As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para o Amazon S3

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Simple Storage Service (Amazon S3).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9), v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, NIST.800-53.r5 SC-7 v3.2.1/1.3.4, NIST.800-53.r5 SC-7 v3.2.1/1.3.4 3.2.1/1.3.6, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv4.0.1/1.4.4

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : s3-account-level-public-access-blocks-periodic

Tipo de programação: Periódico

Parâmetros:

Esse controle verifica se as configurações anteriores de bloqueio de acesso público do Amazon S3 estão configuradas ao nível da conta para o bucket de uso geral do S3. O controle falhará se uma ou mais configurações de bloqueio de acesso público estiverem definidas como false.

O controle falhará se alguma das configurações estiver definida como false ou se alguma das configurações não estiver definida.

O bloco de acesso público do Amazon S3 foi projetado para fornecer controles em um nível de bucket do S3 inteiro Conta da AWS ou individual para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Acesso público de bloco do Amazon S3 no nível da conta.

Para obter mais informações, consulte Usar o bloqueio de acesso público do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Correção

Para habilitar o Amazon S3 para bloquear o acesso público para você Conta da AWS, consulte Definir configurações de bloqueio de acesso público para sua conta no Guia do usuário do Amazon Simple Storage Service.

[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-public-read-prohibited

Tipo de programação: periódico e acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para leitura. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso do bucket (ACL). O controle falhará se o bucket permitir acesso público para leitura.

Alguns casos de uso exigem que todos na Internet possam ler a partir do bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser legível publicamente.

Correção

Para bloqueio de acesso público para seu bucket S3 do Amazon S3, consulte Configurar bloqueio do acesso público aos seus buckets S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20), (21) NIST.800-53.r5 AC-3, (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-public-write-prohibited

Tipo de programação: periódico e acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público para gravação. Ele avalia as configurações de bloqueio de acesso público, a política do bucket e a lista de controle de acesso do bucket (ACL). O controle falhará se o bucket permitir acesso público para gravação.

Alguns casos de uso exigem que todos na Internet possam gravar no bucket do S3. Entretanto, essas situações são raras. Para garantir a integridade e a segurança dos dados, o bucket do S3 não deve ser gravável publicamente.

Correção

Para bloqueio de gravação pública para seu bucket S3 do Amazon S3, consulte Configurar bloqueio do acesso público aos seus buckets S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, NIST.800-53.r5 AC-1 7 (2),, (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3, 3 NIST.800-53.r5 IA-5 (3), (4),, (1), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6), v3.2.1/4.1 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 v4.0.1/4.2.1 NIST.800-53.r5 SC-8 NIST PCI DSS PCI DSS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-ssl-requests-only

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma política que exige o uso de solicitações. SSL O controle falhará se a política do bucket não exigir o uso de solicitaçõesSSL.

Os buckets do S3 devem ter políticas que exijam que todas as solicitações (Action: S3:*) aceitem somente a transmissão de dados HTTPS na política de recursos do S3, indicada pela chave de condição. aws:SecureTransport

Correção

Para atualizar uma política de bucket do Amazon S3 para negar transporte não seguro, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage.

Adicione uma declaração de política semelhante à da política a seguir. Substitua amzn-s3-demo-bucket pelo nome do bucket que você está modificando.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

Para obter mais informações, consulte Qual política de bucket do S3 devo usar para cumprir a AWS Config regra s3-? bucket-ssl-requests-only no Centro de Conhecimento AWS Oficial.

[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Gerenciamento de acesso seguro > API Operações confidenciais restritas

Severidade: alta

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config: s3-bucket-blacklisted-actions-prohibited

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se a política de bucket de uso geral do Amazon S3 impede que as entidades principais de outras Contas da AWS executem ações negadas em recursos de bucket do S3. O controle falhará se a política de bucket permitir alguma das ações anteriores para uma entidade principal em outra Conta da AWS.

