Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon S3
Questi AWS Security Hub controlli valutano il servizio e le risorse Amazon Simple Storage Service (Amazon S3).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, v3.2.1/1.3.2, v3.2.1/1.3.4, PCI DSS 3,2,1/1,3,6, PCI DSS PCI DSS PCI DSS PCIDSSv4.0.1/1.4.4
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::::Account
Regola AWS Config : s3-account-level-public-access-blocks-periodic
Tipo di pianificazione: periodica
Parametri:
-
ignorePublicAcls:true(non personalizzabile) -
blockPublicPolicy:true(non personalizzabile) -
blockPublicAcls:true(non personalizzabile) -
restrictPublicBuckets:true(non personalizzabile)
Questo controllo verifica se le precedenti impostazioni di accesso pubblico a blocchi di Amazon S3 sono configurate a livello di account per un bucket S3 generico. Il controllo fallisce se una o più impostazioni di accesso pubblico a blocchi sono impostate su. false
Il controllo ha esito negativo se una delle impostazioni è impostata su o se una delle impostazioni non è configurata. false
Il blocco di accesso pubblico di Amazon S3 è progettato per fornire controlli su un intero bucket S3 Account AWS o a livello di singolo bucket S3 per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico a bucket e oggetti viene concesso tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di account.
Per ulteriori informazioni, consulta Using Amazon S3 Block Public Access nella Guida per l'utente di Amazon Simple Storage Service.
Correzione
Per abilitare Amazon S3 Block Public Access per il tuo account Account AWS, consulta Configurazione delle impostazioni di accesso pubblico a blocchi per il tuo account nella Guida per l'utente di Amazon Simple Storage Service.
[S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-public-read-prohibited
Tipo di pianificazione: periodica e con attivazione di modifiche
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in lettura. Valuta le impostazioni di accesso pubblico a blocchi, la policy del bucket e la lista di controllo degli accessi ai bucket (). ACL Il controllo fallisce se il bucket consente l'accesso pubblico in lettura.
Alcuni casi d'uso potrebbero richiedere che tutti gli utenti di Internet siano in grado di leggere dal tuo bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere leggibile pubblicamente.
Correzione
Per bloccare l'accesso pubblico in lettura sui tuoi bucket Amazon S3, consulta Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.
[S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), NIST.800-53.r5 AC-3, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete protetta
Severità: critica
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-public-write-prohibited
Tipo di pianificazione: periodica e con attivazione di modifiche
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico consente l'accesso pubblico in scrittura. Valuta le impostazioni di accesso pubblico a blocchi, la policy del bucket e la lista di controllo degli accessi ai bucket (). ACL Il controllo fallisce se il bucket consente l'accesso pubblico in scrittura.
Alcuni casi d'uso prevedono che chiunque su Internet sia in grado di scrivere nel bucket S3. Tuttavia, queste situazioni sono rare. Per garantire l'integrità e la sicurezza dei dati, il bucket S3 non deve essere scrivibile pubblicamente.
Correzione
Per bloccare l'accesso pubblico in scrittura sui tuoi bucket Amazon S3, consulta Configurazione delle impostazioni di accesso pubblico a blocchi per i tuoi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service.
[S3.5] I bucket generici S3 devono richiedere l'utilizzo di richieste SSL
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), v3.2.1/4.1, v4.0.1/4.2.1 PCI DSS PCI DSS
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-ssl-requests-only
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una politica che richiede l'utilizzo di richieste. SSL Il controllo fallisce se la policy del bucket non richiede l'utilizzo di richieste. SSL
I bucket S3 devono avere politiche che richiedono che tutte le richieste (Action: S3:*) accettino solo la trasmissione di dati HTTPS nella politica delle risorse S3, indicata dalla chiave di condizione. aws:SecureTransport
Correzione
Per aggiornare una policy sui bucket di Amazon S3 per impedire il trasporto non sicuro, consulta Aggiungere una policy sui bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
Aggiungi una dichiarazione di policy simile a quella riportata nella seguente policy. Sostituiscilo amzn-s3-demo-bucket con il nome del bucket che stai modificando.
