亚马逊 S3 的 Security Hub 控件 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 S3 的 Security Hub 控件

这些 AWS Security Hub 控制措施评估了亚马逊简单存储服务 (Amazon S3) Service 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[S3.1] S3 通用存储桶应启用阻止公共访问设置

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求:CIS AWS 基金会基准 v3.0.0/2.1.4、CIS AWS 基金会基准 v1.4.0/2.1.5、v3.2.1/1.2. PCI DSS 1、v3.2.1/1.3.1、v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.2、v3.2.1/1.3. PCI DSS 4、PCI DSS v3.2.1/1.3. PCI DSS 6、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、(21)、(11)、(16)、(20)、(21)、(3)、(4) NIST.800-53.r5 AC-3、(4)、(9) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::::Account

AWS Config 规则:s3-account-level-public-access-blocks-periodic

计划类型:定期

参数:

  • ignorePublicAclstrue(不可自定义)

  • blockPublicPolicytrue(不可自定义)

  • blockPublicAclstrue(不可自定义)

  • restrictPublicBucketstrue(不可自定义)

此控件检查前面的 Amazon S3 阻止公开访问设置是否是在账户级别为 S3 通用存储桶配置的。如果将一个或多个屏蔽公共访问设置设置设置为,则控制失败false

如果将任何设置设置为 false,或者未配置任何设置,则控制失败。

Amazon S3 公有访问区块旨在提供对整个 S3 存储桶 AWS 账户 或单个 S3 存储桶级别的控制,以确保对象永远无法公开访问。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之,向存储桶和对象授予公共访问权限。

除非您打算让 S3 存储桶可公开访问,否则您应该配置账户级别 Amazon S3 屏蔽公共访问权限功能。

要了解更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用 Amazon S3 屏蔽公共访问权限

修复

要为您启用 Amazon S3 阻止公共访问 AWS 账户,请参阅《亚马逊简单存储服务用户指南》中的为您的账户配置阻止公开访问设置

[S3.2] S3 通用存储桶应阻止公共读取权限

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3. PCI DSS 2、v3.2.1/1.3. PCI DSS 6、v3.2. PCI DSS 1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(11)、(16) NIST.800-53.r5 AC-3、(20)、(21) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、(3) NIST.800-53.r5 AC-6、(4) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别:保护 > 安全网络配置

严重性:严重

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-public-read-prohibited

计划类型:定期计划和触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否允许公共读取权限。它会评估封禁公有访问设置、存储桶策略和存储桶访问控制列表 (ACL)。如果存储桶允许公共读取权限,则控制失败。

有些使用案例可能要求 Internet 上的每个人都能够从 S3 存储桶中读取数据。然而,这种情况很少见。为确保数据的完整性和安全性,您的 S3 存储桶不应可公开读取。

修复

要阻止对您的 Amazon S3 存储桶的公共读取权限,请参阅 Amazon 简单存储服务用户指南中的为 S3 存储桶配置阻止公开访问设置

[S3.3] S3 通用存储桶应阻止公共写入权限

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求:PCIDSSv3.2.1/1.2.1、v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3. PCI DSS 4、v3.2.1/1.3. PCI DSS 6、v3.2.1/1.3.6、v3.2. PCI DSS 1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3 (7)、(21)、、(11)、(16)、(20)、(21) NIST.800-53.r5 AC-3、(21)、(3) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (4)、(9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别:保护 > 安全网络配置

严重性:严重

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-public-write-prohibited

计划类型:定期计划和触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否允许公共写入权限。它会评估封禁公有访问设置、存储桶策略和存储桶访问控制列表 (ACL)。如果存储桶允许公共写入权限,则控制失败。

有些使用案例要求互联网上的每个人都能写入您的 S3 存储桶。然而,这种情况很少见。为确保数据的完整性和安全性,您的 S3 存储桶不应可公开写入。

修复

要阻止对您的 Amazon S3 存储桶的公共写入权限,请参阅 Amazon 简单存储服务用户指南中的为 S3 存储桶配置阻止公开访问设置

[S3.5] S3 通用存储桶应要求请求才能使用 SSL

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求:CIS AWS 基金会基准 v3.0.0/2.1.1、CIS AWS Foundations Benchmark v1.4.0/2.1.2、PCI DSS v3.2.1/4.1、 NIST.800-53.r5 AC-1 7 (2)、、(1) NIST.800-53.r5 AC-4、2 NIST.800-53.r5 IA-5 (3)、3、3 (3)、(4)、 NIST.800-53.r5 SC-1 (1)、 NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-ssl-requests-only