A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto de erros ou usuários mal-intencionados. Se uma política de bucket do S3 permitir o acesso de contas externas, isso poderá resultar na exfiltração de dados por uma ameaça interna ou por um invasor.

O parâmetro blacklistedactionpatterns permite uma avaliação bem-sucedida da regra para buckets do S3. O parâmetro concede acesso a contas externas para padrões de ação que não estão incluídos na lista blacklistedactionpatterns.

Correção

Para atualizar uma política de bucket do Amazon S3 para remover permissões, consulte Adicionar uma política de bucket usando o console do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Na página Editar política do bucket, na caixa de texto de edição da política, execute uma das seguintes ações:

[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões

Requisitos relacionados: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2), NIST .800-53.r5 SI-13 NIST.800-53.r5 SC-5 (5)

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-cross-region-replication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o bucket de uso geral do Amazon S3 tem a replicação entre regiões habilitada. O controle falhará se o bucket não tiver a replicação entre regiões habilitada.

A replicação é a cópia automática e assíncrona de objetos entre buckets iguais ou diferentes. Regiões da AWS A replicação copia os objetos recém-criados e as atualizações de objeto de um bucket de origem para um bucket de destino. As melhores práticas da AWS recomendam a replicação para os buckets de origem e destino que são propriedade da mesma Conta da AWS. Além da disponibilidade, você deve considerar outras configurações de proteção de sistemas.

Esse controle produzirá uma descoberta FAILED para um bucket de destino de replicação se ele não tiver a replicação entre regiões habilitada. Se houver um motivo legítimo para o bucket de destino não precisar ter a replicação entre regiões habilitada, você poderá suprimir descobertas para esse bucket.

Correção

Para habilitar a replicação entre regiões em um bucket do S3, consulte Configurar a replicação para buckets de origem e destino pertencentes à mesma conta no Guia do usuário do Amazon Simple Storage Service. Em Source bucket, escolha Aplicar a todos os objetos no bucket.

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (20), (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 PCI DSS

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: alta

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-level-public-access-prohibited

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um bucket de uso geral do Amazon S3 permite acesso público ao nível do bucket. O controle falhará se alguma das seguintes configurações estiver definida como false:

O bloqueio de acesso público no nível do bucket do S3 oferece controles para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de listas de controle de acesso (ACLs), políticas de bucket ou ambas.

A menos que você queira que os buckets do S3 sejam acessíveis publicamente, configure o recurso Bloqueio de acesso público do Amazon S3 no nível do bucket.

Correção

Para obter informações sobre como remover o acesso público em um nível de bucket, consulte Bloquear o acesso público ao seu armazenamento do Amazon S3 no Guia do usuário do Amazon S3.

[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado

Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o registro em log de acesso ao servidor está habilitado para buckets de uso geral do S3. Esse controle falhará se o registro em log de acesso ao servidor não estiver habilitado. Quando você habilita o registro em log, o Amazon S3 entrega logs de acesso a um bucket de origem ou de destino de sua escolha. O bucket de destino deve estar no Região da AWS mesmo bucket de origem e não deve ter um período de retenção padrão configurado. O bucket de registro em log de destino não precisa ter o registro em log de acesso ao servidor ativado, e você deve suprimir as descobertas desse bucket.

O registro em log de acesso ao servidor fornece registros detalhados sobre as solicitações que são feitas a um bucket. Os logs de acesso ao servidor podem auxiliar nas auditorias de segurança e acesso. Para obter mais informações, consulte Melhores práticas de segurança para o Amazon S3: Habilitar o registro em log de acesso ao servidor do Amazon S3.

Correção

Para habilitar o registro em log de acesso ao servidor Amazon S3, consulte Habilitar registro em log de acesso ao servidor do Amazon S3 no Guia do usuário do Amazon S3.

[S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-version-lifecycle-policy-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida.

Recomendamos criar uma configuração de ciclo de vida para o bucket do S3 para ajudar a definir as ações que você deseja que o Amazon S3 execute durante a vida útil de um objeto.

