Best practice di sicurezza per Amazon S3 - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice di sicurezza per Amazon S3

Amazon S3 fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, considerale come consigli utili più che prescrizioni.

Best practice di sicurezza per Amazon S3

Le seguenti best practice per Amazon S3 consentono di evitare incidenti di sicurezza.

Disattiva gli elenchi di controllo degli accessi () ACLs

S3 Object Ownership è un'impostazione a livello di bucket Amazon S3 che puoi usare per controllare la proprietà degli oggetti caricati nel bucket e disabilitarli o abilitarli. ACLs Per impostazione predefinita, Object Ownership è impostata sull'impostazione applicata dal proprietario di Bucket e tutti sono disabilitati. ACLs Quando ACLs sono disabilitati, il proprietario del bucket possiede tutti gli oggetti nel bucket e gestisce l'accesso ai dati esclusivamente utilizzando le politiche di gestione degli accessi.

La maggior parte dei casi d'uso moderni in Amazon S3 non richiede più l'uso di liste di controllo degli accessi () ACLs. Ti consigliamo di disabilitarloACLs, tranne in circostanze insolite in cui devi controllare l'accesso per ogni oggetto singolarmente. Per disabilitare ACLs e assumere la proprietà di ogni oggetto nel bucket, applica l'impostazione forzata del proprietario del bucket per S3 Object Ownership. Quando disabilitiACLs, puoi gestire facilmente un bucket con oggetti caricati da diversi. Account AWS

Quando ACLs sono disabilitati, il controllo dell'accesso ai dati si basa su politiche come le seguenti:

  • AWS Identity and Access Management (IAM) politiche degli utenti

  • Policy di bucket S3

  • politiche relative agli endpoint del cloud privato virtuale (VPC)

  • AWS Organizations politiche di controllo dei servizi () SCPs

La disabilitazione ACLs semplifica la gestione e il controllo delle autorizzazioni. ACLssono disabilitati per impostazione predefinita per i nuovi bucket. Puoi anche disabilitarli ACLs per i bucket esistenti. Se disponi di un bucket esistente che contiene già oggetti, dopo la disattivazioneACLs, l'oggetto e il bucket non ACLs fanno più parte del processo di valutazione dell'accesso. L'accesso è invece concesso o negato in base alle policy.

Prima di disabilitarloACLs, assicuratevi di fare quanto segue:

  • Esamina la policy del bucket per assicurarti che copra tutti i modi in cui intendi concedere l'accesso al bucket al di fuori del tuo account.

  • Reimposta il bucket ACL ai valori predefiniti (pieno controllo per il proprietario del bucket).

Dopo la disattivazioneACLs, si verificano i seguenti comportamenti:

  • Il bucket accetta solo PUT richieste che non specificano un ACL o PUT richieste con il pieno controllo del proprietario del bucket. ACLs Queste ACLs includono le bucket-owner-full-control forme predefinite ACL o equivalenti espresse ACL in. XML

  • Le applicazioni esistenti che supportano il pieno controllo del proprietario del bucket non hanno ACLs alcun impatto.

  • PUTle richieste che ne contengono altre ACLs (ad esempio, concessioni personalizzate a determinate Account AWS) hanno esito negativo e restituiscono un codice di HTTP stato 400 (Bad Request) con il codice di errore. AccessControlListNotSupported

Per ulteriori informazioni, consulta Controllo della proprietà degli oggetti e disattivazione ACLs del bucket.