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否有要求使用请求的策略SSL。如果存储桶策略不要求使用请求,则控制失败SSL。

S3 存储桶的策略应要求所有请求 (Action: S3:*) 仅接受 S3 资源策略HTTPS中由条件键aws:SecureTransport指示的数据传输。

修复

要更新 Amazon S3 存储桶策略以拒绝不安全的传输,请参阅亚马逊简单存储服务用户指南中的使用 Amazon S3 控制台添加存储桶策略

添加与以下策略中的策略语句相似的策略语句。将 amzn-s3-demo-bucket 替换为您要修改的存储桶的名称。

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }

有关更多信息,请参阅我应该使用哪个 S3 存储桶策略来遵守 AWS Config 规则 s3-bucket-ssl-requests-only?AWS 官方知识中心中。

[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全访问管理 > 敏感API操作操作受限

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-blacklisted-actions-prohibited

计划类型:已触发变更

参数:

  • blacklistedactionpatternss3:DeleteBucketPolicy, s3:PutBucketAcl, s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl(不可自定义)

此控件会检查 Amazon S3 通用存储桶策略是否 AWS 账户 阻止其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。如果存储桶策略允许另一位委托人执行上述一项或多项操作,则控制失败 AWS 账户。

实施最低权限访问对于降低安全风险以及错误或恶意意图的影响至关重要。如果 S3 存储桶策略允许从外部账户进行访问,则可能会导致内部威胁或攻击者泄露数据。

blacklistedactionpatterns 参数允许成功评估 S3 存储桶的规则。该参数授予对未包含在 blacklistedactionpatterns 列表中的操作模式的外部账户访问权限。

修复

要更新 Amazon S3 存储桶策略以删除权限,请参阅 Amazon Simple Storage Service 用户指南中的使用 Amazon S3 控制台添加存储桶策略

编辑存储桶策略页面的策略编辑文本框中,执行以下操作之一:

  • 删除授予其他 AWS 账户 访问被拒绝操作的权限的语句。

  • 从语句中删除允许的拒绝操作。

[S3.7] S3 通用存储桶应使用跨区域复制

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求:PCIDSSv3.2.1/2.2、 NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-3 6 (2)、(2)、NIST .800-53.r5 SI-13 NIST.800-53.r5 SC-5 (5)

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-cross-region-replication-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否启用了跨区域复制。如果存储桶未启用跨区域复制,则控制失败。

复制是指在相同或不同的 AWS 区域存储桶之间自动异步复制对象。复制操作会将源存储桶中新创建的对象和对象更新复制到目标存储桶。 AWS 最佳实践建议对由同一 AWS 账户拥有的源存储桶和目标存储桶进行复制。除了可用性以外,您还应该考虑其他系统强化设置。

如果复制目标存储桶未启用跨区域复制,则此控件会生成该存储桶的FAILED查找结果。如果有正当理由表明目标存储桶不需要启用跨区域复制,则可以隐藏该存储桶的搜索结果。

修复

要在 S3 存储桶上启用跨区域复制,请参阅 Amazon Simple Storage Service 用户指南中的为同一账户拥有的源存储桶和目标存储桶配置复制。对于源存储桶,选择应用到存储桶中的所有对象

[S3.8] S3 通用存储桶应阻止公共访问

相关要求:CIS AWS 基金会基准 v3.0.0/2.1.4、CIS AWS Foundations Benchmark v1.4.0/2.1.5 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

类别:保护 > 安全访问管理 > 访问控制

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-level-public-access-prohibited

计划类型:已触发变更

参数:

  • excludedPublicBuckets(不可自定义)- 已知允许的公共 S3 存储桶名称的逗号分隔列表

此控件检查 Amazon S3 通用存储桶是否在存储桶级别阻止公开访问。如果将以下任一设置设置为,则控件将失败false

  • ignorePublicAcls

  • blockPublicPolicy

  • blockPublicAcls

  • restrictPublicBuckets

S3 存储桶级别的阻止公共访问提供了控制,以确保对象永远不会具有公共访问权限。通过访问控制列表 (ACLs)、存储桶策略或两者兼而有之,向存储桶和对象授予公共访问权限。