Correção

Para obter mais informações sobre como configurar o ciclo de vida em um bucket do Amazon S3, consulte Definir a configuração do ciclo de vida em um bucket e Gerenciar seu ciclo de vida de armazenamento.

[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas

Requisitos relacionados: NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 (8), .800-53.r5 SI-4, NIST .800-53.r5 SI-4 (4) NIST

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-event-notifications-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se as notificações de eventos do S3 estão habilitadas em um bucket de uso geral do Amazon S3. O controle falhará se as notificações de eventos do S3 não estiverem habilitadas no bucket. Se você fornecer valores personalizados para o parâmetro eventTypes, o controle será aprovado somente se as notificações de eventos estiverem habilitadas para os tipos de eventos especificados.

Quando habilita as notificações de eventos do S3, você recebe alertas quando ocorrem eventos específicos que afetam seus buckets do S3. Por exemplo, você pode ser notificado sobre a criação, remoção e restauração de objetos. Essas notificações podem alertar as equipes relevantes sobre modificações acidentais ou intencionais que podem levar ao acesso não autorizado aos dados.

Correção

Para obter informações sobre a detecção de alterações em buckets e objetos do S3, consulte Notificações de eventos do Amazon S3 no Guia do usuário do Amazon S3.

[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3

Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-acl-prohibited

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 fornece permissões de usuário com uma lista de controle de acesso ()ACL. O controle falhará se um ACL estiver configurado para gerenciar o acesso do usuário no bucket.

ACLssão mecanismos legados de controle de acesso anterioresIAM. Em vez dissoACLs, recomendamos usar políticas de bucket do S3 ou políticas AWS Identity and Access Management (IAM) para gerenciar o acesso aos seus buckets do S3.

Correção

Para passar esse controle, você deve desabilitar ACLs seus buckets do S3. Para obter instruções, consulte Controle da propriedade de objetos e desativação ACLs do seu bucket no Guia do usuário do Amazon Simple Storage Service.

Para criar uma política de bucket do S3, consulte Adicionar uma política de bucket usando o console do Amazon S3. Para criar uma política de IAM usuário em um bucket do S3, consulte Controle do acesso a um bucket com políticas de usuário.

[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Proteger > Proteção de dados

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-lifecycle-policy-check

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um bucket de uso geral do Amazon S3 tem uma configuração de ciclo de vida. O controle falhará se o bucket não tiver uma configuração de ciclo de vida. Se você fornecer valores personalizados para um ou mais dos parâmetros anteriores, o controle será aprovado somente se a política incluir a classe de armazenamento, o tempo de exclusão ou o tempo de transição especificados.

A criação de uma configuração de ciclo de vida para o bucket do S3 define as ações que você deseja que o Amazon S3 realize durante a vida útil de um objeto. Por exemplo, é possível fazer a transição de objetos para outra classe de armazenamento, arquivá-los ou excluí-los após um período especificado.

Correção

Para obter mais informações sobre como configurar políticas de ciclo de vida em um bucket do Amazon S3, consulte Definir a configuração do ciclo de vida em um bucket e Gerenciar seu ciclo de vida de armazenamento no Guia do usuário do Amazon S3.

[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Requisitos relacionados: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

Regra do AWS Config : s3-bucket-versioning-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o versionamento habilitado. O controle falhará se o versionamento for suspenso para o bucket.

O versionamento mantém diversas variantes de um objeto no mesmo bucket do S3. Você pode usar o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do S3. O versionamento ajuda você a se recuperar de ações não intencionais de usuários e de falhas da aplicação.

Correção

Para usar o controle de versão em um bucket do S3, consulte Habilitar o versionamento em buckets no Guia do usuário do Amazon S3.

[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Requisitos relacionados: NIST .800-53.r5 CP-6 (2), v4.0.1/10.5.1 PCI DSS

Severidade: média

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-default-lock-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um bucket de uso geral do Amazon S3 tem o Bloqueio de Objetos habilitado. O controle falhará se o Bloqueio de Objetos não estiver habilitado para o bucket. Se você fornecer um valor personalizado para o parâmetro mode, o controle passará somente se o Bloqueio de objetos do S3 usar o modo de retenção especificado.