Verifica che i bucket Amazon S3 utilizzino le policy corrette e non siano accessibili pubblicamente

A meno che non venga richiesto in maniera esplicita che gli utenti su Internet siano in grado di leggere o scrivere nel bucket S3, assicurati che il bucket S3 non sia pubblico. Di seguito sono riportate alcune delle fasi che è possibile eseguire per bloccare l'accesso pubblico:

  • Utilizza Blocco dell'accesso pubblico S3. Con il Blocco dell'accesso pubblico, è possibile configurare facilmente controlli centralizzati per limitare l'accesso pubblico alle risorse Amazon S3. Questi controlli centralizzati vengono applicati a prescindere da come vengono create le risorse. Per ulteriori informazioni, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

  • Identifica le policy di bucket Amazon S3 che consentono l'uso di un'identità jolly, ad esempio "Principal": "*" (che significa di fatto "tutti"). Inoltre, cerca policy che consentono un'azione jolly "*" (che di fatto consente all'utente di eseguire qualsiasi azione nel bucket Amazon S3).

  • Allo stesso modo, cerca gli elenchi di controllo degli accessi ai bucket Amazon S3 (ACLs) che forniscono lettura, scrittura o accesso completo a «Everyone» o «Qualsiasi utente autenticato». AWS

  • Usa l'ListBucketsAPIoperazione per scansionare tutti i tuoi bucket Amazon S3. Quindi, utilizza GetBucketAcl, GetBucketWebsite e GetBucketPolicy per determinare se ciascun bucket dispone di controlli sugli accessi conformi e configurazione conforme.

  • Utilizza AWS Trusted Advisor per ispezionare l'implementazione di Amazon S3.

  • Prendi in considerazione l'implementazione di controlli investigativi continui utilizzando il s3-bucket-public-read-prohibited e s3-bucket-public-write-prohibitedgestito Regole di AWS Config.

Per ulteriori informazioni, consulta Identity and Access Management per Amazon S3.

Applica l'accesso con privilegi minimi

Quando concedi le autorizzazioni, puoi decidere quali autorizzazioni assegnare, a chi e per quali risorse Amazon S3. Puoi abilitare operazioni specifiche che desideri consentire su tali risorse. Pertanto, è consigliabile concedere solo le autorizzazioni necessarie richieste per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.

Gli strumenti seguenti sono disponibili per implementare l'accesso con privilegi minimi:

Per indicazioni sugli aspetti da tenere in considerazione quando scegli uno o più dei meccanismi precedenti, consulta Identity and Access Management per Amazon S3.

Usa IAM ruoli per applicazioni Servizi AWS che richiedono l'accesso ad Amazon S3

Affinché le applicazioni in esecuzione su Amazon EC2 o altro possano accedere Servizi AWS alle risorse Amazon S3, devono includere AWS credenziali valide nelle loro richieste. AWS API Ti consigliamo di non archiviare AWS le credenziali direttamente nell'applicazione o nell'EC2istanza Amazon. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse.

Utilizza invece un IAM ruolo per gestire le credenziali temporanee per applicazioni o servizi che devono accedere ad Amazon S3. Quando utilizzi un ruolo, non devi distribuire credenziali a lungo termine (come nome utente e password o chiavi di accesso) a un'EC2istanza Amazon o Servizio AWS, ad AWS Lambda esempio. Il ruolo fornisce autorizzazioni temporanee che le applicazioni possono utilizzare quando effettuano chiamate ad altre AWS risorse.

Per ulteriori informazioni, consulta i seguenti argomenti nella Guida per l'IAMutente:

Prendi in considerazione la crittografia dei dati inattivi

Per la protezione dei dati inattivi in Amazon S3 sono disponibili le opzioni seguenti:

  • Crittografia lato server: tutti i bucket Amazon S3 hanno la crittografia configurata di default e tutti i nuovi oggetti caricati in un bucket S3 vengono crittografati automaticamente quando sono inattivi. La crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3) è la configurazione di crittografia predefinita per ogni bucket in Amazon S3. Per utilizzare un diverso tipo di crittografia, puoi specificare il tipo di crittografia lato server da utilizzare nelle richieste PUT S3 oppure impostare la configurazione di crittografia predefinita nel bucket di destinazione.