除非您打算公开访问 S3 存储桶,否则您应该配置存储桶级别 Amazon S3 屏蔽公共访问权限功能。

修复

有关如何在存储桶级别删除公开访问权限的信息,请参阅 Amazon S3 用户指南中的阻止公众访问 Amazon S3 存储

[S3.9] S3 通用存储桶应启用服务器访问日志记录

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 AC-2(4)、(26)、(9)、、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-4 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST

类别:识别 > 日志记录

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-logging-enabled

计划类型:已触发变更

参数:

此控件检查是否为 Amazon S3 通用存储桶启用了服务器访问日志功能。如果未启用服务器访问日志记录,则控件将失败。启用日志记录后,Amazon S3 将源存储桶的访问日志传送到选定的目标存储桶。目标存储桶必须与源存储桶位于同一 AWS 区域 存储桶中,并且不得配置默认保留期。目标日志存储桶不需要启用服务器访问日志记录,您应该隐藏该存储桶的调查发现。

服务器访问日志记录提供对存储桶发出的请求的详细记录。服务器访问日志可以帮助进行安全和访问审核。有关更多信息,请参阅 Amazon S3 的安全最佳实践:启用 Amazon S3 服务器访问日志记录

修复

要启用 Amazon S3 服务器访问日志,请参阅 Amazon S3 用户指南中的启用 Amazon S3 服务器访问日志

[S3.10] 启用版本控制的 S3 通用存储桶应具有生命周期配置

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。Security Hub 于 2024 年 4 月从 AWS 基础安全最佳实践 v1.0.0 标准中取消了此控件,但它仍包含在 NIST SP 800-53 Rev. 5 标准中。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-13 (5)

类别:识别 > 日志记录

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-version-lifecycle-policy-check

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用版本存储桶是否具有生命周期配置。如果存储桶没有生命周期配置,则控制失败。

我们建议您为 S3 存储桶创建生命周期配置,以帮助您定义希望 Amazon S3 在对象生命周期内执行的操作。

修复

有关在 Amazon S3 存储桶上配置生命周期的更多信息,请参阅在存储桶上设置生命周期配置和管理存储生命周期

[S3.11] S3 通用存储桶应启用事件通知

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。Security Hub 于 2024 年 4 月从 AWS 基础安全最佳实践 v1.0.0 标准中取消了此控件,但它仍包含在 NIST SP 800-53 Rev. 5 标准中:。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 CA-7,NIST.800-53.r5 SI-3 (8)、.800-53.r5 SI-4、NIST .800-53.r5 SI-4 (4) NIST

类别:识别 > 日志记录

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-event-notifications-enabled

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

eventTypes

首选 S3 事件类型列表

EnumList (最多 28 个项目)

s3:IntelligentTiering, s3:LifecycleExpiration:*, s3:LifecycleExpiration:Delete, s3:LifecycleExpiration:DeleteMarkerCreated, s3:LifecycleTransition, s3:ObjectAcl:Put, s3:ObjectCreated:*, s3:ObjectCreated:CompleteMultipartUpload, s3:ObjectCreated:Copy, s3:ObjectCreated:Post, s3:ObjectCreated:Put, s3:ObjectRemoved:*, s3:ObjectRemoved:Delete, s3:ObjectRemoved:DeleteMarkerCreated, s3:ObjectRestore:*, s3:ObjectRestore:Completed, s3:ObjectRestore:Delete, s3:ObjectRestore:Post, s3:ObjectTagging:*, s3:ObjectTagging:Delete, s3:ObjectTagging:Put, s3:ReducedRedundancyLostObject, s3:Replication:*, s3:Replication:OperationFailedReplication, s3:Replication:OperationMissedThreshold, s3:Replication:OperationNotTracked, s3:Replication:OperationReplicatedAfterThreshold, s3:TestEvent

无默认值

此控件检查是否在 Amazon S3 通用存储桶上启用 S3 事件通知。如果存储桶上未启用 S3 事件通知,则控制失败。如果您为eventTypes参数提供自定义值,则只有在为指定类型的事件启用事件通知时,控件才会通过。