Você pode usar o S3 Object Lock para armazenar objetos usando um modelo write-once-read-many (WORM). O bloqueio de objetos pode ajudar a evitar que os objetos em buckets S3 sejam excluídos ou substituídos por um período de tempo fixo ou indefinidamente. Você pode usar o S3 Object Lock para atender aos requisitos regulamentares que exigem WORM armazenamento ou adicionar uma camada extra de proteção contra alterações e exclusão de objetos.

Correção

Para configurar o Bloqueio de objetos para buckets do S3 novos e existentes, consulte Configuração do Bloqueio de objetos do S3 no Guia do usuário do Amazon S3.

[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Requisitos relacionados: NIST.800-53.r5 SC-1 2 (2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 (10), (1), NIST.800-53.r5 SC-7 NIST .800-53.r5 SI-7 NIST.800-53.r5 CA-9 (6), .800-53.r5 AU-9, v4.0.1/3.5.1 NIST PCI DSS

Severidade: média

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-default-encryption-kms

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um bucket de uso geral do Amazon S3 está criptografado com um AWS KMS key (SSE- KMS ou DSSE -KMS). O controle falhará se o bucket for criptografado com criptografia padrão (SSE-S3).

A criptografia do lado do servidor (SSE) é a criptografia dos dados em seu destino pelo aplicativo ou serviço que os recebe. A menos que você especifique o contrário, os buckets do S3 usam as chaves gerenciadas do Amazon S3 SSE (-S3) por padrão para criptografia do lado do servidor. No entanto, para maior controle, você pode optar por configurar buckets para usar criptografia do lado do servidor com AWS KMS keys (SSE- KMS ou DSSE -) em vez disso. KMS O Amazon S3 criptografa seus dados no nível do objeto à medida que os grava em discos em AWS datacenters e os descriptografa para você quando você os acessa.

Correção

Para criptografar um bucket do S3 usando SSE -KMS, consulte Especificação da criptografia do lado do servidor com AWS KMS (-) SSE no Guia do usuário KMS do Amazon S3. Para criptografar um bucket do S3 usando DSSE -KMS, consulte Especificação da criptografia de duas camadas no lado do servidor com AWS KMS keys (-) DSSE no KMS Guia do usuário do Amazon S3.

[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas

Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Severidade: crítica

Tipo de recurso: AWS::S3::AccessPoint

AWS Config regra: s3-access-point-public-access-blocks

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um ponto de acesso Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará se as configurações de bloqueio de acesso público não estiverem habilitadas para o ponto de acesso.

O recurso Bloqueio de acesso público do Amazon S3 ajuda você a gerenciar o acesso aos recursos do S3 em três níveis: conta, bucket e ponto de acesso. As configurações em cada nível podem ser definidas de forma independente, permitindo que você tenha diferentes níveis de restrições de acesso público aos seus dados. As configurações do ponto de acesso não podem substituir individualmente as configurações mais restritivas em níveis mais altos (nível da conta ou bucket atribuído ao ponto de acesso). Em vez disso, as configurações no nível do ponto de acesso são aditivas, o que significa que elas complementam e funcionam junto com as configurações nos outros níveis. A menos que você pretenda que um ponto de acesso do S3 seja publicamente acessível, você deverá habilitar as configurações de bloqueio de acesso público.

Correção

Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público após à criação de um ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão quando você cria um novo pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas. Para obter mais informações, consulte Gerenciamento do acesso público a pontos de acesso no Guia do usuário do Amazon Simple Storage Service.

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão ativada MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, (1), (2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: s3-bucket-mfa-delete-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a exclusão da autenticação multifator (MFA) está habilitada em um bucket versionado de uso geral do Amazon S3. O controle falhará se a MFA exclusão não estiver habilitada no bucket. O controle não produz descobertas para buckets que têm uma configuração de ciclo de vida.