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
Per ulteriori informazioni, consulta Quale policy sui bucket S3 devo usare per rispettare la AWS Config
[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS
Requisiti correlati: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoria: Protezione > Gestione sicura degli accessi > Azioni operative sensibili limitate API
Gravità: alta
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config: s3-bucket-blacklisted-actions-prohibited
Tipo di pianificazione: modifica attivata
Parametri:
-
blacklistedactionpatterns:s3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl(non personalizzabile)
Questo controllo verifica se una policy sui bucket generici di Amazon S3 impedisce ai principali di eseguire azioni negate sulle risorse nel bucket S3. Account AWS Il controllo fallisce se la bucket policy consente una o più delle azioni precedenti per un principale in un altro. Account AWS
L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi per la sicurezza e l'impatto di errori o intenzioni malevole. Se una policy S3 bucket consente l'accesso da account esterni, potrebbe causare l'esfiltrazione dei dati da parte di una minaccia interna o di un aggressore.
Il blacklistedactionpatterns parametro consente una valutazione corretta della regola per i bucket S3. Il parametro consente l'accesso agli account esterni per i modelli di azione che non sono inclusi nell'elenco. blacklistedactionpatterns
Correzione
Per aggiornare una policy sui bucket di Amazon S3 per rimuovere le autorizzazioni, consulta. Aggiungere una policy bucket utilizzando la console Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
Nella pagina Modifica policy bucket, nella casella di testo per la modifica della policy, esegui una delle seguenti azioni:
-
Rimuovi le dichiarazioni che concedono ad altri Account AWS l'accesso alle azioni negate.
-
Rimuovi le azioni negate consentite dalle dichiarazioni.
[S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni
Requisiti correlati: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), (2), .800-53.r5 SI-13 (5) NIST.800-53.r5 SC-5 NIST
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: bassa
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: s3-bucket-cross-region-replication-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se in un bucket Amazon S3 per uso generico è abilitata la replica tra regioni. Il controllo fallisce se nel bucket non è abilitata la replica tra regioni.
La replica è la copia automatica e asincrona di oggetti tra bucket uguali o diversi. Regioni AWS La replica copia gli oggetti appena creati e gli aggiornamenti degli oggetti da un bucket di origine a uno o più bucket di destinazione. AWS le migliori pratiche consigliano la replica per i bucket di origine e di destinazione di proprietà degli stessi. Account AWS Oltre alla disponibilità, è necessario prendere in considerazione altre impostazioni di protezione dei sistemi.
Questo controllo produce una FAILED ricerca per un bucket di destinazione di replica se non ha la replica tra regioni abilitata. Se esiste un motivo legittimo per cui il bucket di destinazione non necessita della replica tra regioni per essere abilitato, puoi sopprimere i risultati per questo bucket.
Correzione
Per abilitare la replica tra regioni su un bucket S3, consulta Configurazione della replica per i bucket di origine e destinazione di proprietà dello stesso account nella Guida per l'utente di Amazon Simple Storage Service. Per Source bucket, scegli Applica a tutti gli oggetti nel bucket.
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11), (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20) NIST.800-53.r5 AC-6, (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9), NIST.800-53.r5 SC-7 v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS
Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi
Gravità: alta
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-level-public-access-prohibited
Tipo di pianificazione: modifica attivata
Parametri:
-
excludedPublicBuckets(non personalizzabile): un elenco separato da virgole di nomi di bucket S3 pubblici e noti e consentiti
Questo controllo verifica se un bucket generico Amazon S3 blocca l'accesso pubblico a livello di bucket. Il controllo fallisce se una delle seguenti impostazioni è impostata su: false
-
ignorePublicAcls -
blockPublicPolicy -
blockPublicAcls -
restrictPublicBuckets
Block Public Access a livello di bucket S3 fornisce controlli per garantire che gli oggetti non abbiano mai accesso pubblico. L'accesso pubblico è concesso a bucket e oggetti tramite liste di controllo degli accessi (ACLs), policy relative ai bucket o entrambe.