    Amazon S3 offre anche queste opzioni di crittografia lato server:

    • Crittografia lato server con AWS Key Management Service () chiavi (AWS KMS-) SSE KMS

    • Crittografia lato server a doppio livello con AWS Key Management Service () chiavi (-)AWS KMS DSSE KMS

    • Crittografia lato server con chiavi fornite dal cliente (-C) SSE

    Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.

  • Crittografia lato client: esegui la crittografia dei dati dal lato client e carica i dati crittografati in Amazon S3. In questo caso, è l'utente a gestire la procedura di crittografia, nonché le chiavi e gli strumenti correlati. Come per la crittografia lato server, la crittografia lato client riduce i rischi crittografando i dati con una chiave che viene archiviata in un meccanismo diverso rispetto a quello utilizzato per archiviare i dati stessi.

    Amazon S3 fornisce più opzioni di crittografia lato client. Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato client.

Applica la crittografia dei dati in transito

È possibile utilizzare HTTPS (TLS) per impedire a potenziali aggressori di intercettare o manipolare il traffico di rete utilizzando attacchi simili. person-in-the-middle Ti consigliamo di consentire solo connessioni crittografate tramite () utilizzando HTTPS TLS aws:SecureTransportcondizione nelle tue policy relative ai bucket Amazon S3.

Importante

Consigliamo alla tua applicazione di non bloccare certificati Amazon S3 poiché AWS non supporta il blocco di TLS certificati pubblicamente attendibili. S3 rinnova automaticamente i certificati e il rinnovo può avvenire in qualsiasi momento prima della scadenza del certificato. Il rinnovo di un certificato genera una nuova coppia di chiavi pubblica-privata. Se hai aggiunto un certificato S3 che è stato recentemente rinnovato con una nuova chiave pubblica, non potrai connetterti a S3 finché l'applicazione non utilizzerà il nuovo certificato.

Valuta inoltre la possibilità di implementare controlli investigativi continui utilizzando il s3-bucket-ssl-requests-only AWS Config regola gestita.

Valutazione dell'utilizzo di S3 Object Lock

Con S3 Object Lock, puoi archiviare oggetti utilizzando un modello «Write Once Read Many» (WORM). Il blocco oggetti S3 può contribuire a evitare l'eliminazione accidentale o inappropriata dei dati. Ad esempio, puoi usare S3 Object Lock per proteggere i tuoi AWS CloudTrail log.

Per ulteriori informazioni, consulta Bloccare oggetti con Object Lock.

Abilitazione del controllo delle versioni S3

Il controllo delle versioni S3 è un modo per conservare più versioni di un oggetto nello stesso bucket. Si può utilizzare questa funzione per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket . Con la funzione Controllo delle versioni si può facilmente eseguire il ripristino dopo errori dell'applicazione e operazioni non intenzionali dell'utente.

Valuta anche la possibilità di implementare controlli investigativi continui utilizzando il s3-bucket-versioning-enabled AWS Config regola gestita.

Per ulteriori informazioni, consulta Conservazione di più versioni di oggetti con S3 Versioning.

Valutazione dell'utilizzo della replica tra regioni S3

Sebbene Amazon S3 per impostazione predefinita archivi i dati in più zone di disponibilità geograficamente distanti, per soddisfare i requisiti di conformità potrebbe essere necessario archiviarli a distanze ancora maggiori. Con S3 Cross-Region Replication (CRR), puoi replicare i dati tra distanti Regioni AWS per soddisfare questi requisiti. CRRconsente la copia automatica e asincrona di oggetti tra bucket diversi. Regioni AWS Per ulteriori informazioni, consulta Replica di oggetti all'interno e tra regioni.

Nota

CRRrichiede che sia il bucket S3 di origine che quello di destinazione abbiano il controllo delle versioni abilitato.

Valuta inoltre la possibilità di implementare controlli investigativi continui utilizzando il s3-bucket-replication-enabled AWS Config regola gestita.