启用 S3 事件通知后,当发生影响您的 S3 存储桶的特定事件时,您会收到警报。例如,您可以收到有关对象创建、对象移除和对象恢复的通知。这些通知可以提醒相关团队注意可能导致未经授权的数据访问的意外或故意修改。

修复

有关检测 S3 存储桶和对象变更的信息,请参阅 Amazon S3 用户指南中的 Amazon S3 事件通知

ACLs不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-6

类别:保护 > 安全访问管理 > 访问控制

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-acl-prohibited

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否为用户提供访问控制列表 (ACL) 的权限。如果配置ACL为管理用户对存储桶的访问权限,则控制失败。

ACLs是早IAM于历史的传统访问控制机制。相反ACLs,我们建议使用 S3 存储桶策略或 AWS Identity and Access Management (IAM) 策略来管理对您的 S3 存储桶的访问权限。

修复

要通过此控制,您应该ACLs为 S3 存储桶禁用。有关说明,请参阅Amazon 简单存储服务用户指南》中的控制对象所有权和禁用ACLs存储

要创建 S3 存储桶策略,请参阅使用 Amazon S3 控制台添加存储桶策略。要在 S3 存储桶上创建IAM用户策略,请参阅使用用户策略控制对存储桶的访问权限

[S3.13] S3 通用存储桶应具有生命周期配置

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-13 (5)

类别:保护 > 数据保护

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-lifecycle-policy-check

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

targetTransitionDays

对象创建后转换到指定存储类的天数。

整数

136500

无默认值

targetExpirationDays

对象创建后到被删除为止的天数。

整数

136500

无默认值

targetTransitionStorageClass

目标 S3 存储类类型

枚举

STANDARD_IA, INTELLIGENT_TIERING, ONEZONE_IA, GLACIER, GLACIER_IR, DEEP_ARCHIVE

无默认值

此控件检查 Amazon S3 通用存储桶是否具有生命周期配置。如果存储桶没有生命周期配置,则控制失败。如果您为前面的一个或多个参数提供自定义值,则仅当策略包含指定的存储类、删除时间或转换时间时,控制才会通过。

为您的 S3 存储桶创建生命周期配置定义了您希望 Amazon S3 在对象生命周期内执行的操作。例如,您可以创建一个生命定期策略,该策略将对象转换为另一个存储类别,存档对象,或在指定时间段后将其删除。

修复

有关在 Amazon S3 存储桶上配置生命周期策略的信息,请参阅在存储桶上设置生命周期配置,并参阅 Amazon S3 用户指南中的管理存储生命周期

[S3.14] S3 通用存储桶应启用版本控制

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

类别:保护 > 数据保护 > 数据删除保护

相关要求: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST .800-53.r5 SI-12、.800-53.r5 SI-13 (5) NIST

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-versioning-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否启用了版本控制。如果存储桶的版本控制已暂停,则控制将失败。

版本控制将对象的多个变体保留在同一个 S3 存储桶中。您可以使用版本控制来保留、检索和恢复 S3 存储桶中存储的对象的早期版本。版本控制可帮助您从意外的用户操作和应用程序故障中恢复。

提示

随着版本控制导致存储桶中对象数量的增加,您可以设置生命周期配置,以根据规则自动存档或删除受版本控制的对象。有关更多信息,请参阅受版本控制的对象的 Amazon S3 生命周期管理

修复

要在 S3 存储桶上使用版本控制,请参阅 Amazon S3 用户指南中的在存储桶上启用版本控制

[S3.15] S3 通用存储桶应启用对象锁定

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

类别:保护 > 数据保护 > 数据删除保护

相关要求:NIST.800-53.r5 CP-6 (2)

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-default-lock-enabled

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

mode

S3 对象锁定保留模式

枚举

GOVERNANCE, COMPLIANCE

无默认值

此控件检查 Amazon S3 通用存储桶是否启用了对象锁定。如果未为存储桶启用对象锁定,则控制失败。如果您为 mode 参数提供自定义值,则仅当 S3 对象锁定使用指定的保留模式时,控制才会通过。

您可以使用 S3 对象锁定通过 write-once-read-many (WORM) 模型存储对象。对象锁定可以帮助防止 S3 存储桶中的对象在固定时间内或无限期地被删除或覆盖。您可以使用 S3 Object Lock 来满足需要WORM存储的监管要求,也可以添加额外的保护层,防止对象更改和删除。