A meno che tu non intenda rendere i tuoi bucket S3 accessibili al pubblico, devi configurare la funzionalità Amazon S3 Block Public Access a livello di bucket.
Correzione
Per informazioni su come rimuovere l'accesso pubblico a livello di bucket, consulta Bloccare l'accesso pubblico allo storage Amazon S3 nella Amazon S3 User Guide.
[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8), NIST v4.0.1/10.2.1 NIST PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione degli accessi al server è abilitata per un bucket Amazon S3 per uso generico. Il controllo fallisce se la registrazione degli accessi al server non è abilitata. Quando la registrazione è abilitata, Amazon S3 fornisce i log di accesso per un bucket di origine a un bucket di destinazione scelto. Il bucket di destinazione deve trovarsi nello stesso Regione AWS del bucket di origine e non deve avere un periodo di conservazione predefinito configurato. Non è necessario che nel bucket di registrazione di destinazione sia abilitata la registrazione degli accessi al server ed è necessario eliminare i risultati relativi a questo bucket.
La registrazione degli accessi al server fornisce registrazioni dettagliate delle richieste effettuate a un bucket. I log di accesso al server possono aiutare nei controlli di sicurezza e di accesso. Per ulteriori informazioni, consulta Best practice di sicurezza per Amazon S3: abilitare la registrazione degli accessi ai server Amazon S3.
Correzione
Per abilitare la registrazione degli accessi ai server Amazon S3, consulta Enabling Amazon S3 server access logging nella Amazon S3 User Guide.
[S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-version-lifecycle-policy-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un bucket con versione generica di Amazon S3 ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita.
Ti consigliamo di creare una configurazione del ciclo di vita per il tuo bucket S3 per aiutarti a definire le azioni che desideri che Amazon S3 intraprenda durante la vita di un oggetto.
Correzione
Per ulteriori informazioni sulla configurazione del ciclo di vita su un bucket Amazon S3, consulta Impostazione della configurazione del ciclo di vita su un bucket e Gestione del ciclo di vita dello storage.
[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate
Requisiti correlati: NIST .800-53.r5 SI-3 (8) NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (4) NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-event-notifications-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Elenco dei tipi di eventi S3 preferiti |
EnumList (massimo 28 articoli) |
|
Nessun valore predefinito |
Questo controllo verifica se le notifiche degli eventi S3 sono abilitate su un bucket Amazon S3 per uso generico. Il controllo fallisce se le notifiche degli eventi S3 non sono abilitate nel bucket. Se fornisci valori personalizzati per il eventTypes parametro, il controllo passa solo se le notifiche degli eventi sono abilitate per i tipi di eventi specificati.
Quando abiliti le notifiche di eventi S3, ricevi avvisi quando si verificano eventi specifici che influiscono sui bucket S3. Ad esempio, puoi ricevere notifiche sulla creazione, la rimozione e il ripristino degli oggetti. Queste notifiche possono avvisare i team competenti in caso di modifiche accidentali o intenzionali che possono portare all'accesso non autorizzato ai dati.
Correzione
Per informazioni sul rilevamento delle modifiche ai bucket e agli oggetti S3, consulta Amazon S3 Event Notifications nella Amazon S3 User Guide.
[S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3
Requisiti correlati: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Categoria: Protezione > Gestione sicura degli accessi > Controllo degli accessi
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-acl-prohibited
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico fornisce le autorizzazioni utente con una lista di controllo degli accessi (). ACL Il controllo fallisce se un ACL è configurato per la gestione dell'accesso degli utenti sul bucket.
ACLssono meccanismi di controllo degli accessi legacy precedentiIAM. Ti consigliamo ACLs invece di utilizzare le policy dei bucket S3 o le politiche AWS Identity and Access Management (IAM) per gestire l'accesso ai bucket S3.
Correzione
Per passare questo controllo, devi disabilitarlo ACLs per i tuoi bucket S3. Per istruzioni, consulta la sezione Controllo della proprietà degli oggetti e disattivazione del bucket nella Guida ACLs per l'utente di Amazon Simple Storage Service.
