Como corrigir um bucket do S3 possivelmente comprometido - Amazon GuardDuty
Recomendações com base em necessidades específicas de acesso a buckets do S3

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como corrigir um bucket do S3 possivelmente comprometido

Quando GuardDuty geradoGuardDuty Tipos de descoberta do S3 Protection, indica que seus buckets do Amazon S3 foram comprometidos. Caso o comportamento que causou a descoberta fosse esperado em seu ambiente, considere criarRegras de supressão. Se esse comportamento não era esperado, siga estas etapas recomendadas para corrigir um bucket Amazon S3 potencialmente comprometido em seu ambiente: AWS

  1. Identifique o recurso do S3 possivelmente comprometido.

    Uma GuardDuty descoberta para o S3 listará o bucket do S3 associado, seu Amazon Resource Name (ARN) e seu proprietário nos detalhes da descoberta.

  2. Identifique a origem da atividade suspeita e a API chamada usada.

    A API chamada usada será listada conforme API os detalhes da descoberta. A fonte será a IAM principal (uma IAM função, usuário ou conta) e os detalhes de identificação serão listados na descoberta. Dependendo do tipo de origem, o endereço IP remoto ou as informações do domínio de origem estarão disponíveis e poderão ajudar a avaliar se a origem foi autorizada. Se a descoberta envolver credenciais de uma EC2 instância da Amazon, os detalhes desse recurso também serão incluídos.

  3. Determine se a origem da chamada foi autorizada a acessar o recurso identificado.

    Por exemplo, considere o seguinte:

    • Se um IAM usuário estava envolvido, é possível que suas credenciais tenham sido potencialmente comprometidas? Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

    • Se an API foi invocado de um principal que não tem histórico anterior de invocação desse tipo deAPI, essa fonte precisa de permissões de acesso para essa operação? É possível restringir ainda mais as permissões do bucket?

    • Se o acesso foi visto a partir do nome de usuário ANONYMOUS_PRINCIPAL com o tipo de usuário AWSAccount, isso indica que o bucket é público e foi acessado. Esse bucket deveria ser público? Se a resposta for não, revise as recomendações de segurança abaixo a fim de encontrar soluções alternativas para compartilhar recursos do S3.

    • Se o acesso foi feito por meio de uma PreflightRequest chamada bem-sucedida vista do nome de usuário ANONYMOUS_PRINCIPAL com o tipo de usuário, AWSAccount isso indica que o bucket tem um conjunto de políticas de compartilhamento de recursos (CORS) de origem cruzada. Esse balde deveria ter uma CORS política? Se a resposta for não, certifique-se de que o bucket não esteja designado como público por engano e analise as recomendações de segurança abaixo a fim de encontrar soluções alternativas para compartilhar recursos do S3. Para obter mais informações sobre CORS como usar o compartilhamento de recursos entre origens (CORS) no guia do usuário do S3.

  4. Determine se o bucket do S3 contém dados confidenciais.

    Use o Amazon Macie para determinar se o bucket do S3 contém dados confidenciais, como informações de identificação pessoal (PII), dados financeiros ou credenciais. Se a descoberta automatizada de dados confidenciais estiver habilitada para sua conta do Macie, revise os detalhes do bucket do S3 a fim de entender melhor o conteúdo do bucket do S3. Se esse atributo estiver desabilitado em sua conta do Macie, recomendamos habilitá-lo para agilizar sua avaliação. Outra alternativa é criar e executar um trabalho de descoberta de dados confidenciais para inspecionar os objetos do bucket do S3 em busca de dados confidenciais. Para obter mais informações, consulte Discovering sensitive data with Amazon Macie.

A descoberta pode ser ignorada se o acesso foi autorizado. O https://console.aws.amazon.com/guardduty/console permite que você configure regras para suprimir totalmente as descobertas individuais, para que elas não apareçam mais. Para obter mais informações, consulte Regras de supressão em GuardDuty.

Ao determinar que seus dados do S3 foram expostos ou acessados por uma parte não autorizada, analise as seguintes recomendações de segurança do S3 para reforçar as permissões e restringir o acesso. As soluções de correção apropriadas serão determinadas pelas necessidades de seu ambiente específico.

Recomendações com base em necessidades específicas de acesso a buckets do S3

A lista a seguir fornece recomendações com base nas necessidades específicas de acesso ao bucket do Amazon S3:

  • Para limitar o acesso público ao uso de dados do S3 de forma centralizada, bloqueie o acesso público do S3. As configurações de bloqueio de acesso público podem ser ativadas para pontos de acesso, buckets e AWS contas por meio de quatro configurações diferentes para controlar a granularidade do acesso. Para obter mais informações, consulte Bloquear configurações de acesso público no Guia do usuário do Amazon S3.

  • AWS As políticas de acesso podem ser usadas para controlar como IAM os usuários podem acessar seus recursos ou como seus buckets podem ser acessados. Para obter mais informações, consulte Usando políticas de bucket e políticas de usuário no Guia do usuário do Amazon S3.

    Além disso, você pode usar endpoints Virtual Private Cloud (VPC) com políticas de bucket do S3 para restringir o acesso a endpoints específicosVPC. Para obter mais informações, consulte Controle do acesso de VPC endpoints com políticas de bucket no Guia do usuário do Amazon S3.

  • Para permitir temporariamente o acesso aos seus objetos do S3 para entidades confiáveis fora da sua conta, você pode criar um Preassinado URL por meio do S3. Esse acesso é criado com as credenciais da sua conta e, dependendo das credenciais usadas, pode durar de 6 horas a 7 dias. Para obter mais informações, consulte Como usar objetos pré-assinados URLs para baixar e carregar objetos no Guia do usuário do Amazon S3.

  • Para os casos de uso que exigem o compartilhamento de objetos do S3 entre diferentes origens, use os Pontos de Acesso S3 para criar conjuntos de permissões que restringem o acesso somente aos que estão em sua rede privada. Para obter mais informações, consulte Gerenciamento do acesso a conjuntos de dados compartilhados com pontos de acesso no Guia do usuário do Amazon S3.

  • Para conceder acesso seguro aos seus recursos do S3 a outras AWS contas, você pode usar uma lista de controle de acesso (ACL). Para obter mais informações, consulte a visão geral da lista de controle de acesso (ACL) no Guia do usuário do Amazon S3.

Para obter mais informações sobre as opções de segurança do S3, consulte Melhores práticas de segurança para o Amazon S3 no Guia do usuário do Amazon S3.