修復可能遭到入侵的 S3 儲存貯體 - Amazon GuardDuty
根據特定 S3 儲存貯體存取需求的建議

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 S3 儲存貯體

當 GuardDuty 產生 時GuardDuty S3 保護調查結果類型,表示您的 Amazon S3 儲存貯體已遭到入侵。如果在您的環境中預期造成調查結果的行為,請考慮建立 隱藏規則。如果未預期發生此行為,請遵循這些建議步驟來修復 AWS 環境中可能遭到入侵的 Amazon S3 儲存貯體:

  1. 識別可能遭到入侵的 S3 資源。

    S3 的 GuardDuty 調查結果會在調查結果詳細資訊中列出相關聯的 S3 儲存貯體、其 Amazon Resource Name (ARN) 及其擁有者。

  2. 識別可疑活動的來源和使用的 API 呼叫。

    使用的 API 呼叫會在調查結果詳細資訊中列為 API。來源將是 IAM 主體 (IAM 角色、使用者或帳戶),而識別詳細資訊將列在調查結果中。視來源類型而定,遠端 IP 地址或來源網域資訊將可供使用,並可協助您評估來源是否已獲得授權。如果調查結果涉及來自 Amazon EC2 執行個體的登入資料,則也會包含該資源的詳細資訊。

  3. 判斷呼叫來源是否已獲得授權可存取已識別的資源。

    如需範例,請考慮以下內容:

    • 如果涉及 IAM 使用者,他們的登入資料是否可能遭到入侵? 如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料

    • 如果從先前沒有調用此類型 API 之歷史記錄的主體調用 API,此來源是否需要此操作的存取權限? 是否可以進一步限制儲存貯體許可?

    • 如果從使用者類型AWSAccount使用者名稱 ANONYMOUS_PRINCIPAL 中看到存取,則表示該儲存貯體為公有且已存取。這個儲存貯體是否應該為公有? 如果不是,請檢閱以下安全建議,了解共用 S3 資源的替代解決方案。

    • 如果是從使用者類型AWSAccount使用者名稱 ANONYMOUS_PRINCIPAL 中看到成功 PreflightRequest 呼叫因而進行的存取,則表示儲存貯體已設定跨來源資源共用 (CORS) 政策。這個儲存貯體是否應該有 CORS 政策? 如果不是,請確保儲存貯體不會意外公開,並檢閱以下安全建議,了解共用 S3 資源的替代解決方案。如需有關 CORS 的詳細資訊,請參閱《S3 使用者指南》中的使用跨來源資源共用 (CORS)

  4. 判斷 S3 儲存貯體是否包含敏感資料。

    使用 Amazon Macie 判斷 S3 儲存貯體是否包含敏感資料,例如個人身分識別資訊 (PII)、財務資料或憑證。如果您的 Macie 帳戶啟用了自動化敏感資料探索,請檢閱 S3 儲存貯體的詳細資訊,以更深入了解 S3 儲存貯體的內容。如果您的 Macie 帳戶已停用此功能,建議您將其開啟以加速評估。或者,您可以建立並執行敏感資料探索任務,以檢查 S3 儲存貯體的物件是否存在敏感資料。如需詳細資訊,請參閱 Discovering sensitive data with Macie

如已授權存取,您可以忽略該調查結果。https://console.aws.amazon.com/guardduty/ 控制台允許您設定規則以完全隱藏單個調查結果,使其不再顯示。如需詳細資訊,請參閱GuardDuty 中的隱藏規則

如果您確定 S3 資料已由未經授權的一方公開或存取,請檢閱下列 S3 安全建議,以加強許可並限制存取。適當的修復解決方案取決於特定環境的需求。

根據特定 S3 儲存貯體存取需求的建議

以下清單根據特定的 Amazon S3 儲存貯體存取需求提供建議:

  • 為了集中限制公開存取 S3 資料使用,S3 會封鎖公開存取。您可以透過四種不同的設定,為存取點、儲存貯體和 AWS 帳戶啟用封鎖公開存取設定,以控制存取的精細程度。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的封鎖公開存取設定

  • AWS 存取政策可用來控制 IAM 使用者如何存取您的資源,或如何存取您的儲存貯體。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策和使用者政策

    此外,您可以將虛擬私有雲端 (VPC) 端點與 S3 儲存貯體政策搭配使用,以限制對特定 VPC 端點的存取。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用儲存貯體政策控制 VPC 端點的存取

  • 若要暫時允許信任的實體存取您的 S3 物件,您可以透過 S3 建立預先簽章的 URL。此存取權限使用您的帳戶憑證建立而成,並根據使用的憑證可以持續 6 小時到 7 天。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用預先簽章URLs 來下載和上傳物件

  • 對於需要在不同來源之間共用 S3 物件的使用案例,您可以使用 S3 存取點建立許可集,以限制只存取私有網路中的物件。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用存取點管理共用資料集的存取Amazon S3

  • 若要安全地將 S3 資源的存取權授予其他 AWS 帳戶,您可以使用存取控制清單 (ACL),如需詳細資訊,請參閱《Amazon S3 使用者指南》中的存取控制清單 (ACL) 概觀

如需 S3 安全選項的詳細資訊,請參閱《Amazon S3 使用者指南》中的 Amazon S3 的安全最佳實務Amazon S3