Per creare una policy per i bucket S3, consulta Aggiungere una policy per i bucket utilizzando la console Amazon S3. Per creare una policy IAM utente su un bucket S3, consulta Controllare l'accesso a un bucket con policy utente.
[S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST
Categoria: Proteggi > Protezione dei dati
Gravità: bassa
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-lifecycle-policy-check
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Numero di giorni dopo la creazione dell'oggetto in cui gli oggetti vengono trasferiti a una classe di archiviazione specificata |
Numero intero |
|
Nessun valore predefinito |
|
|
Numero di giorni dopo la creazione dell'oggetto in cui gli oggetti vengono eliminati |
Numero intero |
|
Nessun valore predefinito |
|
|
Tipo di classe di archiviazione S3 di destinazione |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha una configurazione del ciclo di vita. Il controllo fallisce se il bucket non ha una configurazione del ciclo di vita. Se fornisci valori personalizzati per uno o più dei parametri precedenti, il controllo passa solo se la policy include la classe di archiviazione, il tempo di eliminazione o il tempo di transizione specificati.
La creazione di una configurazione del ciclo di vita per il tuo bucket S3 definisce le azioni che vuoi che Amazon S3 intraprenda durante la vita di un oggetto. Ad esempio, puoi trasferire oggetti in un'altra classe di storage, archiviarli o eliminarli dopo un periodo di tempo specificato.
Correzione
Per informazioni sulla configurazione delle politiche del ciclo di vita su un bucket Amazon S3, consulta Setting lifecycle configuration on a bucket e Managing your storage lifecycle nella Amazon S3 User Guide.
[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Requisiti correlati: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Gravità: bassa
Tipo di risorsa: AWS::S3::Bucket
Regola AWS Config : s3-bucket-versioning-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico ha il controllo delle versioni abilitato. Il controllo fallisce se il controllo delle versioni è sospeso per il bucket.
Il controllo delle versioni mantiene più varianti di un oggetto nello stesso bucket S3. Puoi utilizzare il controllo delle versioni per conservare, recuperare e ripristinare versioni precedenti di un oggetto archiviato nel tuo bucket S3. Il controllo delle versioni ti aiuta a recuperare sia da azioni involontarie dell'utente che da errori delle applicazioni.
Suggerimento
Man mano che il numero di oggetti in un bucket aumenta a causa del controllo delle versioni, è possibile impostare una configurazione del ciclo di vita per archiviare o eliminare automaticamente gli oggetti con versioni in base a regole. Per ulteriori informazioni, consulta Amazon S3 Lifecycle Management
Correzione
Per utilizzare il controllo delle versioni su un bucket S3, consulta Enabling versioning on bucket nella Amazon S3 User Guide.
[S3.15] I bucket generici S3 devono avere Object Lock abilitato
Categoria: Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
Requisiti correlati: NIST .800-53.r5 CP-6 (2), v4.0.1/10.5.1 PCI DSS
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: s3-bucket-default-lock-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Modalità di conservazione di S3 Object Lock |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se un bucket Amazon S3 per uso generico ha Object Lock abilitato. Il controllo fallisce se Object Lock non è abilitato per il bucket. Se fornite un valore personalizzato per il mode parametro, il controllo passa solo se S3 Object Lock utilizza la modalità di conservazione specificata.
È possibile utilizzare S3 Object Lock per memorizzare oggetti utilizzando un modello write-once-read-many (WORM). Object Lock può aiutare a impedire che gli oggetti nei bucket S3 vengano eliminati o sovrascritti per un periodo di tempo fisso o indefinitamente. Puoi utilizzare S3 Object Lock per soddisfare i requisiti normativi che richiedono WORM lo storage o aggiungere un ulteriore livello di protezione contro le modifiche e l'eliminazione degli oggetti.
Correzione
Per configurare Object Lock per bucket S3 nuovi ed esistenti, consulta Configuring S3 Object Lock nella Amazon S3 User Guide.
[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Requisiti correlati: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 (10), (1), NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), .800-53.r5 AU-9, v4.0.1/3.5.1 NIST PCI DSS
Gravità: media
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: s3-default-encryption-kms
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un bucket Amazon S3 per uso generico è crittografato con un AWS KMS key (SSE- KMS o DSSE -). KMS Il controllo fallisce se il bucket è crittografato con la crittografia predefinita (SSE-S3).