Prendi in considerazione l'utilizzo VPC degli endpoint per l'accesso ad Amazon S3

Un endpoint cloud privato virtuale (VPC) per Amazon S3 è un'entità logica all'interno di VPC un che consente la connettività solo ad Amazon S3. VPCgli endpoint possono aiutare a impedire che il traffico attraversi la rete Internet aperta.

VPCgli endpoint per Amazon S3 offrono diversi modi per controllare l'accesso ai dati di Amazon S3:

  • Puoi controllare le richieste, gli utenti o i gruppi consentiti tramite un VPC endpoint specifico utilizzando le policy dei bucket S3.

  • Puoi controllare quali VPCs o quali VPC endpoint hanno accesso ai tuoi bucket S3 utilizzando le policy dei bucket S3.

  • Puoi contribuire a prevenire l'esfiltrazione di dati utilizzando un dispositivo VPC che non dispone di un gateway Internet.

Per ulteriori informazioni, consulta Controllo dell'accesso dagli VPC endpoint con policy bucket.

Utilizza i servizi AWS di sicurezza gestiti per monitorare la sicurezza dei dati

Diversi servizi AWS di sicurezza gestiti possono aiutarti a identificare, valutare e monitorare i rischi di sicurezza e conformità per i tuoi dati Amazon S3. Questi servizi consentono anche di proteggere i dati da tali rischi. Questi servizi includono funzionalità di rilevamento, monitoraggio e protezione automatizzate progettate per scalare dalle risorse di Amazon S3 per una singola unità Account AWS a risorse per organizzazioni con migliaia di account.

Per ulteriori informazioni, consulta Monitoraggio della sicurezza dei dati con servizi AWS di sicurezza gestiti.

Best practice di monitoraggio e audit di Amazon S3

Le best practice seguenti per Amazon S3 consentono di rilevare potenziali debolezze e incidenti di sicurezza.

Identificazione e audit di tutti i bucket Amazon S3

L'identificazione degli asset IT è un aspetto essenziale di governance e sicurezza. È richiesta la visibilità di tutte le risorse Amazon S3 per valutare il loro assetto di sicurezza e intervenire su aree di debolezza potenziali. Per eseguire l'audit delle risorse, procedi come segue:

  • Utilizza Tag Editor per identificare e applicare tag a risorse sensibili alla sicurezza e risorse sensibili al controllo; quindi, utilizza questi tag quando devi cercare le risorse. Per ulteriori informazioni, consulta Searching for Resources to Tag nella Tagging AWS Resources User Guide.

  • Utilizza S3 Inventory per eseguire l'audit e creare report sullo stato di replica e crittografia degli oggetti per esigenze aziendali, di conformità e normative. Per ulteriori informazioni, consulta Catalogazione e analisi dei dati con S3 Inventory.

  • Crea gruppi di risorse per le risorse Amazon S3. Per ulteriori informazioni, consulta Che cosa sono i gruppi di risorse? nella Guida per l'utente di AWS Resource Groups .

Implementa il monitoraggio utilizzando strumenti AWS di monitoraggio

Il monitoraggio è una parte importante per mantenere l'affidabilità, la sicurezza, la disponibilità e le prestazioni di Amazon S3 e delle tue AWS soluzioni. AWS fornisce diversi strumenti e servizi per aiutarti a monitorare Amazon S3 e gli altri. Servizi AWS Ad esempio, puoi monitorare i CloudWatch parametri di Amazon per Amazon S3, in particolare PutRequests i parametriGetRequests,4xxErrors, DeleteRequests e. Per ulteriori informazioni, consulta Monitoraggio delle metriche con Amazon CloudWatch e Registrazione e monitoraggio in Amazon S3.

