As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Correção de um bucket S3 potencialmente comprometido
Quando GuardDuty geradoGuardDuty Tipos de descoberta do S3 Protection, indica que seus buckets do Amazon S3 foram comprometidos. Se o comportamento que causou a descoberta era esperado em seu ambiente, considere criarRegras de supressão. Se esse comportamento não era esperado, siga estas etapas recomendadas para corrigir um bucket Amazon S3 potencialmente comprometido em seu ambiente: AWS
-
Identifique o recurso S3 potencialmente comprometido.
Uma GuardDuty descoberta para o S3 listará o bucket do S3 associado, seu Amazon Resource Name (ARN) e seu proprietário nos detalhes da descoberta.
-
Identifique a origem da atividade suspeita e a API chamada usada.
A API chamada usada será listada conforme
APIos detalhes da descoberta. A fonte será a IAM principal (uma IAM função, usuário ou conta) e os detalhes de identificação serão listados na descoberta. Dependendo do tipo de origem, o endereço IP remoto ou as informações do domínio de origem estarão disponíveis e poderão ajudar você a avaliar se a origem foi autorizada. Se a descoberta envolver credenciais de uma EC2 instância da Amazon, os detalhes desse recurso também serão incluídos. -
Determine se a origem da chamada foi autorizada a acessar o recurso identificado.
Por exemplo, considere o seguinte:
-
Se um IAM usuário estava envolvido, é possível que suas credenciais tenham sido potencialmente comprometidas? Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
-
Se an API foi invocado de um principal que não tem histórico anterior de invocação desse tipo deAPI, essa fonte precisa de permissões de acesso para essa operação? É possível restringir ainda mais as permissões do bucket?
-
Se o acesso foi visto a partir do nome de usuário
ANONYMOUS_PRINCIPALcom o tipo de usuárioAWSAccount, isso indica que o bucket é público e foi acessado. Esse bucket deveria ser público? Se a resposta for não, revise as recomendações de segurança abaixo a fim de encontrar soluções alternativas para compartilhar recursos do S3. -
Se o acesso foi feito por meio de uma
PreflightRequestchamada bem-sucedida vista do nome de usuárioANONYMOUS_PRINCIPALcom o tipo de usuário,AWSAccountisso indica que o bucket tem um conjunto de políticas de compartilhamento de recursos (CORS) de origem cruzada. Esse balde deveria ter uma CORS política? Se a resposta for não, certifique-se de que o bucket não esteja designado como público por engano e analise as recomendações de segurança abaixo a fim de encontrar soluções alternativas para compartilhar recursos do S3. Para obter mais informações sobre CORS como usar o compartilhamento de recursos entre origens (CORS) no guia do usuário do S3.
-
-
Determine se o bucket do S3 contém dados confidenciais.
Use o Amazon Macie para determinar se o bucket do S3 contém dados confidenciais, como informações de identificação pessoal (PII), dados financeiros ou credenciais. Se a descoberta automatizada de dados confidenciais estiver habilitada para sua conta do Macie, revise os detalhes do bucket do S3 a fim de entender melhor o conteúdo do bucket do S3. Se esse atributo estiver desabilitado em sua conta do Macie, recomendamos habilitá-lo para agilizar sua avaliação. Outra alternativa é criar e executar um trabalho de descoberta de dados confidenciais para inspecionar os objetos do bucket do S3 em busca de dados confidenciais. Para obter mais informações, consulte Discovering sensitive data with Amazon Macie.
A descoberta pode ser ignorada se o acesso foi autorizado. O https://console.aws.amazon.com/guardduty/
Se você determinar que seus dados do S3 foram expostos ou acessados por uma parte não autorizada, revise as seguintes recomendações de segurança do S3 para aumentar as permissões e restringir o acesso. As soluções de remediação apropriadas serão determinadas pelas necessidades de seu ambiente específico.
Recomendações com base nas necessidades específicas de acesso ao bucket do S3
A lista a seguir fornece recomendações com base nas necessidades específicas de acesso ao bucket do Amazon S3:
-
Para uma forma centralizada de limitar o acesso público ao uso de dados do S3, o S3 bloqueia o acesso público. As configurações de bloqueio de acesso público podem ser ativadas para pontos de acesso, buckets e AWS contas por meio de quatro configurações diferentes para controlar a granularidade do acesso. Para obter mais informações, consulte Configurações do bloqueio de acesso público do S3.
-
AWS As políticas de acesso podem ser usadas para controlar como IAM os usuários podem acessar seus recursos ou como seus buckets podem ser acessados. Para obter mais informações, consulte Políticas de bucket e políticas de usuário.
Além disso, você pode usar endpoints Virtual Private Cloud (VPC) com políticas de bucket do S3 para restringir o acesso a endpoints específicosVPC. Para obter mais informações, consulte Exemplos de políticas de bucket para VPC endpoints para o Amazon S3
-
Para permitir temporariamente o acesso aos seus objetos do S3 para entidades confiáveis fora da sua conta, você pode criar um Preassinado URL por meio do S3. Esse acesso é criado com as credenciais da sua conta e, dependendo das credenciais usadas, pode durar de 6 horas a 7 dias. Para obter mais informações, consulte Geração de pré-assinados URLs com o S3.
-
Para os casos de uso que exigem o compartilhamento de objetos do S3 entre diferentes origens, use os Pontos de Acesso S3 para criar conjuntos de permissões que restringem o acesso somente aos que estão em sua rede privada. Para obter mais informações, consulte Gerenciamento de acesso a dados com pontos de acesso do Amazon S3.
-
Para conceder acesso seguro aos seus recursos do S3 para outras AWS contas, você pode usar uma lista de controle de acesso (ACL). Para obter mais informações, consulte Gerenciando o acesso ao S3 com. ACLs
Para obter mais informações sobre as opções de segurança do S3, consulte Melhores práticas de segurança do S3.
