
Untuk informasi selengkapnya tentang opsi keamanan S3, lihat Praktik terbaik keamanan untuk Amazon S3 di Panduan Pengguna Amazon S3.