修复

要为新的和现有 S3 存储桶配置对象锁定,请参阅《Amazon S3 用户指南》中的配置 S3 对象锁定

[S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys

重要

2024 年 3 月 12 日,此控件的标题更改为显示的标题。有关更多信息,请参阅 Security Hub 控件的更改日志

类别:保护 > 数据保护 > 加密 data-at-rest

相关要求: NIST.800-53.r5 SC-12 (2)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、(10)、(1)、 NIST.800-53.r5 SC-7. NIST.800-53.r5 SC-2 8 NIST 00-53.r5 SI-7 NIST.800-53.r5 CA-9 (6)、.800-53.r5 AU-9 NIST

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-default-encryption-kms

计划类型:已触发变更

参数:

此控件检查 Amazon S3 通用存储桶是否使用 AWS KMS key (SSE-KMS 或 DSSE-KMS)加密。如果存储桶使用默认加密 (SSE-S3) 进行加密,则控制失败。

服务器端加密 (SSE) 是由接收数据的应用程序或服务在目的地对数据进行加密。除非您另行指定,否则 S3 存储桶默认使用 Amazon S3 托管密钥 (SSE-S3) 进行服务器端加密。但是,为了增加控制力,您可以选择将存储桶配置为使用服务器端加密 AWS KMS keys (SSE-KMS 或 DSSE-KMS)。当您的数据写入数据中心的磁盘时,Amazon S3 会在对象级别对其进行加密,并在您访问 AWS 数据时为您解密。

修复

要使用 SSE-加密 S3 存储桶KMS,请参阅 Amazon S3 用户指南中的使用 AWS KMS (SSE-KMS) 指定服务器端加密。要使用 DSSE-加密 S3 存储桶KMS,请参阅 A mazon S3 用户指南中的使用 AWS KMS keys (DSSE-KMS) 指定双层服务器端加密

[S3.19] S3 接入点已启用屏蔽公共访问权限设置

相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

类别:保护 > 安全访问管理 > 资源不公开访问

严重性:严重

资源类型:AWS::S3::AccessPoint

AWS Config 规则:s3-access-point-public-access-blocks

计划类型:已触发变更

参数:

该控件检查 Amazon S3 接入点是否启用了屏蔽公共访问权限设置。如果没有为接入点启用屏蔽公共访问权限设置,则控制失败。

Amazon S3 屏蔽公共访问权限功能可帮助您在 3 个级别上管理对 S3 资源的访问权限:账户、存储桶和接入点级别。可以独立配置每个级别的设置,从而允许您对数据设置不同级别的公共访问权限限制。接入点设置不能单独覆盖更高级别的、限制性更高的设置(账户级别或分配给接入点的存储桶)。相反,接入点级别的设置是附加的,这意味着它们作为其他级别的设置的补充,并与之配合使用。除非您打算让 S3 接入点可供公共访问,否则应启用屏蔽公共访问权限设置。

修复

Amazon S3 当前不支持在创建接入点之后更改接入点的屏蔽公共访问权限设置。默认情况下,在创建新的接入点时,将启用所有屏蔽公共访问权限设置。除非您有特定的需求要禁用任何一个设置,建议您将所有设置保持为启用状态。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的管理接入点的公共访问权限

[S3.20] S3 通用存储桶应启用删除功能 MFA

相关要求:CIS AWS Foundations Benchmark v3.0.0/2.1.2、CIS AWS Foundations Benchmark v1.4.0/2.1.3、(1)、(2) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5

类别:保护 > 数据保护 > 数据删除保护

严重性:

资源类型:AWS::S3::Bucket

AWS Config 规则:s3-bucket-mfa-delete-enabled

计划类型:已触发变更

参数:

此控件检查是否在 Amazon S3 通用版本存储桶上启用了多重身份验证 (MFA) 删除。如果存储桶上未启用MFA删除功能,则控件将失败。该控件不会为具有生命周期配置的存储桶生成调查结果。

在 Amazon S3 存储桶中使用 S3 版本控制时,您可以选择通过将存储桶配置为启用MFA删除来增加另一层安全保护。执行此操作时,存储桶拥有者必须在任何请求中包含两种形式的身份验证,以删除版本或更改存储桶的版本控制状态。MFA如果您的安全凭证遭到泄露,delete 可以提高安全性。MFA删除还可以通过要求启动删除操作的用户证明实际拥有带有MFA代码的MFA设备,并为删除操作增加额外的摩擦和安全性,从而帮助防止存储桶意外删除。