Ao trabalhar com o versionamento do S3 nos buckets do Amazon S3, você pode, opcionalmente, adicionar outra camada de segurança configurando um bucket para permitir a exclusão. MFA Ao fazer isso, o proprietário do bucket deve incluir duas formas de autenticação em qualquer solicitação para excluir uma versão ou alterar o estado de versionamento do bucket. MFAdelete fornece segurança adicional se suas credenciais de segurança forem comprometidas. MFAa exclusão também pode ajudar a evitar exclusões acidentais do bucket, exigindo que o usuário que inicia a ação de exclusão prove a posse física de um MFA dispositivo com um MFA código e adicionando uma camada extra de atrito e segurança à ação de exclusão.

Correção

Para ativar o controle de versão do S3 e configurar a MFA exclusão em um bucket, consulte Como configurar a exclusão MFA no Guia do usuário do Amazon Simple Storage Service.

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/3.8, v4.0.1/10.2.1 PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::::Account

AWS Config regra: cloudtrail-all-write-s3-data-event-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados de gravação para buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de gravação para buckets do S3.

As operações ao nível do objeto do S3, como GetObject, DeleteObject e PutObject, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita registro em log ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a API atividade em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta PASSED se você configurar uma trilha multirregional que registre em log os eventos apenas de gravação ou todos os tipos de eventos de dados em todos os buckets do S3.

Correção

Para habilitar o registro em nível de objeto para buckets do S3, consulte Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/3.9, v4.0.1/10.2.1 PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::::Account

AWS Config regra: cloudtrail-all-read-s3-data-event-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se há pelo menos uma Conta da AWS trilha AWS CloudTrail multirregional que registra todos os eventos de dados lidos dos buckets do Amazon S3. O controle falhará se a conta não tiver nenhuma trilha multirregional que registre eventos de dados de leitura para buckets do S3.

As operações ao nível do objeto do S3, como GetObject, DeleteObject e PutObject, são denominadas eventos de dados. Por padrão, CloudTrail não registra eventos de dados, mas você pode configurar trilhas para registrar eventos de dados para buckets do S3. Quando você habilita o registro em log de eventos de dados de leitura ao nível do objeto, pode registrar em log o acesso de cada objeto (arquivo) individual em um bucket do S3. Habilitar o registro em nível de objeto pode ajudá-lo a atender aos requisitos de conformidade de dados, realizar análises de segurança abrangentes, monitorar padrões específicos de comportamento do usuário e agir sobre a API atividade em nível de objeto em seus buckets do S3 usando o Amazon Events. Conta da AWS CloudWatch Esse controle produzirá uma descoberta PASSED se você configurar uma trilha multirregional que registre em log os eventos apenas de leitura ou todos os tipos de eventos de dados em todos os buckets do S3.

Correção

Para habilitar o registro em nível de objeto para buckets do S3, consulte Ativação do registro de CloudTrail eventos para buckets e objetos do S3 no Guia do usuário do Amazon Simple Storage Service.

[S3.24] Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas

Requisitos relacionados: PCI DSS v4.0.1/1.4.4

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso: AWS::S3::MultiRegionAccessPoint

Regra AWS Config : s3-mrap-public-access-blocked (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um ponto de acesso multirregional do Amazon S3 tem configurações de bloqueio de acesso público habilitadas. O controle falhará quando o ponto de acesso multirregional não tiver as configurações de bloqueio de acesso público habilitadas.

Recursos publicamente acessíveis podem levar a acesso não autorizado, violações de dados ou exploração de vulnerabilidades. Restringir o acesso por meio de medidas de autenticação e autorização ajuda a proteger as informações confidenciais e a manter a integridade dos recursos.

Correção

Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para pontos de acesso multirregionais. Para obter mais informações, consulte Bloqueio de acesso público de pontos de acesso multirregionais do Amazon S3 no Guia do usuário do Amazon Simple Storage Service. Você não pode alterar as configurações de bloqueio de acesso público de um ponto de acesso multirregional após a criação dele.