Per un secondo esempio, consulta Esempio: attività del bucket Amazon S3. Questo esempio descrive come creare un CloudWatch allarme che viene attivato quando viene effettuata una chiamata Amazon API S3 o una policy del bucket, un ciclo di vita del bucket DELETE o una configurazione di replica del bucket o PUT verso un bucket. PUT ACL

Abilita la registrazione degli accessi al server Amazon S3

La registrazione degli accessi al server fornisce record dettagliati delle richieste che sono effettuate a un bucket. I log di accesso al server possono essere utili durante gli audit di sicurezza e accesso, per conoscere la base clienti e comprendere la fattura Amazon S3. Per istruzioni sull'abilitazione della registrazione degli accessi al server, consulta Registrazione delle richieste con registrazione dell'accesso al server.

Valuta inoltre la possibilità di implementare controlli investigativi continui utilizzando il s3-bucket-logging-enabled AWS Config regola gestita.

Utilizza AWS CloudTrail

AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, da un ruolo o da un utente Servizio AWS in Amazon S3. Puoi utilizzare le informazioni raccolte da CloudTrail per determinare quanto segue:

  • La richiesta effettuata ad Amazon S3

  • L'indirizzo IP dal quale è stata effettuata la richiesta

  • L'utente che ha effettuato la richiesta

  • L'ora in cui è stata effettuata la richiesta

  • Dettagli aggiuntivi relativi alla richiesta

Ad esempio, è possibile identificare le CloudTrail voci relative alle PUT azioni che influiscono sull'accesso ai datiPutBucketAcl, in particolarePutObjectAcl,PutBucketPolicy, ePutBucketWebsite.

Quando si configura il Account AWS, CloudTrail è abilitato per impostazione predefinita. È possibile visualizzare gli eventi recenti nella CloudTrail console. Per creare un record continuo di attività ed eventi per i tuoi bucket Amazon S3, puoi creare un percorso nella console. CloudTrail Per ulteriori informazioni, consultare Registrazione di eventi di dati nella Guida per l'utente di AWS CloudTrail .

Quando crei un percorso, puoi configurare la registrazione degli eventi relativi CloudTrail ai dati. Gli eventi di dati sono le registrazioni delle operazioni eseguite per una risorsa o al suo interno. In Amazon S3, gli eventi relativi ai dati registrano l'APIattività a livello di oggetto per singoli bucket. CloudTrail supporta un sottoinsieme di operazioni a API livello di oggetti di Amazon S3, ad esempioGetObject, e. DeleteObject PutObject Per ulteriori informazioni su come CloudTrail funziona con Amazon S3, consulta. Registrazione delle chiamate Amazon API S3 tramite AWS CloudTrail Nella console di Amazon S3, puoi configurare i tuoi bucket S3 anche su Abilitazione della registrazione CloudTrail degli eventi per bucket e oggetti S3.

AWS Config fornisce una regola gestita (cloudtrail-s3-dataevents-enabled) che puoi utilizzare per confermare che almeno un CloudTrail trail registri gli eventi relativi ai dati per i tuoi bucket S3. Per ulteriori informazioni, consulta cloudtrail-s3-dataevents-enabled nella Guida per gli sviluppatori di AWS Config .

Attiva AWS Config

Diverse delle best practice elencate in questo argomento suggeriscono la creazione di regole. AWS Config AWS Config ti aiuta a valutare, controllare e valutare le configurazioni delle tue AWS risorse. AWS Config monitora le configurazioni delle risorse in modo da poter valutare le configurazioni registrate rispetto alle configurazioni sicure desiderate. Con AWS Config, è possibile effettuare le seguenti operazioni:

  • Rivedere le modifiche nelle configurazioni e nelle relazioni tra le risorse AWS

  • Investigare le cronologie dettagliate della configurazione delle risorse

  • Determinare la conformità complessiva rispetto alle configurazioni specificate nelle linee guida interne

Using AWS Config può aiutarvi a semplificare il controllo della conformità, l'analisi della sicurezza, la gestione delle modifiche e la risoluzione dei problemi operativi. Per ulteriori informazioni, consulta Configurazione AWS Config con la console nella Guida per gli AWS Config sviluppatori. Durante la specifica dei tipi di risorse da registrare, assicurati di includere le risorse Amazon S3.