注意

MFA删除功能需要将存储桶版本控制作为依赖项。存储桶版本控制是在相同的存储桶中保留 S3 对象的多个变体的方法。此外,只有以 root 用户身份登录的存储桶拥有者才能在 S3 存储桶上启用MFA删除和执行删除操作。

修复

要启用 S3 版本控制并在存储桶上配置MFA删除,请参阅 Amazon 简单存储服务用户指南中的配置MFA删除

[S3.22] S3 通用存储桶应记录对象级写入事件

相关要求:CIS AWS 基础基准 v3.0.0/3.8

类别:识别 > 日志记录

严重性:

资源类型:AWS::::Account

AWS Config 规则:cloudtrail-all-write-s3-data-event-check

计划类型:定期

参数:

此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪,用于记录 Amazon S3 存储桶的所有写入数据事件。如果该账户没有用于记录 S3 存储桶写入数据事件的多区域跟踪,则控制失败。

S3 对象级操作(例如GetObjectDeleteObjectPutObject、和)称为数据事件。默认情况下, CloudTrail 不记录数据事件,但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为写入数据事件启用对象级日志记录时,您可以在 S3 存储桶中记录每个单独的对象(文件)访问权限。启用对象级日志记录可以帮助您满足数据合规性要求,执行全面的安全分析,监控您的特定用户行为模式 AWS 账户,并使用 Amazon Events 对 S3 存储桶中的对象级API活动采取措施。 CloudWatch 如果您配置了记录所有 S3 存储桶的只写或所有类型的数据事件的多区域跟踪,则此控件会生成PASSED结果。

修复

要为 S3 存储桶启用对象级日志记录,请参阅《Amaz on 简单存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录”。

[S3.23] S3 通用存储桶应记录对象级读取事件

相关要求:CIS AWS 基础基准 v3.0.0/3.9

类别:识别 > 日志记录

严重性:

资源类型:AWS::::Account

AWS Config 规则:cloudtrail-all-read-s3-data-event-check

计划类型:定期

参数:

此控件检查是否至少 AWS 账户 有一个 AWS CloudTrail 多区域跟踪,用于记录 Amazon S3 存储桶的所有读取数据事件。如果该账户没有用于记录 S3 存储桶读取数据事件的多区域跟踪,则控制失败。

S3 对象级操作(例如GetObjectDeleteObjectPutObject、和)称为数据事件。默认情况下, CloudTrail 不记录数据事件,但您可以配置跟踪以记录 S3 存储桶的数据事件。当您为读取数据事件启用对象级日志记录时,您可以记录 S3 存储桶中每个单独的对象(文件)访问权限。启用对象级日志记录可以帮助您满足数据合规性要求,执行全面的安全分析,监控您的特定用户行为模式 AWS 账户,并使用 Amazon Events 对 S3 存储桶中的对象级API活动采取措施。 CloudWatch 如果您配置的多区域跟踪记录所有 S3 存储桶的只读或所有类型的数据事件,则此控件会生成PASSED结果。

修复

要为 S3 存储桶启用对象级日志记录,请参阅《Amaz on 简单存储服务用户指南》中的 “为 S3 存储桶和对象启用 CloudTrail 事件记录”。

[S3.24] S3 多区域接入点应启用屏蔽公共访问设置

类别:保护 > 安全网络配置 > 不公开访问的资源

严重性:

资源类型:AWS::S3::MultiRegionAccessPoint

AWS Config 规则:s3-mrap-public-access-blocked(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

此控件检查 Amazon S3 多区域接入点是否启用了封锁公共访问设置。当多区域接入点未启用封锁公共访问设置时,控制失败。

可公开访问的资源可能导致未经授权的访问、数据泄露或漏洞利用。通过身份验证和授权措施限制访问有助于保护敏感信息并维护资源的完整性。

修复

默认情况下,S3 多区域接入点的所有阻止公共访问设置都处于启用状态。有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的使用 Amazon S3 多区域接入点阻止公众访问。在创建多区域接入点之后,您无法更改其屏蔽公共访问权限设置。