La crittografia lato server (SSE) è la crittografia dei dati a destinazione da parte dell'applicazione o del servizio che li riceve. Se non diversamente specificato, i bucket S3 utilizzano le chiavi gestite di Amazon S3 SSE (-S3) per impostazione predefinita per la crittografia lato server. Tuttavia, per un maggiore controllo, puoi scegliere di configurare i bucket per utilizzare invece la crittografia lato server con (- o -). AWS KMS keys SSE KMS DSSE KMS Amazon S3 crittografa i tuoi dati a livello di oggetto mentre li scrive su dischi nei data AWS center e li decrittografa per te quando ti accedi.
Correzione
Per crittografare un bucket S3 utilizzando SSE -KMS, consulta Specificare la crittografia lato server con AWS KMS (-) SSE nella Amazon S3 User KMS Guide. Per crittografare un bucket S3 utilizzando DSSE -KMS, consulta Specificare la crittografia lato server a doppio livello con AWS KMS keys (-) DSSE nella KMS Amazon S3 User Guide.
[S3.19] I punti di accesso S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 v4.0.1/1.4.4 PCI DSS
Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
Severità: critica
Tipo di risorsa: AWS::S3::AccessPoint
AWS Config regola: s3-access-point-public-access-blocks
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un punto di accesso Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce se le impostazioni di blocco dell'accesso pubblico non sono abilitate per il punto di accesso.
La funzionalità Amazon S3 Block Public Access ti aiuta a gestire l'accesso alle tue risorse S3 a tre livelli: account, bucket e access point. Le impostazioni a ciascun livello possono essere configurate in modo indipendente, consentendoti di avere diversi livelli di restrizioni di accesso pubblico ai tuoi dati. Le impostazioni del punto di accesso non possono sovrascrivere individualmente le impostazioni più restrittive ai livelli superiori (livello di account o bucket assegnato al punto di accesso). Al contrario, le impostazioni a livello del punto di accesso sono additive, il che significa che completano e funzionano insieme alle impostazioni degli altri livelli. A meno che tu non voglia che un punto di accesso S3 sia accessibile al pubblico, devi abilitare le impostazioni di blocco dell'accesso pubblico.
Correzione
Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso dopo la creazione del punto di accesso. Tutte le impostazioni di blocco dell'accesso pubblico sono abilitate di default quando crei un nuovo punto di accesso. È consigliabile lasciare tutte le impostazioni abilitate, a meno che tu non debba necessariamente disabilitarne una specifica. Per ulteriori informazioni, consulta la sezione Gestione dell'accesso pubblico agli access point nella Guida per l'utente di Amazon Simple Storage Service.
[S3.20] I bucket generici S3 dovrebbero avere l'opzione di cancellazione abilitata MFA
Requisiti correlati: CIS AWS Foundations Benchmark v3.0.0/2.1.2, Foundations Benchmark v1.4.0/2.1.3, (1), CIS AWS (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5
Categoria: Protezione > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: bassa
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: s3-bucket-mfa-delete-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se l'eliminazione dell'autenticazione a più fattori (MFA) è abilitata su un bucket con versione generica di Amazon S3. Il controllo fallisce se MFA delete non è abilitato nel bucket. Il controllo non produce risultati per i bucket con una configurazione del ciclo di vita.
Quando lavori con S3 Versioning nei bucket Amazon S3, puoi facoltativamente aggiungere un altro livello di sicurezza configurando un bucket per abilitare l'eliminazione. MFA Quando esegui questa operazione, il proprietario del bucket deve includere due forme di autenticazione in ogni richiesta per eliminare una versione o modificare lo stato di controllo delle versioni del bucket. MFAdelete fornisce una maggiore sicurezza se le credenziali di sicurezza sono compromesse. MFAdelete può anche aiutare a prevenire l'eliminazione accidentale dei bucket richiedendo all'utente che avvia l'azione di eliminazione di dimostrare il possesso fisico di un MFA dispositivo con un MFA codice e aggiungendo un ulteriore livello di attrito e sicurezza all'azione di eliminazione.