Importante

AWS Config le regole gestite supportano solo bucket generici durante la valutazione delle risorse Amazon S3. AWS Config non registra le modifiche alla configurazione per i bucket di directory. Per ulteriori informazioni, consulta AWS Config Managed Rules e List of AWS Config Managed Rules nella AWS Config Developer Guide.

Per un esempio di utilizzo AWS Config, consulta How to Use AWS Config to Monitor for and Respond to Amazon S3 Bucket Allowing Public Access sul blog sulla AWS sicurezza.

Utilizzo di S3 Storage Lens

S3 Storage Lens è una funzionalità di analisi dell'archiviazione su cloud che puoi utilizzare per avere una panoramica completa a livello di organizzazione sull'utilizzo e sulle attività relative all'archiviazione di oggetti. S3 Storage Lens analizza i parametri di archiviazione per fornire raccomandazioni contestuali che puoi usare per ottimizzare i costi di archiviazione e applicare le best practice sulla protezione dei dati.

Con S3 Storage Lens puoi usare i parametri per generare approfondimenti, ad esempio per scoprire la quantità di spazio di archiviazione disponibile nell'intera organizzazione o quali sono i bucket e i prefissi caratterizzati da una crescita più rapida. Puoi utilizzare i parametri di Amazon S3 Storage Lens anche per individuare le opportunità di ottimizzazione dei costi, implementare le best practice di protezione dei dati e gestione degli accessi e migliorare le prestazioni dei carichi di lavoro delle applicazioni.

Ad esempio, puoi identificare i bucket che non hanno regole del ciclo di vita S3 per interrompere i caricamenti in più parti incompleti che risalgono a più di 7 giorni. Puoi anche individuare i bucket non conformi alle best practice di protezione dei dati, come quelli che usano la replica S3 o il controllo delle versioni S3. Per maggiori informazioni, consulta Informazioni su Amazon S3 Storage Lens.

Monitora i suggerimenti di sicurezza di AWS

È opportuno controllare regolarmente i consigli di sicurezza pubblicati in Trusted Advisor per il tuo Account AWS. In particolare, cerca gli avvisi relativi ai bucket Amazon S3 con "autorizzazioni di accesso aperte". Puoi farlo a livello di codice utilizzando describe-trusted-advisor-checks.

Inoltre, monitora attivamente l'indirizzo email principale registrato per ciascuno dei tuoi. Account AWS AWS utilizza questo indirizzo email per contattarti in merito a problemi di sicurezza emergenti che potrebbero interessarti.

AWS i problemi operativi di ampio impatto sono pubblicati sulla pagina AWS Health Dashboard - Stato del servizio. I problemi operativi sono anche pubblicati sui singoli account tramite AWS Health Dashboard. Per ulteriori informazioni, consulta la documentazione relativa ad AWS Health.

Monitoraggio della sicurezza dei dati con servizi AWS di sicurezza gestiti

Diversi servizi AWS di sicurezza gestiti possono aiutarti a identificare, valutare e monitorare i rischi di sicurezza e conformità per i tuoi dati Amazon S3. Consentono anche di proteggere i dati da tali rischi. Questi servizi includono funzionalità di rilevamento, monitoraggio e protezione automatizzate progettate per scalare dalle risorse di Amazon S3 per una singola unità Account AWS a risorse per organizzazioni che comprendono migliaia di utenti. Account AWS

AWS i servizi di rilevamento e risposta possono aiutarti a identificare potenziali configurazioni errate di sicurezza, minacce o comportamenti imprevisti, in modo da poter rispondere rapidamente ad attività potenzialmente non autorizzate o dannose nel tuo ambiente. AWS i servizi di protezione dei dati possono aiutarti a monitorare e proteggere dati, account e carichi di lavoro da accessi non autorizzati. Possono anche aiutarti a scoprire dati sensibili, come informazioni di identificazione personale (PII), nel tuo patrimonio di dati Amazon S3.

Per semplificare l'identificazione e la valutazione dei rischi di sicurezza e conformità dei dati, i servizi di sicurezza AWS gestiti generano risultati per segnalare potenziali eventi o problemi di sicurezza con i dati Amazon S3. I risultati forniscono dettagli rilevanti che possono essere utilizzati per analizzare, valutare e agire su questi rischi in base ai flussi di lavoro e alle policy di risposta agli eventi imprevisti. È possibile accedere direttamente ai dati dei risultati utilizzando ciascun servizio. Puoi anche inviare i dati ad altre applicazioni, servizi e sistemi, come il tuo sistema di gestione degli incidenti di sicurezza e degli eventi ()SIEM.

Per monitorare la sicurezza dei tuoi dati Amazon S3, prendi in considerazione l'utilizzo di questi servizi di AWS sicurezza gestiti.

Amazon GuardDuty

Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora continuamente i tuoi carichi di lavoro Account AWS e quelli di lavoro alla ricerca di attività dannose e fornisce risultati di sicurezza dettagliati per visibilità e risoluzione.

Con la funzionalità di protezione S3 attiva GuardDuty, puoi configurare l'analisi degli eventi GuardDuty di AWS CloudTrail gestione e dei dati per le tue risorse Amazon S3. GuardDuty monitora quindi tali eventi alla ricerca di attività dannose e sospette. Per supportare l'analisi e identificare i potenziali rischi per la sicurezza, GuardDuty utilizza feed di intelligence sulle minacce e apprendimento automatico.

GuardDuty può monitorare diversi tipi di attività per le tue risorse Amazon S3. Ad esempio, gli eventi di CloudTrail gestione per Amazon S3 includono operazioni a livello di bucket, comeListBuckets, e. DeleteBucket PutBucketReplication CloudTrail gli eventi di dati per Amazon S3 includono operazioni a livello di oggetto, ad esempio, eGetObject. ListObjects PutObject Se GuardDuty rileva attività anomale o potenzialmente dannose, genera un risultato da inviare all'utente.

Per ulteriori informazioni, consulta Amazon S3 Protection in Amazon GuardDuty nella Amazon GuardDuty User Guide.

Amazon Detective

Amazon Detective semplifica il processo di analisi e consente di condurre indagini sulla sicurezza più rapide ed efficaci. Detective fornisce aggregazioni di dati, riepiloghi e contesto predefiniti che facilitano l'analisi e la valutazione della natura e dell'estensione dei possibili problemi di sicurezza.

Detective estrae automaticamente gli eventi basati sul tempo, come API le chiamate da e AWS CloudTrail Amazon VPC Flow Logs, per le tue risorse. AWS Inoltre, acquisisce i risultati generati da Amazon GuardDuty. Detective utilizza quindi machine learning, l'analisi statistica e la teoria dei grafi per generare visualizzazioni che consentono di condurre indagini sulla sicurezza efficaci più rapidamente.

Queste visualizzazioni forniscono una vista unificata, interattiva dei comportamenti delle risorse e delle interazioni tra di esse nel tempo. Puoi esplorare questo grafico comportamentale per esaminare azioni potenzialmente dannose, come tentativi di accesso falliti o chiamate sospetteAPI. È anche possibile vedere in che modo queste azioni interessano le risorse, come bucket e oggetti S3.

Per ulteriori informazioni, consultare la Guida di amministrazione di Amazon Detective.