Nota
La funzionalità di MFA eliminazione richiede il controllo della versione del bucket come dipendenza. Il controllo delle versioni del bucket è un metodo per mantenere più varianti di un oggetto S3 nello stesso bucket. Inoltre, solo il proprietario del bucket che ha effettuato l'accesso come utente root può abilitare l'MFAeliminazione ed eseguire azioni di eliminazione sui bucket S3.
Correzione
Per abilitare S3 Versioning e configurare l'MFAeliminazione su un bucket, consulta Configuring delete MFA nella Amazon Simple Storage Service User Guide.
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
Requisiti correlati: Foundations Benchmark v3.0.0/3.8, v4.0.1/10.2.1 CIS AWS PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::::Account
AWS Config regola: cloudtrail-all-write-s3-data-event-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di scrittura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi di scrittura dei dati per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai GetObject datiDeleteObject. PutObject Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di scrittura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sulle API attività a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce un PASSED risultato se configuri un percorso multiregionale che registra eventi di sola scrittura o tutti i tipi di dati per tutti i bucket S3.
Correzione
Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple Storage Service User Guide.
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
Requisiti correlati: Foundations Benchmark v3.0.0/3.9, v4.0.1/10.2.1 CIS AWS PCI DSS
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::::Account
AWS Config regola: cloudtrail-all-read-s3-data-event-check
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un utente Account AWS dispone di almeno un percorso AWS CloudTrail multiregionale che registra tutti gli eventi di lettura dei dati per i bucket Amazon S3. Il controllo fallisce se l'account non dispone di un percorso multiregionale che registra gli eventi dei dati di lettura per i bucket S3.
Le operazioni a livello di oggetto S3, ad esempio, e, sono chiamate eventi relativi ai GetObject datiDeleteObject. PutObject Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati, ma puoi configurare percorsi per registrare gli eventi relativi ai dati per i bucket S3. Quando abiliti la registrazione a livello di oggetto per gli eventi di lettura dei dati, puoi registrare l'accesso a ogni singolo oggetto (file) all'interno di un bucket S3. L'abilitazione della registrazione a livello di oggetto può aiutarti a soddisfare i requisiti di conformità dei dati, eseguire analisi di sicurezza complete, monitorare modelli specifici di comportamento degli utenti e intervenire sulle API attività a livello di oggetto all'interno dei tuoi bucket S3 utilizzando Amazon Events. Account AWS CloudWatch Questo controllo produce un PASSED risultato se configuri un percorso multiregionale che registra eventi di sola lettura o tutti i tipi di eventi relativi ai dati per tutti i bucket S3.
Correzione
Per abilitare la registrazione a livello di oggetto per i bucket S3, consulta Enabling CloudTrail event logging for S3 bucket and objects nella Amazon Simple Storage Service User Guide.
[S3.24] I punti di accesso multiregionali S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
Requisiti correlati: v4.0.1/1.4.4 PCI DSS
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::S3::MultiRegionAccessPoint
AWS Config regola: s3-mrap-public-access-blocked (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un punto di accesso multiregionale Amazon S3 ha abilitato le impostazioni di blocco dell'accesso pubblico. Il controllo fallisce quando nel punto di accesso multiregionale non sono abilitate le impostazioni di blocco dell'accesso pubblico.
Le risorse accessibili al pubblico possono comportare accessi non autorizzati, violazioni dei dati o sfruttamento di vulnerabilità. Limitare l'accesso tramite misure di autenticazione e autorizzazione aiuta a salvaguardare le informazioni sensibili e a mantenere l'integrità delle risorse.
Correzione
Per impostazione predefinita, tutte le impostazioni Block Public Access sono abilitate per un punto di accesso multiregionale S3. Per ulteriori informazioni, consulta Bloccare l'accesso pubblico con punti di accesso multiregionali Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service. Dopo la creazione del punto di accesso multi-regione, non puoi più modificare le relative impostazioni di blocco dell'accesso pubblico.