Access Analyzer di IAM

AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) può aiutarti a identificare le risorse condivise con un'entità esterna. È inoltre possibile utilizzare IAM Access Analyzer per convalidare IAM le policy in base alla grammatica e alle best practice delle policy e generare IAM policy basate sull'attività di accesso nei log. AWS CloudTrail

IAMAccess Analyzer utilizza il ragionamento basato sulla logica per analizzare le politiche relative alle risorse nell'ambiente, come le policy relative ai bucket. AWS Con IAM Access Analyzer for S3, vieni avvisato quando un bucket S3 viene configurato per consentire l'accesso a chiunque sia connesso a Internet o altro, compresi gli account esterni all'organizzazione. Account AWS Ad esempio, IAM Access Analyzer for S3 può segnalare che un bucket ha accesso in lettura o scrittura fornito tramite una lista di controllo degli accessi ai bucket (ACL), una policy del bucket, una politica dei punti di accesso multiregionale o una politica del punto di accesso. Per ogni bucket pubblico o condiviso, vengono visualizzati risultati che indicano l'origine e il livello di accesso pubblico o condiviso. Con questi risultati puoi eseguire azioni correttive immediate e precise per ripristinare l'accesso del bucket desiderato.

Per ulteriori informazioni, consulta Analisi dell'accesso ai bucket utilizzando IAM Access Analyzer per S3.

Amazon Macie

Amazon Macie è un servizio di sicurezza che rileva dati sensibili utilizzando il machine learning e la corrispondenza del modello. Macie fornisce visibilità sui rischi legati alla sicurezza dei dati e consente una protezione automatizzata da tali rischi. Con Macie, puoi automatizzare l'individuazione e la creazione di report dei dati sensibili nel tuo patrimonio di dati Amazon S3 per una migliore comprensione dei dati archiviati dall'organizzazione in S3.

Per individuare dati sensibili con Macie, puoi utilizzare criteri e tecniche integrati progettati per rilevare un elenco ampio e in continua espansione di tipi di dati sensibili per molti Paesi e regioni. Questi tipi di dati sensibili includono diversi tipi di informazioni di identificazione personale (PII), dati finanziari e dati relativi alle credenziali. Puoi anche utilizzare criteri personalizzati: espressioni regolari che definiscono modelli di testo da abbinare e, facoltativamente, sequenze di caratteri e regole di prossimità per perfezionare i risultati.

Se Macie rileva dati sensibili in un oggetto S3, genera un risultato relativo alla sicurezza per informare l'utente. Questo risultato fornisce informazioni sull'oggetto interessato, i tipi e il numero di occorrenze dei dati sensibili individuati da Macie e dettagli aggiuntivi per facilitare l'analisi del bucket S3 e dell'oggetto interessati. Per ulteriori informazioni, consultare la Guida per l'utente di Amazon Macie.

AWS Security Hub

AWS Security Hub è un servizio di gestione del livello di sicurezza che esegue controlli basati sulle migliori pratiche di sicurezza, aggrega avvisi e risultati provenienti da più fonti in un unico formato e consente la correzione automatica.

Security Hub raccoglie e fornisce dati sui risultati di sicurezza da soluzioni di AWS Partner Network sicurezza integrate Servizi AWS, tra cui Amazon Detective, Amazon GuardDuty, IAM Access Analyzer e Amazon Macie. Genera inoltre i propri risultati eseguendo controlli di sicurezza continui e automatizzati basati sulle AWS migliori pratiche e sugli standard di settore supportati.

Security Hub esegue quindi la correlazione e consolida i risultati sui provider per aiutarti a stabilire le priorità ed elaborare i risultati più significativi. Inoltre, fornisce supporto per azioni personalizzate, che possono essere utilizzate per richiamare risposte o azioni correttive per classi specifiche di risultati.

Con Security Hub, puoi valutare lo stato di sicurezza e conformità delle tue risorse Amazon S3 nell'ambito di un'analisi più ampia del livello di sicurezza della tua organizzazione in singole regioni Regioni AWS e in più regioni. Ciò include l'analisi delle tendenze di sicurezza e l'identificazione dei problemi di sicurezza con priorità massima. È anche possibile aggregare i risultati di più Regioni AWS e monitorare ed elaborare i dati dei risultati aggregati di una singola regione.

Per ulteriori informazioni, consultare la sezione relativa ai controlli Amazon Simple Storage Service nella Guida per l'utente di AWS Security Hub .